Resumen ejecutivo
Interrumpe, no solo detectes: construye una cadena de eliminación (kill-chain) desde la inscripción hasta la recuperación para romper el fraude habilitado por IA antes de la primera reclamación y después del último dólar. Gestiona por objetivos: −25% de anomalías de inscripción y −30% del tiempo de ciclo de derivación a UPIC en 12 meses.
Ancla la inscripción a NIST SP 800-63 IAL2/IAL3 y al cribado basado en riesgo de CMS para derrotar identidades sintéticas, credenciales con deepfake y esquemas de propiedad ocultos.
Refuerza las comunicaciones: combina la autenticación de identificador de llamada FCC STIR/SHAKEN con manuales de líneas directas de la era de la IA: política sin transferencias, devoluciones de llamada a números verificados y preguntas-respuestas de «vivacidad» alineadas con las reglas de suplantación de la FTC.
Adopta analítica de reclamaciones nativa de grafos vinculada a los flujos de UPIC y a expedientes con valor probatorio, agilizando derivaciones y recuperación bajo la guía de Integridad del Programa de CMS.
Define ya los KPI y la gobernanza de integridad del programa; los reguladores han intensificado la aplicación contra las estafas de suplantación y las llamadas automáticas y están ampliando los requisitos relacionados con la IA.
Posición ejecutiva: construye una cadena de eliminación, no una solución puntual
En resumen: construye una cadena de eliminación que enlace la verificación de identidad, las comunicaciones autenticadas, la analítica de grafos y las pruebas de nivel de expediente. Gestiona por resultados: apunta a una reducción del 25% de las anomalías de inscripción (12 meses), una reducción del 30% del tiempo de ciclo de derivación a UPIC, ≥95% de autenticación firmada de llamadas entrantes y 100% de casos de suplantación con pruebas completas. Espera menos pagos indebidos, recuperaciones más rápidas y menos daño a los beneficiarios a medida que escalan los ataques de suplantación.
El plan a continuación se alinea con la pila federal de identidad (NIST SP 800-63), el cribado basado en riesgo de CMS, la autenticación de llamadas de la FCC y las reglas de suplantación de la FTC para resistir la IA adversaria mientras apoya las investigaciones centradas en UPIC.
Pilar 1. Inscripción: derrota a los proveedores sintéticos en la puerta
Lo que CMS exige hoy
CMS exige un cribado basado en riesgo de todas las solicitudes iniciales, de revalidación y ciertas de cambio de propiedad en niveles categóricos de riesgo «limitado», «moderado» o «alto», con visitas al sitio en moderado y alto, y verificaciones del FBI por huellas dactilares en los niveles de alto riesgo (para propietarios del 5%+) bajo 42 CFR §424.518 y disposiciones relacionadas. La regla aplica en la inscripción inicial, la revalidación y las nuevas ubicaciones de práctica, con asignaciones categóricas (por ejemplo, proveedores DMEPOS y HHA recién inscritas designados «alto»). CMS complementa esto con autoridades ampliadas de visitas al sitio y operaciones de cribado reanudadas tras la PHE Fortalecimiento del cribado de inscripción de proveedores y suministradores.
La divulgación de propiedad y control más la presentación de informes continua se rigen por 42 CFR §424.516. CMS puede negar o revocar los privilegios de facturación por incumplimiento, acciones legales adversas u otras razones enumeradas bajo §424.530 (Negación) y §424.535 (Revocación).
Cómo reforzar la inscripción contra la suplantación impulsada por IA
La guía federal de identidad digital ofrece el plan. NIST SP 800-63A detalla la inscripción y la verificación de identidad en IAL2/IAL3, incluida la verificación de documentos y la verificación remota supervisada; IAL3 requiere verificación presencial o remota supervisada con supervisión robusta del operador y controles de fraude SP 800-63A. Para resistir ataques de presentación/inyección, NIST exige vivacidad biométrica/PAD y comparaciones de captura en vivo durante la verificación guía de verificación 63A. La actualización borrador de NIST de 2025 aborda además los medios falsificados e inyectados en los flujos de verificación SP 800-63A (revisión borrador).
Operativamente, los proveedores usan PECOS para inscribirse y revalidar, con controles de identidad superpuestos vía CMS Identity Management Remote Identity Proofing (RIDP) y gestión de roles antes del acceso a funciones protegidas Hoja informativa de PECOS. RIDP está documentado en la guía de usuario de CMS Identity Management: guía de usuario de CMS Identity Management (IDM).
Lista de controles: mapeo del cribado de CMS a NIST SP 800-63 (listo para PECOS)
| Área | Acciones clave | Anclas regulatorias |
|---|---|---|
| Asignación de nivel de riesgo | Asigna riesgo categórico en inscripción inicial, revalidación y cambios de ubicación; aplica visitas al sitio en moderado/alto. | §424.518 |
| Verificaciones por huellas | Exige verificaciones del FBI por huellas para todos los propietarios del 5%+ en niveles de alto riesgo (p. ej., DMEPOS, HHA). | §424.518 (PDF) |
| Propiedad y control | Recoge/mantén divulgaciones; reporta cambios especificados en 30/90 días; niega o revoca por incumplimiento o acciones adversas. | §424.516 |
| Verificación de identidad | Usa IAL2 para inscripción remota; sube a verificación remota supervisada o presencial en alto riesgo; captura biometría en vivo y aplica vivacidad/PAD; prepárate para controles anti-inyección. | SP 800-63A; verificación 63A; borrador |
| Acceso posinscripción | Exige AAL2 o AAL3 resistentes al phishing para funciones sensibles. | SP 800-63B |
Asignación de nivel de riesgo y disparadores
Asigna riesgo categórico y aplica cribado en inscripción inicial, revalidación y cambios de ubicación (ver §424.518).
Aplica visitas al sitio para niveles moderado/alto; reanuda/amplía visitas según la política de CMS (ver hoja informativa de cribado de CMS).
Verificaciones biométricas/huellas en alto riesgo
Exige verificaciones del FBI por huellas para todos los propietarios directos/indirectos del 5%+ en niveles de alto riesgo (p. ej., nuevas DMEPOS, HHA) §424.518 (PDF govinfo).
Propiedad, control y acciones adversas
Recoge y mantén divulgaciones de propiedad/control; reporta cambios especificados en 30/90 días (ver §424.516).
Niega/revoca por incumplimiento o acciones adversas (ver §§424.530 y 424.535).
Verificación de identidad NIST (superpuesta a PECOS)
IAL2 como base para inscripción remota con verificación de documentos y comprobaciones de fraude; sube a verificación remota supervisada o presencial para entidades de alto riesgo (según SP 800-63A).
Captura imágenes biométricas y de evidencia en vivo; aplica vivacidad/PAD (según la guía de verificación 63A).
Prepárate para controles actualizados anti-inyección de medios en las próximas revisiones de NIST (ver borrador de SP 800-63A).
Nivel de aseguramiento del autenticador NIST (acceso posinscripción)
Exige AAL2 o AAL3 resistentes al phishing para funciones sensibles; 63B define los AAL y las propiedades de los autenticadores SP 800-63B.
Agrega comprobaciones de «átomos de fraude» a la validación de inscripción: licencias que no coinciden, direcciones/teléfonos reutilizados entre NPI, rotación inexplicable de gerencia y patrones «fénix» (entidades revocadas que reaparecen bajo nuevas pantallas). Usa los datos de propiedad y control (ver §424.516) e indicadores de propiedad oculta o por proxy para priorizar retenciones previas al pago donde el riesgo sea elevado.
Pilar 2. Asegura los teléfonos: detén la suplantación y las voces clonadas
Base regulatoria para la autenticación de llamadas
Bajo las reglas de la FCC, los proveedores de servicios de voz deben implementar la autenticación de identificador de llamada STIR/SHAKEN y firmar las llamadas conforme a las políticas de atestación, con obligaciones codificadas en 47 CFR §64.6301 y órdenes relacionadas Call Authentication Trust Anchor. En 2024, la FCC inició un nuevo proceso normativo sobre divulgaciones y definiciones relacionadas con la IA para llamadas automáticas NPRM de robollamadas con IA.
Manual del agente para líneas directas de Medicare y líneas de autorización previa
Autenticación y enrutamiento del llamante
Ingiere metadatos STIR/SHAKEN de los operadores; degrada o detén las llamadas sin firmas válidas (según §64.6301).
Aplica una «política sin transferencias» para llamadas con identidad incierta; exige rellamar desde un número verificado en el expediente o una devolución de llamada a la línea oficial.
Publica y usa de forma consistente los números verificados; el número oficial de Medicare es 1-800-MEDICARE página de contacto de Medicare.
Vivacidad y respuesta a desafío
Implementa guiones para agentes que exijan datos dinámicos específicos de la cuenta no expuestos en filtraciones (evitando trivialidades de KBA), conforme a los principios de autenticación resistente al phishing en SP 800-63B.
Exige flujos cortos de «esperar y devolver la llamada» cuando las voces suenen sintetizadas, el identificador de llamada parezca falsificado o la atestación sea débil; recuerda a los beneficiarios que el identificador de llamada puede falsificarse guía de la FTC sobre estafas de Medicare.
Pruebas y escalación
Registra la procedencia y el consentimiento, conserva los campos STIR/SHAKEN y guarda los transcritos de desafío-respuesta para cualquier caso marcado como suplantación (ver la regla de la FTC abajo).
Cuando las llamadas sospechosas mencionen beneficios o pedidos, deriva a la cola de SIU/UPIC con los metadatos de la llamada adjuntos.
Pilar 3. Analítica de reclamaciones nativa de grafos vinculada a los flujos de UPIC
Patrones de red en tele-fraude, DME y anillos de pruebas genéticas
Los anillos de fraude a menudo arrancan desde centros de contacto hacia tuberías rápidas de pedidos y facturación: ráfagas de llamadas breves a beneficiarios; pedido inmediato de DME o pruebas; prescriptores fuera del área; paneles repetidos de dispositivos/pruebas; y direcciones/teléfonos transitorios que saltan entre NPI.
Aunque los patrones específicos varían, un modelo de grafo debe calcular características entre entidades (NPI/EIN), relaciones (propiedad/control), ubicaciones, huellas de comunicación y tiempo para revelar la cohesión del anillo y las secuencias «de fuego rápido» para revisión previa al pago. Usa la presentación de propiedad/control de CMS como atributos ancla (ver §424.516) y aplica indicadores de propiedad oculta o por proxy.
Modelo de grafo Know-Your-Provider (KYP)
Capa de entidades: NPI, EIN, números de licencia, acreditación, sanciones; nodos de propiedad/control de las divulgaciones de inscripción (ver §424.516).
Capa de comunicaciones: números de teléfono, firmas de llamada, historial de atestación STIR/SHAKEN; señales de riesgo de interacción con la línea directa.
Capa de lugar: direcciones de práctica/servicio, consistencia geográfica, co-ubicación con otros nodos de alto riesgo.
Capa de comportamiento: latencias de pedido a facturación, picos temporales, repetición de paneles SKU/dispositivo/prueba, clústeres de beneficiarios.
Heurísticas de riesgo: patrones fénix (revocado → nueva pantalla), marcadores de propiedad oculta/por proxy, activos reciclados (teléfonos/dispositivos/direcciones) y cambios súbitos de especialidad.
Puntúa el riesgo previo al pago combinando la centralidad del grafo, las características de anomalía y la procedencia de las comunicaciones. Prioriza la derivación a UPIC para anillos de alta cohesión y ordena retenciones cuando el riesgo supere umbrales predefinidos alineados con la tolerancia de integridad del programa.
Cómo encajan los UPIC y cómo alimentarlos
Los UPIC investigan sospechas de fraude, despilfarro y abuso en Medicare y Medicaid bajo las políticas de integridad del programa de CMS. Usa la guía del CMS Program Integrity Manual (PIM) para estructurar el intercambio de datos, las derivaciones y los flujos de documentación de casos PIM, cap. 10: inscripción de proveedores y suministradores.
Estandariza los paquetes de derivación con: artefactos de inscripción; grafos de propiedad; metadatos de llamadas (STIR/SHAKEN, grabaciones); cronologías de pedido/facturación; y resúmenes de impacto en beneficiarios. Rastrea las derivaciones y los artefactos de investigación en los sistemas nacionales de gestión de casos según lo requieren los procedimientos de integridad del programa de CMS.
Pilar 4. Auditabilidad con valor probatorio alineada a las reglas de suplantación de la FTC
La Regla de Regulación Comercial de la FTC sobre suplantación de gobierno y empresas (vigente el 1 de abril de 2024) fortalece la aplicación y los remedios contra las estafas de suplantación de gobierno/empresas Regla de suplantación de la FTC (final). La Comisión propuso ampliar la regla para cubrir la suplantación de individuos y facilitadores relacionados, con el proceso en curso SNPRM: individuos y facilitadores.
Traduce la regla en requisitos de expediente
Cadena de procedencia para las grabaciones: marcas de tiempo, ID de agentes, lenguaje de consentimiento y originales de audio sin alterar; aplica hash y almacena con políticas de retención que coincidan con las retenciones legales.
Pruebas de comunicaciones: campos de atestación STIR/SHAKEN, encabezados de ruta de llamada e identificadores de rastreo del operador donde estén disponibles requisitos de §64.6301.
Transcritos de desafío-respuesta: indicaciones, respuestas del llamante y el registro de decisiones que justificó la escalación o la negación.
Artefactos de engaño: capturas de pantalla o archivos que muestren mal uso de la marca gubernamental, números/URL falsificados o indicadores de voz con IA, mapeados a las tácticas prohibidas bajo la regla de la FTC.
Notificaciones a víctimas/beneficiarios y pasos de remediación documentados según las mejores prácticas de protección al consumidor (las pérdidas por suplantación son significativas, con la FTC reportando $2.95B en 2024 en las categorías de suplantación) panorama de la FTC 2025.
Modelo operativo: roles, RACI y artefactos
Roles y resultados clave
Tablero de KPI de integridad del programa (objetivos)
Anclas de referencia: niveles §424.518; STIR/SHAKEN; Regla de suplantación de la FTC.
Puntos de intercambio de datos y artefactos
Inscripción → Analítica/SIU: resultados IAL/AAL, resultados de forense de documentos, extractos del grafo de propiedad, hallazgos de visitas al sitio, estado de huellas.
Comunicaciones → Analítica/SIU: campos STIR/SHAKEN, grabaciones y consentimientos de llamadas, transcritos de desafío-respuesta, puntajes de riesgo de llamada.
Reclamaciones/Pagos → Analítica/SIU: cronologías de pedido a facturación, paneles de proveedor/beneficiario, códigos SKU/dispositivo, resúmenes geoespaciales.
SIU/Analítica → UPIC: paquetes de derivación estandarizados con índices de pruebas y notas de cadena de custodia alineados con la guía de integridad del programa (ver PIM, cap. 10).
Objetivos y KPI: gestionar por resultados
Los líderes deben definir un conjunto ajustado de KPI que vincule las acciones con las recuperaciones y la reducción de riesgo, anclando las definiciones a las reglas y mediciones federales:
Tasa de anomalías de inscripción por nivel de riesgo (según categorías de §424.518) con tiempo hasta la decisión y porcentaje colocado en verificación supervisada.
Tasa de éxito de autenticación de llamadas y tasa de detención/desvío en llamadas de baja atestación (según la política STIR/SHAKEN).
Tiempo de ciclo de cierre de casos de suplantación con artefactos completos de la regla de la FTC Regla final de la FTC.
Rendimiento de las retenciones previas al pago y tasa de aceptación de derivaciones a UPIC (según criterios de paquete estandarizados).
Prevención de daño a beneficiarios: número de intentos de suplantación desviados y notificaciones a consumidores emitidas (contexto: la FTC reporta pérdidas altas y sostenidas por suplantación) panorama de la FTC 2025.
Visual A. Mapa de la cadena de eliminación de fraude con IA
Mapa de la cadena de eliminación de fraude con IA
Puntos de control de extremo a extremo y artefactos probatorios a lo largo del ciclo de vida del pago.
Inscripción (PECOS)
Controles: niveles de riesgo §424.518; visitas al sitio; huellas en alto riesgo; verificación IAL2/IAL3 con vivacidad/PAD.
Artefactos: divulgaciones de propiedad/control; resultados de forense de documentos; registros de verificación.
Comunicaciones (líneas directas/autorización previa)
Controles: atestación STIR/SHAKEN; sin transferencias; devolución de llamada a números verificados; preguntas-respuestas de vivacidad; registro de procedencia.
Artefactos: campos STIR/SHAKEN; grabaciones; transcritos de desafío-respuesta.
Pedido
Controles: retenciones previas al pago en pedidos no verificables; puntuación de valores atípicos y de cohesión de anillo; comprobaciones de credenciales/uso.
Artefactos: cronologías de pedidos; riesgo del grafo de proveedor; comprobaciones de especialidad/distancia.
Facturación/Pago
Controles: detección de anomalías en esquemas «de fuego rápido»; comprobaciones de suficiencia de documentación; ediciones dirigidas.
Artefactos: clústeres de reclamaciones; repetición de paneles SKU/dispositivo/prueba; resúmenes de impacto en beneficiarios.
Recuperación/Aplicación
Controles: derivaciones SIU/UPIC; suspensiones; revocaciones/negaciones según §§424.530–.535; estándares de prueba de la FTC.
Artefactos: paquete UPIC estandarizado; pruebas bajo retención legal; avisos a beneficiarios.
Tablero de KPI de integridad del programa Medicare (2025-2027)
Anclas de referencia: niveles de riesgo §424.518; STIR/SHAKEN; regla de suplantación de la FTC.
Perspectiva a 18-24 meses: la base de cumplimiento emergente
Matriz de perspectiva estratégica
Anclas: FCC AI NPRM; FTC SNPRM; borrador de NIST SP 800-63A.
Comunicaciones seguras ante IA: espera una presión sostenida de la FCC sobre la autenticación de llamadas, más rastreo y posibles obligaciones de divulgación de contenido con IA como se propone en el proceso de robollamadas con IA FCC AI NPRM.
Aplicación contra suplantación: la FTC seguirá apoyándose en su regla final y podría extender las protecciones a la suplantación de individuos y facilitadores, elevando las expectativas probatorias de los expedientes FTC SNPRM.
Controles previos al pago: con bases más fuertes de identidad y comunicaciones, los programas ampliarán las retenciones previas al pago en pedidos no verificables y exigirán paquetes de derivación estandarizados y listos para auditoría a los UPIC (según los procesos de integridad del programa de CMS).
Verificación de identidad: espera la adopción de verificación remota supervisada y una vivacidad/PAD más fuerte en los niveles de alto riesgo a medida que NIST finalice las actualizaciones de SP 800-63 SP 800-63A (revisión borrador).
Hoja de ruta de implementación (90/180/365 días)
Hoja de ruta de implementación
- Codifica las superposiciones de nivel de riesgo; exige verificación remota supervisada o presencial y vivacidad/PAD para inscripciones de alto riesgo; actualiza las listas de PECOS.
- Activa salvaguardas de llamadas: política sin transferencias, devolución de llamada a números verificados, captura de metadatos STIR/SHAKEN.
- Define la plantilla de paquete UPIC: artefactos de inscripción, grafo de propiedad, pruebas de comunicaciones, análisis de pedido/facturación.
- Despliega características del grafo KYP; integra datos de riesgo de la línea directa; implementa reglas de retención previa al pago para pedidos no verificables.
- Instrumenta el tablero de KPI y la cadena de pruebas; realiza ejercicios de mesa sobre el cumplimiento de la regla de la FTC.
- Escala la verificación supervisada al 100% de los niveles de alto riesgo; amplía la cobertura de PAD para derrotar credenciales con deepfake SP 800-63A.
- Automatiza las derivaciones a UPIC; mide el tiempo de ciclo y la aceptación; cierra el ciclo de revocaciones y negaciones según §§424.530–.535.
Apéndice (folleto público). Cómo detectar llamadas deepfake de Medicare y qué hacer
Comparte esto con beneficiarios, familias y cuidadores.
No confíes en el identificador de llamada. Los estafadores pueden falsificar la pantalla para que parezca Medicare o una clínica conocida FTC: estafas de Medicare.
Cuelga y vuelve a llamar usando un número verificado. Marca 1-800-MEDICARE (1-800-633-4227) o el número de la tarjeta de tu plan, no un número que dé el llamante contacto de Medicare.
Vigila las señales de alerta: amenazas, presión para actuar rápido, solicitudes de tu número de Medicare o de Seguro Social, u ofertas de pruebas genéticas, ortesis o equipos «gratis».
Las voces clonadas con IA suenan reales. Si la voz del llamante suena rara o con guion, detente. Verifica con una devolución de llamada a un número oficial.
Repórtalo. Comparte los detalles con el plan, con 1-800-MEDICARE y con la FTC en ReportFraud.ftc.gov. Hay recursos sobre robo de identidad médica en HHS-OIG alerta al consumidor de OIG.
Protege tu número. No compartas tu número de Medicare por ofertas no solicitadas; habla con tu médico o tu plan antes de aceptar cualquier prueba o equipo.
Por qué importa: las estafas de suplantación siguen causando pérdidas considerables a los consumidores en todo el país, y los reguladores han aumentado los poderes de aplicación y las sanciones por suplantar a gobiernos y empresas panorama de la FTC 2025, Regla final de la FTC.
Cierre: lidera la cadena de eliminación
Lidera con un modelo de cadena de eliminación que conecte identidad, comunicaciones, analítica y pruebas en un solo sistema operativo para la integridad del programa. Ejecuta el plan 90/180/365 para reforzar la inscripción, asegurar los teléfonos, activar controles previos al pago nativos de grafos y estandarizar los expedientes listos para UPIC. Este plan se alinea con los requisitos de NIST, CMS, FCC y FTC y posiciona a tus equipos para reducir la exposición al riesgo, acelerar las recuperaciones y proteger a los beneficiarios a medida que se endurece la aplicación.