Los actores de amenazas en foros y grupos de chat clandestinos están elaborando cada vez más métodos de fraude estructurado dirigidos a explotar las debilidades en los procesos de trabajo de las instituciones financieras. En lugar de estafas aisladas u oportunistas, estas discusiones reflejan un enfoque organizado y basado en procesos que combina datos de identidad robados, **ingeniería social** y conocimiento de los flujos de trabajo financieros. Dentro de estas conversaciones, las instituciones más pequeñas, particularmente las cooperativas de crédito de tamaño pequeño a mediano, a menudo se mencionan como objetivos más atractivos debido a las brechas percibidas en los sistemas de verificación y los recursos limitados de prevención de fraudes. Investigadores de **Flare** identificaron recientemente un método detallado de fraude de préstamos que circulaba dentro de un grupo clandestino de este tipo, describiendo cómo los atacantes pueden moverse a través de los procesos de verificación de crédito, verificación de identidad y aprobación de préstamos utilizando identidades robadas mientras evitan los desencadenantes de seguridad tradicionales. El enfoque no se basa en explotar vulnerabilidades de software, sino que se centra en navegar por los flujos de trabajo legítimos de incorporación y préstamos como si el solicitante fuera genuino. La estructura de la publicación refleja un enfoque metódico, desglosando el proceso desde el uso de la identidad hasta la aprobación del préstamo de una manera que puede replicarse de manera consistente, lo que apunta a un uso más organizado de las técnicas de fraude.  ## Un Proceso Basado en la Identidad, No en la Intrusión En esencia, este enfoque se basa en obtener suficientes datos personales para hacerse pasar de manera convincente por un prestatario legítimo. Esto incluye identificadores como nombres, direcciones, fechas de nacimiento y, en algunos casos, detalles relacionados con el crédito. El proceso está completamente digitalizado y el atacante utiliza una identidad falsa para solicitar un préstamo. Esta distinción es crítica: el ataque no "rompe el sistema", sino que explota las fallas en su diseño. Un componente central del método es la capacidad de pasar las verificaciones de identidad, particularmente aquellas basadas en autenticación basada en conocimiento (KBA). Estos sistemas generalmente se basan en preguntas derivadas de: * Direcciones pasadas * Historial de préstamos o crédito * Asociaciones laborales o familiares En la práctica, gran parte de esta información se puede reconstruir o inferir de: datos disponibles públicamente, perfiles de redes sociales, conjuntos de datos filtrados previamente y registros de identidad agregados. Este método destaca cómo los atacantes pueden anticipar y prepararse para estas verificaciones con anticipación, convirtiendo efectivamente la verificación en un paso predecible en lugar de una barrera real. Demuestra cómo lo que alguna vez se consideró un control de identidad sólido puede ser aprendido, adaptado y, en última instancia, explotado rápidamente por los ciberdelincuentes, quienes evolucionan sus herramientas de robo de identidad específicamente para recopilar y eludir estos requisitos. ## El Fraude Comienza Antes de Completar el Primer Formulario Para cuando una solicitud fraudulenta llega a su cola, el trabajo duro ya está hecho. Los atacantes obtienen identidades robadas, respuestas KBA e historiales financieros de foros de la dark web y mercados clandestinos, mucho antes de que contacten a su institución. **Flare** monitorea miles de estas fuentes continuamente, para que pueda detectar datos expuestos en la fuente, no después de que se haya producido el daño. ## El Flujo de Trabajo del Fraude – Paso a Paso 1. **Adquisición de Identidad**: Se obtienen datos personales robados, incluidos detalles completos de identidad e información de antecedentes suficiente para hacerse pasar por un individuo legítimo. 2. **Evaluación del Perfil de Crédito**: El atacante revisa el perfil financiero de la víctima para determinar la elegibilidad del préstamo y la probabilidad de aprobación. 3. **Preparación de la Verificación (Listo para KBA)**: Se recopilan detalles personales adicionales para anticipar y responder correctamente a las preguntas de verificación de identidad. 4. **Selección del Objetivo**: Se seleccionan cooperativas de crédito pequeñas y medianas basándose en procesos de verificación percibidos como más débiles y menor madurez en la detección de fraudes. 5. **Presentación de la Solicitud de Préstamo**: Se presenta una solicitud de préstamo utilizando la identidad robada, asegurando la coherencia en todos los datos proporcionados. 6. **Verificación de Identidad Superada**: Se completan con éxito las verificaciones KBA y estándar, estableciendo la legitimidad. 7. **Aprobación del Préstamo y Liberación de Fondos**: La institución aprueba el préstamo y libera los fondos a través de canales estándar. 8. **Movimiento de Fondos y "Cash-Out"**: Los fondos se transfieren a cuentas controladas, se mueven a través de intermediarios y se retiran o convierten para completar la monetización. ## Por Qué las Cooperativas de Crédito Pequeñas/Medianas Son Más Atacadas Uno de los aspectos más notables del método es su enfoque en las instituciones financieras más pequeñas. En lugar de atacar a grandes bancos o plataformas fintech altamente seguras, el enfoque se inclina explícitamente hacia cooperativas de crédito de tamaño pequeño a mediano, que son percibidas como: * Más dependientes de métodos tradicionales de verificación de identidad * Menos equipadas con detección avanzada de fraude conductual * Más propensas a priorizar la accesibilidad del cliente sobre controles estrictos  Si bien no es universalmente cierto, esta percepción por sí sola es suficiente para influir en el comportamiento de los atacantes, dirigiendo las decisiones de selección de objetivos hacia instituciones que se cree que ofrecen una mayor tasa de éxito. Los informes recientes de la industria respaldan esta tendencia. Solo en préstamos para automóviles, se proyecta que la exposición al fraude alcance los $9.2 mil millones en 2025, y los prestamistas más pequeños y regionales enfrentan una presión creciente de esquemas de fraude organizados. ## "Cash-Out" y Monetización Una vez que se aprueba un préstamo, la operación cambia a su fase más crítica: convertir el acceso en dinero. En este punto, el atacante ya ha hecho la parte difícil: pasar las verificaciones de identidad y establecer confianza bajo una identidad robada. Desde la perspectiva de la institución, el proceso parece legítimo y los fondos se liberan a través de canales estándar, al igual que lo harían para un cliente real. El enfoque luego se traslada a la velocidad y la separación. En lugar de dejar los fondos en su lugar, se mueven rápidamente de la cuenta de origen, a menudo a través de cuentas intermediarias que crean distancia de la fuente. Esta etapa se superpone con ecosistemas de fraude más amplios, donde el acceso a cuentas y canales financieros adicionales permite que los fondos se enruten, dividan o reposicionen para reducir la rastreabilidad. Lo que hace que esta fase sea particularmente efectiva (y difícil de detectar) es que cada paso imita el comportamiento financiero normal. Las transferencias, retiros y la actividad de la cuenta no son intrínsecamente sospechosos por sí solos. En cambio, el riesgo radica en cómo se encadenan estas acciones dentro de un marco de tiempo comprimido, lo que permite a los atacantes completar el "cash-out" antes de la detección.