La región APAC se apresura a regular la identidad digital y la IA ante el auge de los deepfakes

Centrémonos en una de las economías digitales de más rápido crecimiento del planeta: Asia-Pacífico .

En los últimos 18 meses, han entrado en vigor al menos seis marcos importantes de identidad digital e inteligencia artificial en los países de la región Asia-Pacífico, y se están elaborando activamente otros más. En conjunto, cambian una sola cosa: la forma en que las organizaciones pueden verificar la identidad.

Comprender qué está impulsando estos cambios —y qué implican— es el primer paso para adelantarse a ellos.

El fraude mediante deepfakes está impulsando la respuesta regulatoria en la región de Asia-Pacífico

Estas normas son una respuesta directa al aumento de los casos de fraude de identidad impulsados por la inteligencia artificial.

A encuesta de Gartner de 2025 reveló que el 62 % de las organizaciones sufrió un ataque de deepfake durante el año anterior. El 37 % de las organizaciones se ha encontrado con deepfakes en videollamadas. Así que no se trata de un riesgo teórico. No es una prueba de concepto en un laboratorio. Son ataques reales, contra organizaciones reales, con dinero real en juego.

Casos reales:

• En Corea del Sur, las pérdidas por suplantación de identidad por teléfono superaron el billón de wones (unos 718 millones de dólares) solo en los primeros diez meses de 2025 —por primera vez en la historia—, y el presidente de la KFCPA, Wook Kang, advirtió de que las tecnologías de IA generativa y deepfake están impulsando este aumento.
• Una videollamada con un vídeo deepfake estafó a la empresa de ingeniería Arup 25 millones de dólares.
• El propio Informe de Inteligencia sobre Amenazas de 2026 registró un aumento del 720 % de los ataques en el sudeste asiático en el tercer trimestre de 2025, junto con un aumento del 1151 % en los ataques de inyección en iOS en la segunda mitad de 2025, una plataforma que antes se consideraba resistente a los atacantes.

Esto supone la industrialización del fraude de identidad. Las redes delictivas están utilizando a gran escala herramientas de deepfake de uso general, y los organismos reguladores de la región Asia-Pacífico se han dado cuenta.

En resumen: la expansión de la infraestructura biométrica y el endurecimiento de la normativa en toda la región de Asia-Pacífico exigen una verificación de identidad de alta fiabilidad. Las organizaciones que optan por soluciones que solo protegen contra ataques de presentación básicos corren el riesgo de incumplir la normativa a medida que los marcos normativos maduran para hacer frente a los ataques de inyección y los medios sintéticos.

Las regulaciones sobre biometría e IA en la región APAC se están acelerando: ejemplos

Estos marcos abarcan tres ámbitos normativos distintos —la gobernanza de la IA, la protección de datos y la identidad digital—, pero coinciden en un mismo requisito: las organizaciones que verifican la identidad mediante IA biométrica deben cumplir ahora unos estándares más exigentes en materia de garantía, privacidad y rendición de cuentas en los tres ámbitos.

Legislación específica sobre la IA:

• La entró en vigor entró en vigor el 1 de marzo de 2026, siendo la primera legislación específica sobre IA en el sudeste asiático. Exige la supervisión humana de los sistemas de IA, requiere el etiquetado de contenidos generados por IA, como los deepfakes, y se aplica a las entidades extranjeras que manejan datos personales vietnamitas. Si su tecnología biométrica procesa datos personales vietnamitas, incluso a través de la integración de un socio, ya tiene obligaciones normativas que evaluar. Aunque ya se ha promulgado, las directrices de aplicación aún se están concretando, lo que hace que definir el alcance desde el principio sea ahora aún más importante.
• La Ley Básica de IA entró en vigor en enero de 2026, con una supervisión basada en el riesgo de los sistemas de IA en los sectores financiero, sanitario y de los servicios públicos.
  

Protección de datos y consentimiento:

• La India está poniendo en marcha su Ley de Protección de Datos Personales Digitales en tres fases, introduciendo nuevos requisitos de consentimiento y clasificaciones de los responsables del tratamiento de datos que redefinen la forma en que se pueden recopilar y tratar los datos biométricos.
• Indonesia y Malasia están impulsando leyes de protección de datos actualizadas , y las enmiendas a la enmiendas a la PDPA introducen la obligación de notificar las violaciones de seguridad, requisitos para los responsables de la protección de datos y —algo fundamental para los proveedores de servicios biométricos— la reclasificación de los datos biométricos como datos personales sensibles que requieren consentimiento explícito.
• Tailandia ha actuado con rapidez y decisión en lo que respecta a la intersección entre la IA y la privacidad: en febrero de 2026, el Comité de Protección de Datos Personales publicó un borrador de Directrices sobre la protección de datos personales en el desarrollo y el uso de la IA, en el que se exigen evaluaciones de impacto para la IA de alto riesgo y obligaciones en materia de seguridad. Se espera que un proyecto de ley sobre IA independiente, que refleja la arquitectura basada en el riesgo de la Ley de IA de la UE, avance hacia su promulgación en 2026.

Marcos de identificación digital:

• Australia está reforzando la verificación de la identidad desde dos frentes: su Ley de Identidad Digital establece un marco de confianza federado con niveles de acreditación para los proveedores de servicios de identidad. También se está reformando su Ley de Privacidad, ampliando la definición de información personal para incluir explícitamente los datos biométricos y técnicos.

Los mercados más consolidados están demostrando las diferentes formas en que los reguladores pueden abordar un mismo problema. Singapur sigue gestionando uno de los sistemas nacionales de identidad digital más avanzados del mundo a través de Singpass, que integra la verificación facial como método fundamental de autenticación y de identificación digital (IDV) para más de 2 700 servicios de los sectores público y privado. La Ley de Promoción de la IA de 2025 de Japón adopta un enfoque más flexible: da prioridad a la innovación y, en particular, no prevé sanciones económicas, lo que contrasta con los enfoques prescriptivos que están surgiendo en otras partes de la región.

El impulso va más allá de las principales economías: Camboya ha elaborado un proyecto de ley integral de protección de datos, Laos ha comenzado la emisión de identificaciones digitales a nivel nacional, y Myanmar ha adoptado MOSIP para un proyecto piloto de identificación digital.

Paralelamente a esta ofensiva normativa, la adopción de la biometría en toda la región se está acelerando. El analista del sector Alan Goode ha observado que los mercados de Asia-Pacífico están avanzando hacia la biometría facial como principal credencial de acceso en entornos físicos, con un modelo sin tokens que sustituye por completo a las tarjetas. Considera que el reconocimiento facial se convertirá en la modalidad dominante en el control de acceso físico biométrico en los próximos dos o tres años.

Diferentes países, diferentes niveles de madurez. Pero la tendencia general es innegable: los organismos reguladores de toda la región de Asia-Pacífico exigen a las organizaciones que demuestren su capacidad para verificar la identidad con un alto nivel de fiabilidad, gestionar los datos biométricos de forma responsable y explicar cómo toma decisiones su inteligencia artificial.

Las nuevas leyes sobre biometría en la región APAC elevan el nivel de exigencia en materia de cumplimiento

Para las organizaciones que se basan en comprobaciones básicas de autenticidad o en métodos tradicionales de verificación de identidad, la consecuencia es clara: los nuevos marcos normativos de la región APAC no se limitan a preguntar si se verifica la identidad, sino que preguntan cómo se hace.

• Defensa contra deepfakes y ataques de inyección. La legislación de Vietnam exige que el contenido generado por IA sea identificable. El marco normativo de Corea del Sur exige evaluaciones de riesgo para la IA de alto impacto. No es posible cumplir estas obligaciones con una solución que solo proteja contra fotos impresas mostradas ante una cámara. Se necesita una detección que cubra los ataques de presentación, los ataques de inyección digital y los medios sintéticos que ahora están al alcance de cualquiera con un ordenador portátil.
• Privacidad integrada en el diseño, no en las políticas. La DPDP de la India y la Ley de Protección de Datos Personales de Vietnam imponen requisitos estrictos en materia de consentimiento y tratamiento. Las organizaciones necesitan soluciones que conviertan los datos faciales en plantillas biométricas, con los datos personales y los datos biométricos separados estructuralmente , de modo que ninguna entidad pueda asociar un rostro con un nombre. Se trata de una decisión de diseño, no de un documento normativo.
• Supervisión continua de las amenazas, no una certificación puntual. Los reguladores exigen cada vez más que los sistemas de IA se gestionen de forma activa. Una prueba de autenticación certificada hace doce meses y que no ha evolucionado desde entonces puede ser un lastre en lugar de una ventaja. Lo que importa es si su solución se adapta a los ataques que están ocurriendo en este momento, que es exactamente lo que hace un Centro de Operaciones de Seguridad ofrece.
• Ajustarse a las normas internacionales emergentes. La Alianza FIDO celebrará su primera conferencia Authenticate APAC en Singapur en junio de 2026. NIST SP 800-63-4, Verificación facial FIDOy CEN/TS 18099 se están convirtiendo en puntos de referencia para los reguladores de la región APAC. Si su proveedor de servicios biométricos no puede demostrar que cuenta con certificaciones independientes y acreditadas que cumplan con estas normas, eso es un problema.

Nota: es posible que muchos marcos normativos de la región APAC solo hagan referencia a normas como la ISO 30107-3, sin exigir explícitamente la detección de ataques de inyección digital (DIA). Los DIA son la forma más peligrosa de ataque, pero las normas aún están tratando de ponerse al día. La norma NIST SP 800-63-4 exige una resistencia demostrada a los ataques de inyección, y la norma CEN/TS 18099 proporciona la metodología de pruebas independientes. Es probable que los reguladores de la región APAC sigan estos pasos a medida que las normativas mencionadas se desarrollen y evolucionen.

¿Y ahora qué? Cómo prepararse para el cumplimiento normativo en materia de identidad digital en la región APAC

Estas normas afectan a cualquier organización que verifique la identidad en la región APAC, ya sea para dar de alta a clientes, autenticar a empleados o facilitar transacciones transfronterizas. Esto es por donde empezar:

Evalúa tu marco normativo: Si procesa datos personales en Vietnam, India, Indonesia u otros mercados de la región APAC —incluso a través de integraciones de terceros—, identifique qué marcos normativos se aplican a sus operaciones y qué nivel de garantía de identidad se espera.

Revisa tu sistema de verificación de identidad: ¿Su solución actual protege contra ataques de inyección y deepfakes, o solo contra la suplantación básica? La brecha entre ambos es donde prosperan los atacantes y donde reside el riesgo normativo.

Da prioridad a una arquitectura de privacidad frente a las medidas de fachada: Busque soluciones con separación estructural de datos, seudonimización y procesamiento en la nube que impidan que una sola parte pueda volver a identificar a una persona. Si su proveedor no puede explicar su arquitectura en estos términos, siga buscando.

Exige certificaciones independientes: Pregunte a su proveedor de soluciones biométricas según qué normas está certificado —NIST, FIDO, ISO, CEN— y por qué laboratorio acreditado. Las afirmaciones propias no constituyen una prueba.

• Descubre cómo las soluciones biométricas de iProov, que cumplen con la normativa de la región APAC, ayudan a las organizaciones a alcanzar los más altos niveles de garantía de identidad → Reserve una demostración
• Para obtener una visión completa de cómo están evolucionando estos ataques → Informe de inteligencia sobre amenazas de iProov para 2026.

iProov ofrece servicios de verificación facial biométrica de alta fiabilidad a importantes organismos gubernamentales y organizaciones, entre las que se incluyen GovTech Singapore, el Departamento de Seguridad Nacional de EE. UU. y el Ministerio del Interior del Reino Unido. iProov superó el millón de verificaciones biométricas diarias en 2025 y es el primer proveedor de biometría certificado de forma independiente por cumplir con la norma NIST 800-63-4.