El crecimiento de tus usuarios puede estar engañándote.

Para los responsables de la toma de decisiones en la economía digital global, los usuarios verificados son la métrica que impulsa la valoración. El crecimiento alimenta la confianza de los inversores en la incorporación a la banca digital, las plataformas de microcréditos, las superaplicaciones y los intercambios de criptomonedas en mercados de alto crecimiento.

Sin embargo, esta métrica contiene un defecto estructural.

A medida que las instituciones financieras amplían la verificación de identidad remota y la incorporación biométrica, se ven cada vez más expuestas a un adversario industrializado que distorsiona los análisis de crecimiento y agota silenciosamente los presupuestos operativos: las granjas de dispositivos y los ataques basados en emuladores.

A diferencia del robo de identidad tradicional, que se centra en cuentas individuales, los ataques con emuladores están diseñados para actuar a gran escala. Las organizaciones criminales operan con miles de teléfonos inteligentes —o instancias de dispositivos virtualizados que se ejecutan en servidores— para automatizar la creación masiva de cuentas.

Para las organizaciones, esto crea lo que solo puede describirse como un impuesto oculto sobre el crecimiento.

No solo se enfrenta al riesgo de fraude. También está pagando costes de adquisición de marketing, tarifas de API biométricas, recursos de procesamiento en la nube y horas de revisión manual para incorporar a miles de usuarios sintéticos. En entornos fintech de alto crecimiento, el tráfico de bots puede alcanzar porcentajes de dos dígitos de nuevos registros, lo que distorsiona considerablemente tanto la economía unitaria como los modelos de riesgo.

La mecánica del fraude industrializado

Para comprender la magnitud del problema, debemos examinar la economía de los ataques.

Eludir manualmente una comprobación de actividad en un solo dispositivo es lento y poco escalable. Las granjas de dispositivos y los emuladores eliminan por completo esa limitación.

Emuladores
Entornos de software que replican dispositivos Android o iOS en infraestructura de escritorio. Una sola máquina puede ejecutar cientos de sesiones de incorporación paralelas simultáneamente.

Granjas de dispositivos
Grandes conjuntos de teléfonos inteligentes físicos controlados por marcos de automatización que interactúan directamente con su SDK biométrico móvil.

Cuando se combina con software de cámara virtual, los atacantes ejecutanataques de inyección. En lugar de presentar un rostro ante una lente física, inyectan un vídeo pregrabado o generado por IA directamente en el flujo de datos de la aplicación.

El resultado es tráfico sintético que se comporta como usuarios legítimos, hasta que se produce un perjuicio financiero.

Por qué los sistemas biométricos tradicionales son incapaces de detectar los emuladores

La cuestión fundamental es sencilla: la biometría tradicional valida el rostro, pero no el dispositivo que lo captura.

Muchas instituciones han realizado grandes inversiones en sistemas KYC diseñados para el modelo de amenazas del pasado. Los sistemas biométricos de primera generación se centran principalmente en la detección de ataques de presentación (PAD), analizando artefactos ópticos como reflejos, desenfoques o inconsistencias de profundidad para determinar si se está presentando una máscara, una pantalla o una foto.

Sin embargo, en un emulador o un ataque de inyección, la transmisión de vídeo es digitalmente impecable. Dado que el vídeo se inserta directamente en la API o en el controlador de la cámara virtual, carece de las imperfecciones ópticas de un sensor real.

Esto crea dos problemas agravantes:

La brecha técnica
Los sistemas heredados que solo validan «¿Es esto un rostro?» responden correctamente «Sí».
No plantean la pregunta previa fundamental:«¿Es este un dispositivo real?».

La fuga presupuestaria
Incluso si los controles posteriores acaban detectando comportamientos sospechosos, las organizaciones ya han incurrido en el coste biométrico y de procesamiento total de miles de intentos automatizados.

De hecho, muchas plataformas están utilizando motores biométricos de alta precisión para filtrar lo que debería haberse bloqueado como tráfico de dispositivos sintéticos.

El impacto económico en todos los sectores

Si bien los bancos fueron los primeros objetivos, ahora este patrón se repite en todo el ecosistema fintech: allí donde hay un incentivo para registrarse, la automatización no tarda en llegar.

1. Préstamos digitales y multifinanciación: el prestatario fantasma

Para los prestamistas P2P y las plataformas «Compra ahora, paga después» (BNPL), el riesgo es existencial.

Las granjas de dispositivos crean identidades sintéticas que superan los controles de diligencia debida estándar, construyen gradualmente perfiles crediticios débiles y luego ejecutan operaciones coordinadas de agotamiento de líneas de crédito, agotando simultáneamente las líneas de crédito antes de desaparecer.

El daño es doble:

• Pérdidas directas por fraude

• Corrupción a largo plazo de los modelos de riesgo crediticio entrenados en comportamientos no humanos.

2. Intercambios de criptomonedas: la economía Sybil

En el ámbito de las criptomonedas, la adquisición de usuarios suele incluir airdrops, bonificaciones por recomendación o incentivos en forma de tokens.

Los atacantes aprovechan los emuladores para generar miles de cuentas y carteras con el fin de obtener estas recompensas a gran escala, lo que constituye un clásico ataque Sybil. Sin una sólida detección de ataques de inyección, las plataformas de intercambio pueden distribuir sin saberlo un valor significativo de tokens a un único actor coordinado.

Más allá de las pérdidas financieras, esto genera riesgos normativos en el marco de los estrictos marcos normativos sobre KYC y AML para las criptomonedas en jurisdicciones como Singapur y Hong Kong.

3. Monederos electrónicos y superaplicaciones: fuga de promociones

En el caso de los monederos digitales y las superaplicaciones, el impacto inmediato es la eficiencia del marketing.

Las granjas automatizadas pueden agotar en cuestión de horas un incentivo de 5 dólares para nuevos usuarios. Las plataformas informan a los inversores de un impresionante crecimiento en la parte superior del embudo, pero la retención se desploma porque los «usuarios» nunca han existido.

El resultado: un CAC inflado, métricas de crecimiento distorsionadas y presupuestos de subvenciones malgastados.

La solución: una defensa centrada en los dispositivos

Para detener esta hemorragia operativa, las organizaciones deben pasar de una estrategia de defensacentrada en las personasa otracentrada en los dispositivos. El objetivo es detectar las herramientas de automatización antes de que comience el costoso procesamiento de identidades.

En Oz Forensics, esto se implementa a través de nuestro módulocertificado de detección de ataques de inyección (IAD).

1. Detectar el entorno: el filtro de coste cero

Oz IAD analiza la integridad del entorno móvil antes de que se active el procesamiento biométrico. Identifica:

• Controladores de cámara virtual

• Entornos de emulación y dispositivos rooteados

• Firmas de automatización típicas de las granjas de bots

• Anomalías en los metadatos de vídeo (velocidad de fotogramas, patrones de ruido del sensor)

Al colocar el IAD al inicio del flujo de trabajo de incorporación, las sesiones sospechosas pueden bloquearse al instante, antes de que se incurra en gastos biométricos.

Esto garantiza que dejes de pagar por verificar bots.

2. Garantía biométrica — ISO 30107-3

Una vez establecida la integridad del dispositivo, Oz implementa una detección de actividad avanzada alineada conla norma ISO 30107-3 Nivel 2, probada de forma independiente por iBeta.

Las organizaciones pueden elegir:

• Vitalidad activa para escenarios de alto riesgo

• Actividad pasiva para una conversión máxima

Este enfoque por capas garantiza que el dispositivo verificado sea operado por un ser humano real, y no por una máscara, una reproducción o un deepfake.

3. Confianza certificada — CEN/TS 18099

En un mercado saturado de afirmaciones de los proveedores, la validación independiente es importante.

Mientras que la norma ISO 30107-3 aborda los ataques de presentación,la norma CEN/TS 18099se ha convertido en la especificación técnica clave para la detección de ataques de inyección. Oz Forensics es uno de los pocos proveedores cuyo módulo IAD ha sido evaluado de forma independiente por BixeLab según esta norma.

Flexibilidad de implementación: en las instalaciones y soberanía de los datos

Para las instituciones que operan bajo estrictos requisitos de residencia de datos o latencia, la arquitectura de implementación es fundamental.

Oz Forensics es totalmente compatible con la implementación local de sistemas de verificación de vida e IAD, lo que permite a los bancos y las empresas de tecnología financiera procesar datos biométricos y de inteligencia de dispositivos dentro de su propia infraestructura segura.

Las ventajas incluyen:

• Cumplimiento de las leyes locales sobre soberanía de datos.

• Reducción de la latencia de la red

• Mayor control sobre los flujos de trabajo biométricos sensibles

• Experiencia de usuario consistente en regiones con baja conectividad

Conclusión: Proteger la economía en crecimiento

La seguridad ya no consiste solo en detener el fraude, sino en proteger la economía unitaria del crecimiento digital.

Las granjas de dispositivos y los emuladores aumentan los costes de adquisición, contaminan los datos de riesgo y erosionan silenciosamente la eficiencia del marketing. Al integrar la detección certificada de ataques de inyección al inicio del proceso de incorporación, las organizaciones pueden eliminar este impuesto oculto sobre el crecimiento.

Cada dólar destinado a la incorporación de nuevos clientes debe gastarse en un cliente real.

Deja de pagar por incorporar bots. Empieza a verificar el crecimiento real.

→ Evalúe su exposición al fraude impulsado por emuladores con Oz IAD.