Contáctenos
Contáctenos
  • Fecha de publicación:
Antony Vendhan
LinkedIn Cofundó Identy.io en 2018, reuniendo una profunda experiencia técnica y liderazgo en ventas empresariales para construir tecnología de identificación sin contacto. Antes de lanzar Identy.io, pasó casi siete años liderando las ventas en Metron Consulting Services y trabajó como socio allí durante cinco años antes. Su carrera comenzó en el ámbito técnico, trabajando como técnico de Yahoo! a principios de la década de 2000 y dirigiendo proyectos de desarrollo independientes. Esa rara combinación de experiencia práctica en tecnología y ventas estratégicas le da una perspectiva única sobre la ampliación de soluciones biométricas que realmente funcionan en el mundo real.

ISO/IEC 30107-3 Nivel 2 del PAD: Guía para compradores de sistemas biométricos

ISO/IEC 30107-3: Guía para el comprador de productos biométricos

La autenticación biométrica es tan segura como su capacidad para distinguir a una persona real de una suplantación. A medida que los atacantes pasan de las fotos impresas a las máscaras de silicona en 3D y los deepfakes, la detección de ataques de presentación (PAD) —la tecnología que frena estas suplantaciones— se ha convertido en un requisito fundamental para cualquier sistema serio de verificación de identidad.

La norma ISO/IEC 30107-3 es la norma internacional que define cómo se evalúa la detección de impostores (PAD), y su conformidad con los niveles 1, 2 y 3 constituye el umbral que los sectores regulados —banca, administración pública y telecomunicaciones— consideran ahora como referencia. La tecnología biométrica facial de Identy.io ha sido certificada de forma independiente según los niveles 1 y 2 de la norma ISO/IEC 30107-3 por iBeta con una puntuación perfecta (0 % de tasa de coincidencia de presentación de ataque de impostor). En esta página se explica qué significa esto, cómo funciona la norma y por qué es importante a la hora de elegir un proveedor de biometría.

Detecta los deepfakes antes de que se conviertan en una amenaza.

Los deepfakes son cada vez más sofisticados, lo que aumenta el riesgo de fraude y manipulación de la identidad en entornos digitales. Descargue nuestra guía de 10 pasos para aprender a detectar amenazas de forma temprana y proteger su organización con prácticas recomendadas de eficacia probada.

Descargue nuestra guía ahora

¿Qué es la norma ISO/IEC 30107-3?

La norma ISO/IEC 30107-3 forma parte de la familia de normas ISO/IEC 30107 sobre la detección de ataques de presentación biométrica. La familia consta de tres partes:

  • Parte 1 (ISO/IEC 30107-1): Marco general: define los conceptos y la terminología de los ataques de manipulación de la presentación.
  • Parte 2 (ISO/IEC 30107-2): Formatos de datos: especifica cómo se intercambian los datos relacionados con el PAD entre sistemas.
  • Parte 3 (ISO/IEC 30107-3): Ensayos e informes: la metodología que utilizan los laboratorios de ensayo para determinar si un sistema biométrico es capaz de distinguir de forma fiable a un ser humano real de una imitación. La Parte 3 es la que importa para la certificación. Define los parámetros, el protocolo de ensayo y las categorías de ataques («Instrumentos de ataque de presentación», o PAI) que un sistema debe soportar. Sin una metodología común, las afirmaciones de los proveedores sobre la «protección contra la suplantación» no podrían compararse de forma objetiva.

La norma se aplica a todas las principales modalidades biométricas: rostro, huella dactilar, iris, voz y palma de la mano. La certificación más habitual en la actualidad es la relativa al reconocimiento facial y la detección de vida facial, ya que el rostro es la modalidad más vulnerable a los ataques.

Hay dos parámetros fundamentales que miden el rendimiento de los dispositivos PAD según la norma ISO/IEC 30107-3:

  • IAPMR (índice de coincidencia de presentaciones de ataques de suplantación): el porcentaje de ataques de suplantación que el sistema acepta erróneamente como auténticos. Cuanto más bajo, mejor.
  • BPCER (índice de error de clasificación de presentaciones legítimas): el porcentaje de usuarios legítimos que el sistema rechaza por error. Cuanto más bajo, mejor.

Un sistema funciona bien solo cuando ambos valores se mantienen bajos al mismo tiempo.

nivel-1-vs-nivel-2

PAD Nivel 1 frente a Nivel 2: ¿Cuál es la diferencia?

Los niveles se refieren al grado de sofisticación de los ataques con los que se pone a prueba un sistema. Ambos niveles utilizan los mismos parámetros de referencia; la diferencia radica en la dificultad de los PAI y en el umbral de aprobación.

Aspecto Nivel 1 Nivel 2
Tipos de ataque probados Básico: fotos impresas, capturas de pantalla, máscaras sencillas de papel o goma Avanzado: máscaras 3D de silicona y resina, impresiones personalizadas de alta resolución, repeticiones de vídeo dinámicas, contenidos sintéticos al estilo «deepfake»
Esfuerzo y coste que supone producir las parodias Bajo; materiales de calidad básica Importante; fabricación especializada y trabajo de expertos
Lo que demuestra el pase El sistema es resistente a la suplantación de identidad ocasional u oportunista El sistema resiste ataques organizados, profesionales y bien financiados
Casos de uso habituales Aplicaciones para el consumidor, autenticación de bajo riesgo Proceso de incorporación bancaria, identidad digital gubernamental, KYC en telecomunicaciones, transacciones de alto valor
Requisitos habituales de los compradores Suficiente para productos de consumo de bajo riesgo El estándar de facto para los sectores regulados

En la práctica, el Nivel 1 es el nivel básico y el Nivel 2 es lo que realmente exigen los compradores de los sectores regulados. Un atacante decidido con un presupuesto modesto suele ser capaz de burlar un sistema de Nivel 1. El Nivel 2 está diseñado para detener el tipo de ataques en los que una red de fraude realmente invertiría: una máscara de silicona de 2000 dólares, un proceso de deepfake de alta gama o un ataque de repetición coordinado.

Para superar el Nivel 2, un sistema debe detectar todas las suplantaciones de identidad en las categorías PAI sometidas a prueba —el umbral para obtener una puntuación perfecta es un 0 % de IAPMR— y, al mismo tiempo, mantener bajos los falsos rechazos de usuarios legítimos.

Experimenta Identy.io en acción

Obtenga una demostración personalizada de nuestra plataforma biométrica sin contacto y compruebe cómo se adapta a su caso de uso específico.

Programar una demostración

¿Quién realiza los ensayos según la norma ISO 30107-3? Una introducción a iBeta y al NIST

A menudo existe confusión sobre quién expide realmente las certificaciones ISO 30107-3, por lo que es importante aclarar este punto.

Las pruebas de conformidad con la norma ISO 30107-3 las llevan a cabo laboratorios de ensayo independientes. El más reconocido en el sector de la biometría es iBeta Quality Assurance, un laboratorio con sede en Estados Unidos acreditado por el NIST en el marco del Programa Nacional de Acreditación de Laboratorios Voluntarios (NVLAP) para ensayos biométricos.

El proceso es sencillo:

  • El proveedor envía su SDK biométrico al laboratorio.
  • El laboratorio lleva a cabo una serie de ataques de presentación en el nivel correspondiente (1 o 2), utilizando una gama definida de PAI.
  • El laboratorio registra la respuesta del sistema y calcula el IAPMR y el BPCER. Si el sistema
  • Si cumple los criterios de conformidad, el laboratorio emite una carta de conformidad en la que se hace referencia a la norma ISO/IEC 30107-3 y al nivel alcanzado.

Algunas aclaraciones que los compradores suelen necesitar:

  • El NIST no expide directamente certificaciones según la norma ISO 30107-3. El NIST acredita a los laboratorios (como iBeta) que realizan los ensayos. Cuando un proveedor hace referencia al «NIST» en este contexto, normalmente significa que el producto ha sido sometido a ensayos por un laboratorio acreditado por el NIST/NVLAP de conformidad con la norma ISO 30107-3.
  • La conformidad con la norma ISO 30107-3 es distinta de las pruebas FRTE/FRVT del NIST. El NIST lleva a cabo sus propias evaluaciones de reconocimiento facial, que miden la precisión del reconocimiento en lugar de la protección contra la suplantación de identidad. Ambas son fiables, pero miden aspectos diferentes.
  • Las cartas de conformidad tienen fecha y un alcance concreto. Al evaluar a los proveedores, solicite la carta y compruebe la fecha de la prueba y las categorías específicas de PAI incluidas.

Por qué la norma ISO/IEC 30107-3, nivel 2, es importante para las compras y el cumplimiento normativo

Es aquí donde la norma pasa de ser un detalle técnico a convertirse en un requisito empresarial.

En los sectores regulados, la norma ISO 30107-3 Nivel 2 se ha convertido en la referencia para la adquisición de sistemas de verificación de identidad biométrica:

  • Servicios bancarios y financieros. Las normativas contra el blanqueo de capitales (AML) y de «conozca a su cliente» (KYC) exigen cada vez más una capacidad demostrable de lucha contra la suplantación de identidad en los procesos de alta a distancia. La norma ISO 30107-3 Nivel 2 es la prueba que se suele exigir en las solicitudes de propuestas.
  • El gobierno y la identidad digital. Los programas nacionales de identificación digital, los servicios de administración electrónica y los sistemas electorales requieren métodos de verificación de identidad resistentes a los deepfakes. El Nivel 2 resuelve la cuestión de la contratación pública en materia de PAD.
  • Telecomunicaciones. La activación de tarjetas SIM, la incorporación de clientes y la prevención del intercambio de tarjetas SIM están reguladas en la mayoría de los países. Los organismos reguladores nacionales y las directrices de la GSMA promueven la estandarización de las pruebas de autenticación de dispositivos (PAD).
  • Seguridad empresarial e identidad de los empleados. Ante el aumento de los casos de apropiación de cuentas impulsados por la IA, los equipos de seguridad necesitan ahora la autenticación de dos factores (PAD) de nivel 2 para el acceso con privilegios elevados y la autenticación de los empleados que teletrabajan.

Un error habitual durante la selección de proveedores es considerar que «contamos con detección de actividad» es equivalente a «cumplimos con la norma ISO 30107-3, nivel 2». No son lo mismo. Muchos proveedores implementan la detección de actividad sin someterla nunca a pruebas independientes, o solo la prueban en el nivel 1.

A la hora de evaluar a un proveedor de soluciones biométricas, las preguntas prácticas que hay que plantearse son:

  • ¿Se ha sometido el sistema a pruebas conforme a la norma ISO/IEC 30107-3? ¿A qué nivel?
  • ¿Qué laboratorio realizó los ensayos? ¿Cuenta con acreditación del NIST/NVLAP o de FIDO?
  • ¿Cuál fue la fecha y el alcance de la prueba (qué categorías de PAI, qué modalidades biométricas)?
  • ¿Podrías compartir la carta de conformidad?
  • ¿Cubre la certificación el componente específico (reconocimiento facial, huella dactilar, etc.) que tiene previsto implementar?
  • Un proveedor que pueda responder a estas preguntas sin duda debe figurar en la lista de finalistas. Uno que no pueda, no debería.
preguntas-antes-de-elegir-un-proveedor-de-tecnología-biométrica

Cómo Identy.io consiguió la certificación PAD de nivel 2 con una puntuación perfecta

La tecnología de detección de vida facial de Identy.io —integrada en nuestro SDK de reconocimiento facial y en nuestra plataforma de verificación de identidad— ha sido sometida a pruebas independientes por parte de iBeta según la norma ISO/IEC 30107-3, en los niveles 1 y 2, con un resultado perfecto: un 0 % de IAPMR en todas las categorías de PAI evaluadas.

En la práctica, todas las falsificaciones presentadas al sistema durante las pruebas fueron identificadas correctamente, entre ellas:

  • Máscaras 3D de silicona y resina (hiperrealistas, fabricadas a medida)
  • Imágenes impresas en alta resolución y reproducidas en pantalla
  • Ataques mediante presentaciones de vídeo dinámicas
  • Contenidos sintéticos, incluidos los ataques de tipo «deepfake»
  • La certificación abarca el componente de detección de vida facial de Identy.io, que está disponible en toda la familia de SDK biométricos de Identy —incluidos el SDK para huellas dactilares, el SDK de reconocimiento facial y el SDK para la palma de la mano — y forma parte de nuestra plataforma completa de verificación de identidad.

Qué significa esto para nuestros clientes:

  • Los compradores del sector bancario, público y de las telecomunicaciones pueden implementar Identy.io con la seguridad de que la capa antisuplantación cumple con los estándares exigidos por sus organismos reguladores.
  • Los equipos de seguridad y de compras pueden documentar el cumplimiento haciendo referencia a una carta de conformidad emitida por un organismo independiente.
  • Esa misma tecnología certificada de detección de la presencia humana sustenta el trabajo más amplio de Identy.io en materia de detección de deepfakes, cerrando así el círculo en la lucha contra el fraude de identidad impulsado por la IA.
Experimenta Identy.io en acción

Obtenga una demostración personalizada de nuestra plataforma biométrica sin contacto y compruebe cómo se adapta a su caso de uso específico.

Programar una demostración

Preguntas frecuentes sobre la norma ISO/IEC 30107-3 PAD Nivel 2

¿Qué es la norma ISO/IEC 30107-3?

La norma ISO/IEC 30107-3 es la norma internacional que define cómo realizar pruebas y elaborar informes sobre la detección de ataques de presentación (PAD) en sistemas biométricos. En ella se especifican los parámetros, la metodología de ensayo y los instrumentos de ataque de presentación (PAI) utilizados para evaluar si un sistema biométrico es capaz de distinguir de forma fiable a un ser humano real de una imitación.

¿Cuál es la diferencia entre el nivel 1 y el nivel 2 de la EAP?

El nivel 1 evalúa los sistemas biométricos frente a intentos de suplantación básicos y de bajo coste, como fotografías impresas y grabaciones de pantalla. El nivel 2 evalúa la resistencia frente a ataques mucho más sofisticados, como máscaras de silicona en 3D, impresiones personalizadas y contenidos sintéticos del tipo «deepfake». El nivel 2 es el requisito de facto en sectores regulados como la banca, la administración pública y las telecomunicaciones.

¿La norma ISO 30107-3 es lo mismo que la certificación del NIST?

No. El NIST no expide directamente certificaciones ISO 30107-3. El NIST acredita a laboratorios independientes, como iBeta, en el marco del programa NVLAP, y son esos laboratorios los que realizan las pruebas de conformidad con la norma ISO 30107-3. El NIST también lleva a cabo sus propias evaluaciones de reconocimiento facial (FRTE/FRVT), que miden la precisión del reconocimiento en lugar de la protección contra la suplantación de identidad.

¿Cuánto tiempo tiene validez la certificación ISO 30107-3?

Las cartas de conformidad con la norma ISO 30107-3 hacen referencia a una fecha y un alcance de ensayo específicos. Aunque no hay una fecha de caducidad oficial, el sector de la biometría suele considerar obsoletas las certificaciones con más de dos o tres años de antigüedad, dada la rapidez con la que evolucionan las técnicas de ataque. Por lo general, los proveedores vuelven a realizar los ensayos a medida que actualizan sus sistemas.

¿Abarca la norma ISO 30107-3 los deepfakes?

Sí, en el Nivel 2. Las categorías de PAI evaluadas en el Nivel 2 incluyen ataques de presentación sintéticos y basados en vídeo, que abarcan la suplantación de identidad al estilo «deepfake». Por lo general, las pruebas del Nivel 1 no abarcan estos aspectos.

¿Qué modalidades biométricas pueden certificarse según la norma ISO 30107-3?

La norma se aplica a todas las principales modalidades biométricas: rostro, huella dactilar, iris, voz y palma de la mano. La modalidad facial es la que más se certifica en la actualidad, ya que es la más vulnerable a los ataques.

¿Cómo puedo verificar que un proveedor cumple con la norma ISO 30107-3?

Solicite al proveedor la carta de conformidad expedida por el laboratorio de ensayos. En dicha carta deben figurar la norma (ISO/IEC 30107-3), el nivel de conformidad alcanzado, la fecha del ensayo, las categorías PAI sometidas a ensayo y el componente biométrico específico al que se refiere. La mención en la carta del nombre de un laboratorio acreditado por el NIST/NVLAP o por la FIDO confirma que el ensayo se ha realizado de forma independiente.

¿Es obligatorio cumplir con la norma ISO 30107-3, nivel 2, en el sector bancario o en la administración pública?

Cada vez más, sí. Los requisitos específicos varían según la jurisdicción, pero los organismos reguladores y los equipos de contratación pública en los sectores bancario, de tecnología financiera, de identidad digital gubernamental, de sistemas electorales y de telecomunicaciones suelen considerar el Nivel 2 como el requisito mínimo para la protección contra la suplantación de identidad en cualquier sistema biométrico de alta o autenticación.

Bibliografía

  • Las normas, las directrices reglamentarias y la metodología de ensayo a las que se hace referencia en esta página pueden consultarse en las siguientes fuentes primarias.
  • Organización Internacional de Normalización. ISO/IEC 30107-3:2023 — Tecnología de la información — Detección de ataques de presentación biométrica — Parte 3: Ensayos y elaboración de informes. iso.org/standard/79520.html
  • Organización Internacional de Normalización. ISO/IEC 30107-1:2023 — Tecnología de la información — Detección de ataques de presentación biométrica — Parte 1: Marco. iso.org/standard/83828.html
  • Organización Internacional de Normalización. ISO/IEC 30107-2:2017 — Tecnología de la información — Detección de ataques de presentación biométrica — Parte 2: Formatos de datos. iso.org/standard/67380.html
  • Garantía de calidad de iBeta. Cartas de confirmación de detección de ataques según la norma ISO 30107-3. ibeta.com
  • Instituto Nacional de Estándares y Tecnología. Programa Nacional de Acreditación de Laboratorios Voluntarios (NVLAP). nist.gov/nvlap
  • Instituto Nacional de Estándares y Tecnología (2025). Publicación especial del NIST 800-63, revisión 4: Directrices sobre identidad digital. pages.nist.gov/800-63-4
  • Busch, C. y Thieme, M. La norma ISO/IEC 30107-3 para la evaluación de la detección de ataques de presentación. Conferencia Internacional sobre Pruebas de Rendimiento Biométrico, NIST. nist.gov

Entradas relacionadas

Identy - Autenticación biométrica móvil

RECURSOS

Blog

Redacción

Comparación de software biométrico

La mejor protección contra el robo de identidad

El mejor software de detección de deepfakes

UBICACIONES

Proveedor de servicios biométricos en EE. UU.

Proveedor de servicios biométricos en Brasil

Proveedor de servicios biométricos en México

Proveedor de servicios biométricos en Perú

Proveedor de servicios biométricos en Colombia

Proveedor de servicios biométricos en la República Dominicana

Proveedor de servicios biométricos en Nigeria

Proveedor de servicios biométricos en Kenia

 

SOLUCIONES BIOMÉTRICAS

Biometría de la palma de la mano

Biometría facial

Biometría dactilar

SOFTWARE DE VERIFICACIÓN DE IDENTIDAD

VERIFICACIÓN DE IDENTIDAD BIOMÉTRICA

VERIFICACIÓN DE LA IDENTIDAD DIGITAL

BioCódigo

IDWallet

TECNOLOGÍA

SDK biométrico

INDUSTRIAS

Biometría para gobiernos

Biometría bancaria

Biometría para telecomunicaciones

Biometría para viajes y hostelería

LEGAL

Condiciones generales

Política de privacidad

Política de cookies

CONÉCTATE CON NOSOTROS

LinkedIn

contact@identy.io

COPYRIGHT © 2026 IDENTY.IO

Download our guide: Detect deepfakes before they become a threat
Descargue nuestra guía: Detecte deepfakes antes de que se conviertan en una amenaza
Baixe nosso guia: detecte deepfakes antes que se tornem uma ameaça