deepfakes · prueba de vida · biometría
Deepfakes y verificación de identidad: el nuevo riesgo del KYC 2026
Hasta hace poco, pedirle a un cliente un selfie o un video corto era suficiente para confirmar que era quien decía ser. Eso cambió. Hoy, con herramientas de inteligencia artificial disponibles para cualquiera, generar un video falso del rostro de otra persona —un deepfake— toma minutos y casi no requiere conocimientos técnicos.
Para cualquier sujeto obligado que hace onboarding digital, esto representa un cambio de paradigma: el fraude ya no necesita un documento robado y una persona parecida. Alcanza con una foto de la víctima sacada de redes sociales y un modelo de IA. Este artículo explica por qué los deepfakes son la amenaza que más crece en verificación de identidad y cómo la tecnología biométrica moderna —que en Legaltalent ya tenemos integrada— protege tu proceso.
Qué es un deepfake y por qué es un problema de compliance
Un deepfake es contenido sintético generado por IA que reemplaza o recrea el rostro (y a veces la voz) de una persona. En el contexto de KYC, el atacante no intenta parecerse a la víctima: directamente fabrica un video de la cara de la víctima y lo usa para superar la verificación de identidad.
El problema es de compliance, no solo de tecnología. Si tu proceso de debida diligencia acepta a un impostor que usó un deepfake, estás incorporando un cliente cuya identidad real desconocés. Eso abre la puerta a:
- Suplantación de identidad para abrir cuentas a nombre de terceros reales.
- Identidades sintéticas, que combinan datos reales y falsos para crear una persona que no existe.
- Mulas y testaferros que operan detrás de una identidad verificada "limpia".
- Lavado de activos canalizado por cuentas abiertas con identidades fraudulentas.
En todos estos casos, el regulador no va a aceptar "el sistema fue engañado" como defensa. La obligación de verificar de forma confiable la identidad del cliente sigue siendo tuya.
Por qué los métodos tradicionales ya no alcanzan
Muchos procesos de onboarding nacieron en una época en la que el fraude requería esfuerzo manual. Esos controles hoy tienen huecos serios frente a la IA.
El selfie estático es vulnerable
Pedir una foto del rostro y compararla con el documento parece razonable, pero una foto es trivial de falsificar: basta una imagen de la persona obtenida de internet. No hay forma de saber si la persona está realmente frente a la cámara o si se subió un archivo.
El video pregrabado tampoco basta
Algunos sistemas piden un video corto. Pero un atacante puede pregrabar o generar un deepfake y reproducirlo. Sin un desafío en tiempo real, el sistema no puede distinguir entre una persona viva y un video preparado.
El fraude se profesionalizó
Existen hoy servicios de "fraude como servicio" que venden kits para inyectar deepfakes directamente en el flujo de cámara de una app. Ya no se trata de un estafador aislado: es una industria.
Presentación vs inyección: los dos tipos de ataque
Entender cómo atacan es clave para entender cómo defenderse. Hay dos grandes familias de ataques contra la verificación biométrica.
| Tipo de ataque | Cómo funciona | Ejemplos |
|---|---|---|
| Ataque de presentación | Se le muestra un engaño a la cámara real del dispositivo | Foto impresa, foto o video en otra pantalla, máscara 3D de silicona o látex |
| Ataque de inyección | Se omite la cámara e inserta el contenido directamente en el flujo de datos | Cámara virtual, video pregrabado inyectado, deepfake en tiempo real |
Los ataques de presentación son los "clásicos" y la mayoría de las soluciones serias los detectan bien. Los ataques de inyección son los más peligrosos hoy, porque es donde viven los deepfakes más sofisticados: el contenido nunca pasa por la cámara física, así que un control superficial no lo ve.
Una verificación robusta tiene que defenderse de ambos.
Cómo lo solucionamos: prueba de vida activa y biometría
En Legaltalent abordamos los deepfakes con una defensa en capas, no con un único control. La idea es simple: hacer que falsificar una identidad sea tan difícil y costoso que deje de ser rentable para el atacante.
Prueba de vida activa con desafíos dinámicos
El corazón de la defensa es la prueba de vida activa (active liveness). En lugar de pedir una foto, le pedimos a la persona que complete un desafío en tiempo real: mover el rostro hacia un óvalo en pantalla y responder a estímulos que el sistema genera en ese momento y para esa sesión.
Esto es decisivo contra deepfakes porque:
- El desafío es impredecible: ni un video pregrabado ni un deepfake "saben" qué se les va a pedir en esa sesión específica.
- Se analiza la respuesta en tiempo real del rostro a esos estímulos, algo que una imagen plana o un video preparado no pueden reproducir de forma convincente.
- La captura ocurre en vivo, sin posibilidad de subir un archivo desde el dispositivo.
Detección de ataques de presentación e inyección
Nuestra tecnología de prueba de vida está diseñada para detectar tanto ataques de presentación como de inyección: fotos, pantallas, máscaras 3D y también videos pregrabados o deepfakes inyectados por cámaras virtuales. Está construida sobre motores biométricos certificados bajo el estándar internacional ISO/IEC 30107-3 de detección de ataques de presentación (PAD), el referente de la industria para medir resistencia al spoofing.
Biometría contra el documento
Confirmar que hay una persona viva es solo la mitad del trabajo. La otra mitad es confirmar que esa persona es la del documento. Por eso comparamos biométricamente el rostro capturado en la prueba de vida con la foto del documento de identidad. Así cerramos el círculo: persona real, presente y coincidente con la identidad que declara.
Umbrales ajustables por nivel de riesgo
No todos los clientes representan el mismo riesgo. Por eso permitimos ajustar el nivel de exigencia de la verificación según el perfil: un cliente estándar puede pasar por una verificación ágil, mientras que un cliente de alto riesgo —o uno que requiere debida diligencia reforzada— pasa por un control más estricto, con desafíos adicionales y revisión de evidencia.
La verificación no termina en el onboarding
Detectar un deepfake en el alta es fundamental, pero el riesgo de identidad no desaparece después. Un proceso maduro integra la verificación biométrica con el resto del programa de compliance:
- Onboarding seguro: prueba de vida + biometría contra documento al dar de alta al cliente, como parte del proceso de onboarding.
- Trazabilidad y evidencia: conservamos las imágenes de auditoría de cada verificación para que puedas demostrar ante una inspección cómo verificaste la identidad.
- Monitoreo continuo: combinamos la verificación inicial con el monitoreo continuo y la búsqueda de adverse media para detectar riesgos que aparecen después del alta.
Esta integración es lo que convierte una herramienta puntual en un verdadero sistema de gestión de riesgo de identidad.
Qué exige el marco regulatorio
La Ley 19.574 y sus decretos reglamentarios no mencionan "deepfake" ni "liveness" —son anteriores a esta ola de fraude con IA—, pero el principio que establecen es claro: el sujeto obligado debe verificar de forma confiable la identidad del cliente aplicando un enfoque basado en riesgo.
El GAFI, cuyas recomendaciones Uruguay adopta, ha sido explícito sobre los riesgos de la identidad digital y la necesidad de que los métodos de verificación remota sean robustos frente al fraude. En la práctica, para un onboarding 100% digital, esto significa que un selfie estático ya no constituye una verificación razonable: la prueba de vida con detección de spoofing es el estándar emergente para demostrar diligencia.
Dicho de otra forma: si tu proceso no puede distinguir a una persona real de un deepfake, difícilmente puedas argumentar que verificaste la identidad de forma confiable.
Conclusión
Los deepfakes democratizaron el fraude de identidad. Lo que antes requería un documento robado y un cómplice parecido, hoy se resuelve con una foto de redes sociales y un modelo de IA gratuito. Los procesos de KYC que dependen de selfies o videos simples quedaron expuestos.
La respuesta no es resignarse, sino subir la barrera tecnológica. La prueba de vida activa con desafíos dinámicos, la detección de ataques de presentación e inyección bajo estándares certificados, la biometría contra el documento y la integración con monitoreo continuo forman una defensa en capas que hace que falsificar una identidad sea, en la práctica, inviable para la enorme mayoría de los atacantes.
No se trata de tener "una verificación", sino de tener una verificación a la altura de la amenaza de 2026.
¿Querés proteger tu onboarding contra deepfakes?
En Legaltalent ayudamos a sujetos obligados y fintechs a verificar la identidad de sus clientes con tecnología biométrica avanzada: prueba de vida activa, detección de spoofing y comparación contra el documento, todo integrado en tus workflows de compliance.
Comienza gratis y descubrí cómo blindar tu verificación de identidad frente al fraude con IA.
Preguntas frecuentes
¿Qué es un deepfake en el contexto de verificación de identidad?
Es un video o imagen generado con inteligencia artificial que imita el rostro de una persona real. En KYC se usa para hacerse pasar por otra persona durante la verificación de identidad, engañando selfies y pruebas de vida básicas.
¿Los deepfakes pueden engañar una verificación de identidad?
Una verificación basada solo en una foto o un selfie estático es muy vulnerable. Por eso se necesita prueba de vida activa con desafíos dinámicos, que es mucho más difícil de falsificar que una imagen o un video pregrabado.
¿Qué es la prueba de vida (liveness) y por qué importa?
Es la tecnología que confirma que frente a la cámara hay una persona real y presente en tiempo real, no una foto, un video grabado o un deepfake. Es la principal defensa contra el fraude de identidad sintética.
¿Qué diferencia hay entre un ataque de presentación y uno de inyección?
Un ataque de presentación muestra un engaño a la cámara (foto, pantalla, máscara). Un ataque de inyección omite la cámara e inserta directamente un video o deepfake en el flujo de datos, por ejemplo con una cámara virtual.
¿Es obligatorio usar prueba de vida en Uruguay?
La Ley 19.574 no menciona la palabra liveness, pero exige verificar de forma confiable la identidad del cliente bajo un enfoque basado en riesgo. Para onboarding 100% digital, la prueba de vida es hoy la forma razonable de cumplir esa obligación.
¿La prueba de vida elimina por completo el riesgo de deepfakes?
Ningún control es infalible al 100%. La prueba de vida avanzada reduce drásticamente el riesgo y, combinada con biometría contra el documento y monitoreo continuo, forma una defensa en capas muy difícil de vulnerar.