BLOG

La selfie es el nuevo documento de identidad: por qué la biometría debe ser continua

Por Lukas Bayer

Cada parte de nuestras vidas se desarrolla a través de plataformas digitales, y para muchas personas se ha convertido en el banco, el centro comercial, el supermercado, el corredor de bolsa e incluso la casa de apuestas deportivas. La mayoría de nosotros ni siquiera pensamos dos veces antes de usar nuestros teléfonos móviles para realizar este tipo transacciones financieras, porque inherentemente confiamos en ellas. Sin embargo, los estafadores han aprendido a romper estos procesos, y eso se ha convertido en un problema de miles de millones de dólares.

La rápida adopción y las mejoras en la inteligencia artificial han facilitado el trabajo de los delincuentes. Pueden crear deepfakes que parecen personas reales, inyectar imágenes falsas en los sistemas de verificación y reproducir videos robados que engañan a la tecnología de reconocimiento facial. Pueden lanzar ataques globales, abrumar las defensas construidas para una era más lenta y llevar a cabo el robo de identidad a escala industrial.

Las cifras muestran el cambio, y la Comisión Federal de Comercio informó más de 1.1 millones de casos de robo de identidad en 2024. Los reguladores europeos citaron los intentos de suplantación biométrica como una preocupación creciente en el lanzamiento de eIDAS 2.0, la regulación que exige una autenticación de alta seguridad. El fraude ya no se limita a las contraseñas robadas, ahora incluye identidades sintéticas, falsificaciones digitales y engaños impulsados por la IA.

Los métodos heredados como las contraseñas, los códigos SMS e incluso las preguntas basadas en el conocimiento del usuario, ya no sirven.. Son frágiles, fáciles de robar y crean fricción para los clientes reales que intentan recordar dónde pasaron sus vacaciones favoritas. Lo que se necesitas es una forma más poderosa y sencilla de probar la identidad una y otra vez.

Esa solución ya nos está mirando a la cara. La humilde selfie es el nuevo documento de.

El problema de una ‘única confianza’

La mayoría de las empresas aplican la biometría sólo durante el onboarding. Un cliente toma una foto de su documento de identidad, como, por ejemplo, una licencia de conducir, y luego se toma una selfie. El sistema los compara y verifica la identidad. La confianza se establece una vez, y esa suele ser la última vez que se realiza este tipo de verificación. Los estafadores rompen con esta brecha, porque después de la creación de la cuenta, las credenciales débiles frecuentemente controlan el acceso. Esto deja las cuentas vulnerables al phishing, el relleno de credenciales y el fraude sintético.

En este ejemplo de 2024, una fintech estadounidense informó un aumento de ataques utilizando voces y rostros generados por IA para evitar los restablecimientos de contraseña. Los atacantes no tuvieron problemas para superar la autenticación de dos factores basada en SMS una vez que estuvieron en el sistema. Si bien el proceso de verificación inicial de la organización fue sólido y ayudó a ganarse la confianza de los usuarios, pronto se volvió vulnerable a las explotaciones.

Esta “única confianza” ya no es suficiente. La verificación de identidad debe ser continua y debe ser sólida tanto en el día 100 como el día en que se crea cuenta.

El caso de la biometría de extremo a extremo

La biometría debe abarcar todo el ciclo de vida del cliente para proteger verdaderamente tanto a los clientes como a las organizaciones con las que realizan transacciones, ya que a menudo pueden ser ellas las que asuman el costo de las pérdidas de los clientes, sin mencionar el costo reputacional a largo plazo que a menudo sufren. En términos prácticos, esto significa:

  • Verificación durante el onboarding: demostrar la identidad de un usuario cuando se incorpora inicialmente.
  • Autenticación para usuarios recurrentes: confirmar que la persona que regresa es la misma que se incorporó inicialmente , que la imagen es real y no un robo de cuenta.
  • Protección continua: detectar deepfakes, ataques de inyección e intentos de repetición durante todo el ciclo de vida del cliente.

Hacer todo esto crea y refuerza la confianza continua, ya que la identidad se vuelve viva y continua, no estática.

La selfie es fundamental para este proceso. Es intuitiva y portátil. La gente sabe cómo tomar una selfie. No se la olvidan ni la extravían. Las selfies también tienen una prueba de vida (liveness) extremadamente poderosa, convirtiéndolas en una identificación más confiable y fácil de usar.

Por qué la elección de la tecnología es importante

No todos los sistemas biométricos son iguales. Muchos proveedores licencian o patentan su tecnología de identidad, lo que puede limitar la flexibilidad y crear dependencia. Cuando las tácticas de fraude evolucionan, estos proveedores casi siempre tienen dificultades para adaptarse de manera oportuna, dejando a sus clientes (y por extensión, a ellos mismos) vulnerables a nuevos vectores de ataque.

Una solución de prueba de vida (liveness) diseñada específicamente ofrece varios beneficios, que incluyen:

  • Protección contra ataques avanzados de IA, como deepfakes o inyección de video.
  • Control sobre el rendimiento, la precisión y el sesgo.
  • Innovación rápida, porque las actualizaciones no están vinculadas a proveedores externos.

Este nivel de control es importante. Una startup financiera líder en LATAM comenzó recientemente a utilizar Liveness Premium y ahora está detectando más del 30% de intentos de fraude más sofisticados, incluidos ataques de inyección y deepfakes.

El business case de la biometría continua

Contar con una autenticación más sólida no solo tiene que ver con seguridad, debe impulsarresultados comerciales medibles para las organizaciones que toman estas medidas adicionales para proteger a sus clientes y a sí mismas.

  • Menor costo por pérdidas relacionadas a fraude: las pérdidas por robo de identidad solo en EE. UU. superaron los $43 mil millones en 2022.
  • Menor abandono de clientes: la reautenticación basada en selfies es más rápida que ingresar contraseñas o esperar códigos SMS y también profundiza la confianza del cliente: el 48% del abandono del carrito se debe a problemas de seguridad.
  • Integración más sencilla: un solo proveedor para el onboarding y la autenticación reduce la deuda técnica.
  • Preparación regulatoria: PSD2 en Europa y eIDAS 2.0 requieren una autenticación sólida del cliente. Los reguladores de juegos y apuestas online y servicios financieros de Brasil ya están exigiendo la verificación biométrica para 2025.

Ejemplos del mundo real de confianza continua

El fraude no es teórico. Los atacantes están explotando métodos de autenticación débiles en muchas industrias, mientras que las empresas que extienden la biometría más allá del onboarding están viendo beneficios reales. Aquí hay algunos ejemplos que muestran cómo la confianza continua se manifiesta en la práctica:

  • Intercambios de criptomonedas: en 2023, varias plataformas de criptomonedas informaron pérdidas multimillonarias después de ataques de robo de cuentas. Los delincuentes utilizaron credenciales robadas compradas en la dark web y las combinaron con herramientas impulsadas por IA para imitar las fotos y voces de los titulares de las cuentas. Los intercambios que solo dependían de la autenticación de dos factores basada en SMS eran vulnerables. En contraste, un intercambio con sede en Asia introdujo la reautenticación con selfie en cada retiro de alto valor. Esto redujo los retiros fraudulentos en más de la mitad en seis meses.
  • Juegos en línea y apuestas en línea: el sector de los juegos en línea se ha convertido en un objetivo principal para los estafadores que crean múltiples cuentas falsas para explotar ofertas de bonos o lavar dinero. Los operadores que han agregado la reautenticación biométrica durante el inicio de sesión y los pagos pueden cumplir con las regulaciones y reducir el fraude de cuentas múltiples.
  • Mercados: los mercados en línea enfrentan riesgos persistentes de vendedores sintéticos. Los estafadores configuran cuentas con identificaciones robadas y luego desaparecen después de defraudar a los compradores. Un mercado peer-to-peer de EE. UU. introdujo controles periódicos de selfies vinculados a la imagen del onboarding original. El sistema marcó automáticamente los perfiles sospechosos donde un usuario recurrente fallaba en pasar la prueba de vida. En cuestión de meses, la plataforma redujo las quejas de fraude de vendedores a dos dígitos y mejoró las puntuaciones de confianza del comprador.
  • Servicios financieros: los bancos brasileños están bajo presión de los reguladores y el aumento de las pérdidas por fraude, y varias instituciones respondieron exigiendo la reautenticación biométrica para actividades de alto riesgo como solicitudes de préstamos y restablecimientos de contraseña. Esto ha ayudado a los bancos a detectar esquemas de identidad sintética, donde los estafadores utilizaban rostros generados por IA para evitar hacer el onboarding y luego solicitaban múltiples líneas de crédito. La verificación continua con selfie creó una barrera adicional que los ataques automatizados no podían burlar fácilmente.

Estos ejemplos comparten un hilo común: los delincuentes prosperan con una autenticación débil y única. Las empresas que hacen que la biometría sea continua al colocar el selfie en el centro de la identidad pueden adelantarse al fraude y proteger tanto a los clientes como a los ingresos.

Defensa multicapa e inteligencia de identidad

La biometría es poderosa, pero ninguna capa por sí sola es suficiente. Los estafadores no confían en un solo método de ataque, y los defensores no deben confiar en un solo método de defensa.

El enfoque más sólido combina:

  • Biometría: prueba de vida (liveness) basada en selfies y coincidencia facial.
  • Señales del dispositivo: identificar si el dispositivo de inicio de sesión es de confianza.
  • Datos de red: detectar inicios de sesión desde direcciones IP o regiones de riesgo.
  • Inteligencia conductual: Rastrear cómo un usuario interactúa con la empresa a lo largo del tiempo.
  • Grafo de identidad: inteligencia obtenida de interacciones ilegítimas y fraudulentas.

La combinación de la garantía biométrica con una inteligencia de identidad más amplia crea la línea de defensa más sólida. Esto facilita la detección del fraude y la confianza en los usuarios legítimos.

Mirando hacia el futuro

El fraude seguirá evolucionando. Los deepfakes ya están disponibles como servicio en la dark web y las identidades sintéticas se venden al por mayor. Los delincuentes se mueven más rápido de lo que la mayoría de las empresas pueden reaccionar, y las empresas que tratan la identidad como un obstáculo estático se ponen a sí mismas y a sus clientes en peligro. Aquellas que hagan de la biometría la base de la confianza digital, la extiendan a cada punto de contacto y la refuercen con inteligencia de múltiples capas mejorarán la retención de clientes, minimizarán las pérdidas financieras y mantendrán la confianza de sus accionistas.

La selfie impulsará este cambio. Es natural, universal y fácil de usar. Con las salvaguardias adecuadas, se convierte en la forma más confiable de identificación digital. Las organizaciones que adopten esta realidad no solo detendrán el fraude, sino que también generarán confianza, reducirán la fricción y se prepararán para el futuro de la identidad digital.

Ahora es el momento de repensar la autenticación. Contáctanos para saber cómo poner la biometría en el centro de su estrategia de confianza.