¿Qué es un deepfake biométrico?
Un deepfake biométrico es una falsificación generada por IA que imita los datos biométricos de una persona (normalmente imágenes faciales o la voz), a menudo con un realismo sorprendente. Mediante el uso de redes neuronales profundas, los atacantes pueden crear rostros o vídeos sintéticos que imitan fielmente el aspecto y las expresiones de un usuario real. Estas falsificaciones suponen una grave amenaza para los sistemas de reconocimiento facial y los procesos de verificación de identidad. A los ojos humanos e incluso a los algoritmos estándar les cuesta distinguir los deepfakes de alta calidad de las imágenes auténticas; en un estudio, las personas solo detectaron los vídeos deepfake en el 24,5 % de los casos.
Esto significa que el 75 % de los deepfakes pasaron desapercibidos, lo que pone de relieve la facilidad con la que pueden burlar defensas poco sofisticadas. Repercusión en el reconocimiento facial y la detección de vitalidad: el reconocimiento facial tradicional compara una selfie con una foto de identificación, dando por sentado que la selfie es real. Los deepfakes socavan este proceso al presentar una imagen o un vídeo en directo manipulados por IA del rostro de una persona. A diferencia de las falsificaciones tradicionales (por ejemplo, una foto impresa o una máscara), los deepfakes son dinámicos , el rostro falso puede parpadear, moverse e incluso responder a indicaciones, engañando a la detección básica de vitalidad. Los algoritmos de vitalidad están diseñados para garantizar que se captura el rostro de una persona viva (no una imagen fija o una reproducción), a menudo comprobando los movimientos naturales o la profundidad 3D. Sin embargo, las primeras generaciones de comprobaciones de vitalidad (como pedir a los usuarios que parpadeen o giren la cabeza) son fácilmente engañadas por la tecnología deepfake actual.
Por ejemplo, la IA ahora puede generar un vídeo de un rostro que parpadea y se mueve según las órdenes. Si un estafador introduce un vídeo deepfake a través de una aplicación de cámara virtual en un sistema de verificación, un control biométrico no preparado podría aceptarlo como «en vivo». Esto pone en grave riesgo la incorporación digital y la verificación de identidad a distancia. Los proveedores de tecnología financiera, los bancos e incluso los portales gubernamentales que se basan en la verificación mediante selfies han comprobado que los ataques deepfake pueden colarse, suplantando a las víctimas a pesar de las múltiples capas de seguridad.
El resultado puede ser la apertura de cuentas fraudulentas, transacciones no autorizadas o identidades falsas que superan los controles de «Conozca a su cliente» (KYC) y contra el blanqueo de capitales (AML).
Los deepfakes son cada vez más sofisticados, lo que aumenta el riesgo de fraude y manipulación de la identidad en entornos digitales. Descargue nuestra guía de 10 pasos para aprender a detectar amenazas de forma temprana y proteger su organización con prácticas recomendadas de eficacia probada.
Desde la suplantación de identidad tradicional hasta los ataques de deepfake basados en la inteligencia artificial
Falsificación biométrica frente a ataques basados en deepfakes: En el pasado, la principal preocupación eran los ataques de presentación que utilizaban accesorios físicos o medios grabados. Los estafadores podían mostrar la foto de una persona ante la cámara, llevar una máscara realista o reproducir un vídeo de la víctima. La detección de vida se introdujo para frustrar estos trucos, por ejemplo, detectando imágenes planas o exigiendo movimientos interactivos. Sin embargo, los deepfakes suben el listón.
No se trata solo de grabaciones robadas, sino de medios sintéticos generados por IA, que a menudo son capaces de emular movimientos faciales y comportamientos sutiles. Un deepfake bien elaborado puede parecer más convincente que una foto estática y, sin comprobaciones avanzadas, puede eludir los sistemas que solo buscan signos simples de vida. En esencia, los deepfakes son una extensión sofisticada del suplantación biométrica: en lugar de una falsificación burda (como una foto impresa), el atacante presenta una personalidad «viva» falsificada. Esto ha obligado a cambiar las estrategias de seguridad. Las soluciones estándar de soluciones de reconocimiento facial por sí solas no pueden distinguir de forma fiable un rostro real de un impostor generado por IA. Incluso muchos sistemas de detección de vida que no están actualizados no logran detectar deepfakes de alta calidad o máscaras 3D. La industria está aprendiendo que la autenticación biométrica tradicional es vulnerable a las falsificaciones impulsadas por la IA. Para abordar esto, los equipos de seguridad están recurriendo a defensas duales: autenticación biométrica + detección de deepfakes en tándem.
Falsificación tradicional frente a deepfake biométrico
Por qué la detección de presencia no basta por sí sola
La detección de vitalidad sigue siendo fundamental, ya que comprueba que hay una persona viva delante de la cámara, y no solo un artefacto. Las técnicas van desde indicaciones activas (parpadear, sonreír, girar la cabeza) hasta análisis pasivos (aprendizaje automático que analiza la textura de la piel, los reflejos y la profundidad 3D a partir de un vídeo corto). La detección de vida puede detectar muchas presentaciones falsas. Por ejemplo, los sistemas certificados de detección de vida en 3D pueden detectar que un vídeo deepfake es, en última instancia, una proyección en 2D con una iluminación extraña, ya que una pantalla emite la luz de forma diferente a como la refleja un rostro real, lo que un buen sistema señalará.
Sin embargo, la detección de la vitalidad por sí sola puede no detectar todas las falsificaciones generadas por IA, especialmente a medida que mejoran los deepfakes. Por eso los expertos ahora hacen hincapié en combinar la detección de la vitalidad con algoritmos de detección de deepfakes. Los dos enfoques se complementan entre sí: la detección de la vitalidad confirma que hay un intento humano real, mientras que la detección de deepfakes analiza si ese rostro «humano» en sí mismo podría haber sido generado o manipulado por ordenador. La importancia de combinar enfoques: Las herramientas de detección de deepfakes utilizan la IA para examinar minuciosamente la información visual y auditiva en busca de signos reveladores de manipulación, como movimientos faciales poco naturales, sincronización labial inconsistente, distorsiones en la imagen o fallos en la textura y la iluminación. Estas son pistas de que un rostro podría haber sido alterado sintéticamente. Al superponer este análisis a las comprobaciones de vitalidad, una plataforma puede verificar tanto la presencia (ser humano vivo frente a artefacto) como la autenticidad (persona real frente a deepfake).
En entornos de alta seguridad, como la banca, las plataformas de seguridad biométrica con protección contra deepfakes se han vuelto esenciales. Los líderes del sector predicen que la detección de deepfakes pasará de ser una novedad a convertirse en una «higiene de seguridad» estándar en los próximos años. De hecho, los reguladores ya están avanzando en esta dirección. Las últimas directrices sobre identidad digital del NIST de EE. UU. incluyen explícitamente requisitos para defenderse de los deepfakes y otros ataques generados por la IA. Del mismo modo, los laboratorios externos ahora prueban la resistencia de los proveedores a los «ataques de inyección» (es decir, la resistencia a los vídeos deepfake inyectados o a las imágenes sintéticas) como parte de la certificación de los sistemas biométricos. Todo ello pone de relieve que una única capa de defensa ya no es suficiente. Solo un enfoque multicapa ,que combine la verificación de documentos, la comparación facial, la detección de vida y la detección de deepfakes, puede frustrar de forma fiable el fraude de identidad impulsado por la IA.
Descubra cómo Identy.io reforzó la seguridad móvil en el sector bancario con tecnología biométrica avanzada de huellas dactilares y una experiencia de usuario fluida.
Las amenazas del deepfake para la incorporación de clientes en el sector fintech, la banca y la administración pública
La incorporación digital en los servicios financieros y gubernamentales ha aumentado considerablemente, al igual que los intentos de fraude de identidad mediante deepfakes. Los bancos y prestamistas en línea, por ejemplo, utilizan la biometría de selfies para verificar rápidamente a los nuevos clientes. Pero los delincuentes están aprovechando esta comodidad. Las pruebas biométricas deepfake en el mundo real han puesto de manifiesto vulnerabilidades alarmantes. En un caso, una institución financiera indonesia descubrió más de 1100 intentos de deepfake para eludir su incorporación remota en 2024. Los estafadores obtuvieron datos de identificación robados y luego utilizaron la inteligencia artificial para generar nuevos selfies que coincidían con las identificaciones, suplantando eficazmente a las víctimas. Estos deepfakes engañaron al reconocimiento facial y las comprobaciones básicas de vitalidad del banco, lo que permitió que se aprobaran solicitudes de préstamos falsas. El plan solo se descubrió tras un análisis avanzado, pero puso de manifiesto que se podrían haber producido pérdidas de más de 138 millones de dólares si se hubieran explotado plenamente esas cuentas. Este ejemplo ilustra cómo un deepfake que elude el KYC no es una preocupación teórica , sino que está ocurriendo ahora mismo, a gran escala, en los mercados fintech.
Los organismos gubernamentales y reguladores están tomando nota. En Estados Unidos, la Red de Control de Delitos Financieros (FinCEN) del Tesoro emitió una alerta a finales de 2024 sobre los fraudes que utilizan deepfakes. La FinCEN advirtió de que los delincuentes podrían utilizar identificaciones sintéticas e incluso vídeos deepfake en tiempo real para eludir los controles de verificación en directo durante la identificación de los clientes. En una estafa destacada, los solicitantes intentaron abrir cuentas bancarias con fotos de pasaporte generadas por IA y alegaron problemas técnicos durante las verificaciones por vídeo en directo para encubrir los fallos del deepfake. Este tipo de incidentes son una señal de alarma para el cumplimiento de la normativa AML: si los bancos no pueden verificar de forma fiable las identidades reales, los delincuentes podrían crear cuentas para blanquear dinero o defraudar a los sistemas. Más allá de la banca, las agencias gubernamentales que prestan servicios digitales (desde portales fiscales hasta la inscripción en prestaciones sociales) se enfrentan a riesgos similares. Un deepfake podría permitir a alguien suplantar una identidad y acceder a los registros o derechos de otra persona, lo que socava la integridad de los programas de administración electrónica.
El ejemplo de la herramienta deepfake de YouTube: incluso las plataformas tecnológicas convencionales se enfrentan a esta amenaza. Recientemente, YouTube lanzó una herramienta de verificación biométrica para que los creadores detecten y eliminen los vídeos manipulados por IA que hacen un uso indebido de su imagen. Esta medida fue noticia por ser un arma de doble filo: es una respuesta al abuso de los deepfakes, pero suscitó preocupación, ya que la política de YouTube permite técnicamente que los datos biométricos recopilados (escaneos faciales de los creadores) se utilicen para el entrenamiento de la IA. Para los líderes del sector fintech y los gobiernos, la conclusión es clara: si un gigante como YouTube se ve obligado a implementar un mecanismo de detección de deepfakes, la amenaza está muy extendida. Y si los titulares sobre la «herramienta de verificación biométrica deepfake de YouTube» aparecen en las noticias, significa que los riesgos de los deepfakes han entrado en la conciencia pública. Desgraciadamente, las mismas herramientas accesibles que permiten a los creadores combatir los deepfakes pueden ser reutilizadas por los estafadores. Internet está plagado de tutoriales sobre cómo crear deepfakes convincentes; en el propio YouTube hay guías detalladas para generar intercambios de rostros utilizando software como DeepFaceLab. Esta democratización de la tecnología deepfake significa que incluso los atacantes con relativamente pocos conocimientos pueden intentar cometer fraudes de identidad mediante deepfakes. Las fintech y los bancos deben asumir que un porcentaje de sus intentos de incorporación serán falsificaciones asistidas por IA y prepararse en consecuencia.
Mejores prácticas contra el deepfake
Buenas prácticas para la detección de deepfakes en la seguridad del sector fintech
Para mantener la confianza digital y cumplir con las obligaciones normativas, las organizaciones del sector financiero y de la administración pública están adoptando nuevas prácticas para hacer frente a las amenazas de los deepfakes mediante la adquisición del mejor software de detección de deepfakes. Estas son las estrategias clave que emplean las plataformas modernas de seguridad biométrica para la protección contra el deepfake:
Verificación de identidad multicapa
Las plataformas robustas combinan la autenticación de documentos, la comparación biométrica y la detección de suplantaciones en un solo flujo. Por ejemplo, un sistema avanzado de incorporación escaneará el documento de identidad del usuario en busca de signos de manipulación, comparará el rostro que aparece en el documento con una selfie en directo y realizará una detección de autenticidad y de deepfakes en esa selfie. Las múltiples comprobaciones crean capas de protección superpuestas, de modo que, aunque un deepfake consiga burlar una capa, otra podrá detectarlo. Este enfoque por capas se ajusta a las directrices de los reguladores de utilizar una verificación multifactorial basada en el riesgo (por ejemplo, algunas jurisdicciones exigen ahora una combinación de identificación con fotografía, verificación biométrica con verificación de vitalidad e incluso análisis de metadatos de teléfonos o IP para casos de alto riesgo).
Vitalidad pasiva para una mejor experiencia de usuario
La experiencia del usuario sigue siendo una prioridad, ya que un proceso demasiado engorroso puede ahuyentar a los clientes legítimos. Las soluciones más recientes hacen hincapié en la detección pasiva de vida, que funciona en segundo plano sin necesidad de que los usuarios realicen movimientos incómodos. La IA analiza la señal de vídeo en busca de indicios de autenticidad (como textura, patrones de moiré o profundidad 3D) en una fracción de segundo, normalmente mientras el usuario simplemente mira a la cámara. Este enfoque de seguridad pasivo —integrado en el SDK de reconocimiento facial de Identy— mantiene la fluidez del proceso de verificación al tiempo que garantiza que la persona es real. Cuando la detección pasiva de vida se combina con el escaneo de deepfakes, la seguridad es «invisible» para los usuarios honestos, que completan el proceso de registro en segundos, mientras que los intentos de suplantación de identidad se marcan discretamente para su revisión o rechazo. Lograr este equilibrio entre seguridad y comodidad es crucial para la adopción de la tecnología financiera, donde las tasas de abandono pueden perjudicar al negocio. Por lo tanto, una solución estratégica «confiaría pero verificaría» cada intento de registro de forma silenciosa, escalando el asunto solo cuando algo pareciera sospechoso.
Monitorización continua y análisis con IA
Los controles biométricos no deben detenerse tras la apertura de la cuenta. Los equipos de seguridad con visión de futuro implementan un monitoreo continuo del fraude que puede detectar el uso de deepfakes incluso después de la incorporación. Esto puede incluir inteligencia de dispositivos (para detectar el uso de emuladores o cámaras virtuales), análisis de comportamiento y monitoreo de transacciones vinculado a la reautenticación biométrica para acciones de alto riesgo. Por ejemplo, si una cuenta inicia repentinamente una transferencia grande a través de una transacción autorizada por video, el sistema puede solicitar una nueva verificación de vida + rostro y buscar signos de deepfake antes de la aprobación. Las plataformas modernas suelen integrar estas comprobaciones con bases de datos de fraude, de modo que si un rostro o dispositivo determinado se ha asociado a un intento de fraude deepfake conocido en otro lugar, puede incluirse automáticamente en una lista negra o someterse a una verificación reforzada. La colaboración a través del intercambio de información antifraude se está convirtiendo en una práctica recomendada, de modo que cuando un banco detecta a un atacante deepfake, se alerta a los demás para que estén atentos a las mismas señales.
Pruebas periódicas de resistencia a los deepfakes
Dada la rapidez con la que evoluciona la tecnología deepfake, los bancos y los proveedores deben evaluar periódicamente sus sistemas frente a las nuevas técnicas de ataque. Esto incluye la realización de pruebas biométricas deepfake en entornos controlados, esencialmente simulando el sistema con caras y voces falsas generadas para ver si alguna se cuela. Algunas instituciones se asocian con empresas de seguridad o participan en pruebas del sector (por ejemplo, iBeta Labs y evaluadores independientes ahora prueban los sistemas biométricos para comprobar su resistencia a los vídeos deepfake como parte de la certificación). Mediante pruebas y ajustes proactivos, las organizaciones pueden corregir las vulnerabilidades antes de que los delincuentes las descubran. Además, mantenerse al día con las últimas normas (como la ISO/IEC 30107 para la detección de ataques de presentación biométrica y sus nuevas extensiones que abordan los ataques de IA) garantiza que la plataforma cumpla con los más altos estándares de seguridad.
Formación de usuarios y personal
Por último, una medida suave pero importante es concienciar sobre los deepfakes. El personal de cumplimiento de primera línea debe recibir formación para detectar signos de posible uso de deepfakes en las revisiones manuales (por ejemplo, si el vídeo de un solicitante tiene movimientos oculares poco naturales o si el vídeo de un entrevistado se retrasa de forma extraña y no está sincronizado con el audio). También se puede educar a los clientes sobre la verificación de las comunicaciones; por ejemplo, un banco podría advertir que nunca pedirá que se realicen determinadas acciones a través de una videollamada, de modo que el cliente pueda cuestionar una situación en la que un «empleado del banco» en el vídeo parece real pero le presiona para que realice una transacción inusual (una situación que se ha dado con deepfakes de fraude de CEO). Crear una cultura de «escepticismo digital» en torno a las solicitudes biométricas inesperadas puede añadir una capa adicional de defensa contra la ingeniería social que emplea deepfakes.
La protección de la identidad digital en la era de los deepfakes
Los deepfakes representan una amenaza en rápido crecimiento para la seguridad digital, especialmente en sectores que requieren un alto nivel de confianza, como el financiero y el gubernamental. Para los directores de marketing, esta amenaza se traduce en una posible erosión de la confianza de los clientes: si los usuarios caen víctimas de un fraude debido a que un deepfake ha burlado los controles, la reputación de la marca en materia de seguridad puede desplomarse. Para los directores de tecnología (CTO) y los responsables de seguridad, los deepfakes son una llamada a la acción para reforzar los sistemas ahora, antes que más tarde, ya que el coste de la inacción se mide en pérdidas por fraude, sanciones por incumplimiento normativo y la pérdida de confianza del público. La solución estratégica consiste en invertir en plataformas avanzadas de seguridad biométrica que ofrezcan protección contra los deepfakes desde su diseño. Plataformas solución de verificación de identidad contra deepfakes, como Identy, ejemplifican este enfoque al combinar la detección biométrica de vida y la detección de deepfakes para verificar la identidad con un alto grado de seguridad.
Lo hacen manteniendo el proceso fácil de usar y escalable, un factor importante para la incorporación de tecnología financiera o los grandes programas de identificación gubernamentales en los que se puede verificar de forma remota a millones de usuarios. En resumen, la lucha contra los ataques deepfake a la verificación biométrica requiere una combinación de tecnología de vanguardia y políticas prudentes. En el aspecto tecnológico, la verificación multifactorial y mejorada con IA, la biometría facial combinada con un sólido control de vitalidad y detección de deepfakes, se ha convertido en el estándar de referencia para defenderse de los impostores generados por IA. En el aspecto normativo, las organizaciones deben mantenerse al día de las directrices en constante evolución (de organismos como el NIST y la ISO) y fomentar una cultura consciente de la seguridad.
La carrera armamentística entre los creadores de deepfakes y los defensores de la biometría ya está en marcha, y es probable que se intensifique. Sin embargo, con un enfoque proactivo y por capas, las instituciones pueden preservar la confianza digital y autenticar con seguridad a sus usuarios, incluso mientras la IA generativa transforma el panorama de las amenazas. El mensaje para los responsables es claro: el fraude mediante deepfakes ya no es un problema del futuro, sino que está aquí y ahora, y invertir en las defensas adecuadas en este momento es fundamental para ir un paso por delante de los ciberdelincuentes y mantener la integridad de los sistemas de identificación biométrica.
Preguntas frecuentes sobre la detección de deepfakes
¿Qué es un deepfake biométrico?
Un «deepfake» biométrico es un contenido sintético generado por IA que imita el rostro o la voz de una persona real para burlar los sistemas de verificación de identidad. A diferencia de una suplantación con una foto estática, puede parpadear, moverse y responder a preguntas, lo que le permite superar los controles básicos de autenticidad durante los procesos de alta a distancia.
¿Pueden los deepfakes burlar los sistemas de detección de presencia?
Sí. Las comprobaciones de presencia activas más antiguas (parpadear, girar la cabeza) pueden eludirse mediante vídeos deepfake insertados a través de una cámara virtual. Se necesita una comprobación de presencia pasiva, combinada con una detección específica de deepfakes, para identificar los rostros generados por IA que parecen «reales».
¿Cómo se detectan los deepfakes durante el proceso de incorporación KYC?
Combina la autenticación de documentos, la comparación facial, la verificación pasiva de vida y la detección de deepfakes en un único proceso. La detección de deepfakes analiza la textura, la iluminación, la sincronización labial y las señales de inyección, por lo que se detecta un rostro sintético incluso si logra pasar una sola comprobación.
¿Abarca la norma ISO/IEC 30107-3 los ataques de deepfake?
La norma ISO/IEC 30107-3 define las pruebas de detección de ataques de presentación (PAD). Las últimas ampliaciones y las directrices del NIST sobre identidad digital abordan ahora de forma explícita los ataques por inyección y los generados por IA, razón por la cual los laboratorios evalúan la resistencia de los proveedores frente a los deepfakes y los ataques por inyección.
¿Cuál es la diferencia entre la detección de presencia humana y la detección de deepfakes?
La detección de presencia en vivo confirma que hay una persona real presente (en contraposición a una foto o una grabación). La detección de deepfakes confirma que el rostro humano es auténtico, y no ha sido generado por IA. Son niveles complementarios: se necesitan ambos.
Obtenga una demostración personalizada de nuestra plataforma biométrica sin contacto y compruebe cómo se adapta a su caso de uso específico.
Bibliografía
Actualización biométrica, «Google permite el uso de datos biométricos para la detección de similitudes en YouTube en el entrenamiento de IA» (Joel R. McConvey, diciembre de 2025).
Alerta de la FinCEN, «Estafas relacionadas con deepfakes e inteligencia artificial generativa» (FIN-2024-Alert004, noviembre de 2024).
Alerta FinCEN, FIN-2024-Alert004, 13 de noviembre de 2024. https://www.fincen.gov/system/files/shared/FinCEN-Alert-DeepFakes-Alert508FINAL.pdf
