27 de febrero de 2026

La mayoría de los sistemas de seguridad se basan en una suposición peligrosa: una sola comprobación es suficiente para mantener alejados a los estafadores. No es así. Y las cifras lo dejan claro de inmediato.

Las credenciales fueron las primeras en caer. Los datos de Microsoft Entra muestran que los ataques basados en contraseñas representan ahora más del 99 % de los 600 millones de ataques diarios a la identidad que observan. El código de acceso único por SMS en tu teléfono tampoco es seguro. los ataques de intercambio de SIM están aumentan más del 1000 % interanual solo en el Reino Unido.

Así que las organizaciones recurrieron a la biometría facial, y los atacantes les siguieron. Porque los sistemas de alta seguridad —los que protegen procesos críticos, cuentas financieras y datos confidenciales— atraen a los adversarios más decididos. Solo en 2024, iProov observó:

No se trata solo de cifras más elevadas. Representan un cambio fundamental: los atacantes ahora se centran específicamente en la capa biométrica, eludiendo las defensas que las organizaciones creían que podían «configurar y olvidar». El problema no es la tecnología biométrica, sino la suposición de que cualquier control, por muy sofisticado que sea, es suficiente por sí solo.

Cuando hablamos de seguridad por capas, no nos referimos a la autenticación multifactorial tradicional autenticación multifactorial , como el uso de una contraseña junto con una aplicación de autenticación, por ejemplo (aunque es muy recomendable y cada vez más obligatorio en muchos países e industrias). Nos referimos a la estrategia de defensa en profundidad dentro de cada factor en sí mismo: cómo la superposición de múltiples controles de seguridad dentro de la verificación biométrica garantiza que, si se burla un control, los demás detecten lo que se ha pasado por alto.

La seguridad de la identidad en línea es una carrera armamentística. Se trata de una evolución continua, no de una ecuación que se pueda resolver y archivar. Por eso precisamente, la arquitectura de su defensa es tan importante como la solidez de cada uno de sus componentes. Veamos por qué es esencial contar con una protección de identidad multicapa y cómo esta le permite adelantarse a los delincuentes.

El problema de la seguridad de un solo punto

El paralelismo con las contraseñas no es casual. Las contraseñas fracasaron no porque el concepto fuera erróneo, sino porque los atacantes se volvieron lo suficientemente sofisticados como para burlar los controles de credenciales de un solo factor a gran escala con métodos como los ataques de fuerza bruta y el relleno de credenciales. La misma dinámica se repite en las soluciones biométricas de baja seguridad, con ataques cada vez más complejos que son democratizados, empaquetados y vendidos por los estafadores.

No todas las comprobaciones biométricas de vitalidad son iguales. Algunos proveedores se basan en una comprobación de imágenes de un solo fotograma: ¿este rostro parece real? El problema es que las modernas herramientas de intercambio de caras, cámaras virtualesy el software deepfake están diseñados específicamente para superar ese tipo de comprobaciones. iProov ha identificado más de 115 000 posibles combinaciones de ataque entre las herramientas que rastreamos activamente. Ningún control por sí solo puede cubrir esa superficie de ataque.

Las comprobaciones de un solo fotograma capturan una instantánea, no una presencia genuina. No pueden demostrar que alguien esté realmente allí, solo que la imagen parece real, y muchos deepfakes están diseñados con éxito para parecer real.

Y confiar en los seres humanos como respaldo tampoco es la solución. Solo el 0,1 % de las personas puede detectar de forma fiable los medios sintéticos. Cuando el 99,9 % de las personas no pueden distinguir lo real de lo falso, la revisión manual es una vulnerabilidad más que una red de seguridad.

Es lógico que se pregunte: si el problema son los controles de un solo punto, ¿no se aplica eso a cualquier proveedor de datos biométricos, incluido iProov? Sí, si iProov fuera un control de un solo punto. Pero no lo es. La diferencia es arquitectónica, y eso es lo que explicaremos a continuación.

Cómo funciona realmente la seguridad biométrica multicapa

La respuesta no consiste simplemente en añadir más capas sin una correlación inteligente, ya que esto solo genera ruido y fricción. El objetivo es una integración óptima, en la que cada capa aporte señales distintas que, al analizarse conjuntamente, creen una imagen completa que ninguna capa podría ver por sí sola.

Las imágenes por sí solas también dejan el entorno digital totalmente sin control. Un atacante puede utilizar un emulador o inyectar un deepfake pregrabado directamente en la transmisión de vídeo, eludiendo por completo la cámara, una técnica que los controles basados únicamente en imágenes no pueden detectar. Sin la correlación de metadatos (señales de integridad del dispositivo, detección de emuladores, verificación del entorno), una comprobación de autenticidad opera a ciegas en toda la superficie de ataque.

Vea cómo el enfoque multicapa de iProov detecta y bloquea los ataques modernos en la práctica:

1: La capa de imágenes: detección avanzada de vitalidad

La primera capa demuestra que se trata de una persona real físicamente presente, y no de una foto, un vídeo, un deepfake o una máscara. Esto va mucho más allá de comprobar si un rostro parece convincente.

Dynamic Liveness utiliza tecnología Flashmark™ : la pantalla se ilumina con colores aleatorios mientras el sistema analiza cómo se refleja la luz en un rostro real a lo largo de varios fotogramas. Esto crea un desafío único y desafío-respuesta en tiempo real que es prácticamente imposible de falsificar, incluso con sofisticados deepfakes, ya que demuestra que la persona está presente en ese momento, y no se trata de un ataque de reproducción.

2: La capa de metadatos: análisis forense digital

Mientras que la detección de vitalidad comprueba la persona, la capa de metadatos comprueba el entorno digital. Esto incluye:

  • Detección de dispositivos comprometidos (con jailbreak o root)
  • Detección de emuladores, a menudo utilizados en operaciones de fraude a gran escala.
  • Identificación de VPN o anonimizadores que ocultan el verdadero origen de un dispositivo.
  • Verificación cruzada de las señales técnicas con el dispositivo reivindicado.

Consideremos el último punto: un atacante presenta lo que parece ser un iPhone, pero las dimensiones de la imagen en el flujo de datos no coinciden con ninguna resolución que haya producido jamás la cámara de un iPhone. Esa señal por sí sola no prueba el fraude. Sin embargo, si se combina con una VPN, un origen IP inusual y datos de actividad que han pasado con demasiada facilidad, podría levantar una seria sospecha.

Es el equivalente digital de un pasaporte que parece real pero que lleva el holograma del país equivocado. Los estafadores modernos no siempre serán detectados por una sola señal: las comprobaciones de GPS, el análisis de IP o la detección de vida por sí solas tienen puntos ciegos. La clave es garantizar que cada capa aporte información única que refuerce la decisión global.

3: La ventaja de la supervisión continua

Dado que se trata de una carrera armamentística, el despliegue no es el final de la historia. Las herramientas de ataque que el año pasado eran de élite ahora se venden como «paquetes de «delito como servicio» a cualquiera que tenga una tarjeta de pago.

Centro de Operaciones de Seguridad de iProov (iSOC) de iProov analiza continuamente datos de ataques reales y actualiza los métodos y algoritmos de detección a medida que evoluciona el panorama de amenazas. No se trata de un sistema que se configura y se olvida, sino de una defensa activa y adaptativa. Un sistema estático, por muy bien diseñado que esté en el momento de su lanzamiento, es un objetivo fijo.

iSOC y la supervisión activa de amenazas son una parte importante de la razón por la que la detección de iProov se mantiene al día con la evolución de los ataques en lugar de ir a remolque. Las amenazas cambian, y también lo hace la respuesta. Esta postura de seguridad proactiva es la única que tiene sentido en un panorama de amenazas en constante cambio, y cuando ningún control puede ser definitivo.

CPensamientos perdidos: La realidad

Hoy en día, el fraude impulsado por la inteligencia artificial es tan fácil como apuntar y hacer clic. Los kits de deepfakes se venden como suscripciones a servicios de streaming. Casi nadie puede distinguir lo real de lo falso.

Comprobaciones de un solo punto, especialmente las soluciones de verificación de vida de verificación de vida, resultan obsoletas frente a esta amenaza.

Como afirma Gartner:

«Los líderes del sector de la verificación de identidad se ven impulsados a adoptar un enfoque más holístico que incorpore una estrategia de defensa multicapa para protegerse contra los deepfakes».
Informe sobre el impacto de la IA y los deepfakes en la verificación de identidad.

Los enfoques multicapa que combinan la detección avanzada de actividad con el análisis de metadatos y la supervisión activa de amenazas no solo son mejores, sino que son necesarios. La supervisión constante y la gestión activa de amenazas no son extras opcionales, sino que constituyen la base.

La cuestión no es si merece la pena invertir en seguridad multicapa. La cuestión es si puedes permitirte operar sin ella.

¿Le interesa obtener más información sobre las soluciones biométricas por capas de iProov?

Blog sobre defensa multicapa
Índice

Seguir leyendo

No se ha encontrado nada