La brecha en la verificación de identidad: Por qué el KYC en el onboarding ya no es suficiente

Las organizaciones en sectores regulados suelen tomarse en serio la identidad. Al menos, al principio. Durante el proceso de solicitud o incorporación, se solicita al cliente todo tipo de documentos y puede incluso pasar por comprobaciones de antecedentes o identificación biométrica. Todo forma parte de los requisitos de conoce a tu cliente (KYC): demostrar que alguien es quien dice ser.

Después ocurre algo curioso. Cuando ese mismo cliente tiene que firmar un contrato o un documento de préstamo, la autenticación es sorprendentemente débil, y normalmente solo basta con tener acceso a una cuenta de correo electrónico o a un móvil. ¿Cómo puede ser tan fácil firmar algo tan importante?

A esto se le conoce como la brecha en la verificación de identidad, y es uno de los puntos más fáciles para que ocurra fraude.

El problema

Ya sabes lo crucial que es el KYC, así que no vamos a aburrirte con demasiados detalles. Pero, en resumen, esto es lo que suele pasar:

• Una organización, como un banco o un bufete de abogados, verifica en profundidad la identidad de un cliente al inicio de la relación. Es la ley.
• Se suelen pedir nóminas, documentos fiscales, identificación con foto, número de la Seguridad Social, etc.
• Cuando todo cuadra, se establece la confianza.

Pero más adelante, parece que no se aplican las mismas reglas. El cliente recibe un correo, introduce un código de un solo uso y firma un contrato con una firma electrónica. No se necesitan más comprobaciones.

Aquí, el KYC se olvida. La organización simplemente asume que quien pulsa en “firmar” es la misma persona que verificó hace tiempo. Esa suposición es peligrosa, porque los documentos de alto valor suelen tener consecuencias legales y financieras. ¿Por qué, entonces, la comprobación es tan débil al firmar en comparación con el onboarding?

La brecha en la verificación de identidad deja la puerta abierta a los estafadores, sobre todo ahora que la inteligencia artificial facilita más que nunca suplantar a los clientes.

El KYC falla en las firmas electrónicas

Lo alarmante es que la mayoría de los procesos de firma digital solo confirman que alguien tiene acceso a un correo o un móvil. Rara vez verifican la identidad de quien firma.

Esto puede provocar los siguientes problemas:

• Robo de cuentas: Si un estafador consigue el control del buzón de alguien, puede firmar cualquier documento que reciba: contratos, préstamos, lo que sea. En este punto, las comprobaciones previas de KYC no sirven de nada. La organización no tiene forma real de saber quién firma.
• Intercepción de SMS: En el papel, los códigos por SMS son una buena medida de seguridad. En la práctica, son bastante fáciles de interceptar, sobre todo si el estafador secuestra el número mediante SIM swapping.
• Explotación de MFA: Incluso la autenticación multifactor (MFA) puede ser burlada. Los estafadores pueden engañar a tus clientes para que den acceso mediante ingeniería social.
• Fraude de identidad sintética: Esto ocurre cuando los estafadores combinan datos reales de clientes con información falsa para crear nuevas identidades que pasan los controles normales.

¿Qué tienen en común todos estos casos? Nadie comprueba realmente quién está firmando.

Cómo afecta la brecha de verificación de identidad a tu negocio

Lumin y MATTR analizan este problema en profundidad en nuestro nuevo white paper, y lo que descubrimos es rotundo. La gran brecha entre el KYC del onboarding y la débil autenticación al firmar crea riesgos reales para empresas como la tuya.

Fíjate en estos datos:

• Según estudios externos, la organización media pierde la asombrosa cifra de 7 millones de dólares estadounidenses al año por fraude de identidad.
• Las disputas legales graves son más probables cuando las organizaciones tienen una autenticación débil de firmas.
• Los ciclos de los contratos se alargan cuando la comprobación de firmas es manual.
• Utilizar contratos en papel para acuerdos de gran valor obstaculiza la transformación digital.

¿Qué se puede hacer ante todo esto?

Cerrar la brecha de verificación de identidad, de verdad

Nadie dice que tengas que repetir el KYC cada vez que se firme un documento. Pero la verificación de identidad en la firma debería ser tan robusta como en el onboarding, especialmente en operaciones de alto valor. De lo contrario, corres el riesgo de fraude y retrasos, justo lo que las firmas electrónicas pretendían eliminar.

Es hora de ir más allá de los códigos de un solo uso y confirmar de verdad:

• Quién firma
• Qué se firma
• Cuándo se firma

Firma digital verificada, disponible con Lumin Sign, ofrece todo esto. Integra la verificación de identidad en el mismo centro del proceso de firma electrónica, garantizando que cada firma sea segura y legalmente vinculante. Algo más importante que nunca con la suplantación por IA.

En lugar de suponer, la Firma digital verificada se basa en pruebas criptográficas e identidades digitales de confianza. Tus clientes se autentican con una acción biométrica sencilla y rápida, como reconocimiento facial o huella dactilar. Todo el proceso suele durar solo unos segundos. Sin complicaciones, sin fricciones.

¿El resultado? Tus contratos y otros documentos legales siguen siendo totalmente digitales, pero ahora tienes evidencia real e indiscutible de quién firmó qué y cuándo.

Profundiza más

¿Quieres saber más? Consulta nuestro nuevo white paper, Protegiendo los acuerdos digitales en la era del engaño por IA.