Hace unos meses un banco estadounidense descubrió algo desconcertante. Tenía miles de clientes con historial crediticio impecable, años de pagos puntuales, ingresos verificados y referencias sólidas. Clientes modelo. El problema era que ninguno de esos clientes existía. Eran identidades construidas artificialmente, combinando datos reales de personas reales con información falsa generada por inteligencia artificial, hasta crear perfiles que superaron todos los filtros de verificación del banco.
No era ciencia ficción. Era un fraude coordinado que había extraído millones de dólares antes de ser detectado.
Eso es el fraude por identidad sintética. Y en 2026 es el tipo de fraude financiero que más preocupa a bancos, reguladores y expertos en ciberseguridad a nivel global, precisamente porque es el más difícil de detectar y el que más se está acelerando gracias a la IA.
Qué es exactamente una identidad sintética
Una identidad sintética no es simplemente robar los datos de alguien y usarlos. Eso sería suplantación de identidad clásica, que existe desde hace décadas. El fraude por identidad sintética es algo más sofisticado y más peligroso precisamente porque es más difícil de detectar.
Una identidad sintética se construye combinando información real con información falsa de forma deliberada para crear una persona que no existe pero que parece completamente real. El resultado es un perfil creíble, con historial verificable y con suficiente coherencia interna para superar los controles habituales de las entidades financieras.
Cómo se construye una identidad sintética
El proceso típico combina varios elementos:
Datos reales de personas reales: números de seguridad social, NIEs, fechas de nacimiento o fragmentos de información personal obtenidos de filtraciones de datos, compras en la dark web o ataques de phishing previos. A menudo se usan datos de personas que tienen poco historial financiero propio, como menores de edad, personas mayores que no usan servicios digitales, o fallecidos recientes.
Información falsa generada artificialmente: nombre completo, dirección, historial laboral, referencias y en algunos casos documentación falsificada con una calidad que hace unos años era imposible conseguir sin recursos técnicos avanzados.
IA generativa para completar el perfil: aquí es donde el fraude da el salto cualitativo. Herramientas de inteligencia artificial pueden generar fotos de personas que no existen, crear historiales de actividad digital coherentes, redactar correos y documentos con el estilo lingüístico apropiado, y mantener la consistencia del perfil a lo largo del tiempo.
El resultado es una identidad que no pertenece a nadie real pero que tiene suficiente substancia para abrirse cuentas bancarias, solicitar créditos, obtener tarjetas y operar en el sistema financiero.
Por qué la IA ha cambiado las reglas del juego
El fraude por identidad sintética no es nuevo. Existe desde hace más de una década. Lo que ha cambiado radicalmente en los últimos dos años es la escala, la sofisticación y el coste de ejecutarlo.
Antes de la IA generativa
Construir una identidad sintética creíble requería tiempo, recursos y conocimientos técnicos considerables. Falsificar documentación de calidad era caro. Mantener la coherencia del perfil durante meses o años era difícil. El volumen de fraude estaba limitado por esas barreras.
Con la IA generativa
Las barreras han caído de forma drástica. Hoy es posible generar fotos realistas de personas que no existen en segundos con herramientas accesibles. Es posible crear documentación con una calidad visual que supera los controles manuales. Es posible automatizar la creación de decenas o cientos de identidades sintéticas simultáneamente. Y es posible mantener la coherencia de esos perfiles durante el tiempo necesario para que ganen credibilidad.
Lo que antes requería un equipo coordinado con conocimientos avanzados, hoy puede ejecutarse con herramientas de IA disponibles comercialmente, algunas de ellas diseñadas para usos completamente legítimos pero susceptibles de ser redirigidas.
El problema específico de la detección
Los sistemas de verificación bancaria están diseñados principalmente para detectar dos tipos de fraude: documentación falsa obvia y comportamiento anómalo en cuentas existentes. Las identidades sintéticas evaden ambos filtros porque la documentación puede ser de alta calidad y el comportamiento es deliberadamente normal durante un periodo inicial.
De hecho, una de las características del fraude por identidad sintética más sofisticado es lo que se conoce como fase de cultivo: el defraudador crea la identidad, la usa de forma completamente normal durante meses o incluso años, construyendo historial crediticio positivo, y solo entonces ejecuta el fraude a gran escala, extrayendo el máximo valor antes de desaparecer.
Cómo funciona el fraude en la práctica: la cadena típica
Entender la secuencia ayuda a identificar las señales de alerta desde el punto de vista del usuario y del sistema.
Fase 1: construcción de la identidad
Se combinan los elementos descritos anteriormente. En los casos más sofisticados, se crean múltiples identidades sintéticas relacionadas entre sí, con referencias cruzadas que se refuerzan mutuamente y aumentan la credibilidad de cada perfil individual.
Fase 2: implantación en el sistema financiero
La identidad sintética solicita acceso a servicios financieros básicos, a menudo empezando por los más accesibles: cuentas en entidades digitales con procesos de verificación menos estrictos, tarjetas de crédito aseguradas con depósito, o productos de bajo riesgo para el banco.
En esta fase el objetivo no es extraer valor sino existir dentro del sistema y empezar a construir historial.
Fase 3: cultivo del perfil
Durante semanas o meses, la identidad sintética se comporta de forma impecable. Paga puntualmente, mantiene saldos razonables, usa los productos de forma normal. Cada interacción positiva refuerza la credibilidad del perfil y abre la puerta a productos de mayor valor: límites de crédito más altos, préstamos personales, acceso a servicios premium.
Esta es la fase más costosa para los defraudadores en términos de tiempo y gestión, pero también la que hace el fraude más rentable porque permite acceder a cantidades mucho mayores.
Fase 4: bust-out o extracción
En un momento determinado, la identidad sintética ejecuta el fraude real: agota todos los límites de crédito disponibles, solicita préstamos adicionales aprovechando el historial construido, y desaparece sin dejar rastro real porque nunca existió una persona física detrás del perfil.
El banco se queda con deuda impagada y sin posibilidad de reclamar a nadie porque el deudor no existe.
Por qué es tan difícil de detectar para los bancos
Esta es la pregunta que más me fascinó cuando empecé a investigar este tema. ¿Cómo es posible que entidades con recursos tecnológicos enormes y equipos enteros dedicados a la prevención del fraude no consigan detectar esto de forma sistemática?
La respuesta tiene varias capas.
El problema del historial legítimo
Los sistemas de scoring crediticio están diseñados para confiar en el historial. Una identidad sintética que lleva 18 meses pagando puntualmente tiene, desde el punto de vista algorítmico, más credibilidad que una persona real sin historial. El sistema está optimizado para recompensar el comportamiento positivo pasado, y las identidades sintéticas explotan exactamente esa lógica.
La calidad de la documentación generada por IA
Los sistemas de verificación documental buscan inconsistencias visuales, metadatos incorrectos o patrones que indican manipulación. La documentación generada por IA generativa de última generación es cada vez más difícil de distinguir de la auténtica, incluso para sistemas automatizados de verificación.
La fragmentación de datos entre entidades
En España y en Europa, los bancos no comparten en tiempo real información detallada sobre clientes entre sí más allá de los registros de morosidad. Una identidad sintética puede tener relaciones con varios bancos simultáneamente y ninguno de ellos tiene visión completa del perfil global. Esa fragmentación es una ventaja para el defraudador.
El coste del falso positivo
Si un banco rechaza a un cliente legítimo por error, pierde ese cliente y genera fricción. Los sistemas de detección tienen que equilibrar la sensibilidad para detectar fraude con el coste de rechazar operaciones legítimas. Las identidades sintéticas bien construidas se sitúan deliberadamente en la zona donde ese equilibrio es más difícil de mantener.
Cómo afecta esto a los usuarios reales
Llegados aquí, la pregunta natural es: ¿y esto me afecta a mí si no soy el banco?
La respuesta es sí, aunque de forma indirecta.
Tus datos pueden ser el ingrediente real
Como mencioné al principio, las identidades sintéticas suelen incorporar datos reales de personas reales. Un número de identificación, una fecha de nacimiento, una dirección que en algún momento quedó expuesta en una filtración de datos puede convertirse en uno de los componentes de una identidad sintética sin que tú lo sepas y sin que te afecte directamente de forma inmediata.
El problema aparece cuando esa identidad sintética construida parcialmente con tus datos genera deudas o historial negativo que de alguna manera se conecta con tu perfil real. Aunque esto es más frecuente en sistemas como el de EE.UU. con el número de seguridad social, en Europa también ocurren casos similares.
El coste lo pagamos todos
El fraude por identidad sintética genera pérdidas que los bancos incorporan a sus costes operativos. Esos costes se trasladan en forma de comisiones más altas, tipos de interés menos competitivos o procesos de verificación más estrictos que afectan a todos los clientes, incluidos los legítimos.
Procesos de verificación más exigentes
Como respuesta al aumento de este tipo de fraude, muchas entidades están endureciendo sus procesos de onboarding y verificación. Esto se traduce en más pasos, más documentación requerida y más fricción para abrir cuentas o acceder a productos financieros, algo que experimentamos todos como usuarios.
Qué están haciendo los bancos para combatirlo
La industria financiera no está inactiva ante este problema. Hay varias líneas de respuesta que se están desarrollando, aunque ninguna resuelve el problema de forma definitiva todavía.
IA contra IA
La respuesta más lógica al fraude potenciado por IA es usar IA para detectarlo. Los bancos están invirtiendo en modelos de detección de anomalías que analizan patrones de comportamiento más allá del historial crediticio clásico: velocidad de escritura, patrones de uso del dispositivo, coherencia entre comportamientos en distintos canales, y señales sutiles que un humano no detectaría pero que un modelo entrenado puede identificar.
Verificación biométrica avanzada
Los sistemas de verificación de identidad están incorporando análisis de liveness, es decir, verificar que la persona que aparece en una videollamada o selfie es un ser humano real y no una imagen generada por IA. La detección de deepfakes en tiempo real es una de las áreas de mayor inversión en este momento.
Compartición de señales entre entidades
Aunque el intercambio de datos de clientes está limitado por la regulación, existe un movimiento hacia la compartición de señales de fraude, no de datos personales, entre entidades. Si una identidad muestra patrones sospechosos en un banco, esa señal puede alertar a otros sin revelar información del cliente.
Verificación en fuentes primarias
En lugar de confiar en documentación presentada por el usuario, algunos sistemas están conectando directamente con fuentes primarias: bases de datos del registro civil, sistemas de la seguridad social o verificaciones directas con la Agencia Tributaria para contrastar que la información declarada existe y es coherente.
Señales de alerta y qué puedes hacer tú como usuario
Aunque este fraude está principalmente dirigido a las entidades financieras como víctimas directas, hay cosas que puedes hacer para proteger tus datos y reducir el riesgo de que sean usados como componente de una identidad sintética.
Monitoriza tu historial crediticio regularmente: en España puedes solicitar tu informe en ASNEF, Equifax o similar. Si aparecen productos o deudas que no reconoces, actúa inmediatamente.
Gestiona las filtraciones de tus datos: usa servicios como Have I Been Pwned para saber si tu email ha aparecido en filtraciones conocidas. Si tus datos han sido expuestos, considera cambiar contraseñas y estar más alerta con las solicitudes de crédito a tu nombre.
Protege especialmente tu número de identificación: el NIE o DNI es el ingrediente más valioso para construir una identidad sintética parcialmente real. No lo compartas en contextos donde no sea estrictamente necesario.
Activa alertas en tus entidades financieras: las notificaciones de cualquier nueva solicitud de crédito, apertura de cuenta o cambio de datos pueden ser la primera señal de que alguien está usando tu identidad o parte de ella.
Desconfía de solicitudes de verificación de identidad no iniciadas por ti: si recibes una petición de verificar tu identidad en un servicio que no has contactado recientemente, puede ser una señal de que alguien está intentando usar tus datos.
Errores comunes de comprensión sobre este fraude
Pensar que solo afecta a otros países: el fraude por identidad sintética está documentado en Europa y en España. El ecosistema de servicios financieros digitales lo hace posible en cualquier mercado con procesos de onboarding online.
Creer que estar en el RGPD te protege completamente: la regulación de protección de datos ayuda, pero no impide que datos ya filtrados anteriormente se usen para construir identidades sintéticas.
Asumir que si tienes buena higiene digital estás a salvo: tus datos pueden haber quedado expuestos en una filtración de un servicio que usaste hace años sin que lo supieras. No es necesariamente un error tuyo.
Confundir identidad sintética con robo de identidad clásico: si alguien usa tu identidad completa para hacerse pasar por ti, eso es robo de identidad tradicional. En el fraude sintético, tus datos son solo un ingrediente entre varios y la identidad resultante no eres tú.
Preguntas frecuentes
¿Puedo saber si mis datos han sido usados en una identidad sintética? Es difícil saberlo directamente porque la identidad sintética no eres tú. Sin embargo, si tus datos de identificación han sido usados como componente, podrían aparecer señales indirectas como consultas de crédito que no reconoces en tu informe crediticio o comunicaciones de entidades con las que no has tenido contacto. Monitorizar tu informe crediticio regularmente es la mejor forma de detectar anomalías.
¿Los bancos están obligados a compensarme si mis datos son usados en este tipo de fraude? Depende del caso concreto y de cómo se hayan usado tus datos. Si el banco ha sido negligente en la verificación y eso ha generado un perjuicio directo para ti, puede existir responsabilidad. En cualquier caso, documenta todo y consulta con un experto en derecho bancario si sospechas que has sido afectado directamente.
¿Es este fraude más frecuente en servicios financieros digitales que en banca tradicional? Los servicios digitales con procesos de onboarding completamente online son más vulnerables en general porque los controles presenciales son más difíciles de evadir. Sin embargo, la banca tradicional también está siendo afectada. La diferencia es principalmente en el vector de ataque, no en la inmunidad de un modelo u otro.
¿Qué papel juega la regulación europea en la lucha contra este fraude? La regulación europea, incluyendo PSD2, RGPD y las directivas contra el blanqueo de capitales, establece requisitos de verificación y diligencia debida que ayudan a elevar el estándar mínimo. Sin embargo, la regulación va necesariamente por detrás de la tecnología y el fraude por identidad sintética con IA es suficientemente nuevo como para que el marco regulatorio específico esté todavía desarrollándose.
¿Las fintech son más vulnerables que los bancos tradicionales? No necesariamente, aunque sí pueden serlo si priorizan la fricción mínima en el onboarding por encima de la verificación rigurosa. Muchas fintech invierten mucho en tecnología de detección precisamente porque su modelo de negocio depende de procesos digitales donde el fraude es más fácil de escalar. La vulnerabilidad depende más de la inversión en sistemas de detección que del tipo de entidad.
¿Puede una persona normal ejecutar este tipo de fraude? La IA ha bajado significativamente la barrera técnica, pero los fraudes más sofisticados y rentables siguen requiriendo coordinación, conocimientos específicos y acceso a datos filtrados de calidad. Lo que ha cambiado es que fraudes más simples basados en identidades sintéticas básicas están al alcance de actores con menos recursos técnicos que hace cinco años.
Conclusión
Lo que más me preocupa de este fenómeno no es la sofisticación técnica, que es considerable, sino la velocidad a la que está evolucionando. Las herramientas de IA que hoy permiten generar documentación convincente o mantener la coherencia de un perfil falso durante meses son más accesibles, más baratas y más potentes cada trimestre.
Los bancos están respondiendo, pero en este tipo de carrera tecnológica los defensores siempre van un paso por detrás. Cada mejora en los sistemas de detección genera un incentivo para que los defraudadores encuentren la siguiente vulnerabilidad.
Desde el punto de vista del usuario, lo que más me parece accionable es lo más simple: monitorizar tu historial crediticio con regularidad, gestionar activamente las filtraciones de tus datos y ser muy cuidadoso con dónde y cómo compartes tu información de identificación. No porque eso elimine el riesgo, sino porque reduce la probabilidad de que tus datos sean el ingrediente que hace creíble una identidad que no existe.
En finanzas personales hablamos mucho de rentabilidad y de estrategia de largo plazo. Pero todo eso descansa sobre una base: que tu identidad financiera siga siendo tuya. Protegerla no es paranoia, es higiene básica en 2026.