Cómo la revolución de la IA está transformando la verificación de identidad en la banca

Cuando se habla de la IA en la verificación de identidad, hay dos caras de la moneda.

• Un aumento en nuevos tipos de fraude

La GenAI ha facilitado y abaratado para los defraudadores la creación de falsificaciones, tanto documentos fraudulentos como identidades sintéticas. Por ejemplo, uno de los mayores mercados de la dark web, recientemente desmantelado por las autoridades holandesas y estadounidenses, ofrecía documentos de identidad falsos por apenas 9 dólares por activo digital.

Esto ha impulsado nuevas amenazas como los deepfakes. Estos medios generados por IA se utilizan para crear identidades verosímiles que en realidad no existen, o para suplantar a clientes reales mediante datos biométricos robados, como selfies o grabaciones de voz. Con incontables fotos y videos disponibles públicamente en redes sociales, los estafadores cuentan ahora con un enorme repositorio de contenido para entrenar sus modelos y llevar a cabo ataques.

Es importante destacar que existen herramientas impulsadas por IA, como FraudGPT, que los delincuentes pueden utilizar para ejecutar ciberataques y estafas. FraudGPT, un producto basado en suscripción, puede generar contenido engañoso como páginas de phishing y código malicioso, así como documentos de identidad, fotos y videos falsos.

A finales de 2024, la FinCEN del Tesoro de Estados Unidos emitió una alerta advirtiendo que los delincuentes están utilizando deepfakes potenciados por GenAI para eludir los controles de verificación de identidad bancaria, tras un aumento en los informes de actividad sospechosa por parte de instituciones financieras.

• Un incremento en los ataques impulsados por IA

En 2025, los ataques de suplantación de identidad — incluidos la falsificación de identidad, el fraude biométrico y los deepfakes — se han convertido en una realidad cotidiana para muchas empresas. Además, estas amenazas impulsadas por IA están superando a los métodos de fraude tradicionales, como la falsificación de documentos y la ingeniería social.

Según una encuesta reciente de Regula, el 33% de los bancos a nivel mundial ya ha enfrentado ataques relacionados con deepfakes. La mayor concentración — el 35% de las empresas afectadas — se registra en los Emiratos Árabes Unidos.

Cabe destacar que el fraude impulsado por IA tiende a afectar primero a las organizaciones de nivel empresarial, una categoría que incluye a muchos bancos. La razón es sencilla: los bancos gestionan grandes sumas de dinero. Según Deloitte, se espera que las pérdidas por fraude en la banca impulsadas por GenAI sigan aumentando, alcanzando los 40.000 millones de dólares solo en Estados Unidos para 2027, frente a los 12.300 millones de 2023.

• Incidentes de alto perfil

Los defraudadores no se limitan a los ataques en la etapa de incorporación. Algunos van más lejos, suplantando a ejecutivos de grandes empresas, incluidos bancos locales de relevancia, y lanzando campañas falsas en redes sociales para engañar a las víctimas.

Un caso reciente en Indonesia involucró a estafadores que se hicieron pasar por el Bank Central Asia (BCA) en TikTok. Utilizaron el nombre y el logotipo del BCA, promovieron falsamente préstamos sin garantía y con bajos intereses, e incluso afirmaron que estas ofertas contaban con el respaldo del presidente del país. Para que el esquema pareciera más convincente, utilizaron una imagen del Director Presidente del BCA, Jahja Setiaatmadja, obtenida de un sitio de noticias local.

A las víctimas se les pedía que solicitaran el préstamo a través de un número de WhatsApp, una táctica clásica en las estafas de tipo phishing.

• Erosión de la confianza del cliente y creciente temor

En una era de medios sintéticos, filtraciones masivas de datos y digitalización de los sistemas nacionales de identificación, muchas personas están perdiendo la confianza en la manera en que las organizaciones gestionan sus datos personales, especialmente los biométricos. El auge de amenazas cada vez más sofisticadas solo profundiza estas preocupaciones.

Para los bancos y otras empresas del sector financiero, esto representa un desafío importante. Dado que la verificación de identidad es una parte obligatoria de los procedimientos de Conozca a su Cliente (KYC) y de Antilavado de Dinero (AML), ganar y mantener la confianza del cliente se ha vuelto aún más difícil. 

Sería un error ver solo las desventajas de cualquier tecnología, y la IA no es la excepción. Es un arma de doble filo que también puede utilizarse para mejorar la seguridad y la eficiencia. De hecho, las redes neuronales — la columna vertebral de la IA — mejoran actualmente muchos procesos rutinarios en la verificación de identidad.

• Automatización más inteligente para la biometría y la verificación de documentos de identidad

Gracias a la automatización, el software de verificación de identidad puede ahora reemplazar las revisiones manuales y las entrevistas en video en vivo durante la incorporación, haciendo que la verificación sea no solo más rápida, sino también más precisa y consistente.

Las redes neuronales pueden detectar el documento e identificar su tipo, reconocer características de seguridad como zonas legibles por máquina, códigos de barras y chips RFID, y leer y verificar de forma cruzada los datos en múltiples elementos del documento.

En cuanto a la verificación mediante selfie, la IA puede confirmar de manera confiable la presencia de una persona real y comparar su imagen en vivo con la foto del titular en su documento de identidad o perfil de cliente.

• Monitoreo en tiempo real y analítica

Las soluciones modernas de verificación de identidad incluyen cada vez más detección de anomalías en tiempo real impulsada por aprendizaje automático. Estos modelos rastrean el comportamiento del usuario y los datos del dispositivo durante la incorporación o las transacciones, señalando patrones sospechosos —como ubicaciones inusuales, direcciones IP o comportamientos de escritura— que pueden indicar fraude.

Por ejemplo, si alguien intenta abrir una nueva cuenta desde una región inesperada o utilizando un dispositivo que no coincide, el sistema puede solicitar una verificación adicional o bloquear la sesión por completo.

La IA también permite la correlación instantánea de datos de múltiples fuentes — vinculando selfies, detalles de documentos de identidad y bases de datos de terceros — para detectar inconsistencias e identificar identidades sintéticas antes de que pasen desapercibidas.

• Mayor precisión en la incorporación y las transacciones

Un flujo de verificación de identidad completamente automatizado mejora considerablemente la experiencia del cliente durante la incorporación. Reduce los falsos positivos, acelera la verificación — a veces en apenas unos segundos — y genera confianza en el proceso.

Los algoritmos avanzados pueden detectar escaneos de documentos de baja calidad y guiar a los usuarios para que tomen una selfie adecuada desde el primer intento. Las indicaciones intuitivas también simplifican la experiencia, ayudando a personas de todos los niveles de habilidad tecnológica y grupos de edad a completar el proceso sin dificultades.  

• Un impulso hacia regulaciones antiDeepfake

La evolución de la GenAI está transformando el panorama regulatorio, a medida que los países actualizan las normas existentes e introducen nuevas para hacer frente a las amenazas emergentes. Este cambio está impulsando a los bancos a adoptar prácticas de verificación de identidad más sólidas y conscientes de la IA.

A continuación, se presentan algunos de los principales desarrollos regulatorios orientados a los deepfakes y el uso de IA:

• Ley de IA de la UE: en vigor desde agosto de 2024, con pleno cumplimiento previsto para 2026-2027, esta legislación regula el uso de la IA en la verificación de identidad. Muchos sistemas de IA relacionados con la verificación de identidad están ahora clasificados como de "alto riesgo", lo que obliga a los bancos a realizar evaluaciones de riesgos, registrar las operaciones de IA, utilizar datos de entrenamiento de calidad y garantizar la supervisión humana de las decisiones basadas en IA.

• Ley danesa sobre deepfakes: Dinamarca ha modificado su ley de derechos de autor para establecer que toda persona tiene derecho sobre su propio cuerpo, rasgos faciales y voz. Esto convierte efectivamente la imagen de una persona en propiedad intelectual. Bajo esta ley — cuya aprobación se esperaba para finales de 2025 — las imitaciones realistas generadas por IA y compartidas sin consentimiento serían ilegales.

• Normas chinas de etiquetado de contenido generado por IA: desde septiembre de 2025, todo el contenido generado o modificado por IA — imágenes, videos, audio o texto — debe estar claramente etiquetado. Los sitios web y las aplicaciones deben marcar el contenido no etiquetado como "presuntamente sintético", garantizando la transparencia para los usuarios.

Los bancos de hoy deben adelantarse a las amenazas en rápida evolución mientras se mantienen al día con las nuevas regulaciones de IA que afectan a la verificación de identidad. No es tarea fácil. La IA puede ser tanto una herramienta poderosa como un riesgo potencial. Navegar por este entorno requiere una estrategia equilibrada y a largo plazo.

A continuación, se presentan algunas buenas prácticas para lograr ese equilibrio:

Con la mayoría de los bancos operando ahora total o parcialmente en línea, el proceso de verificación de identidad se ha trasladado a entornos digitales, donde el fraude sofisticado es un riesgo constante. En este contexto, el software moderno y preciso de verificación de identidad debe considerarse un activo estratégico, no solo una actualización de TI.

Según los estándares actualizados de 2025 del Grupo de Acción Financiera Internacional (GAFI), la incorporación remota no se considera automáticamente de alto riesgo cuando se implementan controles digitales de verificación de identidad eficaces. Incluso puede considerarse de bajo riesgo.

Para combatir tanto el fraude tradicional como el emergente, la solución ideal de verificación de identidad debe combinar automatización, prueba de vida para selfies y comprobación liveness de documentos, monitoreo de actividad en tiempo real y personalización inteligente basada en perfiles de riesgo, ubicación y comportamiento del usuario.

Además, es fundamental incluir en el conjunto de herramientas tanto el control de fuentes de datos como la detección de ataques de inyección. El primero garantiza que los datos de verificación no sean manipulados entre el dispositivo del usuario y el servidor de la empresa. Esto puede respaldarse mediante la reverificación en el lado del servidor, especialmente cuando se comprueban documentos habilitados con NFC. Los ataques de inyección — en los que se utiliza activamente contenido generado por GenAI — también deben ser bloqueados por las soluciones modernas de verificación de identidad, incluido el software de Regula.

Construir flujos de verificación de identidad en torno a casos de negocio específicos hace que el monitoreo continuo sea más efectivo. También refuerza la prevención del fraude, incluso para clientes existentes cuyas cuentas podrían verse comprometidas o ser utilizadas indebidamente para acciones ilegales como la estructuración de dinero o el smurfing.

Ninguna herramienta por sí sola puede detener el fraude impulsado por IA en la actualidad. Por eso, una estrategia de defensa en capas es esencial. Combinar verificaciones de autenticidad de documentos, prueba de vida facial y monitoreo de actividad sospechosa ayuda a los bancos a hacer frente a diferentes tipos de ataques simultáneamente.

El análisis de detalles adicionales en el proceso de verificación de identidad también es fundamental. Por ejemplo, en la Alerta de la FinCEN sobre esquemas de fraude que involucran medios deepfake, se aconseja a los bancos señalar inconsistencias como:

• Una foto de identidad del cliente que parezca significativamente más joven que la fecha de nacimiento declarada.

• El uso de complementos de cámara web de terceros y dispositivos con acceso root (que pueden utilizarse para ataques de inyección) durante la verificación en vivo, lo que puede permitir que se muestre contenido pregrabado.

• Datos geográficos o del dispositivo que no coincidan con los documentos de identidad proporcionados.

Por esta razón, la supervisión humana — especialmente en industrias reguladas — sigue siendo esencial. En casos de alto riesgo o ambiguos, involucrar a un revisor humano sigue considerándose una buena práctica. También respalda el cumplimiento de los requisitos legales, como los de la Ley de IA de la UE, que enfatizan la transparencia y la responsabilidad en las decisiones basadas en IA.

La intervención humana también es crucial para detectar errores que la IA podría pasar por alto. Al combinar tecnología avanzada con la revisión de expertos, los bancos pueden crear un modelo confiable en el que la IA gestione el volumen y la velocidad, mientras que los humanos gestionan las excepciones y perfeccionan el sistema con el tiempo.

A medida que la GenAI evoluciona, también lo hacen las tácticas de fraude. Por eso, los bancos necesitan una estrategia ágil y de "aprendizaje continuo" para la gestión del fraude y el riesgo. En este enfoque, los algoritmos de verificación de identidad se actualizan y reentrenan continuamente con datos de fraude recientes para identificar y corregir vulnerabilidades con rapidez.

Las pruebas prácticas también son esenciales. Tanto los sistemas de verificación de documentos como los biométricos se benefician de la retroalimentación del mundo real y de los estándares de referencia del sector. Las pruebas periódicas ayudan a ajustar la precisión, especialmente a medida que las amenazas cambian y surgen nuevos casos límite.

Algunos proveedores, como Regula, respaldan este enfoque ofreciendo muestras de prueba — incluidos documentos con chip para la verificación NFC — para que los bancos puedan validar y mejorar sus sistemas en escenarios realistas.

Mantenerse al día con los requisitos legales actuales y emergentes es fundamental tanto para el cumplimiento normativo como para la protección de los datos de los clientes. Si bien ninguna jurisdicción ha lanzado aún regulaciones claras y completas sobre GenAI, estas están llegando, y rápidamente.

El enfoque más inteligente es adelantarse a los acontecimientos, alineando las políticas internas con las directrices en evolución sobre el uso responsable de la IA en la verificación de identidad. Esto incluye prácticas como documentar cómo la IA toma decisiones y realizar pruebas de sesgo para evitar resultados discriminatorios.

También es el momento adecuado para asumir un rol proactivo en la definición de los estándares del sector. Por ejemplo, al contribuir a las mejores prácticas para la IA en KYC y AML, los bancos no solo demuestran liderazgo en la adopción responsable de la IA, sino que también fortalecen la confianza de sus clientes.

La tecnología por sí sola no es suficiente para detener el fraude. La capacitación periódica de los empleados y la educación de los clientes son igualmente fundamentales, especialmente a medida que los ataques impulsados por IA se vuelven más sofisticados.

Los defraudadores siguen recurriendo a métodos tradicionales como la ingeniería social para engañar al personal bancario o a los clientes y obtener acceso a datos sensibles. Además, las filtraciones masivas de datos continúan proporcionando a los atacantes la información personal necesaria para lanzar esquemas convincentes.

Para mantenerse a la vanguardia, los bancos deben educar activamente tanto a sus empleados como a sus clientes sobre las técnicas de fraude habilitadas por GenAI. Esto contribuye a construir una cultura en la que se señalen las actividades inusuales, se reconozcan las estafas de deepfake y las personas —tanto dentro como fuera de la organización— se conviertan en aliados más sólidos en la prevención del fraude.

En la era de la GenAI, los bancos enfrentan un desafío singular: combatir las amenazas impulsadas por IA con herramientas basadas en IA. Es un caso de enfrentar lo igual con lo igual: usar redes neuronales y automatización inteligente para contrarrestar el fraude sofisticado. Al mismo tiempo, los bancos deben asumir mayores responsabilidades de cumplimiento normativo, incluso cuando las regulaciones sobre IA siguen siendo un trabajo en progreso en la mayoría de las regiones.

Pero con la incertidumbre llegan las oportunidades. Los bancos con visión de futuro pueden contribuir a definir la próxima generación de estándares de seguridad, al tiempo que fortalecen sus propias estrategias de verificación de identidad. Quienes lideren ahora podrían establecer el referente para la industria en los años venideros.