Durante el verano y el otoño de 2018, Hasan Hakim Brown, un floridano de unos cuarenta años, estuvo solicitando préstamos online para las falsas empresas e identidades que había creado. Tuvo un éxito desigual. Estafó más de un millón de dólares a un banco de Texas. Pero algunos de sus otros objetivos, que utilizaban el software de SentiLink, con sede en San Francisco, señalaron sus solicitudes como sospechosas porque había demasiados números de la Seguridad Social asociados a la misma dirección.
Resultó que Brown había empezado a fabricar «identidades sintéticas»: números de la Seguridad Social robados (pero reales) combinados con nombres inventados. Más tarde perfeccionó su técnica y compró un equipo a un consultor informático de Atlanta que le permitía gestionar simultáneamente varios escritorios virtuales desde diferentes direcciones IP, eludiendo así ciertas pantallas de detección de fraudes.
Cuando el Covid-19 llegó a principios de 2020 y el Congreso asignó cientos de miles de millones en préstamos condonables del Programa de Protección de Nóminas para las empresas perjudicadas, Brown estaba preparado. En última instancia, según los registros de los tribunales federales, incluidas las declaraciones de culpabilidad, Brown y su media docena de socios criminales controlaban 700 identidades sintéticas y docenas de empresas ficticias y cuentas bancarias relacionadas. En total, la banda defraudó más de veinte millones de dólares a la Agencia Federal para el Desarrollo de la Pequeña Empresa y a varios bancos. Brown fue condenado a sesenta meses de prisión.
Mientras Brown se dedicaba a robar, los cofundadores de SentiLink, Naftali Harris y Maxwell Blumenfeld, ambos de 31 años, también pensaban en el fraude de identidad sintética y convirtieron sus primeras ideas en un nicho de negocio en pleno crecimiento. «Al principio, todo el mundo nos decía que este tipo de fraude era imposible y que debíamos de haber entendido algo mal», explica Harris, su director ejecutivo.
El año pasado, la startup de Harris y Blumenfeld, de seis años de antigüedad, facturó unos 25 millones de dólares, más del doble que el año anterior, según estima Forbes. Entre sus más de 300 clientes se encuentran siete de los quince mayores bancos y seis de las diez mayores cooperativas de crédito de EE UU, así como importantes fintech como Ramp y Plaid. SentiLink recaudó 70 millones de dólares en julio de 2021 con una valoración de 430 millones de dólares, según PitchBook. Harris dice que está quemando solo un millón de dólares al mes y tiene suficiente efectivo para seguir operando sin financiación adicional durante más de cinco años. Él y Blumenfeld son veteranos de la lista Forbes 30 Under 30 de 2020, y este año SentiLink debuta en Fintech 50, nuestra lista anual de las startups fintech privadas más innovadoras.
La inteligencia artificial (IA) es, por supuesto, una parte clave del negocio de SentiLink. Pero Harris y Blumenfeld extrajeron una lección crucial de cómo reconocieron por primera vez el fraude sintético: un humano, no un ordenador, hizo la conexión clave. En agosto de 2016, los dos compañeros de universidad eran científicos de datos en la startup Affirm. El equipo de Harris construía los modelos para aprobar o rechazar a los prestatarios. El trabajo de Blumenfeld consistía en buscar fraudes. Un día, Blumenfeld se dio cuenta de que dos solicitantes tenían el mismo nombre y fecha de nacimiento, pero números de la Seguridad Social diferentes. Buscó ese nombre en el ordenador y descubrió que doce personas habían solicitado préstamos con el mismo nombre y fecha de nacimiento, pero con números de la Seguridad Social diferentes. Y lo que es más sorprendente, las doce personas tenían un historial crediticio y buenas puntuaciones FICO por encima de 700. Una tenía una tarjeta de crédito con un límite de 20.000 dólares. Otra obtuvo un préstamo personal de 35.000 dólares. Un tercero había conseguido un préstamo para un BMW de 80.000 dólares.
Esto es una locura, recuerda haber pensado Harris. Estas personas no existen, pero engañaron a las agencias para obtener un informe de crédito. Utilizar el mismo nombre y fecha de nacimiento era estúpido. Pero la estrategia subyacente era inteligente y paciente: los estafadores robaban los números de la Seguridad Social de personas que no eran propensas a solicitar créditos, como niños, presos y personas en residencias de ancianos. Combinaban esos números con nombres ficticios y direcciones reales. A continuación, creaban registros de crédito para sus creaciones abriendo cuentas corrientes y pagando puntualmente préstamos y tarjetas de crédito. Con el tiempo, podían utilizar esos historiales crediticios para obtener grandes préstamos que no devolverían, lo que ahora se conoce como "quiebra".
Pero este tipo de fraude era poco conocido, incluso para los expertos, cuando Harris y Blumenfeld lo descubrieron. "Nos dijeron que las agencias tenían registros precisos de todos los estadounidenses con crédito activo y que mientras se comprobara que la identidad tenía un registro en la agencia, esto no sería posible", recuerda Harris. Pero así fue. Y sigue siéndolo, a pesar del lanzamiento el año pasado de una base de datos federal algo torpe (que utiliza SentiLink) que permite a los usuarios autorizados cotejar números de la Seguridad Social y nombres.
En la actualidad, SentiLink, con 78 empleados, cuenta con ocho a tiempo completo dedicados a revisar manualmente posibles intentos de fraude y requiere que otros dediquen al menos una hora a la semana a examinar casos para detectar patrones emergentes: nuevos ángulos de fraude o incluso solicitantes legítimos que pueden ser rechazados injustamente por el algoritmo. Con la IA existe la idea errónea de que descubre estas cosas por sí misma, afirma Blumenfeld, director de Operaciones e Investigación y Desarrollo de SentiLink. En nuestro caso, el modelo [de IA] trata literalmente de imitar lo que haría un ser humano. Puede escalar muy rápidamente.
El ingenio y la rapidez han sido la clave del éxito de la pareja hasta ahora. Harris creció en Los Ángeles (su padre es profesor de finanzas en la Universidad del Sur de California) y superó cuatro cursos de matemáticas, inglés y español en tres años en la Milken Community School, una escuela diurna judía que lleva el nombre del multimillonario donante Michael Milken. Sin terminar el bachillerato, solicitó plaza en una docena de las mejores universidades. La Universidad de Chicago fue una de las cinco que le aceptaron. Durante sus primeros días allí, conoció a Blumenfeld, hijo de una profesora de arte y un abogado fiscalista.
Harris se licenció en Estadística en Chicago en tres años y empezó un doctorado en Stanford, pero le pareció demasiado teórico y en su lugar obtuvo un máster en Estadística. En junio de 2014, el cofundador de Affirm, Max Levchin, le convenció para que se convirtiera en el primer científico de datos de la empresa. Harris, dice Levchin, es un "pensador de primeros principios". No daba nada por sentado, evaluaba las cosas desde cero y era muy, muy competente matemáticamente. Blumenfeld se incorporó a Affirm seis meses después.
En marzo de 2017, solo siete meses después de su primer encuentro con el fraude de identificación sintética, Harris y Blumenfeld decidieron crear su propia empresa a su alrededor. Consiguieron 575.000 dólares en financiación inicial: 300.000 dólares de la firma de capital riesgo de Dallas Goldcrest y la mayor parte del resto de Levchin. Empezaron a trabajar en un sótano sin ventanas en un barrio de mala muerte de San Francisco. Era la oficina más barata que pudimos encontrar en aquel momento. Y parecía que una empresa que luchaba contra el fraude debía estar en un sótano, reflexiona Blumenfeld.
Para crear un modelo útil de puntuación del fraude, se necesitan datos de los clientes, y muchos. Para empezar, utilizaron un atajo inteligente: compraron millones de dólares de deudas incobrables canceladas a prestamistas por unos 10.000 dólares. Esto les permitió obtener informes crediticios de los prestatarios morosos y buscar patrones reveladores. También empezaron a codificar comportamientos específicos en su algoritmo. Si alguien presentaba una solicitud con una dirección de correo electrónico creada apenas un mes antes o utilizaba una dirección IP de un lugar distinto al de su dirección física, eso se consideraba una señal de alarma.
Mientras se afanaban por crear su modelo, la necesidad de utilizarlo iba en aumento. La firma de investigación Aite-Novarica estima que las pérdidas de las instituciones financieras estadounidenses por fraude de identificación sintética se triplicaron de 800 millones de dólares en 2017 a al menos 2.400 millones de dólares el año pasado. Pero la firma señala que las pérdidas podrían ser más del doble de su estimación porque algunos prestamistas todavía cancelan deudas incobrables sin saber si el moroso es sintético o real. (Aite-Novarica no calcula las pérdidas sufridas por el gobierno, las telecomunicaciones o los sitios de apuestas online, que también son grandes víctimas).
En 2019, Harris y Blumenfeld finalmente consiguieron su primer gran cliente bancario: Synchrony, el especialista en préstamos al consumo detrás de las tarjetas de crédito minoristas ofrecidas por Amazon y JCPenney. Ese año, SentiLink también recaudó su primera financiación sustancial: 14 millones de dólares de Andreessen Horowitz y Felicis Ventures, entre otros. Hans Morris, socio director de la empresa de capital riesgo NYCA, uno de los inversores, afirma que estos dos chicos de aspecto empollón tienen un don con los ejecutivos de servicios financieros. «Son tan empollones que despiertan confianza y resultan encantadores».
Encantadores o no, lo cierto es que el dúo se había centrado en el tipo adecuado de problema de fraude: una amenaza creciente, pero aún no tan importante como para que ya hubiera muchos grandes competidores en el sector con buenos modelos. Entonces llegó la pandemia. El auge del comercio electrónico y la avalancha de dinero federal fueron una bendición tanto para los defraudadores como para SentiLink, que pasó de doce clientes en diciembre de 2019 a 45 a finales de 2020. El año pasado procesó 323 millones de comprobaciones de identidad para clientes, frente a los 148 millones de 2021. Cuantos más datos procesa, mejor se entrenan sus modelos -y más ingresos obtiene, ya que muchos clientes pagan tanto una cuota fija de licencia como una cuota de uso por cada comprobación de identidad.
SentiLink ha ido más allá del fraude sintético y se ha extendido al robo de identidad a la antigua usanza y al fraude en primera persona, en el que las personas utilizan sus identidades reales para robar dinero o bienes, a menudo impugnando cargos legítimos. Harris afirma que han podido realizar ventas cruzadas de más de la mitad de sus clientes de fraude sintético con un segundo o tercer producto, y que alrededor del 60% de los ingresos proceden ahora de nuevas áreas.
Sin embargo, a pesar de esta tracción, SentiLink sólo tiene una pequeña porción del mercado de prevención del fraude, que asciende a 15.000 millones de dólares al año, según la oficina de crédito (y competidora) Experian. De hecho, algunos bancos trabajan con hasta diez empresas de prevención del fraude a la vez. Empresas como Experian, LexisNexis Risk Solutions y el unicornio fintech Socure ofrecen un conjunto de servicios más amplio que SentiLink.
Otro reto: el negocio se mueve rápido. A medida que proliferan los modelos de prevención del fraude, los estafadores inventan continuamente nuevas estratagemas y variantes. "Cada año, mil empresas dicen: 'Yo soy mejor en esto que los demás", afirma Max Axler, director de crédito de Synchrony. Harris y Blumenfeld tendrán que esforzarse si quieren seguir el ritmo de sus competidores y de los delincuentes.
*Publicada originalmente en Forbes US