Deep fakes no son el problema: la amenaza real al KYC en México son los acarreados

La industria de prevención de lavado de dinero está obsesionada con los deep fakes. Cada conferencia, cada vendor, cada pitch deck habla de cómo detectar rostros sintéticos durante el proceso de KYC. Y sí, es un problema real. Pero en México, la amenaza más seria para la integridad del proceso de originación de cuentas no requiere inteligencia artificial, ni software sofisticado, ni conocimiento técnico.

Solo requiere un camión y algo de efectivo.

Identidades reales, cuentas fraudulentas

México tiene regiones enteras donde la pobreza extrema es la norma. En esas zonas, comprar la identidad de una persona no es un ejercicio de ingeniería social compleja — es una transacción económica directa. Así como existe el concepto de "acarreados" en la política mexicana, donde se paga a personas para asistir a mítines o votar, existe un equivalente financiero: los acarreados para originación de cuentas.

El esquema funciona así: operadores van a comunidades rurales de extrema pobreza y ofrecen dinero a cambio de "comprar el día de trabajo" de los habitantes. A partir de ahí, los suben a camiones y los trasladan a sucursales bancarias para abrir cuentas, o los llevan a granjas de originación donde se monta una operación de KYC remoto. En algunos casos, ni siquiera los mueven — el proceso de KYC se realiza ahí mismo, en la comunidad.

El resultado son decenas o cientos de cuentas que cumplen todos los requisitos formales de verificación: la persona existe, la credencial de elector es real, la biometría coincide, la prueba de vida pasa. Ningún sistema anti-deep fake del mundo va a detectar un problema, porque no hay nada falso. Todo es real. Excepto la intención.

Esas cuentas terminan siendo usadas como mulas para mover dinero ilícito, y la persona que prestó su identidad probablemente ni siquiera entiende lo que firmó.

Por qué los controles tradicionales fallan

Los tres escenarios de originación — en sucursal, en bodega con KYC remoto, o en sitio en la comunidad — comparten una característica que los hace invisibles para los controles estándar: son cuentas legítimas en el sentido formal. La persona es real. La identificación es auténtica. El proceso de verificación se completó correctamente.

Los sistemas de detección de fraude en originación están diseñados para detectar identidades falsas, documentos alterados o suplantación de identidad. No están diseñados para detectar identidades reales siendo explotadas en masa.

La señal está en los clusters

Si no podemos detectar la cuenta individual como fraudulenta, podemos detectar el patrón colectivo. La clave está en entender qué datos pueden manipular los atacantes y cuáles no.

Cuando compras la identidad real de una persona, no puedes modificar los datos impresos en su credencial de elector. Eso significa que el código postal, la sección electoral y la localidad son datos que el atacante no controla. Y cuando necesitas abrir 50 o 100 cuentas en una operación, todas esas personas van a compartir esos datos geográficos porque las reclutaste en la misma comunidad.

Además, el proceso de originación ocurre dentro de un lapso concentrado de tiempo. No puedes recolectar credenciales para usarlas después — necesitas a la persona presente para el KYC. Eso genera una ventana temporal comprimida.

Estos dos factores — concentración geográfica por datos de credencial y concentración temporal en la originación — crean una señal detectable.

Tres escenarios, tres patrones de detección

Originación en sucursal. Si clusterizamos las altas de cuentas por código postal o sección electoral de la credencial, podemos identificar picos anómalos: una sucursal que de pronto registra 30 cuentas nuevas de personas de una misma localidad rural en un periodo corto. Eso no es comportamiento orgánico. Las personas en zonas de extrema pobreza no deciden espontáneamente, todas al mismo tiempo, abrir una cuenta en la misma sucursal.

Originación remota en granja de originación o en sitio. Por disposición de BANXICO, las coordenadas geográficas del dispositivo deben ser recabadas durante el proceso de KYC remoto. Cuando detectamos un cluster de personas de una misma localidad electoral creando cuentas simultáneamente desde una misma zona geográfica — especialmente si esa zona no coincide con su domicilio registrado — estamos viendo una granja de originación de cuentas.

Geolocalización spoofeada. Los atacantes más sofisticados pueden falsear las coordenadas GPS para simular que cada persona está en una ubicación diferente. Pero esto, paradójicamente, genera un patrón aún más inusual: un grupo grande de personas de una misma localidad rural que deciden, todas en el mismo periodo, abrir cuentas desde ubicaciones geográficamente dispersas. Ese escenario es estadísticamente inverosimíl para el perfil demográfico de la zona, y la propia dispersión artificial se convierte en la señal de alerta.

Del cluster a la investigación

Detectar un cluster de originación no es suficiente para clasificar una cuenta como fraudulenta o mula. Lo que sí permite es dos cosas concretas.

Primero, tagear el cluster completo para monitoreo de comportamiento transaccional coordinado. Si las cuentas del cluster empiezan a recibir y dispersar fondos de manera sincronizada, la hipótesis de cuentas mula se fortalece significativamente.

Segundo, comparar el perfil transaccional observado contra el esperado para la zona geográfica. Datos del INEGI proporcionan información detallada sobre niveles socioeconómicos por localidad. Una persona con domicilio en una zona clasificada como de alta marginación no debería presentar un perfil transaccional elevado. Si la institución tiene suficientes clientes en la zona, puede construir un perfil transaccional geográfico propio — un baseline estadístico del comportamiento esperado por región — y detectar desviaciones significativas.

La combinación de la señal de cluster en originación con la anomalía transaccional posterior es lo que convierte una sospecha en evidencia investigable.

La brecha en la industria

Mientras la industria invierte millones en detección de deep fakes, el fraude de acarreados pasa desapercibido porque no encaja en las categorías de riesgo que los sistemas están diseñados para buscar. No es una identidad falsa. No es un documento alterado. No es suplantación. Es explotación de identidad real, y requiere un enfoque de detección fundamentalmente diferente: pensar en patrones colectivos, no en verificaciones individuales.

Las instituciones financieras que operan en México necesitan incorporar análisis de clusters de originación como parte de su marco de prevención. No como reemplazo de los controles de KYC existentes, sino como una capa adicional que detecta lo que la verificación individual por diseño no puede ver.