Índice de temas
¿Cómo ha evolucionado el fraude digital en los últimos años, especialmente en lo relativo a los sistemas biométricos?
El fraude digital ha evolucionado de forma drástica en los últimos años, tanto en volumen como en sofisticación. Lo que antes era un problema aislado y de ejecución manual —como robar una contraseña o falsificar un documento— se ha convertido en una industria delictiva altamente automatizada y profesionalizada.
Un dato ilustra bien esta transformación: el 85 % del fraude financiero registrado a nivel mundial en 2024 estuvo relacionado con identidades falsas generadas con inteligencia artificial, según el Veridas Identity Fraud Report 2024. Ya no hablamos solo de suplantar personas reales, sino de crear identidades completamente nuevas, construidas con datos sintéticos y difíciles de rastrear, que logran colarse en los sistemas de verificación digital con una apariencia totalmente creíble.
¿Cómo hemos llegado hasta aquí?
Este fenómeno ha sido posible gracias a la democratización de la IA generativa. Hoy en día, cualquiera puede generar imágenes realistas de personas inexistentes, clonar voces o falsificar documentos con herramientas que están disponibles online y son gratuitas. Lo que antes requería habilidades avanzadas, ahora está al alcance de un clic. Y eso ha cambiado por completo la escala y la naturaleza del fraude digital.
En paralelo, el crecimiento del onboarding remoto en sectores como banca, fintech, telecomunicaciones y administración pública ha hecho que los sistemas de verificación biométrica se conviertan en la puerta de entrada a servicios críticos. Esto ha provocado que los atacantes se especialicen en burlar precisamente esas defensas.
En Veridas, por ejemplo, procesamos más de 300.000 verificaciones de identidad al día, lo que nos da una visión privilegiada del panorama actual del fraude. A través de nuestra tecnología hemos detectado que entre el 1 % y el 3 % de todos los procesos de alta digital que gestionamos son intentos potenciales de fraude. Este porcentaje, aplicado a millones de usuarios, se traduce en un volumen constante y preocupante de actividad delictiva.
Por eso, los sistemas biométricos actuales deben ir más allá de la simple comparación facial. Hoy, proteger una identidad implica combinar distintas capas de seguridad: detección de vida (liveness detection), verificación del dispositivo, detección de cámaras virtuales y análisis de origen de datos multimedia.
¿En qué consisten exactamente los ataques de inyección y por qué representan un punto ciego en la seguridad actual?
Los ataques de inyección son, sin duda, una de las amenazas más sofisticadas y difíciles de detectar a las que se enfrentan los sistemas de verificación de identidad en la actualidad. A diferencia de los ataques de presentación —en los que el atacante muestra una imagen, vídeo o máscara frente a una cámara para intentar engañar al sistema—, en un ataque de inyección el estafador evita por completo el uso del sensor físico.
En Veridas procesamos más de 300.000 verificaciones de identidad al día, lo que nos da una visión privilegiada del panorama actual del fraude
MIKEL SÁNCHEZ, VERIDAS
En su lugar, inyecta directamente datos manipulados o generados por inteligencia artificial en el sistema. Esto puede incluir un vídeo deepfake, una imagen sintética, una voz clonada o incluso un documento falso que se hace pasar por uno real. Es decir, el sistema no está capturando información del mundo físico, sino procesando archivos falsos como si fueran capturas en tiempo real.
Este tipo de fraude representa un punto ciego crítico por varias razones:
- No deja huella física: No hay interacción con una cámara o un micrófono, por lo que los sistemas tradicionales de detección de vida pueden no ser suficientes.
- Puede ejecutarse de forma masiva y automatizada: Un atacante puede lanzar miles de identidades falsas simultáneamente desde entornos virtualizados.
- Es extremadamente difícil detectar si el sistema no está diseñado para validar el origen y la integridad del dispositivo y del canal de entrada.
¿Por qué son tan preocupantes?
En Veridas hemos observado un crecimiento sostenido de este tipo de ataques, especialmente en el sector financiero. Son especialmente preocupantes porque están directamente relacionados con el auge del fraude por identidad sintética, en el que los estafadores no suplantan a una persona real, sino que crean identidades falsas que parecen legítimas.
Una analogía útil para entender este tipo de ataque sería la siguiente: si los ataques de presentación son como mostrar una foto trucada en la ventanilla de un banco, los ataques de inyección son como hackear el sistema interno del banco para insertar esa foto directamente en su base de datos, sin que nadie lo vea.
Para enfrentarse a esta amenaza, es imprescindible ir más allá del análisis superficial de los datos y centrarse en verificar la legitimidad del canal de entrada, detectar entornos manipulados (como cámaras virtuales o emuladores), y aplicar análisis inteligentes sobre el contenido multimedia para identificar señales de manipulación digital.
¿Cómo detecta y previene Veridas estos ataques de inyección en sus soluciones? ¿Qué papel juegan la protección del dispositivo y la identidad del usuario en este tipo de soluciones?
Detectar ataques de inyección requiere una arquitectura de seguridad complementaria a la de los sistemas de verificación tradicionales. No basta con analizar lo que se ve o se escucha: es necesario entender desde dónde y cómo se está generando ese contenido, y si realmente proviene de una fuente física legítima.
En Veridas hemos desarrollado una solución específica para este tipo de amenaza: nuestra tecnología de detección avanzada de ataques por inyección. Esta tecnología no se limita a analizar la imagen o el audio en sí, sino que realiza una verificación completa del contexto digital y del canal por el que se recibe la información. En otras palabras, nuestro sistema no solo pregunta «¿esto parece real?», sino también «¿esto viene de un entorno real?».
Gracias a esta arquitectura, los ataques de inyección no solo pueden ser detectados, sino bloqueados antes de que lleguen a comprometer el sistema, sin que el usuario legítimo experimente fricción alguna. Esta combinación de IA, ciberseguridad avanzada y diseño ético nos permite proteger todo el flujo de verificación de identidad de principio a fin.
En Veridas solemos decir que la seguridad es una cadena, y cada eslabón cuenta. Por eso, no solo nos centramos en la biometría, sino en todo el ecosistema: el dispositivo, el canal y el contenido. Solo protegiendo cada parte del proceso podemos garantizar la integridad de la identidad digital frente a amenazas que evolucionan constantemente.
¿Qué diferencia a Veridas de otros proveedores de identidad digital a nivel internacional?
Lo que diferencia a Veridas en un mercado tan competitivo y sensible como el de la identidad digital es una combinación de tecnología 100 % propietaria, enfoque integral de seguridad, privacidad por diseño y presencia real en sectores críticos a nivel global.
En primer lugar, todo nuestro stack tecnológico es desarrollado internamente. No dependemos de terceros para nuestros motores de biometría, detección de vida, verificación documental y detección de fraude. Esto nos permite reaccionar con rapidez ante nuevas amenazas, adaptar nuestras soluciones a los requisitos específicos de cada cliente y garantizar un control total sobre la seguridad y la privacidad de los datos. Es una ventaja clave frente a integradores o compañías que dependen de terceros, que para cuando se quieran adaptar a un cambio en la tendencia del fraude, la amenaza ya ha cambiado y es totalmente diferente.
En segundo lugar, abordamos la identidad desde una perspectiva holística y transversal. Nuestras soluciones no se limitan a verificar una cara o un documento: verifican a la persona, su entorno y el dispositivo, todo en tiempo real y desde una única plataforma. Esta visión unificada permite cubrir todo el ciclo de vida de la identidad digital: desde el onboarding hasta la autenticación continua, desde el acceso físico hasta la gestión del fraude.
Además, hemos sido pioneros en introducir el concepto de «identidad soberana con garantías de privacidad». Gracias a tecnologías como las Referencias Biométricas Renovables (RBRs), podemos generar identificadores únicos que no permiten reconstruir el rostro o la voz de una persona, ni reutilizarse en otros sistemas. Esto significa que la identidad puede ser verificada sin necesidad de almacenar datos personales sensibles, cumpliendo así con los principios de privacidad por diseño establecidos por el RGPD, el AI Act y eIDAS 2.0.
A esto se suma nuestra presencia activa en más de 25 países, trabajando con bancos de primer nivel, administraciones públicas, fuerzas de seguridad, aerolíneas, operadoras de telecomunicaciones y grandes empresas tecnológicas. Nuestros sistemas procesan más de 300.000 verificaciones diarias con niveles de precisión y fiabilidad certificados por organismos como iBeta (PAD Level 2), NIST y ISO/IEC 30107-3.
Finalmente, y no por ello menos importante, en Veridas creemos en una biometría ética, transparente y auditada, que respete los derechos de las personas y refuerce la confianza en el uso de la tecnología. Participamos en foros regulatorios, colaboramos con universidades y mantenemos una posición activa en el debate público sobre el uso responsable de la IA en entornos sensibles.
En definitiva, Veridas no es solo un proveedor de tecnología de identidad digital. Es un socio estratégico que combina innovación, cumplimiento normativo y compromiso ético para ofrecer soluciones seguras, robustas y centradas en el usuario.
¿Cuál crees que será el próximo gran reto en seguridad biométrica?
El gran reto no es sólo técnico, sino estratégico y estructural: construir un ecosistema en el que la identidad digital sea segura, privada, interoperable y, sobre todo, controlada por el propio usuario.
Durante décadas hemos visto una evolución progresiva: de la identidad centralizada —donde cada entidad gestionaba sus propios datos aislados— a modelos federados, que mejoraron la experiencia del usuario pero siguieron comprometiendo su privacidad y seguridad al concentrar el control en grandes plataformas.
Hoy estamos ante el siguiente paso: la identidad digital descentralizada o soberana, en la que es la persona quien tiene el control total sobre sus credenciales, decide qué atributos comparte, con quién, cuándo y para qué. Ya no se trata solo de verificar identidades: se trata de empoderar a las personas con su identidad. Por ejemplo, una persona ya no necesita decir cómo se llama para comprar alcohol, solo tiene que dar su atributo de la edad, para saber si es mayor o no, y así poder comprar.
En este nuevo escenario, la biometría jugará un papel aún más crucial. Ya no solo como herramienta de autenticación puntual, sino como mecanismo continuo y contextual de confianza, capaz de adaptarse al entorno y al nivel de riesgo del usuario
Esta transformación viene impulsada por tecnologías como los wallets de identidad, donde cada usuario almacena de forma segura su información personal en su propio dispositivo, firmada criptográficamente y sin necesidad de intermediarios. En Veridas, hemos desarrollado Nexus, nuestro propio wallet de identidad digital, alineado con los estándares europeos (como el eIDAS 2.0), y que ya está siendo desplegado en varios casos de uso reales, tanto en el sector público como privado, a nivel mundial. Este tipo de soluciones representan un cambio de paradigma que responde a los principios más exigentes de privacidad, seguridad y autonomía personal.
En este nuevo escenario, la biometría jugará un papel aún más crucial. Ya no solo como herramienta de autenticación puntual, sino como mecanismo continuo y contextual de confianza, capaz de adaptarse al entorno y al nivel de riesgo del usuario.
En Veridas creemos que la identidad será el nuevo «perímetro de seguridad» en un mundo sin oficinas, sin cajeros, sin ventanillas físicas. Y si ese perímetro no es fuerte, todo el sistema digital se vuelve vulnerable.
