Por qué los prestamistas de EE. UU. no pueden depender solo de los PII: el caso de la inteligencia de dispositivos

En 2024, los consumidores estadounidenses reportaron más de 12,5 mil millones de dólares en pérdidas por fraude ante la Comisión Federal de Comercio (FTC). Las pérdidas reales probablemente sean aún mayores, debido al subregistro crónico de incidentes de fraude digital.

Al cierre de 2024, los prestamistas de EE. UU. enfrentaban una exposición récord de 3,3 mil millones de dólares por fraude de identidad sintética, que afectó préstamos automotrices, tarjetas de crédito bancarias y minoristas, y préstamos personales sin garantía. Deloitte proyecta que el problema generará al menos 23 mil millones de dólares en pérdidas para 2030.

Frente a este panorama, una pregunta surge constantemente en mis conversaciones con prestamistas en todo el país: ¿hasta qué punto podemos avanzar en la prevención del fraude confiando más en la inteligencia de dispositivos?

Mi respuesta es: mucho más de lo que parece. Los datos personales siguen siendo importantes, pero el verdadero progreso proviene de fortalecer la evaluación de riesgo con información basada en dispositivos, centrada en la privacidad.

El punto ciego de EE. UU.: la dependencia excesiva de los PII

Muchos prestamistas estadounidenses aún consideran los datos de dispositivos y comportamiento como algo secundario, opcional o simplemente complementario a la información “real” proveniente de burós de crédito, operadoras o proveedores externos de datos. La presión es particularmente fuerte entre los prestamistas digitales y de tamaño medio: demasiado grandes para realizar revisiones manuales, pero sin recursos para desarrollar una infraestructura antifraude personalizada.

Sin embargo, esto pasa por alto el fondo del problema. Los estafadores pueden reunir suficiente información de identificación personal (PII) para parecer legítimos, incluso presentando documentos o cuentas verificadas. La pregunta crítica no es si el cliente “parece real” sobre el papel, sino si las huellas digitales detrás de la solicitud corresponden a un individuo auténtico y coherente —y ahí es precisamente donde los datos de dispositivo ofrecen una respuesta simple y eficaz.

Por qué el fraude de identidad sintética pasa inadvertido

El fraude de identidad sintética se aprovecha especialmente bien de los sistemas basados en PII. Al combinar identificadores auténticos con atributos falsos, estos perfiles logran eludir la verificación tradicional.

En la práctica, los solicitantes sintéticos parecen estables a primera vista: superan verificaciones de burós, reciben aprobaciones e incluso construyen un historial positivo antes de desaparecer con grandes montos impagos.

Debido a que las identidades involucradas son parcialmente reales, las pérdidas son más difíciles de rastrear y disputar.

Los modelos de scoring tradicionales, incluso los que incorporan datos de PII de terceros, no están diseñados para detectar este tipo de engaño. Lo que no ven es la capa de comportamiento digital y la coherencia a nivel de dispositivo —los estafadores pueden imitar documentos, pero no el ADN digital.

Por qué los dispositivos deben considerarse datos primarios

En los mercados emergentes, la filosofía crediticia evolucionó de otra manera —por necesidad más que por abundancia. En países como India y Brasil, donde la cobertura de burós de crédito aún es parcial, los prestamistas dependen cada vez más de los datos basados en dispositivos, el comportamiento y las redes como una capa central de confianza y evaluación de riesgo digital. Los modelos de decisión se desarrollaron desde el principio alrededor de señales no basadas en PII. La inteligencia de dispositivos, la analítica de comportamiento y los indicadores contextuales de riesgo no son un “extra”: son el núcleo del proceso de evaluación.

La inteligencia a nivel de dispositivo ofrece esa estabilidad: una capa de datos independiente de los identificadores personales y resistente a la manipulación. Cada interacción —la configuración del navegador, los patrones de inicio de sesión, las diferencias sutiles en los atributos de conexión— crea una huella digital mucho más difícil de falsificar. Estas señales son estables en el tiempo, resistentes a la manipulación e independientes de los PII.

Privacidad y cumplimiento: por qué el cambio es inevitable

La regulación está acelerando la transición hacia una prevención del fraude centrada en la privacidad. Marcos globales como el GDPR de la Unión Europea, la Ley DPDP de India y la LGPD de Brasil ya limitan el uso de identificadores personales. Estados Unidos sigue el mismo camino: aunque aún no existe una ley federal de privacidad, las regulaciones estatales —como la CCPA, la CPRA y normas similares en Colorado, Virginia y Connecticut— están estableciendo nuevos estándares. Además, se están discutiendo propuestas a nivel federal, y los reguladores están intensificando la supervisión del manejo que hacen los prestamistas, las fintechs y los intermediarios de datos de la información de los consumidores.

En paralelo, los estándares de la industria también evolucionan. El Shared Signals Framework (SSF) de la OpenID Foundation establece métodos para compartir eventos de seguridad entre organizaciones sin exponer PII, reflejando el avance hacia una inteligencia basada en señales y telemetría, fundamento de la detección moderna de fraude en dispositivos.

Para las instituciones financieras, esta convergencia entre regulación e innovación convierte la protección de datos en una necesidad estratégica. La inteligencia de dispositivos centrada en la privacidad ofrece un camino escalable: permite evaluar el riesgo sin necesidad de procesar identificadores personales. Los modelos de JuicyScore utilizan más de 65 000 señales técnicas y de comportamiento —desde la configuración del dispositivo y la calidad de la conexión hasta la coherencia del comportamiento— para construir un ID de dispositivo estable y un perfil de riesgo dinámico.

Ninguna de estas señales identifica personalmente al usuario, pero juntas brindan información precisa, conforme y preparada para el futuro, en línea con las leyes globales de privacidad.

Lecciones de la práctica global

Como parte de esta transformación hacia evaluaciones de riesgo privacy-by-design, los modelos de JuicyScore operan con inteligencia no basada en PII a gran escala —en más de 45 mercados.

Nuestros clientes que integran scoring de dispositivo y comportamiento reportan una detección de fraude más precisa y menos falsos positivos, sin comprometer el cumplimiento normativo. Esto se logra correlacionando patrones de dispositivo y comportamiento, sin recopilar ni almacenar identificadores sensibles.

Por ejemplo, un prestamista digital de tamaño medio en EE. UU. detecta un aumento de impagos vinculados a perfiles sintéticos, aunque los modelos basados en burós no muestran anomalías.

Al aplicar la inteligencia de dispositivos de JuicyScore, surge otro panorama: se identifican grupos de solicitudes provenientes de la misma infraestructura de dispositivos, con anomalías similares de conexión y patrones de comportamiento aleatorios pero artificiales. Estas señales revelan la magnitud del fraude y permiten ajustar las reglas de decisión.

El resultado no solo son menores pérdidas, sino también mayores tasas de aprobación para clientes legítimos, ya que la segmentación de riesgo se basa en el comportamiento real del dispositivo, no solo en los PII.

De lo complementario a lo esencial

La industria crediticia estadounidense está en una encrucijada. Las tasas de morosidad están creciendo —y una parte significativa está directamente relacionada con actividades fraudulentas. Las identidades sintéticas siguen en aumento, y la confianza del consumidor se erosiona lentamente. Tratar los datos de dispositivo y comportamiento como secundarios ya no es viable: deben convertirse en un componente central de la evaluación de riesgo moderna.

El riesgo es demasiado alto para mantener los datos de dispositivos en segundo plano.

Conclusión

El fraude en EE. UU. no es solo una pérdida financiera: es una erosión sistémica de la confianza. El fraude de identidad sintética demuestra los límites de las defensas basadas en PII —y la necesidad de una capa más profunda y resiliente de inteligencia.

Para los prestamistas, el siguiente paso es claro: hacer que la inteligencia de dispositivos y comportamiento sea la base, no una nota al pie. El cambio es posible y necesario —y quienes lo adopten estarán mejor preparados para la realidad digital de la próxima década.

Solicite una demo con el equipo de JuicyScore para conocer cómo nuestras soluciones pueden fortalecer la prevención del fraude, mejorar la toma de decisiones y proteger su portafolio.