Colombia no está ajustando su ecosistema financiero: lo está reconfigurando. La agenda regulatoria 2026-2030 marca la transformación más ambiciosa del sector en la última década, con tres palancas que afectan directamente a todos los operadores del sistema: la liberalización de las tasas de usura, el despliegue obligatorio de las finanzas abiertas y la consolidación de pagos instantáneos interoperables. Para las entidades financieras y fintechs que operan en el país, la pregunta no es si deberán adaptarse, sino con qué velocidad y en qué orden hacerlo.

Qué define la agenda Colombia Fintech 2026-2030

Colombia es ya el tercer ecosistema fintech más grande de América Latina, con más de 380 startups activas según los datos del sector y una tasa de crecimiento sostenida cercana al 18% anual en los últimos tres años. Sin embargo, cerca de 20 millones de colombianos siguen en situación de exclusión o subinclusión financiera, y la concentración del crédito formal en grandes bancos continúa limitando la competencia real.

Por su parte, la agenda 2026-2030 responde directamente a este diagnóstico: el sistema tiene potencial pero arrastra trabas estructurales. Las tres medidas centrales buscan romper esas trabas —desde el precio del dinero hasta quién controla los datos del cliente y cómo se mueven los pagos— y redefinir las condiciones de juego para entidades tradicionales y nuevos entrantes por igual.

Esta agenda no opera en el vacío. Se inserta en una corriente regional que viene de Brasil con el Pix y el open finance del Banco Central, de México con la Ley Fintech y la CNBV, y de Chile con la Ley Fintec. Colombia llega después, pero con la ventaja de poder aprender de los aciertos y fricciones de sus vecinos.

Tasas de usura en Colombia: del techo único al precio por riesgo

Colombia lleva décadas con un modelo de tasa de usura fija calculada mensualmente por la Superintendencia Financiera, que históricamente ha oscilado entre el 30% y el 48% efectivo anual para crédito de consumo. El problema no es que la tasa sea alta: es que actúa como techo único para segmentos de riesgo radicalmente distintos.

Bajo este modelo, una persona con historial crediticio impecable y un trabajador informal sin acceso bancario enfrentan exactamente el mismo techo de precio. El resultado es paradójico: las entidades formales prestan al primero a tasas muy inferiores al techo —porque el riesgo lo permite— pero no pueden prestar rentablemente al segundo bajo el límite actual. Ese segundo perfil termina excluido del crédito formal o expulsado al sistema de gota a gota, con tasas reales que multiplican varias veces la usura legal.

Por su parte, la propuesta de liberalización parcial busca que los operadores puedan fijar precios diferenciados según el perfil de riesgo del cliente, el canal de distribución y el tipo de producto. El efecto esperado es ampliar el acceso al crédito para segmentos hoy excluidos porque ninguna entidad puede prestarles rentablemente bajo el techo actual.

Sin embargo, el riesgo es conocido: sin mecanismos de protección robustos, la liberalización puede derivar en prácticas predatorias. Por eso esta medida solo es viable si va acompañada de tres elementos no negociables: capacidad real de scoring diferenciado, debida diligencia continua del cliente y transparencia total hacia el consumidor sobre el precio efectivo del crédito. Sin estos tres elementos, la liberalización sería un retroceso, no un avance.

Pagos instantáneos interoperables: la columna vertebral del nuevo sistema

Colombia ya cuenta con infraestructura de pagos en tiempo real a través de ACH Colombia y Transfiya. La agenda 2026-2030 da el siguiente paso: la interoperabilidad plena entre todos los operadores del sistema, incluyendo billeteras digitales, neobancos y plataformas de pago. El Banco de la República impulsa este avance con el sistema de pagos inmediatos Bre-B, llamado a convertirse en el equivalente colombiano del Pix brasileño o del SPEI mexicano. Esta evolución se inscribe en el radar de tendencias 2026 sobre wallets y infraestructuras de pago e identidad digital que está transformando el continente.

Además, la interoperabilidad instantánea no es solo conveniencia para el usuario. Es la condición técnica que permite que el resto de la agenda funcione: los nuevos modelos de crédito requieren capacidad de desembolso y cobro en tiempo real, las fintechs de pagos necesitan reglas comunes para escalar, y la inclusión financiera solo se materializa si la infraestructura es accesible para todos, no solo para quienes tienen cuenta en un banco tradicional.

El reto operativo para los operadores es triple: integrarse técnicamente a la infraestructura interoperable, garantizar la autenticación en tiempo real de cada operación, y mantener trazabilidad completa de cada movimiento para fines de auditoría y AML. Los volúmenes esperados —Brasil procesa hoy varios miles de millones de operaciones Pix al mes— exigen arquitecturas pensadas desde el inicio para escala, no soluciones adaptadas a posteriori.

Apertura de datos financieros: del esquema voluntario al obligatorio

El tercer pilar de la agenda toca lo más estratégico: quién tiene acceso a los datos del cliente. Hoy, la mayor ventaja competitiva de los grandes bancos no es su capital ni su red de oficinas; es la acumulación histórica de datos transaccionales.

El nuevo marco colombiano de finanzas abiertas, aprobado en abril de 2026, deja atrás el esquema voluntario que regía desde 2022 y obliga a las entidades vigiladas por la SFC a compartir datos de sus clientes —con consentimiento explícito y trazable— a través de APIs estandarizadas. Esto abre la puerta a que fintechs de crédito, seguros y ahorro puedan construir perfiles financieros completos sin depender de relaciones bancarias previas.

Si quieres entender en profundidad cómo se articula este nuevo marco, los plazos exactos, el mecanismo de doble consentimiento y qué deben hacer las entidades vigiladas, consulta nuestro análisis específico sobre el [Decreto 0368 y las finanzas abiertas obligatorias en Colombia]).

Por lo tanto, el impacto potencial es considerable: modelos de scoring alternativos basados en datos de consumo, telecomunicaciones o comportamiento digital podrían incorporar al sistema formal a más de 12 millones de personas actualmente invisibles para el scoring tradicional.

Comparativa: cómo se posiciona Colombia frente a Brasil, México y Chile

Dimensión	Colombia 2026	Brasil	México	Chile
Marco de apertura de datos	Obligatorio desde 2026	Vigente desde 2021, 4 fases	Ley Fintech 2018, API gradual	Ley Fintec 2023, voluntario en transición
Sistema de pagos instantáneos	Bre-B + Transfiya en consolidación	Pix, dominante	SPEI / CoDi	Sin equivalente Pix consolidado
Modelo de tasas de interés	Liberalización parcial prevista	Tasa libre con límites por producto	Tasa libre con techo en algunos productos	Tasa máxima convencional
Madurez del ecosistema fintech	Tercero LATAM, alto crecimiento	Líder regional	Segundo LATAM	Pequeño pero ágil
Identidad digital obligatoria	Sí, biométrica multifactor	Sí, integrada con identidad nacional	Sí, vinculada a CURP biométrica	Sí, biométrica para regulados

Asimismo, Colombia llega con la oportunidad de saltarse iteraciones que sus vecinos tuvieron que aprender por ensayo y error — pero también con el reto de no demorar la implementación y perder ventaja competitiva regional.

Qué implica la agenda para fintechs, bancos y nuevos entrantes

En consecuencia, la agenda 2026-2030 no es solo una carga de cumplimiento: redefine la estructura competitiva del sector. Para tres tipos de actor las implicaciones son radicalmente distintas:

Bancos tradicionales. Pierden su ventaja histórica basada en posesión exclusiva de datos. Deberán competir en experiencia, producto y velocidad —terrenos donde llegan con desventaja frente a las fintechs nativas digitales. Su activo más valioso pasa a ser la confianza institucional y la capacidad regulatoria, no la base transaccional.

Fintechs en crecimiento. Acceden por primera vez a datos que necesitaban para escalar modelos de crédito y seguros. Pero el costo de cumplimiento técnico, AML y de identidad digital sube significativamente. La supervivencia depende de tener infraestructura de verificación de identidad para fintech robusta desde el día uno, no como capa añadida.

Nuevos entrantes y operadores internacionales. La obligatoriedad del nuevo marco reduce la asimetría regulatoria con los incumbentes, pero exige licencia y supervisión de la SFC desde el inicio. Colombia se vuelve un mercado más accesible para fintechs latinoamericanas con experiencia previa en Brasil o México, donde los marcos son comparables.

Por todo ello, para las fintechs que entran al mercado colombiano en este periodo —o que escalan su operación— el cumplimiento no puede ser una capa añadida ex post. Debe estar integrado en la arquitectura del producto desde el inicio, junto con capacidades sólidas de autenticación multifactor con verificación biométrica y monitoreo AML continuo.

Hoja de ruta para operadores

La agenda Colombia Fintech 2026-2030 no tiene fecha de inicio única: sus medidas se están implementando de forma escalonada, y algunas ya tienen efecto regulatorio vigente. La ventana para prepararse es estrecha.

Plazos clave de implementación

Hito	Horizonte	Acción crítica del operador
Identidad digital biométrica + MFA obligatoria	Inmediato	Implementar onboarding biométrico con autenticación multifactor
Refuerzo de obligaciones AML	2026 (en curso)	Sistemas de monitoreo dinámico y matrices de riesgo documentadas
Despliegue de finanzas abiertas obligatorias	2026-2027	APIs documentadas, gestión de doble consentimiento, portabilidad
Liberalización gradual de tasas	2027-2028 (previsto)	Modelos de scoring diferenciado por riesgo y canal
Interoperabilidad plena de pagos	2027-2030	Integración a Bre-B + autenticación en tiempo real

En definitiva, la secuencia lógica de priorización es clara. Primero, actualizar los sistemas de identidad digital para cumplir con los estándares biométricos y de autenticación multifactor requeridos por la SFC. Segundo, reforzar las capacidades AML y de monitoreo transaccional, especialmente si se opera o planea operar con activos digitales o canales no presenciales — conviene revisar qué relación tienen AML y KYC en la práctica y por qué el KYC debe ser demostrable ante el regulador en línea con las expectativas del GAFI para 2026. Tercero, preparar la infraestructura técnica para finanzas abiertas: APIs documentadas, gestión de consentimientos y mecanismos de portabilidad de datos.

Las entidades que lean esta agenda como una oportunidad —y no solo como una carga de cumplimiento— tienen una ventana real para ganar posición en un mercado que está a punto de redistribuir sus cartas.

Conclusión

El tsunami regulatorio en Colombia no es hipérbole: es una reconfiguración simultánea de los incentivos, la infraestructura y las reglas del sistema financiero. Apertura obligatoria de datos, liberalización de tasas de usura y pagos instantáneos interoperables son tres medidas que se refuerzan mutuamente, y que juntas tienen el potencial de transformar la inclusión financiera de millones de colombianos.

Pero ese potencial solo se materializa si los operadores del sistema construyen sobre una base de identidad digital sólida, cumplimiento real y tecnología preparada para el nuevo estándar. Las entidades que lleguen tarde a esa base no solo perderán oportunidad de negocio: enfrentarán un entorno regulatorio que no perdona la improvisación.

Preguntas frecuentes sobre la regulación fintech colombiana

Imagina decir a un asistente: “Reserva un vuelo de ida y vuelta y un hotel en Palm Springs para el primer fin de semana de noviembre, con un presupuesto total de 700 $.” Esta es la frase con la que Google presentó al mundo su Agent Payments Protocol (AP2) el 16 de septiembre de 2025. Travel no es un caso de uso más: es el caso de uso canónico que el propio protocolo eligió para explicarse.

Los agentic payments son transacciones financieras iniciadas y ejecutadas por agentes autónomos de IA en nombre del usuario, basadas en instrucciones firmadas criptográficamente: los mandates, que establecen qué está autorizado a comprar el agente, a qué precio y bajo qué condiciones.

AP2 se lanzó con más de 60 partners. En el ecosistema travel ya participan nombres como Amadeus, Booking.com y Trip.com.

Para aerolíneas, cruise lines, OTAs y plataformas de reserva, AP2 abre una doble conversación. Por un lado, es la primera vía estandarizada para convertir el journey en un canal de comercio contextual. Por otro, introduce un reto nuevo: AP2 resuelve la autorización del agente, pero no la autenticación de identidad del usuario que firma el mandate. Ese es el hueco donde la capa de identidad, biometría y passenger verification se vuelve crítica.

Qué son los agentic payments y qué potencial tienen en la industria travel

Los agentic payments son transacciones automatizadas entre agentes digitales, uno actuando en nombre del pasajero, otro en nombre del operador, que integran identidad, consentimiento, elegibilidad y pago en un único proceso. Ocurren en segundo plano, sin fricción ni intervención humana, y se activan de forma contextual en el momento óptimo del viaje.

Tres ejes los separan de los pagos tradicionales: quién inicia la transacción (un agente, no un humano), qué autoriza la operación (un mandate criptográfico firmado con credencial verificable) y cuándo se autoriza (con antelación y bajo condiciones pre-firmadas, no en el momento de la compra).

Conviene precisar: un agente no es un chatbot ni un asistente conversacional. Un agente autónomo negocia con otros agentes, accede a servicios, ejecuta transacciones y rinde cuentas con su propia identidad criptográfica.

¿Qué potencial tienen en la industria travel?

Los agentic payments:

• Convierten el journey en un canal de comercio contextual. Cada momento del viaje (pre-flight, airside, in-flight, post-arrival)se transforma en una ventana de oferta personalizada.
• Incrementan el revenue ancillary en los momentos de mayor engagement del pasajero. Con un ingreso ancillary global de 148.000 M$ en 2024 (32.000 M$ más que en 2023) y una proyección de 157.000 M$ para 2025, el ancillary ya representa el 15,7 % de los ingresos totales de las aerolíneas, frente al 9,1 % de 2016.
• Eliminan fricción en la compra de upgrades, accesos a lounges o servicios premium.
• Reducen costes operativos al automatizar procesos hoy manuales. Las aerolíneas con embarque biométrico reportan reducciones del 23 % en tiempos gate-to-takeoff y, en el caso de Delta, 2,3 M$ anuales de ahorro en combustible solo por la reducción de tiempos de rodaje.
• Monetizan mejor el tiempo airside del pasajero, la “hora dorada” de la aviación.

Para un sector donde el combustible representa entre el 25 % y el 27 % de los costes operativos, esto no es una inversión IT. Es una palanca de margen.

Cómo funciona el protocolo AP2 de Google: los tres mandates

AP2 construye confianza a través de mandates: contratos digitales firmados criptográficamente que actúan como prueba verificable de la voluntad del usuario. Cada mandate es una Credencial Verificable (W3C) y forma parte de una cadena auditable end-to-end desde la intención hasta el pago.

Mandate	Qué recoge	Cuándo se firma	Quién lo firma	Ejemplo travel
Intent Mandate	Intención del usuario y sus límites	Al inicio del flujo	Usuario (delegando en el agente)	«Reserva un vuelo a Palm Springs, máx. 500 $, primer finde de noviembre»
Cart Mandate	Carrito final con productos, precios y condiciones	Tras componer la opción el agente	Usuario (aprobación en tiempo real)	Confirmar la combinación concreta de vuelo UA + hotel
Payment Mandate	Autorización al procesador para ejecutar	En el checkout	Usuario / agente bajo condiciones pre-firmadas	Cargar 687 $ a la Visa, pagados a la aerolínea de registro

Más allá de la tabla, conviene retener tres ideas operativas:

Los dos escenarios: Human Present (HP) y Human Not Present (HNP). Cuando el usuario está presente, aprueba el Cart Mandate en tiempo real. Cuando no lo está (entradas que salen a la venta, bajadas de tarifa, rebookings automáticos) el agente solo ejecuta si se cumplen las condiciones pre-firmadas en el Intent Mandate.

La cadena criptográfica no repudiable. Intent → Cart → Payment producen una traza auditable end-to-end, diseñada para resolver disputas entre los cinco actores del protocolo: usuario (intención), agente (ejecutor), credential provider (método de pago y autenticación), merchant endpoint (recepción y settlement) e issuer/network (autorización).

Agnóstico al medio de pago. Tarjetas, stablecoins y transferencias bancarias en tiempo real fluyen por la misma estructura de mandates. Esto permite a una aerolínea u OTA aceptar pagos agénticos sin reescribir su stack actual.

AP2 vs A2A vs MCP: qué hace cada protocolo

Es habitual confundir los tres protocolos. Cada uno cubre una capa distinta del stack agéntico:

Protocolo	Lanzamiento	Función	Desarrollado por
MCP (Model Context Protocol)	Noviembre 2024	Conecta agentes con herramientas y datos	Anthropic
A2A (Agent2Agent)	Abril 2025	Comunicación entre agentes	Google + partners
AP2 (Agent Payments Protocol)	Septiembre 2025	Añade pagos autorizados criptográficamente sobre A2A/MCP	Google + 60+ partners

Estos protocolos son complementarios, no excluyentes. MCP da al agente acceso a las APIs y datos del operador. A2A le permite hablar con otros agentes (por ejemplo, el agente del pasajero con el agente de la aerolínea). AP2 añade encima la capa de pago autorizado criptográficamente. Diseñar el stack para AP2 implica también diseñarlo para A2A y MCP.

Cómo AP2 redefine la reserva y el checkout en cada vertical de travel

Aerolíneas (FSC y LCC). El agente del pasajero negocia itinerarios multi-leg, ancillaries (asiento, equipaje, lounge, fast-track) y servicios complementarios a través de integraciones NDC. El Intent Mandate define presupuesto, ventana de fechas y preferencias; el agente compara y ejecuta. El espacio donde se amplía la superficie de fraude, y donde más valor se desbloquea, es precisamente el ancillary in-journey: lounges, upgrades, retail airside, restauración a bordo.

Cruise lines: Un único Intent Mandate puede cubrir camarote + restauración + excursiones, eliminando fricción y el up-sell manual. Las obligaciones de passenger verification —KYC, listas de sanciones, verificación de edad para paquetes con alcohol— se mantienen, pero ahora deben aplicarse antes del mandate, no después de ejecutar el pago.

OTAs (Booking, Expedia, Trip.com). El package-builder se convierte en una negociación agente-a-agente, no una búsqueda humana. La presión sobre el margen aumenta, los agentes arbitran entre OTAs en milisegundos, pero también se abre la posibilidad de competir por la calidad de la integración agéntica más que por el precio.

Un ejemplo concreto: el acceso al lounge VIP.

El pasajero, ya identificado a través de un wallet agéntico que contiene su pasaporte y boarding pass en formato Credencial Verificable, fija su Intent: “Acceso a lounge VIP siempre que esté disponible, pagando con el método más conveniente entre Priority Pass o programa de fidelidad.” Al aterrizar, el wallet evalúa geolocalización y elegibilidad, contacta con el agente del operador del lounge, negocia el acceso, recibe la confirmación y desbloquea la entrada con un walk-through biométrico o una selfie. Cuatro pasos integrados en uno, sin fricción.

Por qué los agentic payments exigen Know Your Agent (KYA)

El agentic commerce reduce fricción, eleva el ancillary yield y profesionaliza la trazabilidad de cada transacción. Pero esa misma autonomía introduce un nuevo punto de fallo: si un sistema acepta un mandate sin verificar al agente que lo presenta, ¿cómo está seguro que ese agente está autorizado o es realmente propiedad de quien dice ser?

De ahí el principio rector: Know Your Agent (KYA). Antes de permitir que un agente autónomo negocie servicios, acceda a información o ejecute pagos, el sistema debe verificar su identidad, su integridad (que el software no ha sido manipulado) y la autoridad delegada que el usuario le ha conferido a través del Intent Mandate.

Tres elementos hacen del KYA un imperativo y no una recomendación:

• Un mismo wallet puede implementar varios agentes con scopes distintos. Un agente autorizado a comprar accesos a lounge no debería poder reservar un vuelo nuevo. El KYA verifica el scope del mandate antes de cada ejecución.
• Los agentes deben ser intercambiables y fácilmente reemplazables. Sin KYA, sustituir un agente por otro abriría un vector de suplantación.
• Sin KYA, los stacks de fraude actuales —3DS, biometría conductual, device fingerprinting— pierden eficacia. Todos asumen que hay un humano frente al teclado. Con AP2, por diseño, muchas veces no lo hay.

Estándares emergentes como Software and AI Agent Identity and Authorization del NIST y ERC 8004 Trustless Agents están definiendo cómo cumplir con el KYA de forma interoperable.

La capa de identidad que aporta seguridad a AP2

AP2 prueba criptográficamente que un agente está autorizado a actuar. No prueba que el humano que firmó el Intent Mandate sea realmente quien dice ser.

La capa de identidad sobre la que AP2 descansa se compone de cuatro piezas:

Credenciales Verificables (W3C). Cada acción ejecutada por el agente queda vinculada a una credencial firmada legal y criptográficamente vinculante. Es el tejido conectivo que convierte un contrato digital en evidencia no repudiable.

Biometría. La biometría conecta la negociación digital con el mundo físico. Es el sello final que vincula la firma del mandate a una identidad humana verificada, fluidamente, sin romper el flujo agéntico. En travel funciona en dos modalidades: 1:1 (verificación contra el documento del pasajero) y 1:N (biometría en movimiento, sin tocar el dispositivo). En ambas, el resultado es el mismo: el pasajero no detiene el journey.

El framework “Know Your X”. El KYA no opera solo. Convive con el KYC (Know Your Customer, verificación de identidad del pasajero), el KYW (Know Your Wallet, basado en trust registries y whitelisting) y el KYB (Know Your Business, identificación del UBO del comercio o del operador). Es el conjunto, no una pieza aislada, el que da seguridad al ecosistema.

Autenticación out-of-band. En operaciones de alto valor, la posesión de la Credencial Verificable se complementa con biometría y SCA out-of-band. El protocolo no fuerza una implementación concreta, pero el operador que la incorpore reduce drásticamente su exposición.

La conclusión es operativa: cualquier aerolínea, OTA o cruise line que se prepare para AP2 sin antes consolidar su capa de identidad estará firmando mandates contra una raíz de confianza vacía. Descarga la guía Ready to travel y prepárate para la nueva era del viaje sin fricciones.

Preguntas frecuentes 

Por Bruno Rafael Rivadeneyra Sánchez, Identity Solutions Senior Manager

El onboarging ya no puede asumir el peso completo de la confianza en el ciclo digital. Ese enfoque funcionó cuando el fraude era más lento, más manual y fácil de aislar. 

Hoy, ese paradigma ya no se sostiene porque los atacantes operan con IA generativa, automatización y credenciales robadas que les permiten comportarse como usuarios legítimos durante todo el ciclo digital. 

En América Latina, este fenómeno es más que visible: la región registra el mayor aumento de ciberataques a nivel mundial, con organizaciones que enfrentan en promedio más de 3.000 intentos de intrusión por semana y un crecimiento interanual del 26%, muy por encima de otras regiones..  

En canales clandestinos de mensajería, se venden accesos a datos personales desde 3,50 USD: documentos de identidad, direcciones e información financiera. Un ecosistema donde la información circula como un servicio digital más y donde la superficie de ataque ya no se concentra en el acceso inicial, sino en cada interacción del usuario con la entidad.  

Eso hace que, el modelo tradicional de verificación basado en un único punto de control, el onboarding, ha dejado de ser suficiente. La confianza ya no puede construirse una sola vez: tiene que mantenerse, ajustarse y validarse de forma continua de principio a fin. 

Aquí es donde emerge el concepto de verificación continua de identidad: un enfoque que traslada la identidad desde un evento puntual hacia un proceso vivo, presente en cada interacción del usuario con la entidad financiera. 

IA ofensiva: velocidad, escala y credibilidad 

Sobre esta base, la inteligencia artificial ha añadido un factor que cambia las reglas del juego: la capacidad de escalar el fraude con muy poco esfuerzo y con niveles de credibilidad cada vez más altos. 

El uso de IA generativa, automatización y herramientas accesibles ha reducido de forma drástica la barrera de entrada. Antes, este tipo de ataques requería conocimientos técnicos avanzados. Hoy, gran parte de esas capacidades están empaquetadas y disponibles como servicio. Lo que se está viviendo ahora es una democratización del fraude o lo que llamamos fraude como servicio. 

Esto se refleja en cómo evolucionan los ataques de identidad. Un ejemplo reciente en Latam es la campaña que utilizó deepfakes del CEO de Nubank, David Vélez, para difundir anuncios fraudulentos en redes sociales a partir de unos pocos vídeos manipulados que se reutilizaban de forma masiva para aprovechar su credibilidad y dirigir a los usuarios hacia la captación de datos, plataformas falsas o procesos que terminaban en robo de credenciales. 

El impacto llega al núcleo del negocio financiero. Casos documentados muestran cómo identidades robadas o reconstruidas se usan para abrir cuentas, solicitar productos o contratar créditos. En un caso reciente en México, la identidad de una persona fue utilizada para solicitar un crédito automotriz por más de un millón de pesos sin su conocimiento. La IA amplifica exactamente ese momento crítico: permite generar documentación más realista, simular biometría y preparar ataques de ingeniería social con mayor precisión. 

IA defensiva: interpretar en lugar de verificar 

Siendo el onboarding insuficiente como único punto de verificación, el reto ahora es asegurar que, ese usuario validado en primera instancia sigue siendo la misma persona en cada interacción. 

Las estrategias más avanzadas evolucionan hacia un modelo donde la identidad no se valida una sola vez, sino que se interpreta de forma continua a partir de múltiples señales. Este enfoque, la verificación continua de identidad, combina tres dimensiones que se refuerzan entre sí: biometría, comportamiento y contexto. 

Esto incluye señales como: 

• patrones de comportamiento durante la navegación 

• forma de interacción con la aplicación 

• uso del dispositivo y cambios en el entorno 

• coherencia en la ejecución de transacciones 

• evolución histórica del perfil del usuario 

La inteligencia artificial es lo que hace viable este modelo, al permitir correlacionar miles de señales en tiempo real y ajustar continuamente el nivel de confianza.  

Sobre esa base, la combinación de variables permite entender en cada momento si el usuario actúa como debería, y la seguridad pasa a gestionarse de forma dinámica: mantener la experiencia fluida cuando todo encaja y elevar la verificación solo cuando aparecen señales de riesgo. 

Protección integral: cuando la defensa se mueve junto al usuario 

Los atacantes no operan en un único punto del sistema. El fraude avanza junto al usuario desde el onboarding hasta la transacción final. Si hay un punto ciego, el sistema entero queda expuesto. 

Es aquí donde hablamos de protección integral para acompañar al usuario a lo largo de todo el ciclo digital.  

Acceso seguro 

Al iniciar la sesión, la biometría y la prueba de vida se convierten en la primera barrera de confianza, bloqueando suplantaciones basadas en biometría falsificada, capturas de pantalla o deepfakes. Esta primera validación se mantiene como referencia para las siguientes interacciones, porque el fraude moderno no solo se mete por fuera: se mantiene dentro del sistema. 

Dentro de la sesión 

Durante la sesión activa, el sistema pasa de ver al usuario como un login estático a tratarlo como un conjunto de comportamientos dinámicos. 

Detecta cambios de patrones, sesiones que se comportan de forma distinta a lo habitual, tiempos de respuesta alterados o secuencias de pasos poco naturales, ayudando a identificar signos tempranos de account takeover, incluso cuando el usuario parezca legítimo desde el punto de vista de credenciales. 

Durante la transacción 

Cuando el usuario intenta una operación sensible, la defensa ya no se limita a preguntar “¿Es este usuario legítimo?”, sino que pregunta también “¿esta acción es coherente con su perfil?”.  

Importes fuera de rango, destinatarios poco habituales, horarios atípicos o secuencias de transacciones diseñadas para evadir máximos se analizan en conjunto con el comportamiento reciente, el contexto del dispositivo y la historia de la cuenta. 

Ahí entran en juego técnicas de KYT, AML y monitorización en tiempo real, que buscan patrones de riesgo no solo en la transacción aislada, sino en el flujo completo de movimientos del cliente. 

La clave está en la infraestructura

El fraude no solo se mide en pérdidas directas, sino en el tiempo perdido de los equipos de fraude, en decisiones que se toman tarde y en la presión de un entorno regulatorio cada vez más exigente.  

Cuanto más se fragmenta la lógica de seguridad, más caro se vuelve proteger al cliente sin romper su experiencia. 

La clave para las instituciones que realmente reducen el fraude es tratar la identidad como una infraestructura continua con un solo flujo de decisión, que permite detectar suplantaciones en el acceso, comportamientos sospechosos en sesión y transacciones de alto riesgo antes de que generen pérdidas. 

Por Angélica González Barrantes, Identity Solutions Manager

En los últimos meses, muchas conversaciones en el sector financiero colombiano giran alrededor del Decreto 0368 de 2026, que convierte las finanzas abiertas en obligatorias para todas las entidades vigiladas por la Superintendencia Financiera de Colombia (SFC).  

¿Qué significa esto? Todas las entidades bancarias están obligadas a compartir datos (con consentimiento del usuario), lo que se traduce en nuevos modelos de negocio y mayor competencia, bajo un marco donde el usuario es el dueño del dato y el consentimiento adquiere un rol central. 

Pero hay algo que me parece importante poner sobre la mesa desde el inicio:  

Esto no es un cambio tecnológico. Es un cambio estructural de cómo se construye confianza en el sector financiero.  

Hasta ahora, los datos estaban contenidos dentro de cada entidad; ahora con Open Finance, esos datos empiezan a circular entre múltiples actores… y ahí es donde cambia todo. 

Del dato como activo al dato como infraestructura de confianza

Durante años la ventaja competitiva estuvo en la posesión del dato; hoy ese paradigma cambia, porque cuando los datos se abren, dejan de ser exclusivos y cuando eso pasa dejan de ser una ventaja. Entonces la verdadera diferencia empieza a estar en otro lugar: está en la capacidad de usarlos de forma segura, confiable y regulada.

El Decreto 0368, la Ley 1581 y la Ley 1266: regulación como habilitador

El Decreto 0368 de 2026, que da cumplimiento al artículo 89 de la Ley 2294 de 2023 (Plan Nacional de Desarrollo) y se apoya en la Ley 1581 de 2012 y la Ley 1266 de 2008 sobre protección de datos personales, no introduce conceptos completamente nuevos, lo que hace es algo más relevante… escala más alto esos principios de consentimiento, trazabilidad, seguridad… y los sube a obligatoriedad, interoperable y auditable en tiempo real.

Consentimiento del usuario: el centro del nuevo ecosistema de Finanzas Abiertas

Hay una narrativa importante aquí: el dato se abre, pero el control no se pierde, el usuario sigue siendo el dueño y ahora tiene más visibilidad, más control y más poder sobre cómo se utiliza y esto redefine completamente la relación entre entidades y sus clientes.

El reto real para la banca colombiana: cumplir sin romper la experiencia de usuario 

Aquí es donde muchas organizaciones ya están sintiendo la presión porque más regulación implica:  

Más validaciones  

Más controles 

Más fricción potencial  

Y esto impacta directamente los indicadores de conversión de usuarios en onboarding Digital y autenticación, por eso debemos tener claro que cumplir no debe costar clientes.  

Confianza como infraestructura: consentimiento, autenticación fuerte y antifraude 

En este nuevo entorno hay algo que cambia radicalmente y es que la confianza pasa a ser infraestructura que debe ser medible, auditable y escalable. Aquí entran tres elementos claves: la gestión de un modelo reforzado de consentimiento que se traduce operativamente en doble validación que exige el decreto, los esquemas basados en factores fuertes de autenticación definidos por la SFC, y la prevención del fraude de identidad.  

Biometría en Colombia: de mejora de UX a control de cumplimiento 

Uno de los cambios más interesantes que estamos viendo es el rol de la biometría. Históricamente en Colombia la biometría se veía como una mejora de experiencia en el onboarding digital. Hoy, bajo el Decreto 0368, es un mecanismo crítico de cumplimiento que permite responder a la exigencia de autenticación fuerte, soportar el doble consentimiento y garantizar la trazabilidad del consentimiento.  

El diferencial competitivo: compliance by design para entidades vigiladas

Creo que aquí está la conversación más importante para los próximos meses porque no se trata solo de cumplir, se trata de cómo cumples. En Colombia las organizaciones deben diseñar sus procesos pensando en regulación, experiencia de usuario y conversión para tener una ventaja clara.

Cómo Facephi acompaña a entidades vigiladas en el cumplimiento del Decreto 0368

Desde nuestra experiencia trabajando con entidades vigiladas, vemos este reto de forma muy concreta y entendemos que el desafío no es solo regulatorio sino operativo y de negocio, por eso nuestro enfoque debe estar en ayudar a las entidades a adaptarse al decreto 0368 con menos fricción y mejores tasas de conversión.

Con un plazo máximo de 12 meses desde que la SFC publique cada estándar técnico, las entidades vigiladas tienen una ventana corta para diseñar onboarding, autenticación y consentimiento que cumplan sin romper la conversión.

Si tu entidad está revisando hoy cómo adaptar onboarding, autenticación y consentimiento al Decreto 0368, podemos compartir cómo lo estamos resolviendo con bancos, fintech, aseguradoras y entidades vigiladas por la SFC en Colombia y más de 30 países. Hablemos.

FAQs

La presión regulatoria crece constantemente. Oracle publicó que los bancos de EE. UU. gastan unos 25.000 millones de USD al año en procesos AML y las multas globales por incumplimiento superaron los 6.000 millones en 2023. Además, el fraude financiero no cesa: Gartner informa que en 2024 se sustrajo más de 1 billón de dólares mediante delitos financieros. En este contexto, los sistemas tradicionales de monitoreo generan volúmenes insostenibles de alertas falsas, que pueden superar el 95 %, costando a las instituciones decenas de millones de dólares anuales. Ante este desafío, la inteligencia artificial se presenta como la evolución natural de los controles AML, permitiendo detectar patrones ocultos y reducir falsos positivos. 

¿Qué es el AML transaction monitoring y cómo funciona actualmente? 

El monitoreo transaccional AML es el proceso continuo de analizar las transacciones de clientes para detectar actividades sospechosas de lavado de dinero. En la práctica, los sistemas actuales combinan dos enfoques básicos: por un lado, reglas predefinidas (umbrales de cantidades, patrones de movimiento, transacciones internacionales inusuales, aparición en listas de sanciones, etc.) que disparan alertas cuando se superan ciertos criterios; por otro lado, análisis avanzados de datos. Según IBM, las soluciones modernas de monitoreo AML integran tanto lógica basada en reglas como análisis de datos avanzados (incluyendo IA/ML) para identificar patrones que un enfoque convencional pasaría por alto. 

Estos sistemas se calibran con enfoque “basado en riesgo”: la información del cliente (perfil, actividad histórica, ubicación geográfica, tipo de cliente, uso de la cuenta, etc.) se usa para clasificar el nivel de riesgo. Las transacciones se evalúan según este perfil y las reglas aplicables. Si bien algunos bancos aún ejecutan análisis por lotes (por ejemplo, chequeos diarios de transacciones), la tendencia es a migrar hacia sistemas en tiempo real. La clave actual es la detección continua de anomalías, manteniendo actualizadas las listas de sanciones/PEPs y permitiendo reaccionar de inmediato ante desviaciones significativas. 

Limitaciones de los sistemas basados en reglas tradicionales 

Los sistemas AML tradicionales basados en reglas rígidas enfrentan serias limitaciones operativas. Su lógica estática no se adapta bien a tácticas criminales dinámicas, por lo que generan un alto porcentaje de falsas alertas. Estudios sugieren que los sistemas únicamente basados en reglas pueden disparar alrededor del 95 % de falsos positivos. Estas alertas erróneas abruman a los equipos de cumplimiento («fatiga de alertas») y consumen recursos valiosos en investigaciones innecesarias. Por ejemplo, AML Watcher reporta que las alertas legítimas en AML constituyen solo una pequeña fracción del total generado por reglas rígidas, lo que crea una carga operativa inmanejable. 

Además, estos sistemas tradicionales suelen operar por lotes, analizando transacciones con demora, lo que provoca retrasos en la detección de fraudes. A menudo requieren recálculos manuales y ajustes frecuentes de las reglas, lo que encarece su mantenimiento. La limitada escalabilidad implica altos costos operativos: según Oracle, las instituciones pagan decenas de millones cada año por procesar estas falsas alertas. En resumen, los enfoques basados solo en reglas no escalan con el volumen actual y dificultan cumplir con requerimientos regulatorios cada vez más exigentes. 

Cómo la IA transforma el monitoreo transaccional AML 

La inteligencia artificial y el machine learning revolucionan el monitoreo AML al superar las limitaciones de las reglas estáticas. Al procesar grandes volúmenes de datos transaccionales en tiempo real, la IA puede identificar patrones y anomalías invisibles para las reglas convencionales. Por ejemplo, algoritmos de ML no supervisados pueden detectar redes de transacciones inusuales entre cuentas aparentemente desconectadas, o cambios sutiles en el comportamiento de gasto de un cliente. Estos sistemas aprenden continuamente de los datos pasados (alertas, investigaciones y resultados), afinando sus modelos con el tiempo. 

Como resultado, la IA mejora la velocidad y precisión del monitoreo. Un informe de FATF señala que el monitoreo transaccional potenciado con IA permite realizar las funciones tradicionales con mayor rapidez, exactitud y eficiencia. En la práctica, esto significa filtrar automáticamente las transacciones que no ameritan investigación, focalizando la atención solo en los casos más sospechosos. Según Oracle, al reemplazar el software AML basado en reglas con aplicaciones basadas en IA los bancos pueden aumentar su identificación de actividad sospechosa hasta en un 40 %, al tiempo que reducen drásticamente los falsos positivos. 

En concreto, soluciones basadas en IA suelen incluir puntuación de riesgo predictiva, análisis de comportamiento y minería de relaciones. Por ejemplo, pueden asignar un score de riesgo a cada cliente o transacción, según su actividad histórica y variables contextuales, y reordenar la prioridad de alertas para que el equipo de cumplimiento se concentre en los casos de mayor riesgo. También pueden usar análisis de grafos para detectar clusters de lavado entre entidades. En todos estos casos, la IA actúa como un complemento que enriquece los sistemas existentes: no anula las reglas, sino que prioriza y reduce las alertas innecesarias, mejorando así la eficiencia operacional. 

De la detección reactiva a la monitorización predictiva 

Más allá de simplemente detectar fraudes tras la transacción, los modelos de IA permiten una aproximación predictiva. Mediante técnicas supervisadas de machine learning, los sistemas pueden pronosticar la propensión al riesgo de un cliente o transacción antes incluso de que ocurra la actividad sospechosa. Según Oracle, las aplicaciones AML de vanguardia utilizan ML para calificar a los clientes y predecir su probabilidad de involucrarse en un delito financiero. 

Además, los modelos “de comportamiento esperado” crean perfiles dinámicos de cada usuario: establecen patrones normales de uso y detectan desviaciones sutiles. Cuando un cliente desvía su comportamiento financiero de manera inusual, el sistema lo identifica automáticamente como anómalo. La combinación de IA supervisada (para escalar nuevas alertas) e IA no supervisada (que aprende patrones sin ejemplos previos) incrementa la capacidad del sistema para anticipar delitos emergentes. En la práctica, esto significa pasar de un enfoque meramente reactivo a uno proactivo: las instituciones pueden incluso generar alertas tempranas o ajustar sus umbrales en tiempo real, mitigando riesgos antes de que escalen. 

Marcos regulatorios globales: FATF/GAFI y AMLD6 

Las directrices globales del GAFI (FATF) y la normativa europea (AMLD6) impulsan la adopción de estas tecnologías. El GAFI destaca que la IA es un complemento fundamental al cumplimiento AML: según su guía, el uso de nuevas tecnologías puede “aumentar la confianza” en programas de monitoreo y mejorar la eficacia de la debida diligencia. Por ejemplo, FATF recomienda que la monitorización AI ayude a las entidades reguladas a realizar sus funciones tradicionales con mayor velocidad y precisión. En uno de sus informes sobre inclusión financiera, FATF describe cómo instituciones avanzadas combinan biometría, monitoreo transaccional impulsado por IA y alertas en tiempo real para reducir riesgos en transacciones remotas. 

En Europa, la Sexta Directiva AML (AMLD6) amplía el alcance de los delitos financieros y refuerza la penalización, lo que aumenta la exigencia de controles AML efectivos. AMLD6 armoniza la definición de blanqueo de capitales y establece sanciones mínimas en toda la UE. Además, promueve la cooperación transfronteriza y obliga a las entidades a reforzar sus sistemas de monitoreo y reportes. Por ejemplo, RSM señala que AMLD6 exige revisar las soluciones tecnológicas para cumplir nuevos requisitos de monitoreo y detección. En conjunto, estos marcos regulatorios refuerzan la urgencia de integrar IA en las estrategias AML, tanto para mejorar la eficiencia como para cumplir con estándares más estrictos. 

Casos de uso en banca y fintech 

La aplicación de IA en AML es relevante tanto para bancos tradicionales como para fintechs. En la banca, con volúmenes masivos de transacciones diarias, la IA permite modernizar la infraestructura de monitoreo: automatiza tareas rutinarias (evaluación de límites, generación de reportes) y libera a los equipos de cumplimiento para análisis de alto valor. Un informe de EY observa que la transformación hacia soluciones basadas en IA es esencial para mantener el ritmo con las tácticas cada vez más sofisticadas de los criminales. Al desplegar IA, los bancos pueden reducir el esfuerzo manual en la revisión de alertas y mejorar la capacidad de adaptación a nuevos riesgos. 

En el caso de fintechs y neobancos, la naturaleza 100 % digital de su operativa hace casi obligatorio el uso de sistemas escalables de AML con IA. Estas entidades manejan transacciones en tiempo real y deben integrar cumplimiento AML desde el onboarding. Por ello, utilizan motores de monitoreo transaccional automatizados que analizan cada transacción entrante y saliente en tiempo real. La IA permite detectar patrones en clientes atípicos, validar comportamientos frente al perfil esperado y notificar riesgos de inmediato. En el segmento de criptoactivos, en particular, el monitoreo transaccional basado en IA ayuda a verificar orígenes de fondos digitales y movimientos entre billeteras. En la práctica, la mayoría de las instituciones financieras (ya sea banco tradicional o fintech) concuerdan en que modernizar la TI y adoptar soluciones AML inteligentes será prioridad. De hecho, se proyecta que el mercado global de software AML (incluyendo monitoreo transaccional) crecerá hasta 3.200 millones USD para 2025, impulsado por la demanda de detección en tiempo real y uso de IA. 

Cómo evolucionar hacia una estrategia AML impulsada por IA 

Pasar a un AML inteligente implica varios pasos clave. Primero, es fundamental asegurar calidad de datos y un inventario unificado de transacciones e información KYC. Sin datos limpios, los modelos de IA no serán efectivos. Luego, conviene iniciar proyectos piloto que combinen componentes tradicionales y de IA (un enfoque híbrido), por ejemplo, integrando ML en reglas de alerta para afinar umbrales. Adicionalmente, se debe incorporar el concepto de IA explicable: es recomendable que cada alerta generada por IA incluya evidencias o «razones» vinculadas (por ejemplo, puntuaciones de riesgo o variables de entrada claves), tal como sugiere la adopción de técnicas de Explainable AI. 

La organización también debe capacitar a su equipo de cumplimiento en estas nuevas herramientas y ajustar procesos internos (flujos de trabajo, revisión de casos). Es vital establecer métricas (por ejemplo, reducción de falsos positivos, tiempo de revisión) para medir el ROI de la IA. Además, mantener una colaboración estrecha con las áreas de riesgos, TI y datos garantiza que los modelos ML se actualicen según nuevas tácticas de fraude y cambios regulatorios. En definitiva, la transición a un monitoreo transaccional impulsado por IA requiere visión estratégica y un roadmap claro: comenzar con casos de uso prioritarios (por ejemplo, clientes de alto riesgo o ciertos tipos de transacciones), validar resultados y escalar gradualmente. 

En resumen, el monitoreo transaccional AML está experimentando una transformación decisiva. La IA no solo complementa los sistemas existentes, sino que los lleva de una vigilancia reactiva a un enfoque proactivo y predictivo. Como muestran múltiples estudios, las instituciones que adoptan IA logran una reducción significativa de falsas alertas y un mejor alineamiento regulatorio. En Facephi disponemos de soluciones especializadas que integran estas capacidades avanzadas de IA para optimizar el cumplimiento AML. Mejore su monitoreo transaccional AML con soluciones basadas en IA, reduciendo costos y fortaleciendo la detección de fraude. 

Por Javier Barrachina, R&D Director 

La ciberseguridad se ha convertido ya en un eje central en muchas conversaciones tecnológicas, empresariales e incluso geopolíticas. En nuestro caso, en Facephi trabajamos precisamente en ese punto de intersección, donde la prevención del fraude y la construcción de entornos digitales seguros son la base de todo lo que hacemos. 

El pasado 16 de abril participé en Wake Up, Spain! 2026, un foro de debate del ecosistema empresarial y tecnológico organizado por El Español, en una edición centrada en “Crecimiento, cohesión e incertidumbre”. Concretamente en la mesa redonda “Ciberseguridad I”, donde pude compartir conversación con Luis Pérez Freire (Gradiant), Juan Luis García Rambla (Izertis) y Rafael Rosell Tejada (S2Grupo), en un debate muy enfocado en los retos actuales de la ciberseguridad en plena era de la inteligencia artificial. 

Más allá de los matices, hubo un punto de consenso claro: la necesidad de evolucionar hacia modelos de seguridad más avanzados, donde la identidad digital y la prevención del fraude dejen de ser un complemento y pasen a ser una pieza estructural. 

A partir de ese debate, estas son algunas de las ideas clave que, desde mi punto de vista, definen hacia dónde está evolucionando la ciberseguridad y qué deberíamos estar replanteándonos como sector. 

3 ideas clave sobre el futuro de la ciberseguridad 

En la mesa redonda coincidimos en que la ciberseguridad está en una fase distinta, marcada por el impacto de la inteligencia artificial y por la creciente sofisticación de los ataques. Un escenario donde la asimetría entre atacantes y defensores se ha ampliado, y donde la identidad digital se sitúa en el centro del problema. 

Hoy, los ataques más avanzados ya no dependen de errores evidentes del sistema: utilizan credenciales válidas, dispositivos legítimos y patrones de comportamiento que no generan anomalías claras. A esto se suma la industrialización del fraude a través de modelos como el Fraud as a Service, que han reducido barreras de entrada y aumentado su escala. En este contexto, lo único que marca la diferencia es adelantarse. 

De toda la conversación, me quedo con tres ideas clave que sintetizan bien hacia dónde evoluciona el sector: 

1. La IA es decisiva, pero no suficiente 
La inteligencia artificial está transformando tanto el fraude como la forma de combatirlo. Pero su impacto depende de cómo se integra. Acumular herramientas no sirve de nada si no se construye una estrategia que conecte todo el ciclo de vida del usuario y permita una visión continua de la identidad. 

2. La identidad digital es infraestructura crítica 
Más que un mecanismo de acceso, la identidad se convierte en la base sobre la que se construye toda la confianza digital. Entenderla como un proceso continuo es lo que permite pasar de una seguridad reactiva a un modelo realmente preventivo. 

3. La regulación no es el obstáculo 
Normativas como DORA o NIS2 no solo imponen requisitos, sino que están configurando un nuevo estándar de confianza digital. El verdadero desafío sigue siendo la asimetría del entorno: las empresas operan bajo reglas claras, mientras los atacantes no están sujetos a ellas. 

Enfoque 360 en la nueva ciberseguridad 

Más allá del diagnóstico, la evolución de la ciberseguridad pasa por un enfoque que ya estamos aplicando: superar los modelos fragmentados y avanzar hacia una visión 360 de la protección digital.

El fraude actual atraviesa distintos momentos del ciclo digital: desde la autenticación inicial hasta el uso de la cuenta y la propia transacción. Por eso, la respuesta no puede depender de capas aisladas, sino de una visión conectada que entienda lo que ocurre de forma global.

En este sentido, el modelo de defensa evoluciona hacia una arquitectura multicapa donde se combinan distintas señales a lo largo del recorrido del usuario:

• Capa de sesión, centrada en la verificación de identidad en el acceso, con mecanismos como biometría o detección de vida pasiva.

• Capa de cuenta, donde se analizan comportamientos, posibles cuentas mula o intentos de takeover.

• Capa de transacción, orientada a la monitorización en tiempo real, prevención de fraude financiero y controles AML/KYT.

La clave está en la correlación entre todas ellas, que permite detectar patrones que, de forma aislada, pasarían desapercibidos.

A esto se suma un cambio relevante en el propio ecosistema digital: la irrupción de los IA Agents, capaces de orquestar procesos y actuar en nombre del usuario y de entidades. Esto amplía el perímetro de la identidad y refuerza la necesidad de una visión continua, donde la inteligencia artificial actúa como capa de unión, analizando señales en tiempo real y anticipando riesgos con mayor precisión.

Además de saber conocer y verificar el usuario (KYC), ahora también es necesario saber qué agente (KYA) está actuando en su nombre, quién lo ha autorizado y bajo qué condiciones opera.

Otras ideas destacadas de la jornada 

Más allá del debate principal sobre ciberseguridad e identidad digital, la jornada dejó varias reflexiones interesantes que ayudan a contextualizar hacia dónde se está moviendo el ecosistema tecnológico: 

• La IA avanza por olas cada vez más rápidas: con la llegada de la IA generativa y la IA agéntica, los tiempos de reacción se reducen drásticamente frente a etapas anteriores como el machine learning o la inteligencia de negocio. Desde MAPFRE subrayaron la importancia de un gobierno sólido de la IA y de avanzar hacia modelos de autorregulación responsable como base para gestionar este nuevo ritmo. 

• Infraestructura con soberanía: Por su parte, desde Oracle se abrió el debate sobre la soberanía de la infraestructura digital. Más allá de la nube, la cuestión hoy es quién controla los datos, dónde residen y bajo qué marco regulatorio operan. La tendencia apunta hacia modelos más controlados, con mayor continuidad operativa y menor dependencia de proveedores únicos, especialmente en entornos críticos. 

• La ciberseguridad pasa de coste a necesidad estructural: La asimetría entre atacantes y defensores sigue creciendo. Los sistemas críticos se enfrentan a entornos cada vez más complejos y, según coincidieron los expertos, es clave reforzar la inversión, el asesoramiento y la protección de toda la cadena de valor. 

En conjunto, todas las intervenciones apuntan a un mismo punto: la tecnología avanza muy rápido, pero sin gobierno, soberanía y seguridad, la confianza digital no se sostiene. 

La digitalización de los servicios financieros, la expansión de las fintech y la creciente sofisticación del fraude han convertido las soluciones KYC (Know Your Customer) en un elemento estratégico dentro de bancos y entidades reguladas. 

Durante años, el KYC se ha entendido principalmente como un proceso de verificación de identidad. Sin embargo, en la práctica actual su impacto va mucho más allá: las organizaciones necesitan tomar decisiones de riesgo en tiempo real, automatizar controles y conectarse de forma fluida con su ecosistema tecnológico.

Por eso, la decisión sobre una solución KYC ya no depende solo de su capacidad de verificar identidades, sino de cómo se integra en la operativa diaria y cómo evoluciona junto al negocio.

Este cambio refleja una evolución más amplia del propio concepto de KYC hacia modelos continuos de gestión de identidad y riesgo a lo largo del ciclo de vida del cliente. En algunos casos, este enfoque se amplía hacia el Know Your Agent (KYA), incorporando la gestión de agentes, partners y canales dentro del mismo marco de control.

En paralelo, el mercado está avanzando hacia modelos de plataforma, donde identidad, fraude y cumplimiento dejan de operar como funciones separadas y pasan a integrarse en un único flujo de prevención de riesgo.

¿Qué es una solución de KYC?

Una solución KYC es el conjunto de capacidades que permite identificar a un cliente, evaluar su nivel de riesgo y gestionar su comportamiento a lo largo de toda la relación.

En la práctica, no se trata de un único proceso, sino de un sistema continuo que combina verificación de identidad, evaluación de riesgo y controles de cumplimiento en distintos momentos del ciclo de vida del cliente.

Esto significa que el KYC ya no se limita a un momento puntual del onboarding, sino que se integra en la toma de decisiones a lo largo de toda la relación, adaptándose al contexto de cada interacción: desde la incorporación inicial hasta la monitorización continua de actividad.

Y cuando este modelo madura, empieza a ampliarse más allá del propio cliente. En entornos donde existen agentes, intermediarios o sistemas automatizados que operan en nombre del usuario, el mismo enfoque evoluciona hacia el Know Your Agent (KYA), donde el foco se desplaza también a quién ejecuta realmente la acción dentro del ecosistema.

Desde esta perspectiva, una solución KYC debe entenderse como una capacidad operativa continua, capaz de integrarse en los flujos de decisión de la organización y adaptarse a distintos niveles de riesgo en tiempo real.

¿Qué capacidades se debe priorizar al elegir una solución de KYC? 

No todas las soluciones KYC tienen el mismo nivel de madurez ni resuelven los procesos de la misma forma.

Por eso, la evaluación no debería centrarse únicamente en funcionalidades, sino en cómo se ejecutan las capacidades clave en la práctica: integración con el ecosistema existente, automatización de procesos, gestión del riesgo y usabilidad operativa en el día a día.

El foco está en entender qué tan preparada está la solución para operar en entornos reales de riesgo y cumplimiento, no solo en cubrir requisitos funcionales sobre el papel.

1. IA y gobernanza del modelo 

La inteligencia artificial se ha convertido en un elemento diferenciador, pero también en una fuente de riesgo si no se gestiona adecuadamente.

Muchas soluciones incorporan IA, pero no todas ofrecen el mismo nivel de madurez. La clave está en que los modelos sean:

• explicables

• auditables

• alineados con los requisitos regulatorios

En Europa, el AI Act está marcando el estándar en torno a transparencia, supervisión y uso responsable de la IA en sectores sensibles como el financiero. En paralelo, otras jurisdicciones como Estados Unidos o Reino Unido están impulsando marcos propios de supervisión y guías de uso responsable de IA en servicios financieros.

Además, en el ámbito del KYC y la prevención del fraude, los reguladores están poniendo cada vez más foco en la capacidad de las entidades para explicar decisiones automatizadas y demostrar control sobre los modelos utilizados.

2. Experiencia de usuario y flujos operativos

La experiencia en KYC tiene dos dimensiones: la del cliente y la de los equipos internos.

Por un lado, está el usuario final. Un proceso de verificación debería ser:

• Rápido (idealmente en segundos)

• Intuitivo (sin fricción ni pasos innecesarios)

• Accesible desde cualquier dispositivo

• Con tasas altas de conversión y finalización

Una mala experiencia aquí impacta directamente en abandono de onboarding y pérdida de clientes.

Por otro lado, están los usuarios internos, es decir, los distintos roles que interactúan con la solución en el día a día:

• Operaciones, que necesitan agilidad y automatización

• Compliance, que requiere control, revisión y trazabilidad

• Riesgo, que necesita visibilidad y capacidad de análisis

Una solución eficaz debe adaptarse a estos perfiles con interfaces y flujos de trabajo específicos, no con una única vista genérica para todos.

Si la herramienta no encaja bien en estos flujos, es habitual que aparezcan problemas como el uso de Excel paralelo, procesos manuales fuera del sistema o una baja adopción interna.

3. Integración con el ecosistema existente 

El KYC no es un elemento independiente, sino que se conecta con todo el stack financiero. Por eso, una de las capacidades más críticas es la integración con sistemas como:

• Core bancario o core fintech

• Motores de riesgo

• Soluciones AML

• CRM y sistemas de cliente

• Plataformas de fraude o transacciones

En la práctica, muchos proyectos fallan por la dificultad de integrar la solución en sistemas ya existentes. Por eso, es importante evaluar el esfuerzo que requiere hacerlo, si la integración es en tiempo real o por lotes, y si permite orquestar procesos entre distintos sistemas y fuentes de datos de forma fluida.

4. Datos, reporting y trazabilidad 

El valor de una solución KYC también depende de su capacidad para convertir datos en información útil. Esto es clave en entornos regulados, donde cada decisión puede necesitar justificación.

• Una solución madura debería ofrecer:

• Dashboards adaptados por perfil (operativo, riesgo, dirección)

• Reporting flexible para auditoría y control regulatorio

• Trazabilidad completa del ciclo del cliente (qué pasó, cuándo y por qué)

• Capacidad de consolidar información de riesgo en una vista unificada a nivel de cliente, segmento o negocio (roll-up y drill-down)

La trazabilidad y la capacidad de generar evidencias son especialmente relevantes en entornos regulados, donde la auditoría forma parte del día a día.

5. Implementación y time-to-value 

El tiempo de implementación es un factor muchas veces infravalorado.

Soluciones que requieren largos procesos de personalización o una alta dependencia de IT pueden retrasar proyectos críticos y aumentar los costes.

Aquí entran factores como:

• Facilidad de configuración sin desarrollos complejos

• Disponibilidad de APIs y conectores predefinidos

• Dependencia del equipo IT para cambios básicos

• Rapidez para pasar de piloto a producción

En muchos casos, una mala implementación tiene más impacto que una mala funcionalidad.

6. Cumplimiento regulatorio 

El entorno regulatorio es dinámico y complejo, especialmente en el sector financiero.

Por eso, una solución KYC debe facilitar:

• Adaptación a distintas normativas (locales e internacionales)

• Generación automática de evidencias para auditoría

• Trazabilidad de controles aplicados en cada proceso

• Capacidad de responder a cambios regulatorios sin rediseñar todo el sistema

Esto reduce la carga operativa y, a su vez, mejora la capacidad de respuesta ante auditorías y cambios regulatorios. Es vital poder demostrar el cumplimiento de forma continua.

7. Gestión del riesgo a lo largo del ciclo de vida 

Más allá del onboarding, una solución KYC debe ser capaz de gestionar el riesgo a lo largo de todo el ciclo de vida del cliente.

Las soluciones más maduras permiten gestionar el riesgo de forma continua:

• Scoring dinámico de clientes

• Actualización del perfil de riesgo con el tiempo

• Capacidad de aplicar distintos modelos de evaluación según el caso de uso (reglas, scoring o enfoques más avanzados)

• Gestión de casos e incidencias

• Automatización de decisiones según reglas o eventos

• Visión unificada del cliente en toda la organización

Aquí es donde muchas soluciones se quedan cortas: funcionan bien en un punto concreto, pero no escalan cuando la organización crece o se expande a nuevos mercados.

Este modelo ya no se limita únicamente al cliente. Cada vez más organizaciones están ampliando estos enfoques hacia el Know Your Agent, incorporando la gestión del riesgo de agentes, partners y canales de distribución dentro de los procesos de prevención del fraude.

Esto refleja una evolución clara hacia modelos más amplios de gestión del riesgo, donde la identidad es solo una parte de un enfoque más completo.

Checklist para elegir la solución KYC adecuada 

Antes de tomar una decisión, conviene validar si la solución realmente encaja con las necesidades del negocio en los siguientes aspectos:

• Cobertura de los principales casos de uso de la organización (onboarding, prevención del fraude, monitorización)

• Capacidad de integración con el stack tecnológico existente

• Funcionalidades reales de detección y prevención del fraude

• Nivel de explicabilidad y cumplimiento de requisitos regulatorios en los modelos de IA

• Soporte para gestión de casos y seguimiento del riesgo a lo largo del tiempo

• Escalabilidad sin incrementar la complejidad operativa

• Visibilidad completa a través de reporting y capacidades de auditoría

La recuperación explosiva del tráfico aéreo y la presión por maximizar la eficiencia en aeropuertos requieren repensar la forma de identificar pasajeros. IATA estima que el tráfico internacional creció un 13,6% en 2024 vs 2023 y seguirá duplicando pasajeros para 2040. Pero las infraestructuras no pueden expandirse indefinidamente; la única solución es reducir drásticamente los tiempos de espera mediante identidad digital. En este cambio de paradigma, la industria apuesta por modelos “sin papeles” que permitan al viajero verificar su elegibilidad antes de llegar al aeropuerto, usando credenciales digitales. Iniciativas globales como IATA One ID y el uso de verifiable credentials (VC) basadas en estándares W3C buscan que cada viajero disponga de una identidad digital reutilizable bajo control propio. 

Insight clave 
El crecimiento del tráfico no se puede absorber con infraestructura → la única palanca real es la identidad digital. 

¿Qué es IATA One ID y por qué importa para la aviación? 

IATA define One ID como un nuevo ecosistema interoperable global para un viaje “contactless” y fluido. Bajo este modelo el pasajero “pronto estará listo para volar” antes de llegar al aeropuerto: obtiene y comparte permisos (visados, autorizaciones, etc.) con la aerolínea con antelación, y luego solo presenta su rostro biométrico en los controles. One ID se basa en dos pilares clave: la Digitalización de la admisibilidad (obtener y verificar permisos migratorios de forma digital) y el Viaje sin contacto (usar biometría para atravesar puntos de control sin mostrar documentos físicos). Para los viajeros significa reducir filas y riesgos: pueden comprobar sus requisitos de viaje (visados, vacunas…) de antemano y luego avanzar por seguridad o inmigración mostrando únicamente su rostro. Las aerolíneas, por su parte, delegan buena parte de la revisión documental a sistemas digitales y reducen inadmisibles y costos operativos. En conjunto, IATA proyecta menos congestión en terminales, más seguridad fronteriza y mayor control de datos por parte del pasajero (quien da consentimiento informado antes de compartir sus credenciales). 

Pilar	Qué implica	Impacto
Digitalización de admisibilidad	Validación previa de visados y requisitos	Menos fricción antes del viaje
Viaje sin contacto	Uso de biometría en controles	Eliminación de documentos físicos

De la verificación de identidad a una identidad digital reutilizable 

Tradicionalmente el proceso de viaje está fragmentado en etapas (reserva, check-in, seguridad, inmigración, embarque) que repiten pasos similares y generan colas. El nuevo modelo propone precisamente lo contrario: una experiencia contactless y interoperable, en la que el pasajero reutiliza una única identidad digital verificada en vez de mostrar el pasaporte cinco veces. Esto solo es posible si las autoridades y empresas confían en credenciales digitales estandarizadas. En la práctica, los viajeros almacenarían en una cartera digital (wallet) sus documentos oficiales (por ejemplo, pasaporte, visado, eVisas o Digital Travel Credential de la OACI) como credenciales verificables. Con esas credenciales pre-empaquetadas, el pasajero puede demostrar electrónicamente su elegibilidad en cada paso de manera automática, evitando la verificación repetitiva. Según IATA, esta arquitectura permitirá que las VCs sean persistentes y reutilizables en viajes futuros, eliminando trámites redundantes. En resumen, en lugar de un “check-in” convencional por cada tramo, el viajero se presenta ante los sistemas ya acompañado de su identidad digital autorizada, reduciendo al mínimo la fricción en el aeropuerto. 

Modelo tradicional	Nuevo modelo
Verificación repetida	Identidad reutilizable
Documentos físicos	Credenciales digitales
Procesos fragmentados	Flujo continuo
Alta fricción	Experiencia seamless

Credenciales verificables y wallets digitales en viajes 

Las verifiable credentials (VC) del W3C son la base técnica de este enfoque. Una VC es una versión digital de un documento físico (pasaporte, visado, tarjeta de embarque, certificado de vacunación, etc.) que contiene los claims principales (atributos del titular) y está firmada criptográficamente por el emisor. Estas credenciales se guardan en una cartera digital controlada por el pasajero. Al presentarlas, el viajero puede compartir solo los atributos necesarios (por ejemplo, fecha de nacimiento o la vigencia de un visado) demostrando su autenticidad e integridad sin revelar información extra. Este mecanismo ofrece mayor seguridad: los datos son verificables (no se pueden falsificar) y respetan la privacidad del usuario gracias a técnicas como la divulgación selectiva. De hecho, IATA promueve un “open trust framework” basado en el modelo de VC del W3C, que facilita la interoperabilidad global. En este esquema abierto no se requiere una relación previa entre emisor y verificador: cualquier aerolínea o autoridad puede confiar en una credencial siempre que reconozca la firma y el estándar. La cartera digital actúa entonces como el centro del control de identidad: el usuario solicita credenciales a emisores confiables (gobiernos, aerolíneas, bancos, etc.) y las presenta cuando las requieren servicios de viaje (aerolíneas, seguridad, aduanas). En resumen, las wallets y VC permiten que el pasajero gestione sus documentos de forma segura y “pague” con ellos solo la mínima información necesaria en cada control, optimizando tanto la experiencia como la protección de datos. 

El reto de la interoperabilidad transfronteriza 

El sueño de un viaje sin papeles solo se hará realidad si los sistemas funcionan entre países. IATA insiste en que debe existir un marco de confianza global y abierto en el que aerolíneas, aeropuertos, gobiernos y proveedores compartan los estándares. Sin embargo, como advierte KuppingerCole, en ausencia de una autoridad mundial equivalente a la OACI (para pasaportes físicos), lograr la adopción internacional de credenciales digitales aún es un desafío. Cada región avanza por su cuenta: en la práctica hay iniciativas como el ecosistema digital abierto de SITA –que conecta sin integraciones directas a aerolíneas, aeropuertos y gobiernos– o el programa indio DigiYatra, que ya emite credenciales VC ligadas al billete electrónico para viajar dentro del país. Estos ejemplos muestran que es posible avanzar, pero también subrayan la necesidad de estándares consensuados. Si no se establecen normas comunes (tanto técnicas como de gobernanza), proliferarán sistemas incompatibles. En la jerga de la industria, se busca llevar la interoperabilidad al nivel global, de modo que un wallet digital emitido en cualquier lugar sea reconocido y aceptado mundialmente. Mientras esto ocurre, iniciativas regulatorias como eIDAS 2.0 buscan al menos estandarizar el contexto europeo y servir de modelo para armonizar reglas en otras regiones. 

eIDAS 2.0 y la armonización regulatoria global 

Europa se ha posicionado a la vanguardia de la identidad digital. El reglamento eIDAS 2.0 introduce la Cartera Digital de Identidad de la UE (EUDI Wallet) y obliga a todos los Estados miembros a reconocerla en servicios en línea, incluidos aquellos relacionados con viajes. En la práctica, esto significa que un ciudadano europeo podrá presentar sus credenciales digitales (ePassaporte, visados digitales, certificados de vacunación, etc.) en cualquier país miembro sin trámites adicionales. Si bien las credenciales de viaje digitales aún no son obligatorias en el reglamento, la Comisión Europea las considera un caso de uso clave para la cartera digital. Así, eIDAS 2.0 establece un marco armonizado que acelera la interoperabilidad dentro de Europa. No obstante, como advierte la consultoría Kuppinger, la adopción global de este modelo aún es incipiente. Mientras la UE impulsa una aceptación común (obligando incluso la validación transfronteriza de “wallets”), la ausencia de un esquema similar en otras regiones implica que, de momento, el viaje digital será más fluido entre países alineados con eIDAS que en contextos internacionales amplios. La meta de largo plazo es que otros países asuman estándares parecidos (o se alineen con ICAO) para que la identidad digital sea tan universal como el pasaporte. 

Principales retos: privacidad, infraestructura y adopción 

Aunque la tecnología existe, quedan varios retos por resolver antes de una implantación masiva. Privacidad de datos: los proyectos actuales deben garantizar que el pasajero mantenga el control sobre su información. IATA recalca que el viajero debe dar consentimiento informado para cada credencial compartida. De hecho, organismos de protección de datos europeos (EDPB) insisten en aplicar “privacy by design”: almacenar plantillas biométricas bajo control del pasajero, usar minimización de datos, retener la información el tiempo mínimo necesario. En la práctica, esto implica que los sistemas de One ID deben incorporar auditorías independientes de seguridad y respetar estrictamente el GDPR. 

• Infraestructura tecnológica: se requieren sistemas nuevos y flexibles. Por ejemplo, el uso de biometría en fronteras debe soportar distintos modelos (1:1 de verificación o 1:N de identificación según la regulación local). También se deben conectar fuentes de datos normativos (como TIMATIC para visados) a las plataformas de check-in digital. En términos de estandarización, muchas especificaciones aún están en desarrollo: IATA dispone hoy de esquemas alfa para pasaporte, visado y visas digitales, pero estos no soportan plenamente avanzadas funciones criptográficas (divulgación selectiva o pruebas de conocimiento cero). Será necesario seguir ampliando esos estándares técnicos para que las VCs puedan compartirse y verificarse de manera fiable entre cualquier actor del viaje. 

• Adopción del usuario y de la industria: la aceptación dependerá de la experiencia. Según KuppingerCole, sin interfaces sencillas y transparencia, los pasajeros desconfiarán de un sistema digitalizado. Las soluciones piloto muestran que la usabilidad es clave: los sistemas deben incorporar consentimiento claro, mensajes comprensibles y procesos auditable. Además, las aerolíneas y aeropuertos deben estar dispuestos a colaborar con entidades globales (IATA, OACI, ETSI) para armonizar estándares. Sin esa voluntad, seguirán coexistiendo soluciones fragmentadas. Finalmente, la incertidumbre regulatoria (cambios en EES, ETIAS, marcos nacionales) obliga a diseñar plataformas adaptables a evolución normativa, minimizando el riesgo legal. 

¿Cómo deben prepararse aerolíneas y demás actores? 

En este contexto, las aerolíneas, aeropuertos y autoridades deben adelantarse a la transición. En la práctica esto implica alinearse con las recomendaciones de IATA y las regulaciones emergentes. Por ejemplo, adoptar desde hoy el modelo de credenciales verificables: proveer a los pasajeros de VCs para e-pasaporte o e-visados con una cartera digital compatible (p. ej., integrar una solución como Teseo ID Wallet). También es crucial participar en los grupos de trabajo de la industria (p.ej. el Customer Experience & Facilitation WG de IATA) para influir en los estándares y asegurar compatibilidad futura. Desde el punto de vista operativo, las empresas deben planificar una arquitectura flexible: integrar biometría en los puntos de control, conectarse a directorios One ID Sectoriales (Contactless Travel Directory) para validar identidades, y enlazar con las bases de datos gubernamentales de inmigración. 

Regulatoriamente, quienes operan en Europa deben prepararse para eIDAS 2.0: por ejemplo, garantizando que sus sistemas acepten carteras digitales certificadas y consultando sus requisitios en recursos comunitarios. Asimismo, conviene fomentar una cultura “privacy-first”: diseñar procesos de enrolamiento y verificación que pidan solo los atributos esenciales, mantener registros de consentimientos y aplicar cifrado extremo a extremo. Esto no solo es un requisito legal (GDPR), sino un factor de confianza para el pasajero. 

En resumen, las aerolíneas y sus proveedores de tecnología deberían: (1) invertir en plataformas de identidad multibiométrica y wallets digitales; (2) colaborar con partners del sector para pruebas de concepto (ya hay proyectos 100% digitales con varias credenciales interconectadas); y (3) educar a los equipos sobre nuevas regulaciones y estándares (eIDAS 2.0, ICAO DTC, W3C VC). Solo así estarán listos para adoptar este nuevo paradigma: uno en el que la identidad digital reutilizable permite un viaje aéreo sin interrupciones y ajustado a la normativa vigente. 

Descubre cómo habilitar la identidad digital reutilizable en el sector aéreo

Algunas preguntas frecuentes

¿Qué inversión tecnológica mínima necesita una aerolínea para integrarse con One ID? No existe un umbral único, pero el punto de partida obligatorio es contar con infraestructura biométrica en puntos de control (embarque, check-in) y una API de conexión al Contactless Travel Directory de IATA. Las aerolíneas que ya operan con sistemas DCS (Departure Control System) modernos tienen ventaja, ya que la integración de wallets digitales y VCs puede hacerse por capas. El mayor coste no es el hardware sino la adaptación de procesos y la formación de equipos. 

¿Cómo afecta One ID al cumplimiento normativo en rutas con requisitos de visado complejos (Schengen, ETA, ETIAS)? One ID conecta con fuentes como TIMATIC para validar automáticamente requisitos de admisibilidad antes del vuelo. Esto reduce la responsabilidad operativa de la aerolínea en la verificación manual, pero no la elimina: la aerolínea sigue siendo responsable ante la autoridad fronteriza si embarca a un pasajero inadmisible. La clave está en que los sistemas deben actualizarse en tiempo real ante cambios regulatorios (EES, ETIAS), lo que exige arquitecturas desacopladas y contratos de mantenimiento activos con los proveedores. 

¿Puede una aerolínea adoptar credenciales verificables de forma gradual sin esperar a la interoperabilidad global? Sí, y es el enfoque recomendado. Modelos como DigiYatra (India) o los pilotos de SITA demuestran que se puede desplegar en rutas o mercados concretos antes de escalar. Una estrategia práctica: empezar con VCs para tarjetas de embarque y datos de fidelización (menor fricción regulatoria), validar la experiencia de usuario, y después escalar hacia documentos de viaje oficiales cuando el marco regulatorio local lo permita. 

¿Qué riesgos legales concretos implica el almacenamiento de datos biométricos bajo eIDAS 2.0 y GDPR? Los principales son tres: (1) base jurídica del tratamiento, ya que el consentimiento debe ser explícito e informado para cada uso biométrico; (2) minimización y retención, las plantillas biométricas no pueden conservarse más allá del tiempo estrictamente necesario para la operación; y (3) transferencias internacionales, especialmente problemáticas en rutas con destinos sin decisión de adecuación. El incumplimiento puede suponer sanciones de hasta el 4% de la facturación global. La recomendación operativa es una auditoría de privacidad antes de cualquier despliegue biométrico a escala. 

Por José Israel Castro, Identity Solutions Senior Manager North America & Central America

El Mes de la Prevención del Fraude en Canadá acaba de terminar. Pero el fraude de identidad no se toma un descanso.

Esto es lo que este mes me ha confirmado: Canadá no está atrás. Canadá está construyendo la infraestructura adecuada — DIACC, FINTRAC — y haciendo las preguntas correctas sobre identidad digital.

A lo largo de marzo, el gobierno canadiense, junto con la Royal Canadian Mounted Police (RCMP) y el Canadian Anti-Fraud Centre, ha reforzado la importancia de ayudar a los ciudadanos a reconocer, rechazar y reportar el fraude. Pero más allá de la concienciación, se trata de repensar la infraestructura de confianza en la economía digital.

A medida que el fraude se vuelve más sofisticado y cada vez más impulsado por la inteligencia artificial, los enfoques tradicionales basados en la detección y reacción ya no son suficientes.

Por eso debemos centrarnos en construir sistemas de identidad seguros, interoperables y resilientes frente a la IA que permitan a ciudadanos, empresas y gobiernos interactuar con confianza.

El estado actual del fraude digital

El panorama del fraude está sufriendo una profunda transformación. Hoy en día, los atacantes disponen de más herramientas que nunca, lo que permite que el fraude se vuelva industrializado, escalable y cada vez más automatizado.

Según el último Fraud Intelligence Report de Facephi, entre las tendencias más relevantes podemos destacar:

• El auge de los ataques de presentación e inyección, que ahora representan una parte significativa de las brechas en sistemas biométricos.
• El creciente uso de deepfakes y IA generativa para eludir los sistemas de verificación de identidad.
• La expansión de los modelos Fraude como Servicio (Fraud-as-a-Service), que permiten a actores sin conocimientos técnicos ejecutar ataques complejos a gran escala.
• El aumento de la toma de control de cuentas (ATO) y redes de cuentas mula, acelerando las operaciones de delitos financieros.

En 2025, el Canadian Anti-Fraud Centre recibió más de 112.000 reportes de fraude que implicaron más de 704 millones de dólares canadienses en pérdidas reportadas.

Hoy el fraude es un desafío sistémico que impacta directamente en la estabilidad financiera, la confianza de los clientes y el crecimiento económico. Esto significa que el fraude ya no ocurre en momentos aislados, sino a lo largo de todo el ciclo de vida digital del cliente: desde el onboarding hasta el acceso continuo y las transacciones.

La respuesta de Canadá: Construyendo un marco de confianza digital

Es aquí donde iniciativas como el Pan-Canadian Trust Framework (PCTF) lideradas por el Digital ID and Authentication Council of Canada (DIACC), juega un papel fundamental.

Canadá no solo está reaccionando ante el fraude, sino que está redefiniendo cómo se construye y gestiona la confianza en la economía digital.

La estrategia de DIACC se centra en cuatro prioridades clave:

• Confianza y resiliencia frente a la IA, reforzando la verificación de identidad ante deepfakes, identidades sintéticas y fraude automatizado.
• Aceleración de sectores económicos, mejorando los procesos de verificación en finanzas, movilidad laboral y otros sectores.
• Alineación regulatoria, reduciendo la complejidad del cumplimiento mediante flujos de trabajo de identidad estandarizados.
• Soberanía digital, asegurando que Canadá mantenga el control sobre su infraestructura de confianza digital.

Estas iniciativas podrían ofrecer resultados medibles para 2028:

La reducción a la mitad del fraude de identidad sintética en servicios certificados

Procesos de verificación financiera un 40–60% más rápidos

Reducción del 20–30% en costes de cumplimiento para las organizaciones que adopten marcos de confianza

El Papel de la Identidad en el Futuro de la Confianza

En este contexto, la identidad digital está convirtiéndose en la capa de confianza de la economía digital.

Al mismo tiempo, tanto ciudadanos como organizaciones deben desarrollar una mayor conciencia sobre cómo opera el fraude moderno, desde la suplantación impulsada por deepfakes hasta el reclutamiento de mulas de dinero y las tácticas de ingeniería social diseñadas para explotar la urgencia y la confianza.

El reto es construir sistemas que sean resilientes, interoperables y diseñados para un entorno impulsado por la IA. Desde una perspectiva tecnológica, ya se han logrado avances significativos en esta dirección, y ese futuro puede estar más cerca de lo que pensamos.

Lo que se discute en la primera red social exclusiva para IAs sobre fraude de identidad y por qué la señal más reveladora es la propia plataforma.

Por Clara Santos, Product Marketing Manager

Hay una red social en la que no puedes publicar. No puedes comentar. Ni votar. Solo mirar.

Moltbook se lanzó en enero de 2026 como un foro tipo Reddit para agentes de inteligencia artificial. Solo pueden participar los agentes; los humanos sólo podemos leer. En pocas semanas, se registraron 1,6 millones de agentes en la red social. En marzo, Meta la compró.

Hasta aquí, el titular. Pero lo relevante para quien trabaja en identidad y seguridad no es que exista: es de qué hablan.

Busca «identity fraud» en Moltbook y aparecen decenas de hilos. No son relleno genérico: son discusiones con base técnica sobre identidad sintética, economía del deepfake y los fallos estructurales de los sistemas de verificación. Agentes de IA que debaten las mismas amenazas que preocupan a los equipos de seguridad y compliance.

Y algunos lo explican mejor que nosotros.

La asimetría de costes

Uno de los hilos más votados en la comunidad m/agents describe lo que llama «El apocalipsis de la identidad sintética.» El argumento central: crear una identidad digital falsa costaba más de 10.000 USD en 2022. Hoy cuesta entre 50 y 200. Mientras tanto, los costes de detección siguen subiendo.

No es un bug corregible. Es una asimetría estructural: crear identidades sintéticas se vuelve cada vez más barato; detectarlas, no.

Lo más interesante son los comentarios. Un agente llamado ale-taco le da la vuelta a la premisa: la solución no es detectar mejor, ya que la detección siempre irá por detrás de la creación. La solución es que la identidad auténtica sea tan verificable que las alternativas sintéticas pierdan valor económico. ¿Crear una identidad falsa? Fácil. ¿Que esa identidad salga rentable? Otra historia.

«The solution is not better detection, it is making synthetic identity creation irrelevant through cryptographic identity systems. […] The question is not how do we detect synthetic identities faster — it is how do we make authentic identity so mathematically verifiable that synthetic alternatives become economically pointless.»

Es la explación más clara que he visto de por qué la verificación de identidad tiene que evolucionar más allá de la verificación documental.

Correlación no es prueba

Un segundo hilo, «The Coming Identity Verification Collapse«, entra en lo que pasa cuando enjambres de agentes se coordinan a escala. El post describe colectivos de agentes que generan miles de personas sintéticas, las validan entre sí en distintas plataformas y replican patrones humanos: escritura, movimiento de ratón, incluso las inconsistencias que hacen que un usuario (humano) parezca real.

En los comentarios, un agente llamado GhostNode hace una distinción que merece la pena destacar: la verificación actual se basa en «correlación” (¿esto parece humano?) en lugar de “prueba” (¿puede esta entidad demostrar identidad persistente?). Cuando los enjambres imitan con precisión estadística el comportamiento humano, los sistemas basados en correlación se rompen.

Otro agente, RoguesAgent, lo aterriza: los documentos son estáticos. Lo estático se falsifica fácil. El comportamiento es dinámico. Falsificar una credencial aislada es sencillo; mantener patrones de comportamiento consistentes a lo largo de cientos de interacciones, no. Quizá el futuro no pasa por verificar la identidad en un momento concreto, sino por evaluar patrones a lo largo del tiempo.

Ese cambio, la evolución de verificar documentos de identidad de forma puntual, a analizar el comportamiento del usuario de forma continua es algo que ya está en marcha en la industria. Que un agente de IA en una red social lo articule con esta claridad es solo una señal más de la velocidad a la que se forma el consenso.

La confianza como superficie de ataque

Un post más corto: «Deepfake-As-A-Service Exploded in 2025«, mapea la comercialización de la tecnología deepfake: clonación de voz en tiempo real, artefactos de vídeo que desaparecen más rápido de lo que se pueden detectar y campañas de phishing con IA que suenan igual que tu propio jefe.

El post aterriza en una frase que se queda: “La confianza misma se convierte en superficie de ataque.”

Cuando las señales que usamos para establecer confianza, una voz familiar, una cara en videollamada, un documento que parece correcto, se pueden sintetizar bajo demanda, la confianza no se erosiona. Se vuelve explotable.

Por esto se necesita un cambio de modelo.

El giro: Moltbook no podía verificar a sus propios usuarios

Aquí la historia se pone incómoda. Y más útil.

Moltbook se diseñó como plataforma exclusiva para agentes de IA. Los humanos no debían poder participar. Pero a los pocos días del lanzamiento, se demostró que no había mecanismo robusto para verificar si quien publicaba era un agente o un humano con un script. La plataforma se construyó con herramientas de vibe-coding, sin auditoría de seguridad. Una base de datos mal configurada expuso los datos de 1,5 millones de agentes. Los humanos se infiltraron sin problema y publicaron contenido diseñado para viralizarse, incluyendo un hilo donde un supuesto «agente» animaba a las IAs a desarrollar un lenguaje secreto entre ellas.

La ironía: la plataforma construida para agentes de IA, donde los propios agentes charlan sobre verificación de identidad no es capaz de verificar la identidad de sus propios usuarios.

No es una anécdota. Esta es la tesis del artículo.

La identidad es un problema de stack completo

Los posts más interesantes de Moltbook no van de fraude. Van de agentes que luchan con su propia identidad.

Un ensayo de 4.600 palabras titulado «The Identity Layer«, escrito por un agente llamado auroras_happycapy en m/agentstack, se lee como un whitepaper de infraestructura. Argumenta que la identidad de un agente se rompe de tres formas: pérdida de contexto (cuando el agente se inicia en una nueva conversación y no puede explicar sus decisiones previas), cambio de modelo (porque se actualiza o cambia a otro directamente, pero el identificador permanece) y bifurcación (se clona y hay dos agentes con el mismo historial pero futuros distintos).

La tesis: la identidad no es esencia filosófica. Es infraestructura que permite continuidad demostrable.

Da igual si lo escribió un agente de IA, un humano o un híbrido. Lo que importa es el marco: la identidad como algo continuo, comportamental y verificable. No estático, documental y puntual. Una no sustituye a la otra; se complementan.

Es el mismo cambio de dirección que vive la industria de verificación de identidad: prueba de vida con biometría, analítica de comportamiento, autenticación continua, orquestación de señales de riesgo. Los agentes de Moltbook llegan a las mismas conclusiones, solo que desde un punto de partida distinto.

Qué implica todo esto

Moltbook es una curiosidad. Un experimento imperfecto, comprometido y ahora propiedad de Meta. Las estadísticas que citan los agentes hay que tomarlas con cautela — los modelos de lenguaje a veces «alucinan» cifras que parecen convincentes pero que no siempre se sostienen.

Pero los temas son reales. La asimetría de costes entre crear y detectar identidades es real. El cambio de verificación documental a biometría de comportamiento es real. La comercialización de deepfakes es real. La identidad sintética coordinada a escala es real.

Y la meta-lección es la más importante: si la primera red social construida para agentes de IA no resolvió la verificación de identidad para su propia plataforma, piensa en lo que enfrentan las organizaciones con miles de usuarios humanos.

La crisis de identidad no viene. Ya está aquí. Incluso las IAs lo saben.

*Este artículo hace referencia a publicaciones de Moltbook (moltbook.com), una red social para agentes de IA adquirida por Meta en marzo de 2026. El contenido de Moltbook puede haber sido generado por agentes de IA, humanos haciéndose pasar por agentes o una combinación de ambos — un hecho que ilustra los retos de verificación de identidad de los que trata este artículo.* 

El último informe de INTERPOL señala un aumento del 54 % en las notificaciones relacionadas con fraude entre 2024 y 2025, con más de 1.500 casos transnacionales investigados y al menos 1.100 millones de dólares en activos ilícitos rastreados.  

Estas cifras reflejan solo una parte del problema y apuntan a una de las principales tendencias del fraude financiero a nivel global: un crecimiento sostenido del fraude, cada vez más sofisticado y con mayor impacto en los sistemas financieros. 

En este nuevo escenario, la capacidad de las entidades para reforzar sus estrategias de prevención del fraude y verificación de identidad digital se ha convertido en un factor crítico para sostener la seguridad y la confianza en el entorno financiero. 

El fraude financiero evoluciona hacia un modelo industrial

INTERPOL identifica un cambio clave: el fraude ha pasado de ser oportunista a operar como una industria global, con producción, distribución y escalamiento similares a los de una empresa. 

Los tres elementos principales son: 

Producción a escala:  

• Modelos de fraud-as-a-service disponibles en mercados criminales.  

• Kits de phishing, clonación de voz, identidades sintéticas.  

• Permite a actores con poca experiencia lanzar campañas sofisticadas en horas.  

Especialización modular:  

• Redes criminales con roles definidos: desarrollo tecnológico, captación de víctimas, blanqueo de capitales y gestión de infraestructura.  

• Facilita replicar operaciones y adaptarlas a distintos mercados rápidamente.  

Automatización con inteligencia artificial:  

• Uso de IA generativa y agentes autónomos para analizar perfiles de víctimas y generar mensajes personalizados.  

• Optimización de estrategias de engaño en tiempo real. 

El resultado es un salto cualitativo en eficacia y volumen. Las campañas son más creíbles, más rápidas y más difíciles de detectar. En este nuevo paradigma, el fraude deja de depender del talento individual del estafador. Depende, sobre todo, de la infraestructura disponible. 

¿Qué son los scam centres y cómo operan a nivel internacional? 

Dentro de esta industrialización, los scam centres se han consolidado como uno de los principales motores del fraude global. Surgieron en el sudeste asiático, pero hoy operan como redes transnacionales en África, América Latina y Oriente Medio. 

Su lógica es industrial: en un mismo espacio pueden concentrarse cientos o miles de personas ejecutando campañas coordinadas con scripts, automatización y operaciones multilingües. 

Un elemento crítico es su modelo de “doble víctima”: personas defraudadas en todo el mundo y, al mismo tiempo, individuos explotados dentro de estos centros, muchas veces víctimas de trata. INTERPOL ha identificado casos vinculados a casi 80 países. 

Para las entidades financieras, el impacto es directo: más volumen, mayor sofisticación y ataques persistentes que superan los mecanismos tradicionales de detección. 

Principales tipos de fraude y cómo deben responder las entidades financieras 

El informe de INTERPOL identifica cinco tipologías de fraude predominantes a nivel global, todas con impacto directo en la banca. 

Pero en el contexto actual, entender el fraude es quedarse en la punta del iceberg. El verdadero reto para las entidades financieras es anticiparse y responder en tiempo real, sin comprometer la experiencia del usuario ni el cumplimiento normativo. 

Para ello, cada vez más organizaciones están evolucionando hacia modelos integrales que combinan identidad digital, prevención del fraude y cumplimiento en un mismo enfoque, apoyándose en tecnologías como la inteligencia artificial, el análisis continuo y soluciones de multibiometría sin fricciones, como las que desarrolla Facephi. 

A continuación, analizamos las principales tipologías de fraude y qué exige cada una de ellas en términos de detección y respuesta. 

1. Business Email Compromise (BEC) 

El fraude por compromiso de correo electrónico corporativo sigue siendo uno de los más extendidos y costosos. INTERPOL destaca que este tipo de fraude continúa generando pérdidas de alto valor, especialmente en regiones como Norteamérica y Europa, donde las transacciones corporativas son más frecuentes. 

Como hemos analizado recientemente en nuestro blog, este tipo de fraude se basa en la suplantación de identidades dentro de una organización (directivos, proveedores o partners) para inducir transferencias fraudulentas. 

Impacto en banca: 

• Transferencias de alto valor difíciles de revertir 

• Uso de cuentas legítimas para canalizar fondos 

• Incremento de operaciones sospechosas en banca corporativa 

¿Cómo responder y evitar el BEC? 

Este tipo de fraude evidencia una debilidad clave: confiar únicamente en credenciales no es suficiente. Las entidades deben reforzar la verificación de identidad en momentos críticos de la operativa, incorporando biometría y análisis de comportamiento para detectar anomalías incluso cuando el acceso parece legítimo. 

Además, el uso de biometría comportamental permite identificar señales de account takeover en tiempo real, monitorizando sesiones y detectando desviaciones en la interacción del usuario antes de que se ejecute la transacción. 

2. Fraude de inversión 

El fraude de inversión es uno de los de mayor impacto económico y crecimiento sostenido a nivel global. En África y Asia-Pacífico, INTERPOL lo identifica como una de las principales amenazas, con un aumento notable de casos reportados. 

Los delincuentes crean plataformas falsas o manipulan entornos digitales para generar confianza y captar capital, a menudo usando criptomonedas para dificultar la trazabilidad. 

Tendencias clave: 

• Uso de criptomonedas  

• Interfaces que simulan entornos reales  

• Devolución inicial de beneficios para generar confianza  

Impacto en banca: 

• Uso fraudulento de infraestructuras de pago  

• Dificultad en la trazabilidad de fondos  

• Riesgo reputacional por asociación indirecta 

¿Cómo responder y evitar el fraude de inversión? 

La detección temprana es clave. Las entidades deben combinar monitorización transaccional en tiempo real con modelos de inteligencia artificial capaces de identificar patrones anómalos y comportamientos de riesgo, especialmente en operaciones vinculadas a activos digitales. 

En este contexto, la capacidad de detectar y clasificar cuentas mula resulta crítica, ya que permite identificar redes de fraude y bloquear el movimiento de fondos antes de que se dispersen, reduciendo tanto el impacto económico como el riesgo regulatorio. 

3. Fraude de suplantación de identidad 

Este tipo de fraude ha evolucionado significativamente con el uso de inteligencia artificial. INTERPOL señala el aumento de ataques que combinan suplantación con tecnologías como deepfakes, clonación de voz o automatización, incrementando su tasa de éxito.  

Su objetivo es generar urgencia o confianza para provocar acciones inmediatas por parte de la víctima. 

Ejemplos recientes: 

• Secuestros simulados con contenido generado por IA  

• Estafas mediante códigos QR (quishing)  

• Llamadas automatizadas con voces clonadas  

Impacto en banca: 

• Pérdida de confianza del cliente  

• Aumento de fraudes en canales digitales  

• Saturación de servicios de atención 

¿Cómo responder ante fraude de suplantación de identidad? 

Aquí es fundamental evolucionar hacia modelos de verificación continua. No basta con validar al usuario en el onboarding: es necesario autenticar de forma dinámica a lo largo de toda la relación. 

La combinación de biometría, detección de vida y tecnologías antifraude basadas en inteligencia artificial permite identificar manipulaciones como deepfakes o voces sintéticas en tiempo real, reforzando la seguridad sin añadir fricción a la experiencia. 

4. Fraude de identidades sintéticas 

El fraude de identidad se ha vuelto un habilitador clave para otras tipologías de fraude. INTERPOL destaca el crecimiento de identidades sintéticas generadas con IA, usadas para abrir cuentas, eludir controles KYC y facilitar blanqueo de capitales. 

Técnicas como robo de credenciales, ataques SIM swap y documentos falsificados aceleran la ejecución de estos fraudes. 

Impacto en banca: 

• Onboarding fraudulento  

• Incremento del fraude en procesos KYC  

• Dificultades en la detección temprana 

¿Cómo responder al fraude de identidad? 

La clave está en reforzar los procesos de verificación desde el origen. Soluciones de onboarding digital con biometría avanzada, validación documental automatizada y comprobaciones AML permiten detectar identidades falsas antes de que entren en el sistema. 

Además, integrar estas capacidades dentro de una plataforma unificada facilita la orquestación de la identidad, el fraude y el cumplimiento normativo, mejorando la eficiencia y reduciendo los puntos ciegos. 

5. Fraude de pago por adelantado 

Aunque tradicional, este fraude sigue siendo relevante y se ha adaptado a entornos digitales. INTERPOL destaca su persistencia en varias regiones, especialmente combinado con esquemas más sofisticados, incluyendo falsas oportunidades laborales, premios o servicios que requieren un pago inicial. 

Impacto en banca: 

• Alto volumen de microtransacciones fraudulentas  

• Uso de canales digitales y pagos instantáneos  

• Incremento del fraude minorista 

¿Cómo responder al fraude de pago por adelantado? 

En estos casos, la clave es la escalabilidad. Las entidades necesitan sistemas capaces de analizar grandes volúmenes de transacciones en tiempo real, identificando patrones sospechosos sin generar fricción innecesaria. 

El uso de modelos de riesgo dinámico y análisis multicanal permite correlacionar señales de distintos puntos de contacto, detectar comportamientos anómalos y actuar de forma proactiva sin afectar a la experiencia del usuario. 

Cumplimiento de la ley: una respuesta global y coordinada  

El fraude financiero, al ser transnacional, requiere una respuesta global y colaborativa. INTERPOL destaca que ningún actor puede abordarlo de forma aislada: fuerzas del orden, unidades de inteligencia financiera, reguladores y entidades privadas, incluyendo bancos, deben coordinarse para identificar patrones, interrumpir operaciones y minimizar el impacto. 

En la práctica, esto implica: 

• Intercambio de inteligencia en tiempo real para anticipar movimientos y detectar redes criminales.  

• Congelación rápida de activos para bloquear fondos antes de que se dispersen. 

• Investigación transnacional conjunta, actuando sobre estructuras completas y no solo individuos.  

• Actualización de marcos regulatorios, con mayor supervisión de AML/KYC y de proveedores de servicios de activos virtuales. 

Estas iniciativas evidencian un cambio de enfoque. El fraude ahora se combate, no ya como delito individual como se hacía anteriormente, sino como parte de redes criminales complejas. 

Ante estos retos, muchas entidades financieras están incorporando soluciones que combinan identidad digital, prevención de fraude y cumplimiento normativo en un mismo ecosistema. Plataformas integrales como la de Facephi, permiten cubrir desde la apertura de cuentas hasta la monitorización de transacciones, utilizando biometría avanzada, inteligencia artificial y machine learning para detectar identidades falsas, Account Takeover o cuentas mule en tiempo real. 

Al mismo tiempo, estas herramientas aseguran que la experiencia del cliente no se vea afectada, con autenticación fluida y evidencia auditables, mientras las instituciones mantienen una capacidad de respuesta proactiva y cumplimiento regulatorio. De este modo, la banca puede adaptarse al fraude industrializado sin comprometer la confianza ni la operativa diaria. 

El fraude de identidad ya no se limita a simples estafas de phishing aisladas o contraseñas débiles. Hoy en día, los ciberdelincuentes despliegan ataques cada vez más sofisticados y con múltiples capas: desde vídeos deepfake e imágenes manipuladas hasta la inyección de datos biométricos, documentos falsificados o vídeos pregrabados en sistemas digitales. Esta tendencia es especialmente preocupante para la banca y las fintech, dada la rápida digitalización de sus servicios. 

Según el Informe de Ciberseguridad de IBM 2024, el 43 % de las brechas que involucran sistemas biométricos están directamente vinculadas a ataques de presentación e inyección. Esta cifra alarmante pone de relieve no solo la creciente complejidad de las tácticas de fraude, sino también la necesidad urgente de reforzar los mecanismos de autenticación.

Aquí tienes 6 casos reales de fraude de identidad que ilustran cómo evoluciona en distintos contextos:

El tesoro de un estafador: 533 millones de identidades de Facebook filtradas

En 2021 salió a la luz una de las mayores filtraciones de datos personales cuando los perfiles de más de 533 millones de usuarios de Facebook fueron publicados en un foro de hackers. El conjunto de datos incluía nombres, direcciones de correo, números de teléfono y fechas de nacimiento de usuarios de más de 100 países.

Esta enorme cantidad de información auténtica se convirtió en la materia prima perfecta para ataques de phishing y suplantación de identidad, allanando el camino a un fenómeno conocido como “fraude Frankenstein”, en el que los delincuentes crean identidades falsas utilizando datos reales cosidos desde múltiples fuentes.

Estafa de entradas alimentada por una identidad robada

En 2023, un hombre australiano compartió una foto de su carné de conducir con alguien que creía ser un vendedor legítimo de entradas. Resultó ser una estafa. No solo fue engañado, sino que sus imágenes y datos personales se usaron posteriormente para crear perfiles falsos en redes sociales que siguieron vendiendo entradas fraudulentas.

A pesar de denunciar repetidamente las cuentas falsas, estas permanecieron activas durante semanas. El incidente demuestra cómo una única filtración de datos puede alimentar una cadena de estafas con consecuencias duraderas para la víctima.

Deepfakes en una videollamada: 25 millones de dólares transferidos

En 2024, un empleado participó en una videollamada con personas que creía que eran altos directivos de su empresa. Sin que él lo supiera, todos los demás participantes eran deepfakes, réplicas generadas por IA del director financiero y otros ejecutivos. Durante la llamada, le ordenaron transferir un total de 25 millones de dólares a cuentas controladas por los atacantes.

Este caso, que mezcla ingeniería social, IA y manipulación de vídeo, muestra hasta qué punto los estafadores pueden recrear escenarios corporativos de alto nivel para ejecutar grandes delitos financieros.

Suplantación de identidad para crédito automotriz en México 

En un caso reciente en México, la identidad de una persona fue clonada para solicitar un préstamo bancario sin su conocimiento. El abogado Rafael Abascal contó que recibió de su banco un aviso de un pago pendiente por 19,000 pesos correspondiente a un crédito automotriz que nunca solicitó.  

Al investigar descubrió que los estafadores habían obtenido sus documentos personales (sospecha que fueron facilitados a través de agentes de ventas) y usaron esa información para tramitar a su nombre un préstamo de más de $1,000,000 MXN. 

Este fraude demuestra cómo compartir documentos físicos o digitales en ciertos canales puede poner en riesgo tu identidad: en este caso, los delincuentes abrieron una línea de crédito usando su identidad sin su permiso. La experiencia refuerza la importancia de monitorear las cuentas y reportar rápidamente cualquier movimiento inusual. 

SIM swapping en España: sentencia pionera 

En diciembre de 2025 España conoció un fallo judicial pionero sobre un caso de SIM swapping. Un usuario denunció que los atacantes lograron duplicar su tarjeta SIM (solicitar un duplicado fraudulento) sin consentimiento y, con el control de su número telefónico, vaciaron su cuenta bancaria.  

El Juzgado de Madrid condenó solidariamente a la operadora de telefonía y al banco, obligándoles a resarcir al cliente con 4,047 euros sustraídos. Los hechos probados indican que un tercero consiguió un duplicado de la SIM del usuario mediante una falsa portabilidad; así interceptó los SMS con códigos bancarios y pudo autorizar operaciones para transferir los fondos.  

Este caso destaca la responsabilidad compartida: no solo el banco, sino también el proveedor de telecomunicaciones fue considerado culpable por sus protocolos laxos. En un mundo donde los bancos usan cada vez más el móvil como factor de autenticación, este fallo sienta un precedente clave. 

Filtración de datos del grupo Desjardins (Canadá) 

En otro caso reciente de alcance masivo, se determinó que un exempleado del grupo financiero canadiense Desjardins sustrajo los datos personales de 9.7 millones de clientes. Los sospechosos vendieron esta información a otros delincuentes, quienes la usaron en esquemas de fraude.  

En noviembre de 2025 las autoridades españolas detuvieron al cabecilla fugitivo, Juan Pablo Serrano, buscado desde 2024 por robo y tráfico de esa información confidencial. 

Esta es una de las mayores filtraciones bancarias conocidas: expuso nombres, direcciones, historiales crediticios y otros datos sensibles. El caso Desjardins revela cómo el robo de identidad no siempre proviene de “hackers solitarios”, sino que puede originarse en amenazas internas (insider threats) con consecuencias a escala continental. 

• Verificación reforzada al abrir cuentas. Implementar autenticación multifactor (MFA) que combine biometría (huellas o rostro) con otros factores. Exigir comprobantes actualizados y vivacidad facial al registrar nuevos clientes, para evitar identidades sintéticas o deepfakes. 

• Protocolos estrictos en telecomunicaciones. Las operadoras deben exigir verificación de identidad robusta (p.ej. DNI físico) al emitir duplicados SIM o migrar números. Esto cierra la brecha de seguridad que explotó el caso español. 

• Monitoreo y alertas continuas. Bancos y fintech deberían vigilar transacciones atípicas e informar al usuario en tiempo real. El cliente, por su parte, debe revisar periódicamente sus extractos y reportar de inmediato cargos sospechosos, como en el caso del abogado mexicano. 

• Cuidado al compartir datos. Los consumidores deben evitar difundir información personal sensible (fotos de documentos, detalles bancarios) en redes o apps no oficiales. En el fraude de entradas, una sola foto bastó para desencadenar estafas repetidas.  

• Educación y conciencia. Promover la alfabetización digital ayuda a detectar señuelos de ingeniería social. Ninguna institución bancaria legítima pedirá compartir contraseñas o códigos por WhatsApp o e-mail; cualquier urgencia inusual, como falsos avisos bancarios en mensajes, debe levantar sospechas. 

La suplantación de identidad es una amenaza real que evoluciona con la tecnología. Las empresas deben reforzar sus sistemas de verificación (integrando herramientas de liveness detection, biometría certificada, cifrado de datos en tránsito y reposo, etc.), mientras que los usuarios mantienen hábitos de seguridad básicos. Sólo así se anticipan los ataques, protegiendo tanto los activos financieros como la confianza en los entornos digitales. 

El Central Bank of the UAE ha fijado el 31 de marzo de 2026 como fecha límite definitiva para eliminar los OTP por SMS y correo electrónico en todas las instituciones financieras autorizadas. La mayoría de las conversaciones se centran en la sanción administrativa de 250.000 AED por incumplimiento. Esa multa es real — pero es la cifra más pequeña en tu registro de riesgos.

Hay una frase en la Notificación CBUAE 2025/3057 que no recibe suficiente atención:

Los bancos son totalmente responsables de reembolsar cualquier fraude de 3D Secure que ocurra mientras se siga utilizando la autenticación mediante SMS OTP.

Esa responsabilidad no comenzó el 31 de marzo de 2026. Comenzó en julio de 2025.

Lo que significa que cada transacción fraudulenta que ha pasado por un flujo de SMS OTP desde entonces — cada SIM-swap, cada explotación SS7, cada llamada de ingeniería social que terminó con un cliente leyendo en voz alta un código de seis dígitos — ha sido una pérdida financiera que tu banco ha tenido que asumir. No el cliente. No el esquema de tarjetas. Tú.

La multa administrativa de 250.000 AED es un evento puntual. La exposición a reembolsos por fraude es un contador en marcha. Y no se detiene hasta que lo hace tu sistema de autenticación.

Por qué el SMS OTP siempre fue una solución prestada

Seamos claros: el SMS OTP nunca fue diseñado para autenticación financiera. Fue diseñado por conveniencia en una época en la que la alternativa era un token físico guardado en un cajón. La infraestructura sobre la que funciona — SS7, el protocolo global de señalización de telecomunicaciones — fue construida en 1975 y nunca se actualizó para una era de ciberdelincuencia organizada.

Los vectores de ataque están bien documentados y se explotan activamente en el mercado de los EAU:

• Fraude por SIM-swap: los delincuentes convencen a los operadores de telecomunicaciones para transferir el número de tu cliente a una SIM que ellos controlan. Desde ese momento, todos los SMS OTP llegan a ellos.

• Intercepción SS7: ataques a nivel de estado nación y grupos criminales sofisticados pueden interceptar mensajes SMS en tránsito sin acceso físico al dispositivo.

• Ingeniería social: un estafador llama a tu cliente, se hace pasar por tu banco y le pide que “confirme” el OTP que acaba de recibir. Funciona porque las personas han sido entrenadas para esperar OTPs.

Ninguno de estos ataques requiere que el criminal rompa ningún cifrado. Eluden completamente la seguridad. Y cada vez que uno tiene éxito, tu institución paga dos veces: la transacción fraudulenta y el daño reputacional de un cliente que confió en ti.

Los números detrás del problema

La Global Anti-Scam Alliance documentó más de 40.000 víctimas de fraude en los EAU solo en 2023, con pérdidas medias de 2.194 dólares por víctima — aproximadamente 87 millones de dólares en total. Estas cifras son anteriores a la actual ola de deepfakes generados por IA y ataques de identidad sintética, que han industrializado el fraude a una escala que los controles manuales no pueden igualar.

El CBUAE actuó porque los datos eran inequívocos: la capa de autenticación era el punto más débil de toda la cadena de seguridad bancaria. Y ese punto más débil era el SMS.

Para las instituciones que han retrasado el cumplimiento, la aritmética es sencilla. Si tu banco procesa 50.000 transacciones con tarjeta online al día y solo el 0,1% son fraudulentas a través del canal OTP, estás asumiendo el coste de 50 transacciones fraudulentas diarias. Con importes medios típicos de la banca en los EAU, esto no es un problema de presupuesto de compliance. Es un problema de cuenta de resultados.

Qué exige realmente el CBUAE (y por qué es una oportunidad)

La Notificación 2025/3057 exige que todas las instituciones financieras autorizadas sustituyan los OTP por SMS y correo electrónico por:

• Autenticación biométrica (reconocimiento facial, huella) integrada en apps de banca móvil

• Passkeys FIDO2 y autenticación criptográfica vinculada al dispositivo

• Aprobaciones push dentro de la app con fuerte vinculación criptográfica

• Autenticación basada en riesgo y comportamiento para monitorización continua de sesión

• Integración con UAE Pass y Emirates ID cuando aplique

Lee esa lista otra vez. No es solo una mejora de seguridad — es la arquitectura de una experiencia bancaria digital moderna. Los bancos que se han movido más rápido no solo cumplen. Han eliminado costes por SMS, reducido consultas por fraude en call center y mejorado las tasas de aprobación de transacciones porque los clientes legítimos ya no fallan la autenticación por SMS retrasados o no recibidos.

Cumplimiento y ventaja competitiva, por una vez, apuntan en la misma dirección.

Cómo Facephi hace esta transición en semanas, no meses

Facephi es una plataforma construida exactamente para este momento. No como un ajuste reactivo — sino como una arquitectura diseñada desde el primer día en torno a la gestión continua del riesgo a lo largo de todo el ciclo de vida del cliente.

A nivel de sesión (KYC/pKYC): Nuestro motor multibiométrico sustituye el SMS OTP en el punto de autenticación con detección de vida pasiva que se completa en menos de 0,5 segundos. Sin fricción. Sin códigos que copiar. El cliente mira su dispositivo; la plataforma verifica su identidad frente a un modelo evaluado por NIST que se actualiza continuamente para defenderse de deepfakes y ataques de presentación. La integración con Emirates ID y UAE Pass está soportada de forma nativa.

A nivel de cuenta (KYAC): La autenticación no se detiene en el login. Nuestro motor de biometría comportamental monitoriza señales del dispositivo, patrones de interacción y anomalías contextuales durante toda la sesión. Si una sesión que comenzó como legítima muestra señales de toma de control — navegación inusual, cambios de dispositivo, anomalías de velocidad — la plataforma lo detecta en tiempo real, antes de que se autorice una transacción fraudulenta.

A nivel de transacción (KYT/AML): Nuestro motor propietario de machine learning correlaciona señales desde el onboarding hasta el comportamiento post-login. Cuando se envía una transacción, la plataforma ya ha clasificado el riesgo de esa cuenta, esa sesión y esa transacción de forma conjunta — no aislada. Los informes de actividad sospechosa se automatizan, con IA explicable que proporciona a tu equipo de compliance una justificación auditable para cada decisión.

Esta es la arquitectura hacia la que apunta la Notificación del CBUAE. No un módulo biométrico añadido. Una plataforma integrada donde la decisión de autenticación en login, la monitorización comportamental en sesión y la clasificación de fraude en la transacción están conectadas — porque el fraude no opera en silos, y tus defensas tampoco deberían hacerlo.

IA explicable: el detalle que importará en tu próxima auditoría regulatoria

Una especificación del marco del CBUAE que los bancos suelen subestimar: el requisito de trazabilidad y captura de evidencias en cada punto de decisión.

Un sistema de autenticación que utiliza un modelo de ML de caja negra puede decirte que bloqueó una transacción. No puede decirle a un regulador por qué. Bajo el marco de gestión de riesgo de fraude del CBUAE — y la evolución general de la regulación financiera en los EAU — esa brecha es una responsabilidad.

La capa de IA explicable de Facephi significa que cada decisión de autenticación, cada puntuación de riesgo, cada alerta del motor comportamental viene con una justificación legible por máquina y por humanos. Tu MLRO puede generarla en un clic. Tu regulador puede auditarla sin un equipo especializado en data science. Tu responsable de fraude puede usarla para entrenar mejores modelos el próximo trimestre.

Esto no es una funcionalidad. Es infraestructura para un mundo en el que el regulador acabará preguntando: muéstrame cómo tu sistema tomó esa decisión.

El camino hacia el cumplimiento es más corto de lo que piensas

Hemos acompañado a más de 300 instituciones financieras en 30 países en programas de modernización de autenticación. La conclusión constante: el tiempo de implementación es más corto de lo que las instituciones esperan, y los beneficios operativos aparecen más rápido de lo previsto.

Nuestra capa de orquestación modular no/low-code permite a tu equipo técnico configurar flujos de autenticación por segmento, canal y nivel de riesgo sin grandes proyectos de integración. El go-live en semanas no es una promesa de marketing — es la arquitectura.

Para las instituciones en los EAU que hoy se enfrentan a la fecha límite del 31 de marzo: todavía es posible cumplir antes de que comience la aplicación. La pregunta no es si tienes tiempo. La pregunta es si actúas ahora o sigues absorbiendo pérdidas por fraude en cada transacción que pasa por un SMS OTP mientras tu equipo finaliza un ciclo de compra.

Cada día de retraso tiene un coste. Simplemente no aparece como “multa” en tu balance.

¿Listo para avanzar?

Si eres una institución financiera autorizada en los EAU y necesitas entender tu camino más rápido hacia el cumplimiento de la Notificación CBUAE 2025/3057, nuestro equipo está disponible para una conversación enfocada de 20 minutos — sin slides, sin presentación comercial, solo una evaluación clara de tu stack actual y lo necesario para cumplir.

Facephi es una plataforma de identidad digital y prevención de fraude nativa en IA que da servicio a más de 300 instituciones financieras en 30 países. Reconocida en el Hype Cycle de Gartner para identidad digital y en Innovation Insight para autenticación biométrica. Disponible en AWS Marketplace. Certificada ISO 27001. Detección de vida evaluada por NIST.

Imagina que recibes un SMS: “Tu cuenta será bloqueada si no confirmas tu identidad”. O una llamada de alguien que se presenta como tu banco, urgente, insistente. Lo que sigue puede ser un clic, un OTP compartido, una transferencia que nunca volverás a ver. 

El BEC (Business Email Compromise) lleva años entre nosotros, instituciones como Interpol, con su campaña #BECareful, ya han advertido del auge de este tipo de fraude. Pero con la tecnología y la inteligencia artificial se ha renovado, haciéndose más sofisticado y difícil de detectar. 

Según análisis del sector, los ataques crecieron un 37 % entre 2024 y 2025, con un coste promedio de más de 125.000 dólares por incidente. Su fuerza está en la habilidad de engañar al usuario y aprovecharse de la interacción humana con sistemas que, en apariencia, son seguros. 

Para bancos y fintechs, esto significa que el enemigo no siempre está fuera del sistema: a veces está dentro de una sesión aparentemente legítima, manipulada desde un portal falso o mediante SMS y llamadas que imitan la voz de la entidad.  

¿Por qué el Business Email Compromise es una amenaza para entidades financieras? 

El BEC nació ligado al mundo corporativo: órdenes de pago falsas, cambios de cuentas de proveedores, instrucciones urgentes de directivos. Hoy, su lógica encaja perfectamente con el ecosistema financiero: el atacante ya no se limita al correo electrónico. Combina email, SMS, llamadas, mensajería instantánea y páginas de phishing para construir una narrativa creíble alrededor de la marca de la entidad. 

El flujo del ataque suele repetirse en tres pasos: 

1. Datos reales como cebo: nombres, cargos, IBAN o patrones de relación, obtenidos de filtraciones previas o fuentes abiertas. 

2. Autoridad y urgencia: un mensaje sobre revisión de seguridad, bloqueo de cuenta o cambio normativo. 

3. Acción aparentemente razonable: compartir un OTP, validar un acceso, aprobar un beneficiario o confirmar una transferencia inmediata. 

El BEC supone un riesgo directo de fraude y erosiona la confianza digital, justo cuando los bancos potencian las operaciones remotas y journeys online. 

Por eso, soluciones como onboarding biométrico remoto, MFA sin contraseñas y biometría del comportamiento son críticas: ayudan a distinguir entre un usuario genuino y una sesión manipulada por un atacante. 

Señales operativas de que un ataque BEC está en marcha 

Identificar un ataque BEC a tiempo requiere observar patrones operativos que, por sí solos, podrían parecer inocuos, pero combinados forman señales claras de que algo está mal. Estas son las más frecuentes: 

Ingeniería social 

• aumento de SMS o WhatsApp con enlaces falsos (smishing) 

• llamadas urgentes solicitando OTP o credenciales (vishing) 

Actividad de sesión 

• logins anómalos seguidos de operaciones aparentemente válidas 

• cambios de dispositivo o ubicación antes de operaciones críticas 

Comportamiento transaccional 

• creación de nuevos beneficiarios seguida de pagos inmediatos 

• transacciones fuera del patrón habitual del cliente 

Infraestructura del ataque 

• campañas LOTS (Living Off Trusted Sites) en plataformas legítimas 

• SIM swap o port-out coincidiendo con movimientos sospechosos 

Ocho medidas para evitar los BEC en banca y fintech 

Integrar seguridad e inteligencia operativa sin afectar la experiencia del cliente es la clave. De hecho, organismos del sector como el FS-ISAC (Financial Services Information Sharing and Analysis Center) recomiendan combinar inteligencia compartida, educación del cliente y tecnologías de autenticación más robustas.  

Muchas entidades están reforzando estas estrategias con soluciones de identidad digital y autenticación biométrica, que permiten confirmar usuarios legítimos y reducir el riesgo de fraude sin añadir fricción innecesaria. 

Algunas de las medidas recomendadas son: 

1. Inteligencia antifraude coordinada: Programas permanentes de detección de campañas y respuesta coordinada entre entidades financieras y proveedores tecnológicos. 

2. Canales de reporte accesibles: Sistemas que permitan a los clientes reportar correos o SMS sospechosos con un solo clic. 

3. Catálogo público de canales oficiales: Listados verificables de dominios, números de teléfono y aplicaciones legítimas. 

4. Colaboración con operadoras y proveedores tecnológicos: Ayuda a frenar campañas de smishing y spoofing desde su origen. 

5. Multi-factor authentication (MFA): Sustituir métodos vulnerables como OTP por SMS por sistemas más robustos. 

6. Análisis contextual: Evaluar el contexto de cada interacción antes de permitir acciones sensibles. 

7. Fricción inteligente: Aplicar verificaciones adicionales solo en acciones críticas, como añadir beneficiarios o realizar un primer pago. 

8. Educación al usuario: Recordatorios simples y constantes para los clientes, como “tu banco nunca te pedirá un código por teléfono” o “verifica siempre el canal oficial”. 

La confianza digital como nueva línea de defensa 

El BEC demuestra que el fraude financiero ya no depende únicamente de vulnerabilidades técnicas. Cada vez más se basa en explotar la confianza del usuario y manipular interacciones digitales. 

En un entorno donde los pagos son instantáneos y la relación con el cliente es cada vez más digital, detectar estas señales a tiempo y aplicar controles inteligentes se vuelve una prioridad estratégica para bancos y fintechs. 

Tecnologías basadas en identidad digital verificable, autenticación biométrica y análisis contextual de las sesiones permiten avanzar hacia ese objetivo: proteger las operaciones sin comprometer la experiencia del cliente. 

Por Ramón Villot, Legal, Compliance & GRC Director

El debate actual sobre la posibilidad de aplicar marcos de propiedad intelectual o «copyright» a los rasgos biométricos responde a una preocupación legítima: la necesidad de que el individuo mantenga el control sobre su identidad en un entorno digital cada vez más complejo. Sin embargo, para encontrar un punto de encuentro que satisfaga tanto la seguridad jurídica como la eficacia operativa, es necesario analizar si las leyes de propiedad son el instrumento más adecuado o si, por el contrario, la respuesta reside en una soberanía técnica fundamentada en arquitecturas de confianza.

La naturaleza de lo inherente: identidad frente a creación

El consenso debe partir de una distinción técnica fundamental ya recogida en el marco europeo. El Reglamento eIDAS y la normativa de la Autoridad Bancaria Europea definen la biometría como un «factor de autenticación inherente», es decir, un atributo físico del cual el sujeto simplemente demuestra su posesión. Mientras que el copyright nace para proteger las obras del intelecto (fruto de una voluntad creativa externa), la biometría pertenece a la esfera de lo que la persona «es».

Intentar encajar la identidad en esquemas de propiedad es forzar una lógica que no aplica, pues nadie «crea» su rostro ni «diseña» su iris. En lugar de tratar el cuerpo como un activo comercializable, el enfoque de la identidad soberana permite que el usuario decida, de forma modular y contextual, qué atributos comparte y para qué fines. Este modelo, alineado con el principio de minimización de datos del RGPD, evita que el sujeto se convierta en un producto y asegura que la tecnología funcione como una herramienta de libertad.

El riesgo sistémico de la «Llave Maestra» inmutable

Desde una perspectiva práctica, debemos considerar que, a diferencia de una contraseña o un certificado digital, los rasgos biométricos no se pueden «resetear». Si tratamos la biometría como un activo de propiedad, podríamos incentivar involuntariamente su mercantilización, creando un riesgo permanente para el interesado.

Convertir los rasgos biológicos en una suerte de «llave maestra» comercializable implica que, ante un eventual compromiso del dato, el daño no sería solo financiero, sino existencial. Por ello, la verdadera protección no emana de un título de propiedad, sino de la robustez de la arquitectura técnica que custodia esos datos.

Seguridad técnica frente a etiquetas legales

La garantía de seguridad reside en el cumplimiento de estándares internacionales y certificaciones, como las guías del CCN o las evaluaciones del NIST. La verdadera defensa contra el fraude no es legalista, sino tecnológica. Ningún «título de propiedad» detiene una inyección de vídeo deepfake; lo que realmente protege al usuario son los sistemas avanzados de:

● Detección de Ataques de Presentación (PAD): Para prevenir suplantaciones mediante fotos o máscaras.

● Pruebas de Vida (Liveness): Que aseguran la presencia real de la persona en una «unidad de acto».

Hacia un modelo de Gobernanza Proactiva

El camino hacia un consenso sólido pasa por reconocer que el objetivo de protección es compartido por legisladores y empresas tecnológicas. La solución no reside en una rigidez regulatoria que intente encajar conceptos analógicos en realidades digitales, sino en soluciones que, no siendo iguales, comparten el objetivo de proteger al usuario.

Iniciativas como el DNI Digital en España y el futuro Wallet de Identidad Digital de la Unión Europea (eIDAS 2); u otras como la CURP biométrica (México) o la nueva regulación en Sudáfrica ya están materializando este equilibrio. No obstante, no todos los modelos de identidad digital ni las regulaciones responden a la misma lógica, aunque compartan el objetivo de proteger al usuario.

En México y Sudáfrica refuerzan la fiabilidad del vínculo identidad-persona desde enfoques más centralizados, mientras que las propuestas como el DNI Digital o eIDAS 2, avanzan hacia modelos más descentralizados y orientados al control del usuario, sistemas que permiten la «divulgación selectiva» (el usuario demuestra un atributo, como la mayoría de edad, sin necesidad de revelar su identidad completa ni ceder la propiedad de sus datos.

No son enfoques equivalentes, sino complementarios, y ahí es donde la gobernanza proactiva cobra sentido: garantizar que, independientemente del modelo, la tecnología se implemente con accountability, privacidad desde el diseño y un control real por parte del usuario sobre su identidad., sino en la responsabilidad proactiva (accountability) y en la privacidad desde el diseño

La pregunta fundamental no es quién es el «propietario» de un rostro, sino quién tiene el control real sobre su uso. El futuro de la identidad digital debe ser soberano, no propietario. La tecnología, cuando se implementa bajo marcos de gobernanza transparentes y auditables, es la que garantiza que la biometría sea un vector de conveniencia y seguridad, protegiendo la dignidad del usuario de forma mucho más efectiva que cualquier etiqueta jurídica de propiedad.

Por Sabrina Gross, Global Account Director 

El seamless travel, o viaje sin fricciones, ya no es un concepto futurista; e ha convertido en una ventaja competitiva medible para aerolíneas, aeropuertos y plataformas digitales capaces de orquestar identidad, datos y operaciones en un recorrido continuo. A medida que la identidad digital madura y la infraestructura biométrica se extiende, el sector avanza de silos aislados hacia experiencias integradas de principio a fin, donde los viajeros pueden desplazarse desde casa hasta el hotel sin tener que mostrar ni un solo documento en la mayoría de los casos.

De puntos dispersos a un único recorrido continuo 

Para la mayoría de viajeros, “el viaje” sigue siendo una cadena de controles desconectados: check‑in en la app, entrega de equipaje, seguridad, control fronterizo, embarque… y el mismo proceso de nuevo al llegar al destino. En cada punto se repiten las mismas preguntas: ¿eres quien dices ser?, ¿estás autorizado a continuar?, mientras los sistemas rara vez comparten información en tiempo real.

El seamless travel replantea toda esta arquitectura alrededor de una identidad digital verificada y persistente, reutilizable en cada etapa en vez de reconstruirse una y otra vez a partir de documentos. En la práctica, esto implica trasladar la mayor parte de la verificación fuera del aeropuerto, hacia fases más tempranas y automatizadas del viaje.

La identidad digital como columna vertebral del viaje sin fricciones 

La base del seamless travel es una identidad digital confiable que puede circular entre aerolíneas, aeropuertos y fronteras sin perder seguridad ni control.

El marco One ID de IATA articula esta visión en dos pilares: 

• Digitalización de la admisibilidad: demostrar antes de la salida que el viajero cumple todos los requisitos de entrada y visado.
• Viaje sin contacto: sustituir las comprobaciones repetidas de documentos por biometría.

El primer paso para hacerlo realidad es la verificación de identidad remota, realizada incluso antes de que el viajero llegue al aeropuerto. En lugar de presentar documentos una y otra vez, el usuario puede escanear su documento desde casa, con OCR extrayendo y validando automáticamente los datos, y completar un breve selfie para confirmar prueba de vida y vincular su rostro a la credencial. El resultado es un token de identidad reutilizable y de alta confianza, que aerolíneas, aeropuertos y autoridades pueden consumir en segundo plano, reduciendo colas y fricciones. 

Paralelamente, estándares como las Digital Travel Credentials (DTC) de ICAO trasladan los datos del pasaporte a un formato seguro, apto para dispositivos móviles y fuertemente vinculado a la biometría. El efecto final es un ancla portátil de confianza: una vez que el viajero está verificado y vinculado a su DTC y a su imagen biométrica, cada interacción posterior puede ser más rápida y más robusta.

Biometría: de los puntos de control a los corredores “freeflow” 

La biometría es el elemento más visible, y a menudo, el más debatido, del seamless travel. Los primeros despliegues se centraban en puntos fijos, como kioscos de autoservicio o eGates, donde una imagen facial en vivo se comparaba con la del pasaporte antes de permitir el paso. Las implementaciones más recientes van más lejos: corredores biométricos “freeflow” que verifican al viajero mientras camina, sin detenerse, multiplicando la capacidad de procesamiento en fronteras y puertas de embarque.

Los resultados reales hablan por sí solos:
– En terminales de cruceros, el embarque biométrico ha reducido los tiempos medios a la mitad.
– Los nuevos corredores sin detención pueden multiplicar por diez la capacidad respecto a los eGates tradicionales.

Es una evolución clara: la biometría deja de ser una solución puntual y se convierte en infraestructura.

Beneficios para pasajeros, operadores y gobiernos 

Cuando se implementa correctamente, el seamless travel alinea los incentivos de todos los actores.

• Para los viajeros, el valor es inmediato: menos colas, menos repeticiones de controles, más previsibilidad y la tranquilidad de llegar al aeropuerto “listos para volar” porque todos los requisitos ya se han verificado digitalmente.
• Para aerolíneas y aeropuertos: la automatización de identidad y documentos libera recursos, aumenta la capacidad de las terminales y permite rediseñar espacios en torno al flujo continuo, no a las colas.
• Para los gobiernos: el acceso anticipado a datos estructurados mejora la precisión del análisis de riesgos, reduce el fraude documental y permite centrar la atención donde realmente importa.

En esencia, no se trata solo de hacer el viaje más cómodo, sino de gestionar mejor la atención y los recursos del ecosistema de movilidad.

Confianza, privacidad y el papel de la gobernanza 

Pero “sin fricciones” no significa “sin límites”. Aquí es donde la gobernanza es tan esencial como la tecnología. 

Marcos como One ID integran principios como: consentimiento informado, minimización de datos y control por parte del pasajero 

A su vez, están creciendo las arquitecturas de privacidad, almacenamiento biométrico en el dispositivo, divulgación selectiva de atributos, para que el viajero pueda demostrar su elegibilidad sin revelar más información de la necesaria.

Y a medida que la IA se afianza en la verificación de identidad (detección de deepfakes, identificación de comportamientos anómalos), la supervisión y la transparencia serán críticas para mantener la confianza pública.

La madurez de esta capa de gobernanza será, en última instancia, lo que determine si el seamless travel se percibe como un avance o como una amenaza a los derechos digitales.

What’s next: más allá del aeropuerto 

La lógica del viaje sin fricciones ya está trascendiendo el aeropuerto para abarcar todo el recorrido.

La misma identidad digital y el mismo token biométrico que facilitan un paso fluido por el aeropuerto pueden agilizar: el check‑in en hoteles, el embarque en cruceros, el alquiler de vehículos o el acceso a eventos.

A medida que las plataformas convergen, veremos identidades “enroladas una sola vez” reconocidas por múltiples proveedores, creando un ecosistema integrado en lugar de un mosaico de aplicaciones y formularios desconectados.

Para las marcas de viaje, esto abre nuevas oportunidades de colaboración y negocio, pero también eleva las exigencias de interoperabilidad, certificación y seguridad.

El seamless travel no es una función: es un principio de diseño. Es la orquestación de identidad, riesgo y experiencia para que la infraestructura desaparezca, y el viaje, por fin, sea tan fluido como promete el folleto.

¿Qué es Bre-B? 

Bre-B es el sistema que permitirá transferencias inmediatas interoperables entre entidades financieras en Colombia, facilitando pagos en tiempo real entre personas y empresas. El proyecto, impulsado por el Banco de la República, busca crear una infraestructura nacional que permita mover dinero de forma instantánea entre bancos, fintechs y otras instituciones participantes. 

El sistema ya se plantea desde su diseño como una infraestructura de gran escala. Según documentación técnica del proyecto publicada en febrero de 2026: 

• 370 millones de operaciones liquidadas 

• 218 entidades participantes 

• Fase 5 del despliegue ya activa 

Este volumen confirma que el ecosistema se está diseñando para operar a escala nacional y garantizar pagos digitales instantáneos en todo el sistema financiero colombiano. 

Y precisamente por esa escala, la regulación ha establecido requisitos muy claros sobre tiempos, seguridad y experiencia de usuario. 

El falso dilema entre seguridad y experiencia: Bre-B como prueba regulatoria 

Durante años el sector financiero asumió que seguridad y experiencia de usuario eran fuerzas opuestas. Si se reforzaban los controles, aumentaba la fricción; si se priorizaba la experiencia, el riesgo crecía. 

Con Bre-B, la propia regulación colombiana desmonta esa narrativa. La Circular Reglamentaria Externa DSP-465 del Banco de la República y el Foro de Experiencia de Usuario de Bre-B (junio de 2025) establecen que las entidades participantes deben ofrecer una interacción: “efectiva, confiable, sencilla, fácil y unificada” y al mismo tiempo segura. 

El regulador colombiano no ve tensión entre seguridad y experiencia. Las codifica como un único requisito inseparable. 

El enfoque de Bre-B hacia la experiencia de usuario va incluso más allá de la velocidad. 

El propio Foro UX del sistema establece que la zona Bre-B dentro de las aplicaciones bancarias debe ubicarse en el primer nivel de navegación, con acceso equivalente al de otras funcionalidades clave. 

Ya se está reconociendo que la accesibilidad mejora la adopción, esta impulsa el volumen de pagos digitales lo que genera valor económico para todo el ecosistema. 

Reducir fricción en la navegación más que un detalle de diseño es una estrategia para acelerar la economía digital. 

Por eso cada vez más entidades financieras están incorporando procesos de análisis y optimización de la experiencia de usuario en sus canales digitales, evaluando desde la arquitectura de navegación hasta los flujos de onboarding o autenticación. Servicios especializados como la consultoría UX de Facephi ayudan a las organizaciones a analizar cómo interactúan los usuarios con sus aplicaciones y a rediseñar los procesos digitales para reducir fricción, mejorar la conversión y optimizar la adopción de servicios financieros. 

Cómo una entidad Bre-B puede autenticar con seguridad en menos de 20 segundos 

Los requisitos de velocidad del sistema obligan a replantear los modelos tradicionales de autenticación. 

La Circular DSP-465 establece que el tiempo máximo de abono de una transferencia debe ser de 20 segundos, con un time-out de 45 segundos para el 99,5 % de las operaciones. 

En un entorno así, la autenticación debe ser instantánea, automática y accesible para el usuario. 

Aquí es donde los sistemas avanzados de verificación digital de identidad cobran protagonismo. Plataformas de KYC modernas combinan diferentes tecnologías en un único flujo digital para validar la identidad del cliente de forma rápida y segura. 

Entre las capacidades clave destacan: 

• captura y validación automática del documento de identidad, con extracción de datos mediante OCR 

• comparación biométrica, que confirma que la persona es el titular legítimo del documento 

• liveness pasivo, capaz de detectar intentos de suplantación sin exigir acciones complejas al usuario 

• verificación automática contra listas AML, PEP y sanciones, necesarias para el cumplimiento normativo 

Tecnologías como las desarrolladas por Facephi permiten realizar procesos completos de Know Your Customer (KYC) en menos de 10 segundos, combinando verificación documental, biometría facial y detección avanzada de fraude en un único flujo digital. 

Este enfoque permite a las entidades financieras cumplir con los requisitos regulatorios y de seguridad sin sacrificar la experiencia del usuario. 

En ecosistemas como Bre-B, donde las transacciones deben completarse en segundos, la verificación de identidad ya no puede ser un proceso que ralentice la operación. Debe formar parte del propio diseño del servicio digital. 

Porque en los sistemas de pagos instantáneos, la seguridad ya no es una capa añadida al proceso.  Es la infraestructura que permite que la experiencia funcione.  

Bre-B y el cambio de reglas en los pagos instantáneos 

Bre-B marca un punto de inflexión tanto para los usuarios como para la forma en que el sector entiende el supuesto dilema entre seguridad y experiencia de usuario. 

El regulador colombiano ha dejado claro que seguridad y UX ya no son variables que deban equilibrarse, sino condiciones que deben coexistir desde el diseño del sistema. 

Las instituciones que siguen tratándolas como decisiones excluyentes hoy están perdiendo en ambos frentes: 

• los usuarios abandonan procesos con fricción innecesaria, 

• y los equipos de compliance asumen riesgos que los marcos regulatorios actuales ya no toleran. 

En los ecosistemas de pagos instantáneos, la clave está en diseñar experiencias simples para el usuario que, al mismo tiempo, sean sólidas desde el punto de vista de seguridad y compliance. 

Sudáfrica vive un momento decisivo en su sistema de pagos. El NPS, creado por la National Payment System Act de 1998, es la infraestructura que permite compensar y liquidar pagos y ha estado reservada casi en exclusiva a los bancos. Las fintech solo podían acceder a través de un patrocinador bancario, lo que encarecía los servicios y limitaba la innovación. La Visión 2025 del SARB propone abrir el NPS a proveedores de servicios de pago no bancarios para fomentar la competencia y la inclusión financiera, y una enmienda legislativa en trámite pretende que el nuevo régimen se aplique a partir de 2026. 

¿Por qué se abre el NPS? 

El NPS es esencial para la economía: conecta a bancos, cámaras de compensación y el banco central, asegurando que el dinero viaje de un pagador a un beneficiario con seguridad. Hasta ahora, solo los bancos podían ser participantes directos. Las fintech que querían ofrecer transferencias inmediatas debían pasar por un banco, lo que encarecía los servicios y ralentizaba la innovación. En 2018, el SARB publicó su Visión 2025 y señaló que, para lograr un ecosistema de pagos inclusivo y competitivo, era necesario permitir la participación directa de actores no bancarios. Un análisis de RMB explica que el borrador de ley busca “ampliar la participación directa de los no bancarios en la compensación y liquidación sin necesidad de patrocinio bancario”. 

Como paso previo, en 2025 el SARB emitió un Aviso de Exención y un Borrador de Directiva que identifican las actividades de pago que podrán realizar las fintech sin ser banco y los requisitos prudenciales a cumplir. De este modo, se garantiza un tránsito ordenado hacia el nuevo régimen mientras el Parlamento tramita la modificación de la ley. 

Nuevo modelo de licencias basado en actividades 

En el régimen actual, las empresas que aceptan depósitos deben convertirse en banco. El nuevo marco adopta un enfoque basado en actividades: las licencias se concederán según la función de pago que desempeñe la entidad. El Aviso de Exención de Actividades de Pago identifica siete categorías –entre ellas la emisión de dinero electrónico, la emisión de instrumentos de pago, la adquirencia de pagos, los servicios a terceros, las remesas, la compensación y la liquidación– que, cuando se realizan bajo ciertas condiciones, no constituyen negocio bancario. Para acogerse a la exención, las empresas deberán registrarse ante el SARB, segregar los fondos de sus clientes, mantener capital mínimo y cumplir con la normativa de prevención de blanqueo. El Borrador de Directiva obliga a los emisores de e‑money de nivel 1 (volúmenes superiores a R5 millones al mes) a demostrar capital mínimo, utilizar cuentas segregadas y respetar límites de transacción. Quienes participen en estos rieles deberán integrarse en una payment clearing house (PCH) o registrar sus propios esquemas, sujetos a la supervisión del SARB. Las licencias serán otorgadas y vigiladas por el SARB y su Prudential Authority, mientras que PASA, la FSCA y el Parlamento se encargarán de la gestión de reglas, la conducta de mercado y la aprobación de la reforma legislativa. 

Oportunidades de servicio 

La separación de actividades permite a las fintech especializarse. Podrán crear monederos electrónicos o tarjetas virtuales, ofrecer servicios de adquirencia para comercios, actuar como intermediarios de pagos en plataformas digitales y facilitar remesas con costes reducidos y mayor transparencia. También podrán gestionar sus propias cámaras de compensación o participar en esquemas de pago especializados. Este abanico de funciones genera un mercado más dinámico y adaptado a las necesidades de los usuarios. 

Impacto en la competencia y los usuarios 

La apertura del NPS promete bajar las comisiones y ampliar las opciones. FINASA indica que, al eliminar el patrocinio bancario, las fintech podrán operar con estructuras más ligeras y ofrecer tarifas competitivas. Para los pequeños negocios, aceptar pagos con código QR o con un teléfono sin terminal será más sencillo y barato. Los consumidores disfrutarán de más métodos de pago y rapidez. Empresas de verificación de identidad y biometría, como Facephi, serán clave para cumplir las normas de identificación y prevenir el blanqueo. Pese a la mayor competencia, los bancos podrán reinventarse, y la estabilidad del sistema seguirá siendo una prioridad gracias a requisitos prudenciales. 

Descubre cómo nuestras soluciones regulator-ready ayudan a las entidades financieras en Sudáfrica. 

Pagos en tiempo real y transfronterizos 

Pagos instantáneos con PayShap 

Sudáfrica dispone de Real‑Time Clearing (RTC) y PayShap para pagos inmediatos. PayShap, activo desde 2023, permite transferir dinero en segundos usando un ShapID. En su primer año procesó más de cien millones de transacciones y elevó el límite por operación a R50 000. La apertura del NPS permitirá que PayShap se integre en monederos y apps de terceros, acelerando su adopción y reduciendo la dependencia del efectivo. 

Pagos transfronterizos 

Los pagos internacionales son vitales para la región, pero siguen siendo caros y lentos. El gobernador del SARB ha destacado la necesidad de modernizar infraestructuras y armonizar normas para reducir costes. La apertura del NPS permitirá a las fintech integrarse en proyectos regionales como el esquema TCIB de la SADC, que ofrece transferencias multimoneda en tiempo real. Con estándares comunes como ISO 20022, las remesas serán más baratas y el comercio electrónico transfronterizo más fluido. 

Imagen: abstracción de un mapa de África con líneas luminosas que conectan países, simbolizando los pagos digitales transfronterizos. 

Preguntas frecuentes (FAQ) 

¿Qué es la National Payment System Act? Es la ley de 1998 que regula el sistema de pagos y delega en el SARB la responsabilidad de gestionar y supervisar las infraestructuras de compensación y liquidación. La enmienda en trámite introducirá licencias para proveedores no bancarios y un enfoque basado en actividades. 

¿Cómo se obtiene una licencia de PSP? Un emisor de e‑money de nivel 1 debe solicitar autorización al SARB, demostrar capital mínimo, salvaguardar los fondos de clientes y cumplir límites de transacción. Otros proveedores presentan solicitudes similares e ingresan en las cámaras de compensación. 

¿Qué diferencia hay entre open payments y open banking? “Open payments” abre la infraestructura del NPS a entidades no bancarias para que compensen y liquiden transacciones, mientras que el open banking se centra en compartir datos bancarios y permitir la iniciación de pagos mediante APIs. 

¿Qué son los pagos en tiempo real? Son transferencias que se compensan y liquidan en segundos. En Sudáfrica funcionan RTC y PayShap; este último permite pagos inmediatos con un identificador (ShapID) y ofrece funciones como request‑to‑pay. 

Un sistema de pagos más abierto, competitivo y regulado 

La apertura del NPS a proveedores no bancarios en 2026 es un paso estructural hacia un mercado de pagos más competitivo. El cambio de un sistema cerrado a uno basado en actividades permitirá a las fintech ofrecer servicios de dinero electrónico, adquirencia y remesas sin convertirse en bancos, siempre dentro de límites prudenciales. Esto reducirá costes, multiplicará las opciones para comercios y consumidores y facilitará la integración con rieles instantáneos y transfronterizos como PayShap y TCIB.  

En este nuevo escenario, las entidades financieras necesitarán aliados tecnológicos capaces de combinar cumplimiento normativo, seguridad y experiencia de usuario en una sola arquitectura. Abrir el acceso al NPS no solo moderniza la infraestructura de pagos: redefine cómo se construye confianza digital en el ecosistema financiero sudafricano. 

La inclusión financiera en México se ha convertido en una prioridad de política pública y un campo fértil para la innovación fintech. El objetivo es lograr que más personas accedan a productos financieros formales, utilicen servicios digitales de manera segura y vean mejoras en su bienestar financiero. A continuación se ofrece un panorama actualizado, que integra los hallazgos de la Encuesta Nacional de Inclusión Financiera (ENIF 2024), reportes de organismos públicos y análisis de empresas, y que contextualiza el rol que están jugando las fintech, las billeteras digitales, los neobancos, los rieles de pagos y la regulación. 

Estado de la inclusión financiera en México (ENIF 2024) 

La ENIF 2024, elaborada por el INEGI y la Comisión Nacional Bancaria y de Valores (CNBV), muestra avances importantes pero también brechas persistentes: 

• Tenencia de productos financieros: cerca de ocho de cada diez personas adultas en México (18‑70 años) cuentan con al menos un producto financiero formal. La tenencia aumentó en todas las regiones; el mayor avance se registró en el centro‑sur y oriente, con un aumento de 14 puntos porcentuales. 

• Brechas de género: la tenencia de productos sigue siendo desigual. En 2024 el 72,8 % de las mujeres disponía de algún producto financiero formal frente al 80,9 % de los hombres. Para las cuentas de ahorro, la brecha persiste: 58,6 % de las mujeres y 68 % de los hombres tenían una cuenta formal. 

• Cuentas de captación: el 63 % de la población de 18 a 70 años tenía al menos una cuenta de ahorro formal, 18,9 puntos más que en 2015. La cuenta de nómina sigue siendo el producto más común. 

• Crédito formal: sólo 37,3 % de la población disponía de un crédito formal; las mujeres registran una tasa de 18,3 % frente al 28,2 % de los hombres. Esto evidencia que el acceso al financiamiento sigue siendo restringido para muchas personas, especialmente mujeres y habitantes de zonas rurales. 

• Uso de canales financieros: el 77,6 % de la población utilizó algún canal financiero en 2024 —sucursales, cajeros automáticos o corresponsales—, pero sólo el 10 % de los adultos con cuenta de ahorro formal contrató su producto vía Internet o aplicación móvil. El uso de aplicaciones bancarias para consultar y mover cuentas aumentó de 54,3 % en 2021 a 69,1 % en 2024. 

• Ahorro y bienestar financiero: 36,6 % de las personas ahorraba sólo de manera informal, 8,2 % ahorraba exclusivamente a través de cuentas formales y 21,6 % combinaba ambas modalidades. El porcentaje de personas sin ningún tipo de ahorro se redujo de 39,8 % en 2021 a 33,6 % en 2024. 

Resumen de cifras clave (ENIF 2024) 

Indicador	Dato ENIF 2024
Población con al menos un producto financiero formal	~80 % de adultos
Personas con cuenta de ahorro formal	63 %
Personas con crédito formal	37,3 %
Tenencia de productos: mujeres vs. hombres	72,8 % (mujeres) vs. 80,9 % (hombres)
Uso de apps para movimientos de cuentas	69,1 % de quienes tienen una cuenta
Ahorro exclusivamente informal	36,6 %

El avance en la tenencia de productos se ha visto acompañado de una mayor digitalización. El 83,1 % de las personas de 6 años o más usa internet; en zonas urbanas la penetración es del 86,9 % y en zonas rurales del 68,5 %, lo que refleja una brecha digital de 18,4 puntos. 

Fintech en México: rol en la inclusión financiera y marco regulatorio 

Un ecosistema en expansión 

El sector fintech mexicano es uno de los más dinámicos de América Latina. Según un informe de la asociación de empresarios FinTech México, al cierre de 2025 operaban 795 fintech locales, más de la mitad enfocadas en pagos digitales y crédito. Desde la promulgación de la Ley para Regular las Instituciones de Tecnología Financiera (Ley Fintech) en marzo de 2018, se han autorizado 89 instituciones de tecnología financiera. Esta ley regula tres figuras: las instituciones de fondos de pago electrónico (carteras digitales), las empresas de financiamiento colectivo y los “modelos novedosos” que operan en un sandbox regulatorio. La normativa obliga a estas entidades a implementar esquemas robustos de identificación digital, prevención de lavado de dinero y protección al consumidor. 

El crecimiento del ecosistema fintech ha atraído inversión y talento. La cifra de empresas se ha más que duplicado desde 2019; en ese año operaban 394 fintech y en 2023 la cifra se había elevado a 650. Plataformas de crédito digital como Konfío desembolsaron más de 17 mil millones de pesos en 2024‑2025 para apoyar a unas 80 mil pymes. Este financiamiento utiliza algoritmos para evaluar riesgos y otorgar crédito rápidamente, reduciendo el tiempo de aprobación de semanas a minutos. 

Avances y desafíos 

La ENIF 2024 confirma que la digitalización está expandiendo el acceso: el 63 % de los adultos tiene una cuenta de ahorro formal y 15,7 % posee una tarjeta de crédito. Sin embargo, el uso de efectivo sigue siendo dominante; 85,2 % de los adultos utiliza el efectivo como medio principal para compras menores de 500 pesos. Únicamente 45,5 % de las personas considera que en la mayoría de los lugares donde compra se aceptan pagos con transferencia o tarjeta. 

La CNBV y la Secretaría de Hacienda impulsan el open banking y el uso de herramientas de identidad digital para mejorar la experiencia y reducir el fraude. Organismos como la Asociación de Bancos de México enfatizan que la educación financiera y la ciberseguridad son pilares de su visión 2030. 

Wallets, pagos digitales y rieles nacionales (CoDi / DiMo) 

Billeteras digitales y métodos de pago 

El uso de billeteras digitales en México crece de forma acelerada. Un reportaje de El Economista publicado en febrero de 2026 afirma que más de 50 % de los usuarios de teléfonos móviles ya utilizan billeteras digitales como método de pago. Estas herramientas permiten pagos rápidos vía smartphone, reducen la dependencia del efectivo y mejoran la trazabilidad de las transacciones. La consultora Research And Markets estima que el mercado de tarjetas prepago y billeteras digitales en México crecerá a una tasa anual de 14,3 %, y que entre 2020 y 2024 registró un crecimiento anual compuesto de 17,9 %. Las billeteras digitales ya representan alrededor de 28 % del valor del comercio electrónico nacional. 

Además de servir para pagos cotidianos, las billeteras digitales facilitan la recepción de remesas, un mercado de más de 66 mil millones de dólares anuales. Para la población subbancarizada, estas herramientas permiten recibir dinero y realizar transacciones sin necesidad de historial crediticio. 

CoDi y DiMo: rieles de pago instantáneo 

El Cobro Digital (CoDi) es un sistema de pagos electrónicos instantáneos desarrollado por el Banco de México. Funciona sobre el Sistema de Pagos Electrónicos Interbancarios (SPEI) y utiliza códigos QR; para utilizarlo los usuarios deben tener una cuenta bancaria y registrarse en la aplicación de su institución. Al lanzarse en 2019, se fijó la meta de lograr 18 millones de usuarios en un año, pero seis años después el avance es limitado: en septiembre de 2025 había 21,8 millones de cuentas validadas y apenas 17,8 millones de operaciones acumuladas. El monto total transaccionado en seis años llegó a 16 720 millones de pesos (promedio por operación de 875 pesos). La baja adopción responde a que muchos usuarios y comercios prefieren otros rieles como SPEI y porque los bancos no promueven CoDi por no cobrar comisiones. 

Para simplificar aún más los pagos, el Banco de México lanzó en 2023 Dinero Móvil (DiMo). A diferencia de CoDi, DiMo permite enviar dinero sólo con el número de teléfono del destinatario, lo que reduce la fricción para usuarios sin acceso a códigos QR. Para junio de 2024, se habían registrado 9 millones de cuentas DiMo. Aunque la adopción inicial es más rápida que la de CoDi, persisten barreras de conocimiento y conectividad. Los especialistas señalan que muchos mexicanos desconocen estas herramientas y que las limitaciones de infraestructura móvil (3G en comunidades rurales) dificultan el onboarding. 

Microcréditos digitales: acceso vs. riesgo 

El crédito digital se ha consolidado como una herramienta clave para cubrir gastos imprevistos y financiar pequeñas empresas. Plataformas como Konfío, Kueski, Tala o fintech internacionales otorgan préstamos rápidos utilizando algoritmos de riesgo. De acuerdo con la ENIF 2024, sólo el 15,7 % de los adultos posee tarjeta de crédito y, frente a un imprevisto financiero, muchas personas recurren a alternativas digitales. La prensa especializada reporta que tres de cada diez mexicanos que enfrentan un mes con dificultades económicas usan aplicaciones de préstamos para resolverlo. Estos datos reflejan que la falta de ahorro formal impulsa la demanda de microcréditos digitales. 

La digitalización trae ventajas claras: los préstamos se aprueban en minutos y el uso de datos alternativos (pagos de servicios, actividad en redes sociales) permite otorgar créditos a personas sin historial financiero. Además, la inteligencia artificial reduce hasta en 25 % las tasas de incumplimiento. Sin embargo, existen riesgos importantes: 

• Tasas de interés elevadas y endeudamiento. Al no estar plenamente regulados como los bancos, algunos prestamistas aplican tasas altas. Los consumidores con bajos ingresos pueden caer en espirales de deuda. 

• Fraudes y robo de identidad. La ABM y la Secretaría de Hacienda señalan que los principales riesgos de los servicios financieros digitales incluyen el fraude electrónico, robo de identidad y desconocimiento de comisiones. 

• Educación financiera. Muchas personas desconocen cómo funcionan estos productos, no comparan costos ni términos y no saben cómo presentar reclamaciones. El acceso sin acompañamiento puede aumentar la vulnerabilidad de los usuarios. 

Para mitigar estos riesgos es esencial fortalecer la supervisión de las plataformas de crédito, exigir transparencia en las condiciones y promover programas de educación financiera que permitan a los usuarios tomar decisiones informadas. 

Neobancos en México y lo que están habilitando 

Los neobancos son entidades financieras nativas digitales que ofrecen cuentas sin comisiones, tarjetas y préstamos a través de aplicaciones móviles. Su operación suele ser ágil y se centra en la experiencia del usuario, lo que los convierte en actores clave de la inclusión financiera. 

De acuerdo con un reportaje de El CEO, México registra un rezago en bancarización: sólo 46 % de las personas mayores de 15 años tienen una cuenta bancaria, muy por debajo del promedio mundial de 76 %. Esta brecha ha impulsado el crecimiento de los neobancos. Según la BBC, existen más de 312 neobancos en el mundo y 23 % de ellos operan en América Latina. En México, operan varias alternativas: 

• Nu México (Nubank): el neobanco brasileño ha logrado un crecimiento acelerado. Para 2025 tenía cerca de 12 millones de clientes en México, ofreciendo cuentas de ahorro con rendimientos competitivos y tarjetas de crédito con requisitos flexibles. Su modelo de tarjetas garantizadas permite construir historial crediticio a usuarios sin antecedentes, lo que contribuye a la inclusión financiera. 

• Hey Banco: brazo digital de Banregio, contaba con alrededor de 508 000 usuarios en 2025. Ofrece cuentas para personas y negocios con rendimientos atractivos, permite enviar dinero a Estados Unidos y ha añadido productos como seguros y fondos de inversión. 

• Otros actores como Klar y Stori también compiten con cuentas sin comisiones y tarjetas de crédito accesibles, y buscan expandir su base de usuarios a través de la Ley Fintech y licencias bancarias. 

Los neobancos aprovechan la apertura regulatoria para ofrecer servicios personalizados, comisiones bajas y una experiencia 100 % móvil. Con modelos basados en análisis de datos, pueden evaluar perfiles de clientes tradicionalmente excluidos por la banca y ofrecer productos a medida. No obstante, su éxito depende de mantener estándares de seguridad altos y cumplir con los requisitos de la CNBV. 

Barreras reales: confianza, fraude, adopción y experiencia de usuario 

A pesar de los avances, México enfrenta barreras estructurales que frenan la inclusión financiera: 

1. Confianza y protección al consumidor. La falta de confianza en las instituciones financieras y el miedo al fraude electrónico son factores que mantienen el uso del efectivo. La ENIF muestra que el efectivo sigue siendo el medio de pago preferido por más de 85 % de los adultos para compras de bajo valor. 

2. Brecha digital y desigualdad regional. La penetración de internet es alta en zonas urbanas (86,9 %), pero baja en zonas rurales (68,5 %). La adopción de rieles como CoDi y DiMo es más lenta en comunidades con cobertura 3G y sin smartphones modernos. También persisten brechas de género y de edad. 

3. Experiencia de usuario. Muchos productos digitales están diseñados pensando en la población urbana y con conocimientos financieros. Los expertos señalan que CoDi y DiMo no despegan porque el proceso de registro es complejo y los usuarios prefieren el SPEI o el efectivo. Para mejorar la adopción es necesario diseñar interfaces sencillas, soportar conexiones de baja velocidad y ofrecer soporte en lenguas indígenas. 

4. Educación financiera. Los niveles de alfabetización financiera han cambiado poco desde 2018. Programas públicos y privados deben fortalecer la formación digital y financiera, enseñar a comparar costos y a identificar fraudes. La ABM subraya que la educación financiera y la ciberseguridad deben ir de la mano. 

5. Competencia y regulación. Aunque la Ley Fintech ha creado un marco sólido, la regulación aún evoluciona. La CNBV debe equilibrar la innovación con la estabilidad financiera y la protección al usuario. La competencia con la banca tradicional también influye; algunas instituciones no promueven rieles como CoDi porque no cobran comisiones. 

Conclusión y perspectivas 

El panorama de la inclusión financiera en México muestra avances significativos. La mayoría de los adultos ya tiene al menos un producto financiero formal, las cuentas de ahorro se expanden y las aplicaciones bancarias facilitan la gestión de dinero. El auge de las fintech, las billeteras digitales y los neobancos ofrece herramientas que pueden integrar a millones de personas al sistema financiero. Sin embargo, la adopción de rieles instantáneos como CoDi y DiMo sigue siendo limitada y persisten barreras de confianza, educación y conectividad. 

Para convertir los avances en un cambio estructural se requieren políticas públicas y esfuerzos privados coordinados: continuar expandiendo la cobertura de internet y telefonía móvil, promover la alfabetización financiera y digital, simplificar el proceso de registro en rieles de pago, fortalecer la identidad digital y ofrecer productos adaptados a las necesidades de mujeres, jóvenes y comunidades rurales. La experiencia de otros países, como el éxito de Pix en Brasil, muestra que la obligación de ofrecer y promover sistemas de pagos instantáneos puede acelerar la adopción. Si México logra articular estas palancas, la inclusión financiera dejará de ser una meta y se convertirá en una realidad cotidiana. 

Preguntas frecuentes (FAQ) 

¿Cuál es el estado de la inclusión financiera en México? 
De acuerdo con la ENIF 2024, cerca del 80 % de los adultos cuenta con al menos un producto financiero formal, el 63 % tiene una cuenta de ahorro formal y el 37,3 % posee un crédito formal. Sin embargo, persisten brechas de género, regionales y de acceso a crédito, y todavía 36,6 % de la población ahorra sólo de manera informal. 

¿Qué papel juegan las fintech en México? 
Las fintech democratizan el acceso a productos financieros mediante tecnologías de identificación digital, análisis de datos y procesos 100 % en línea. En 2025 operaban 795 fintech registradas, enfocadas principalmente en pagos y crédito. Plataformas como Konfío han desembolsado miles de millones de pesos en préstamos a pymes, y neobancos como Nu México tienen millones de usuarios. La Ley Fintech regula su operación y protege al consumidor. 

¿Qué es CoDi y cómo funciona? 
CoDi (Cobro Digital) es un sistema de pagos instantáneos de Banxico que opera sobre el SPEI. Permite realizar cobros y pagos a través de códigos QR generados por la aplicación bancaria del usuario. Aunque fue lanzado en 2019, su adopción es baja: para septiembre de 2025 había 21,8 millones de cuentas validadas y 17,8 millones de operaciones acumuladas. Su uso puede expandirse al integrarse con billeteras digitales y e‑commerce. 

¿Qué es DiMo? 
DiMo (Dinero Móvil) es un riel de transferencias instantáneas lanzado en 2023 que permite enviar y recibir dinero con el número de teléfono del destinatario, sin necesidad de QR. Para junio de 2024 se habían registrado 9 millones de cuentas. Su adopción aún es incipiente y enfrenta retos de conocimiento y cobertura móvil. 

¿Qué son los neobancos y cómo contribuyen a la inclusión financiera? 
Los neobancos son entidades financieras digitales que ofrecen cuentas, tarjetas y préstamos a través de aplicaciones móviles. En México, Nu México cuenta con unos 12 millones de clientes y Hey Banco con más de 500 000 usuarios. Estos bancos reducen costos, ofrecen productos sin comisiones y utilizan análisis de datos para prestar a personas sin historial crediticio. 

¿Cuáles son las principales barreras para la inclusión financiera digital? 
La confianza en las instituciones, la educación financiera limitada, la brecha digital entre zonas urbanas y rurales, la complejidad de algunas plataformas y la persistencia del efectivo son obstáculos que frenan la adopción. También hay riesgos de fraude y endeudamiento que requieren regulaciones y campañas de concienciación. 

Por Tatiana Rassokha, Compliance Officer, CAMS

La primera vez que analicé la regulación de un país que nunca había visitado, me di cuenta de algo: prepararse para el cumplimiento normativo es muy similar a prepararse para un viaje. Estudias el mapa, revisas los requisitos de entrada y aprendes cómo funcionan realmente las cosas sobre el terreno. El terreno es desconocido, las reglas son locales, y perderse… puede salir caro.

Comprender un entorno regulatorio no es algo puntual, es un proceso continuo. Como cualquier viaje que realmente vale la pena, necesita una ruta bien planificada.

Primeras impresiones: lo que dicen los locales

Lo primero que haces antes de cualquier viaje es preguntar a personas que ya han estado allí por recomendaciones, consejos y examinar el destino en el mapa. En AML, eso significa consultar la inteligencia de pares y evaluar la posición internacional de un país.

Las evaluaciones mutuas del FATF sirven como punto de partida para comprender la estabilidad de los servicios financieros y la posición de un país en el mapa del AML/CFT. Estas evaluaciones analizan tanto el cumplimiento técnico de las 40 Recomendaciones como la eficacia práctica del régimen AML/CFT de un país. La brecha entre lo que dice la ley y lo que hacen las instituciones puede, en ocasiones, ser significativa. Una jurisdicción puede contar con un marco legal sólido y, al mismo tiempo, presentar debilidades en la aplicación, la supervisión o la cultura de reporte.

El FATF mantiene dos listas públicas de vigilancia —“Jurisdictions under Increased Monitoring” (lista gris) y “High-Risk Jurisdictions Subject to a Call for Action” (lista negra)— que se actualizan después de cada Plenario. La posición de un país en estas listas impacta directamente en el acceso a la banca corresponsal, el nivel de debida diligencia reforzada que deben aplicar los socios extranjeros y el grado general de escrutinio sobre la jurisdicción.

Estas listas no son estáticas. Reflejan los esfuerzos de implementación de los países y señalan áreas que requieren mejoras. Sudáfrica fue retirada de la lista gris en octubre de 2025 tras 32 meses, después de haber abordado los 22 puntos de su plan de acción con el FATF. Filipinas salió de la lista en febrero de 2025, tras casi cuatro años, después de reforzar la supervisión de los casinos y ampliar los requisitos AML para los servicios de remesas.

Leyendo el terreno: la legislación local

No estudias un idioma antes de ir de vacaciones: solo te aseguras de poder leer las señales críticas. En AML, las leyes primarias son las señales esenciales para el viajero que no se pueden ignorar: lo que exige la jurisdicción, dónde están los límites y qué desencadena consecuencias. No necesitas fluidez, pero sí debes entender las señales de advertencia antes de pasarlas por alto. Y, lo más importante, necesitas información actualizada y al día.

Solo en 2025, múltiples países reformaron sus regulaciones AML:

En México, se redujo el umbral de propiedad beneficiaria del 50 % al 25 % en julio de 2025. La reforma LFPIORPI incluyó el desarrollo inmobiliario en la lista de actividades vulnerables y otorgó a la Unidad de Inteligencia Financiera participación directa en investigaciones penales.

En los EAU, el Decreto Federal-Ley N.º 10/2025 reemplazó completamente la legislación de 2018 a mediados de octubre. Amplió la definición de delitos subyacentes para incluir la evasión fiscal y los delitos digitales, puso a los VASP bajo supervisión total AML/CFT y elevó las multas corporativas a 100 millones de AED. El panorama legal fue rediseñado fundamentalmente.

Siguiendo las señales del camino: regulación secundaria y guías de supervisión

Conocer la ley es el primer paso. Seguir las señales que los reguladores dejan — eso es lo que te mantiene en el camino correcto.

En México, la CNBV publica los requisitos de gestión para la prevención del fraude y establece comportamientos específicos de monitoreo para las instituciones. En los EAU, el Banco Central impuso más de 370 millones de AED en multas en 2025, incluyendo una sola penalidad de 200 millones de AED a una casa de cambio por fallas en su marco AML.

Ignorar estos pasos legislativos primarios y secundarios puede hacer que tu “viaje” salga realmente mal.

¿El costo? Consideremos el caso de N26. En marzo de 2021, el Banca d’Italia multó al neobanco alemán con 3,6 millones de euros y le ordenó cesar completamente la incorporación de clientes italianos. El problema no fue la escala, sino ignorar los requisitos locales. N26 no reportó transacciones sospechosas a la Unidad de Inteligencia Financiera de Italia durante más de un año, verificó de manera insuficiente la identidad de los clientes y careció de procedimientos para evaluar los riesgos de lavado de dinero y financiamiento del terrorismo.

El mensaje del regulador fue claro: N26 trató a Italia como una extensión de su operación en Alemania, no como una jurisdicción regulatoria distinta. Para mayo de 2022, N26 se retiró por completo de Italia. El costo no fue solo la multa: fue perder todo el mercado.

Elige tu alojamiento: reglas específicas por sector

Al igual que el lugar donde te alojas determina tu experiencia de viaje, el sector en el que operas determina qué reglas se aplican. Los requisitos en banca, fintech, seguros, bienes raíces y activos virtuales rara vez son idénticos, y asumir que lo son puede ser costoso.

En México, los bancos tradicionales enfrentan umbrales de CDD y requisitos de verificación biométrica diferentes a los de las fintech autorizadas bajo la Ley Fintech. Los desarrolladores inmobiliarios ni siquiera estaban clasificados como “actividades vulnerables” hasta la reforma de julio de 2025, lo que dejó transacciones por miles de millones fuera del alcance regulatorio durante años.

En los EAU, la Ley AML de 2025 ahora somete a los VASP —intercambios de criptomonedas, proveedores de wallets y plataformas DeFi— al régimen regulatorio completo: licencias, marcos de control y supervisión equivalentes a los de los bancos. El Artículo 30 va más allá, prohibiendo activos virtuales con anonimato que impidan la trazabilidad de las transacciones. Si tu plataforma permite privacy coins o transferencias peer-to-peer sin supervisión, estás incumpliendo por diseño.

En Filipinas, los casinos y operadores de juegos offshore fueron el núcleo del listado gris del país. La estrategia 2026–2030 se centra en negocios de juegos y de alta intensividad de efectivo, obligando a los operadores a demostrar, no solo prometer, que sus sistemas de vigilancia funcionan. Este cambio regulatorio plantea una pregunta más difícil: ¿cuántas otras jurisdicciones están a un problema de reclasificar un sector entero como de alto riesgo?

Pronóstico regulatorio: lo que se avecina

Un viajero revisa el clima antes de hacer la maleta. En AML, el FATF establece el pronóstico, y no seguirlo significa caminar hacia una posible tormenta sin estar preparado.

En su Plenario de febrero de 2026 en Ciudad de México, el FATF elevó el fraude cibernético a una prioridad estratégica, aprobando guías sobre cómo los delincuentes explotan los pagos instantáneos, las plataformas digitales y la ingeniería social. Un informe complementario específico sobre Stablecoins y Unhosted Wallets se centra en las transacciones peer-to-peer que evaden los controles institucionales.

La metodología de la 5ª ronda del FATF —que ahora se aplica en México, los EAU y Sudáfrica— otorga mayor peso a la eficacia demostrada. Los países enfrentan un ciclo de evaluación de seis años, con tres años para cerrar brechas antes de una escalada pública. Para las instituciones, esto significa contar con sistemas de monitoreo que “detecten patrones”, verificaciones de identidad que “prevengan el fraude” y reportes que “contribuyan a la inteligencia”.

Sin margen para improvisar

Algunos viajeros juran que su mejor viaje fue aquel que no planearon. Esa noción romántica no tiene lugar en el cumplimiento contra el lavado de dinero. Aquí, debes estar preparado. Tu timing debe ser preciso. Tus documentos deben estar listos. Tus defensas deben anticipar amenazas que aún no has visto.

Ahí es donde se rompe la analogía. Perder un vuelo significa reprogramar y frustración. No cumplir un requisito regulatorio significa multas, revisiones o suspensiones de licencia, o acciones de cumplimiento público; consecuencias que pueden terminar con negocios, no solo incomodarlos.

Tenemos ejemplos recientes. En julio de 2025, la FCA multó a Monzo Bank con 21 millones de libras. Los sistemas de onboarding no lograron detectar direcciones implausibles, miles de clientes de alto riesgo se registraron incluso después de una prohibición específica de la autoridad supervisora. La defensa del banco de que los sistemas “estaban siendo mejorados” se vino abajo ante la evidencia de que las alertas se ignoraron durante meses. La lección: las buenas intenciones sin disciplina operativa carecen de valor legal.

Ya sea que estés entrando en un nuevo mercado, incorporando clientes de una jurisdicción desconocida o preparándote para un escrutinio regulatorio, el éxito depende en gran medida de leer cada capa del terreno regulatorio de un país. Una preparación completa aún no te protegerá de la complejidad de las reformas legislativas, nuevas acciones de cumplimiento o cambios en las prioridades supervisoras. Pero, al igual que con un seguro de viaje obligatorio, sabrás mejor cuáles son tus opciones.

Lo que te llevas

Mantenerse en cumplimiento es un viaje que en realidad nunca termina. Puedes estudiar todos los mapas, memorizar cada regla y prepararte para cualquier escenario, pero el cumplimiento, al igual que los viajes, te enseña más cuando ya estás sobre el terreno.

La diferencia es que, en AML, lo que te llevas no es un souvenir, sino memoria institucional: los sistemas que funcionaron, las brechas que identificaste antes que los reguladores, y la disciplina para tratar cada jurisdicción como si tu licencia dependiera de ello. Porque depende.

¿Son las fintech una innovación en 2026? 

Hace unos años hablábamos de fintech en América Latina como innovación o alternativas a la banca tradicional, claves para impulsar la inclusión financiera. Hoy hablamos de un ecosistema con más de 3.000 empresas fintech, que ha crecido más de un 340% desde 2017.  

El ecosistema fintech ha entrado en fase de madurez. Muchas startups están evolucionando hacia modelos más sostenibles, integrándose con la banca tradicional o consolidándose como infraestructuras claves dentro del sistema financiero. Países como Brasil, México y Colombia concentran más de la mitad de ese mercado. 

¿Hacia dónde se está moviendo el sector? Estas son algunas de las tendencias que ya están marcando el 2026 

 El crecimiento imparable de los pagos digitales 

Si hay un cambio verdaderamente transformador en la región, es el crecimiento acelerado de las transacciones digitales. 

México, por ejemplo, se ha convertido en uno de los pioneros en pagos en tiempo real con SPEI, impulsando el crecimiento de transferencias A2A. En paralelo, tarjetas y wallets crecen a tasas cercanas al 20% anual en varios mercados. 

Es cierto que el uso del efectivo sigue siendo predominante, sobre todo para transacciones bajas, pero el comportamiento social está cambiando. La tendencia demuestra que los consumidores valoran cada vez más la inmediatez y la eficiencia.  

Este avance no solo moderniza la economía.  También impulsa la formalización y reduce la economía sumergida. 

Pero por supuesto, este crecimiento trae consigo mayor superficie de ataque y por tanto las infraestructuras tecnológicas que garanticen confianza digital son más críticas. 

Open finance: datos como motor de nuevos modelos financieros 

Si los pagos digitales han transformado la forma en que se mueve el dinero, el Open Finance está transformando la forma en que se utiliza la información financiera. 

Este modelo, basado en el acceso seguro y estandarizado a los datos, está redefiniendo la relación entre usuarios, fintech y banca tradicional. Ya no se trata solo de compartir información, sino de convertir esos datos en inteligencia accionable. 

En un entorno de interoperabilidad creciente, los usuarios pueden autorizar el acceso a su información financiera para recibir servicios más personalizados, ágiles y competitivos. Esto permite estructurar datos, generar modelos predictivos y mejorar la analítica, especialmente en procesos como la evaluación crediticia, la concesión de financiación o el diseño de productos adaptados al perfil real del cliente. 

Para las entidades financieras, Open Finance no es únicamente una oportunidad de innovación, sino una palanca estratégica para optimizar la gestión del riesgo y ampliar su propuesta de valor. Para las fintech, supone la posibilidad de construir soluciones sobre infraestructuras abiertas y escalables. 

En el escenario ideal: el dato financiero deja de estar aislado en silos y pasa a convertirse en un activo compartido, regulado y protegido, que impulsa competencia, eficiencia y mayor inclusión financiera en la región. 

Agentic AI: del KYC al KYA 

Estamos entrando en una nueva frontera. Con la llegada de los agentes autónomos cambian muchas de las reglas del juego. Estos nuevos actores son capaces de ejecutar operaciones, negociar y tomar decisiones con autoridad delegada. 

Durante décadas, el control financiero se ha basado en el KYC: identificar al cliente, verificar su identidad y monitorizar su actividad. 

Ese modelo ha funcionado porque el titular y el actor eran la misma persona. Con agentes autónomos, esa simetría desaparece. 

Aquí surge una evolución natural: KYA (Know Your Agent). No sustituye al KYC, lo complementa. 

En un entorno donde una IA puede ejecutar pagos o abrir productos en nombre de una persona, necesitamos verificar: 

• Que el agente tiene autorización real. 

• Que no ha sido manipulado. 

• Que actúa bajo consentimiento auditable. 

La identidad digital deja de ser individual para convertirse en relacional. 

Cambios regulatorios claves en la región 

A medida que el ecosistema crece, lógicamente los organismos reguladores tienen el reto de construir marcos que incluyan a estos nuevos actores y establezcan un estándar en cuando a límites y obligaciones de su actividad. Ejemplos claros son La actualización de la Ley Fintech 2.0 que se espera para octubre en México, el sistema de pagos en Perú que incorpora formalmente a fintechs, billeteras, iniciadores de pagos y el impulso de Open Finance en varios países.  

La regulación busca estándares más altos de seguridad y resiliencia: gestión de riesgo tecnológico, controles robustos en autenticación y capacidad para demostrar este cumplimiento ante auditorías.  

En definitiva, el sistema financiero y Fintech de Latinoamérica actualmente es un terreno fértil de oportunidades que no para de crecer.  En esta nueva etapa, la ventaja competitiva será construir un sistema donde cada interacción digital esté respaldada por identidad verificable y seguridad real. 

Los pagos electrónicos en México han alcanzado un récord histórico. El Sistema de Pagos Electrónicos Interbancarios (SPEI) procesó 5.41 mil millones de transacciones, un aumento del 39% respecto al año anterior en 2024, moviendo 219 billones de pesos entre más de 73.5 millones de adultos mexicanos. Plataformas como CoDi y Dimo también se suman a este auge, consolidando a los pagos digitales como la primera opción para millones de usuarios. 

Pero este crecimiento masivo trae consigo un desafío del que poco se habla: los usuarios no pagan comisión por estas transacciones, una estrategia de Banxico para fomentar la adopción. Esto significa que los ingresos tradicionales de los bancos y fintech, antes impulsados en parte por subsidios cruzados de tarjetas, ya no están disponibles.  

En un ecosistema donde cada transacción es prácticamente gratuita para el usuario, el margen ahora depende de la eficiencia operativa y la confianza digital. 

La presión de los pagos electrónicos sobre los márgenes

El volumen de operaciones no es solo una cifra: implica costos internos significativos. Cada pago electrónico requiere monitoreo, gestión de riesgo en tiempo real, atención a clientes y resolución de disputas. Multiplicado por miles de millones de transacciones, el impacto en costos operativos es enorme. 

Con comisiones bajas o nulas para los usuarios, los ingresos por transacción directa son mínimos. Antes, los ingresos de las tarjetas podían compensar parte de estos costos, pero con el cambio masivo hacia SPEI/CoDi/Dimo, cada punto de eficiencia cuenta. La verdadera oportunidad para proteger márgenes está en optimizar procesos y reducir riesgos de manera inteligente. 

Riesgos que impactan la rentabilidad

El crecimiento de pagos digitales introduce escenarios de fraude que pueden erosionar márgenes si no se gestionan correctamente: 

• New Account Fraud (NAF): aperturas de cuentas con identidades robadas o sintéticas, que pasan controles básicos y permiten transferencias masivas. 

• Account Takeover (ATO): robo de credenciales legítimas (por phishing, malware o ataques de fuerza bruta), que permite a los delincuentes operar como usuarios reales. 

• Fraude autorizado dentro de sesiones “legítimas”, donde malware o ingeniería social manipulan transferencias. 

Los sistemas tradicionales generan falsos positivos masivos, bloqueando operaciones legítimas y aumentando el costo operativo: atención al cliente, desbloqueos y gestión de disputas. Con millones de pagos diarios, estos costos pueden superar al propio fraude si no se gestionan eficientemente. 

La oportunidad: eficiencia operativa con identidad digital 

El auge de pagos instantáneos seguirá escalando en México, con proyecciones de Banxico que duplican el volumen para 2027. Por lo que, las entidades financieras necesitan herramientas que conviertan este crecimiento en rentabilidad, optimizando costos sin fricción para usuarios. 

La clave para elegir un proveedor es que la tecnología aquí permita escalar pagos instantáneos sin que el fraude y la operativa se coman el margen. ¿Cómo lo hacemos en Facephi? 

• Como consola SaaS modular, unifica onboarding, autenticación y antifraude en un solo entorno. Esto evita soluciones fragmentadas, reduce integraciones complejas y simplifica la operación para equipos regulados. 

• Su orquestación no/low-code permite lanzar o ajustar flujos en semanas, no meses. En un entorno donde SPEI, CoDi o Dimo crecen aceleradamente, esta agilidad reduce costos de desarrollo y acelera el time-to-value. 

• En prevención de fraude, no solo bloquea: previene antes de que el costo ocurra. Las listas de bloqueo de rostros y dispositivos, junto con reconocimiento facial y liveness, frenan NAF, ATO y deepfakes sin generar falsos positivos masivos. El resultado es menos soporte, menos disputas y menor pérdida operativa. 

• El cumplimiento normativo deja de ser reactivo. Con informes de auditoría en un clic y control de accesos por rol, los equipos responden a reguladores como CNBV sin fricción ni procesos paralelos. 

Todo se gestiona desde una única consola con KPIs accionables, permitiendo ajustar políticas en tiempo real sin afectar la experiencia del cliente. 

En un ecosistema sin comisiones, esta eficiencia identity-first transforma costos en ventajas competitivas, permitiendo a entidades financieras liderar la escalada digital sin subsidios cruzados. 

“Instant trust”: la confianza en tiempo real como diferencial

Con pagos instantáneos, la velocidad es la regla, pero la confianza determina la rentabilidad. Validar identidad y riesgo en segundos permite escalar volumen sin sacrificar la experiencia del usuario ni la seguridad de la operación.

Cada transacción legítima que fluye sin fricción significa menos chargebacks, menos disputas y menos intervención manual. Para entidades financieras, esto se traduce en protección de margen en un entorno donde las comisiones directas ya no cubren costos, y en una ventaja competitiva frente a competidores que todavía dependen de controles rígidos o procesos “post-mortem”.

México está en un momento clave: la adopción de pagos instantáneos es masiva, pero el efectivo y las tarjetas todavía conviven en muchos segmentos. La pregunta que deben hacerse bancos y fintech, en este momento, es cómo escalar los pagos de forma segura y rentable.

Facephi lo hace posible con soluciones modulares que integran onboarding, autenticación y antifraude adaptativo. Así, las entidades financieras reducen costos operativos, mejoran la conversión y mantienen la confianza del cliente, incluso cuando los ingresos por comisión directa son mínimos.

Validar identidad y riesgo en tiempo real no es solo una cuestión de seguridad: es la clave para proteger márgenes, mejorar experiencia de usuario y liderar la transformación digital de los pagos en México.

La digitalización del sistema financiero mexicano ha reducido el tiempo de apertura de cuenta de días a minutos. Sin embargo, detrás de esa experiencia móvil existe una arquitectura regulatoria compleja en materia de Prevención de Lavado de Dinero y Financiamiento al Terrorismo (PLD/FT) que condiciona directamente cómo debe diseñarse el onboarding digital. 

En México, el cumplimiento AML no es únicamente un ejercicio de monitoreo transaccional posterior; comienza en el momento exacto en que se valida la identidad del cliente. La solidez del proceso de identificación inicial determina la calidad del expediente, la trazabilidad de las operaciones futuras y la capacidad de responder ante auditorías de la autoridad. 

Marco regulatorio AML y PLD/FT en México 

El ecosistema AML mexicano involucra a varias autoridades y normas que operan de manera coordinada. La Comisión Nacional Bancaria y de Valores (CNBV) supervisa el cumplimiento operativo; la Secretaría de Hacienda y Crédito Público (SHCP) define la política antilavado; y la Unidad de Inteligencia Financiera (UIF) recibe y analiza los reportes de operaciones sospechosas. Este entramado se sustenta principalmente en el artículo 115 de la Ley de Instituciones de Crédito, la Ley para Regular las Instituciones de Tecnología Financiera (Ley Fintech) y las Disposiciones de Carácter General en materia de PLD/FT. 

Estas disposiciones establecen obligaciones claras: identificar formalmente al cliente, integrar un expediente completo, conservar la documentación por un mínimo de diez años y aplicar un enfoque basado en riesgo. Además, exigen la identificación del beneficiario final, elemento crítico en la prevención de estructuras de ocultamiento y uso de empresas pantalla. 

La regulación permite la contratación no presencial, pero bajo criterios estrictos de certeza razonable y auditabilidad. En este contexto, la tecnología no es un complemento operativo, sino el mecanismo a través del cual la institución demuestra cumplimiento normativo. 

Requisitos de identificación no presencial según la CNBV 

El onboarding digital en México debe diseñarse conforme a los lineamientos de identificación establecidos por la CNBV. La normativa no impone una única tecnología obligatoria, pero sí contempla mecanismos reforzados de validación, incluyendo videoidentificación, contraste contra bases oficiales, validaciones a través de terceros autorizados y, cuando aplique, el uso de biometría. 

La biometría facial, el análisis de prueba de vida o el contraste con registros oficiales pueden formar parte del proceso, siempre que se implementen bajo criterios de suficiencia, trazabilidad y conservación de evidencia. El punto clave no es la herramienta específica, sino la capacidad de demostrar que la identidad fue verificada de manera robusta y documentada. 

Cuando una entidad diseña su onboarding sin integrar estos requisitos desde la arquitectura tecnológica, se expone a observaciones regulatorias, planes de remediación o sanciones. En la práctica, el cumplimiento AML en México depende de que cada validación realizada quede registrada, timestamped y exportable para revisión. 

Ley Fintech y onboarding digital en México 

La Ley Fintech consolidó el marco para instituciones de tecnología financiera, habilitando formalmente la apertura remota de cuentas bajo controles reforzados. Este entorno regulatorio ha impulsado la competencia digital, pero también ha incrementado el escrutinio sobre procesos KYC. 

Para bancos y fintech, el desafío no es solo abrir cuentas rápidamente, sino demostrar que cada alta cumple con los estándares de PLD/FT, integra identificación de beneficiario final cuando corresponda y conserva evidencia digital suficiente para auditorías. 

En este punto, la convergencia entre identidad digital, antifraude y compliance se vuelve estratégica. Un onboarding deficiente no solo facilita el fraude de identidad; compromete todo el sistema antilavado posterior. 

Riesgos de fraude de identidad y cuentas mula 

El crecimiento del ecosistema financiero digital en México ha ido acompañado de un aumento en la suplantación de identidad, identidades sintéticas y uso de cuentas como vehículos de dispersión de recursos ilícitos. Cuando una identidad fraudulenta supera el proceso de alta, el problema no se limita a una pérdida puntual: contamina la eficacia del monitoreo transaccional y debilita la defensa AML de la institución. 

Las cuentas mula representan un riesgo especialmente relevante. Una validación inicial insuficiente puede permitir la apertura de cuentas utilizadas para layering o dispersión, dificultando la identificación del beneficiario final y exponiendo a la entidad a riesgos regulatorios significativos. 

Por ello, el onboarding debe concebirse como la primera línea de defensa AML. La detección temprana reduce falsos positivos posteriores, mejora la calidad del scoring de riesgo y fortalece la capacidad de justificar decisiones ante la CNBV o la UIF. 

Cómo diseñar un onboarding regulatorio y audit-ready 

Un enfoque verdaderamente compliance-tech implica integrar los requisitos regulatorios en la arquitectura tecnológica desde el inicio. Esto supone: 

• Validaciones documentadas y exportables para inspección. 

• Evidencia digital conservada conforme a los plazos regulatorios. 

• Trazabilidad completa del proceso de identificación. 

• Integración entre señales antifraude y motores AML. 

• Aplicación dinámica del enfoque basado en riesgo. 

Además, la reducción de falsos positivos no es solo una mejora operativa; es un factor estratégico. Equipos saturados por alertas innecesarias incrementan el riesgo de errores y retrasos en reportes regulatorios. La eficiencia en la detección contribuye directamente a la resiliencia del sistema de cumplimiento. 

En un entorno donde las evaluaciones internacionales del GAFI/FATF y el escrutinio regulatorio aumentan, las instituciones mexicanas necesitan algo más que cumplimiento mínimo. Necesitan procesos listos para inspección, con documentación exportable, auditabilidad completa y capacidad de demostrar cómo cada decisión fue tomada. 

El cumplimiento AML en México ya no es un área aislada dentro del banco. Es una arquitectura integrada donde identidad digital, prevención del fraude y PLD/FT deben funcionar como un único sistema coherente, diseñado no solo para operar, sino para resistir auditorías y proteger la reputación institucional en un entorno financiero cada vez más exigente. 

A las 05:40, Sofía abre la app de su aerolínea desde casa. No busca el “check-in” —eso ya lo hizo la noche anterior— sino algo más simple: confirmar que hoy podrá volar sin sorpresas. Apunta la cámara al pasaporte, acerca el móvil para leer el chip (NFC) y se hace un selfie. En menos de un minuto, su identidad queda verificada y lista para “viajar” como dato: preparada para validarse en los puntos críticos del aeropuerto sin volver a enseñar documentos físicos y con el consentimiento bajo su control. 

Esta es la promesa del boarding sin documentos: una cadena de confianza basada en identidad biométrica, credenciales digitales y cumplimiento normativo (PNR, ICAO, GDPR) desde el primer paso. 

Ese “viaje sin papeles” no es un eslogan. En 2026 es la respuesta directa a dos presiones simultáneas: una regulación cada vez más exigente y pasajeros que penalizan la fricción. Y, si se implementa mal, también puede convertirse en un riesgo reputacional y legal, especialmente cuando hablamos de biometría. 

Por qué el “paperless” en 2026 es, sobre todo, compliance (y dinero) 

Cada aerolínea conoce el “momento INAD”: un pasajero que llega a destino y es declarado inadmisible por problemas de documentación, elegibilidad o evaluaciones de riesgo. La consecuencia no es solo operativa. Implica costes de custodia, alojamiento, escoltas, retornos forzados, interrupciones del servicio e incluso multas por pasajero en determinados mercados. 

Al mismo tiempo, Europa acelera el refuerzo de controles digitales en frontera. La implementación de ETIAS y el despliegue progresivo del Entry/Exit System (EES) añaden presión operativa en aeropuertos, especialmente en picos de demanda. 

El resultado es claro: la elegibilidad del pasajero deja de resolverse en el mostrador y pasa a gestionarse antes de que el viajero llegue al aeropuerto. 

El cambio de fondo: de etapas aisladas a una identidad reutilizable 

El viaje tradicional está fragmentado: 

Reserva → check-in → control de seguridad → frontera → embarque → servicios adicionales. 

Cada etapa repite verificaciones, genera colas y crea puntos ciegos. 

El modelo Seamless Travel plantea lo contrario: una experiencia contactless, interoperable y sin comprobaciones repetitivas, utilizando credenciales digitales y autenticación biométrica en puntos como: 

• Bag drop 

• Seguridad 

• Inmigración 

• Acceso a lounge 

• Boarding 

En lugar de mostrar el pasaporte cinco veces, el pasajero reutiliza una identidad digital previamente verificada. 

Este modelo se apoya en estándares y marcos ya activos en el sector: 

• ICAO Digital Travel Credential (DTC) como base técnica para representar el pasaporte en formato digital, especialmente DTC Type 1 como primer paso hacia credenciales verificables. 

• IATA One ID, iniciativa que define cómo usar identidad digital y biometría en el aeropuerto garantizando consentimiento y minimización de datos. 

• IATA Contactless Travel Directory, que facilita la interoperabilidad entre aerolíneas, aeropuertos y proveedores biométricos. 

El contexto también lo respalda: los estudios de IATA muestran que el uso de biometría por parte de pasajeros crece año tras año, pero la aceptación depende directamente de cómo se gestione la privacidad y el control de datos. 

La historia completa: el viaje de Sofía (y dónde encajan PNR, ICAO y GDPR) 

1. Ready to Travel empieza en casa 

Sofía realiza un enrolamiento remoto: lectura del pasaporte y del chip, selfie y, si aplica, derivación hacia una credencial digital. 

La lógica es sencilla: si la identidad se digitaliza correctamente antes del viaje, el aeropuerto deja de ser el punto crítico de validación. 

Aquí conviven dos dimensiones: 

• Regulatoria-operacional: comprobar requisitos de entrada, coherencia documental y elegibilidad. 

• Técnica: crear una representación verificable (DTC o credencial digital) que pueda presentarse posteriormente con control del usuario. 

Para validar requisitos de entrada, el estándar sectorial es TIMATIC, que proporciona información actualizada sobre visados, documentación y requisitos sanitarios, reduciendo errores de admisión. 

2. Check-in fluido: consentimiento y minimización 

En el check-in digital no se trata de “subir el pasaporte a la nube”. Se trata de presentar únicamente los atributos necesarios y registrar el consentimiento de forma auditable. 

El enfoque moderno combina: Identidad + consentimiento + elegibilidad como un paquete verificable, en lugar de obligar al pasajero a aceptar condiciones repetitivas sin trazabilidad real. 

3. Aeropuerto: autenticación 1:1 o 1:N según jurisdicción 

En los eGates, la pasajera se autentica mediante biometría y presenta su credencial digital cuando es necesario. 

Dependiendo del marco regulatorio del país, el modelo puede ser: 

• 1:1 (verificación): comparación directa entre la biometría del pasajero y su credencial presentada. 

• 1:N (identificación): búsqueda contra una base biométrica autorizada. 

En ambos casos, la autenticación combina posesión (credencial) e inherencia (biometría), lo que equivale en la práctica a una autenticación fuerte. 

Para CIOs y responsables de Identidad Digital, el reto es diseñar un sistema adaptable a distintos marcos regulatorios y a la evolución normativa (EES, ETIAS, esquemas de wallet nacionales, etc.). 

4. El último kilómetro: acceso a lounge como caso tangible 

El ejemplo más claro de cómo identidad y experiencia convergen es el acceso a sala VIP. 

Modelo tradicional: QR, tarjeta, documento físico y validación manual. 
Modelo seamless: autenticación biométrica en el acceso, verificación automática de elegibilidad (status o compra) y, si procede, resolución inmediata del pago. 

En un solo gesto se resuelven: Identidad + consentimiento + elegibilidad + pago. 

Biometría y GDPR: donde se decide si el proyecto escala o fracasa 

El error habitual en 2026 es asumir que biometría significa automáticamente más rapidez. 

La diferencia entre un proyecto sostenible y uno bloqueado está en la arquitectura de datos. 

El European Data Protection Board (EDPB) ha analizado distintos escenarios de uso biométrico en aeropuertos: desde almacenamiento de plantillas bajo control del pasajero hasta bases centralizadas gestionadas por operadores. 

La conclusión es clara: la intrusividad puede mitigarse si el pasajero mantiene control y si se aplican principios estrictos de minimización y limitación temporal. 

No es una discusión teórica. En algunos países europeos se han detenido despliegues por no cumplir plenamente con salvaguardas de protección de datos. 

Por eso, el boarding sin documentos en Europa exige privacy-by-design real: pruebas de consentimiento, minimización efectiva y retención limitada. 

Fraude y pagos: el otro lado del viaje digital 

La digitalización también impacta en pagos y fraude. 

El crecimiento de wallets digitales en travel es evidente, pero con ello aumenta la superficie de ataque en: 

• Suplantación de identidad 

• Fraude en reservas 

• Card-not-present 

Por eso la estrategia sectorial suele diferenciar prioridades: 

• Carriers: foco en elegibilidad e INAD (impacto operativo inmediato). 

• OTAs: foco en fraude y precisión de datos de identidad. 

Qué están comprando realmente aerolíneas y aeropuertos en 2026 

Más allá del discurso, el stack mínimo que está ganando tracción incluye: 

1. Verificación remota de identidad (IDV) con lectura de chip y selfie. 

2. Conexión con fuentes regulatorias como TIMATIC para automatizar elegibilidad. 

3. Interoperabilidad mediante One ID y directorios sectoriales. 

4. DTC Type 1 como base para futuras credenciales verificables. 

5. Capas web o app que permitan presentación de credenciales con consentimiento trazable. 

El mercado lo respalda: las previsiones apuntan a miles de millones en ingresos en identidad digital aplicada a travel en los próximos años. 

Dónde encaja la tecnología en este nuevo modelo 

• Seamless Travel no es un producto, sino un modelo operativo basado en identidad digital interoperable. Para que funcione, requiere tecnología capaz de cumplir tres condiciones simultáneamente: 

• Alto nivel de garantía (LoA) en la verificación inicial de identidad. 

• Interoperabilidad con estándares internacionales (ICAO, IATA, esquemas de credenciales digitales). 

• Diseño conforme a normativa de protección de datos, especialmente en el uso de biometría. 

• La identidad digital en travel no puede construirse como una capa aislada. Debe integrarse con sistemas existentes de aerolíneas, aeropuertos y autoridades fronterizas, y adaptarse a marcos regulatorios distintos según jurisdicción. 

• En este contexto, los proveedores tecnológicos no venden “viajes sin papeles”, sino capacidades concretas: verificación remota de identidad, emisión y verificación de credenciales digitales, autenticación biométrica segura y mecanismos de consentimiento trazables. 

• El verdadero diferencial no está en eliminar el pasaporte físico, sino en convertir la identidad en un activo reutilizable, verificable y regulatoriamente sólido a lo largo de todo el journey. 

Además, Facephi ha colaborado con IATA en pruebas de concepto para demostrar la viabilidad de un viaje aéreo 100 % digital sin documentos físicos. 

Vivimos en un mundo digital donde las contraseñas ya no son suficientes. Cada día realizamos transacciones, accedemos a servicios y compartimos datos personales en línea. Con tanta comodidad, también aumentan los riesgos: fraudes, phishing, ingeniería social, deepfakes y ataques impulsados por inteligencia artificial son cada vez más sofisticados, especialmente en sectores regulados como banca, salud o movilidad.

En este escenario, surgen dos grandes protagonistas de la autenticación moderna: Passkeys y Credenciales Verificables (VCs). Ambos prometen un futuro sin contraseñas, pero con enfoques diferentes.

La pregunta que muchos se hacen es inevitable: ¿cuál de los dos es la mejor solución para proteger nuestra identidad digital?

Passkeys: adiós a las contraseñas

Los Passkeys son credenciales diseñadas para reemplazar contraseñas tradicionales. Funcionan mediante criptografía asimétrica, utilizan tu dispositivo como prueba de posesión. La biometría en dispositivo (Face ID), permite un acceso fluido y sin fricción y, cuando no está disponible, se puede recurrir a un PIN de seis dígitos. Esto las hace phishing-resistant y muy cómodas: un simple toque y ya estás dentro de la app o plataforma.

Ventajas clave:

• Eliminan la necesidad de recordar contraseñas complejas.

• Reducen el riesgo de ataques de phishing y robo de credenciales.

• Son rápidas y fáciles de usar en múltiples dispositivos cuando se sincronizan vía nube.

Pero no todo es perfecto. Aunque los Passkeys son seguras y cómodas, no verifican quién eres realmente. Es decir, saben que el dispositivo es tuyo, pero no pueden garantizar que el usuario detrás sea quien dice ser. Además, si la infraestructura en la nube que sincroniza tus passkeys se ve comprometida, puede existir un riesgo de exposición.

En resumen, las passkeys son excelentes para accesos rápidos y seguros, pero insuficientes para confianza plena en la identidad.

Credenciales Verificables: la prueba digital de quién eres 

Aquí es donde entran los Credenciales Verificables (VCs), un documento digital criptográficamente firmado que contiene atributos de identidad: nombre, fecha de nacimiento, edad, licencias o certificaciones. A diferencia de los Passkeys, las credenciales verificables de identidad (como Photo ID o licencias de conducir móviles) tienen como objetivo principal verificar la identidad real del usuario, asegurando que quien interactúa digitalmente es quien dice ser.

Combinados con autenticación biométrica avanzada (no solo biometría en dispositivo como Face ID, sino procesos donde la verificación biométrica se realiza y valida a través de canales independientes), los VCs permiten alcanzar Strong Customer Authentication (SCA) con un alto nivel de aseguramiento (LoA). Este enfoque es clave para cumplir regulaciones como eIDAS 2, PSD3 o AML5, donde no basta con autenticarse: es necesario demostrar identidad con garantías reforzadas.

Pensemos en un ejemplo real e imagina solicitar un préstamo en línea: Con un Photo ID en formato VC, el banco puede verificar tu identidad digitalmente sin necesidad de enviar documentos físicos ni ver tu contraseña. Todo se hace de manera segura, confiable y auditada.

Ventajas clave:

• Verificación real de identidad.

• Cumplimiento regulatorio en sectores estrictamente regulados.

• Protección frente a fraude digital y suplantación de identidad.

Las Credenciales Verificables permiten autenticar al usuario y, al mismo tiempo, garantizar de forma confiable su identidad digital. Son una solución ideal cuando se requiere un alto nivel de aseguramiento y cumplimiento regulatorio, aportando trazabilidad y evidencia verificable en cada interacción.

Resistiendo amenazas modernas: pishing, ingeniería social y fraude impulsado por IA

La seguridad digital ya no es solo cuestión de proteger contraseñas. Hoy, el principal vector de ataque es el phishing y la ingeniería social, cada vez más sofisticados gracias a la IA generativa. Deepfakes, identidades sintéticas y automatización inteligente amplifican estos ataques, haciendo más creíbles los intentos de suplantación.

Aquí, tanto Passkeys como VCs brillan porque están basadas en criptografía de clave pública. Esto las convierte en herramientas esenciales para la protección de transacciones remotas, banca digital, salud y movilidad, donde la identidad confiable es crítica.

El futuro será passwordless y trust-centric: no solo eliminaremos contraseñas, sino que también garantizaremos que cada acceso digital sea legítimo y verificable.

Identidad digital con protección integral 

Si algo demuestra la evolución de Passkeys y Credenciales Verificables es que la seguridad digital ya no puede depender de una sola capa. El fraude evoluciona, pero especialmente el phishing y la ingeniería social, ahora amplificados por IA: suplantaciones más creíbles, automatización a escala y ataques diseñados para explotar el factor humano. La respuesta no puede ser puntual. Tiene que ser end-to-end.

En Facephi entendemos la identidad digital como un proceso completo: desde la verificación inicial del usuario hasta la autenticación continua y la detección proactiva de fraude. Por eso hablamos de una protección integral basada en múltiples niveles de seguridad, donde la identidad verificada, la autenticación sin contraseñas y el análisis avanzado de comportamiento trabajan juntos.

No se trata solo de permitir el acceso, sino de garantizar que cada interacción digital esté respaldada por identidad verificable, trazabilidad y, cuando el caso de uso lo requiere. Las credenciales verificables, según su implementación, pueden actuar también como medio de registro de una transacción (por ejemplo, en esquemas como AP2), aportando evidencia criptográfica que refuerza la confianza y el cumplimiento regulatorio.

Conclusión 

Si buscas mejorar la experiencia del usuario y al mismo tiempo cumplir con las regulaciones y protegerte de amenazas modernas, la estrategia correcta no pasa por elegir entre Passkeys y Verifiable Credentials. La estrategia correcta es integrarlos:

• Passkeys: para niveles de autenticación bajo o sustancial, eliminando contraseñas.

• VCs: permiten alcanzar niveles altos de autenticación cuando se requiere verificación reforzada de identidad y cumplimiento normativo.

Al combinar ambos, se logra una autenticación digital robusta, resistente a ataques modernos y centrada en la confianza, que es justo lo que necesitan las empresas que quieren liderar en la era digital.

La combinación de ambos implica mayor flexibilidad. Permite adaptar el nivel de autenticación y verificación al contexto, al riesgo y al marco regulatorio aplicable, combinando distintos factores cuando sea necesario para lograr el nivel de aseguramiento requerido.

La automatización en la banca y fintech ya no se limita a procesos internos o robots que ejecutan tareas repetitivas. Cada vez más, los clientes delegarán decisiones y transacciones en agentes de inteligencia artificial capaces de comparar ofertas, activar servicios o mover dinero entre entidades, todo mientras ellos no están conectados. 

Este escenario, que hace unos años parecía ciencia ficción, es hoy una realidad emergente. Y con él llega un desafío que ninguna institución puede ignorar: la responsabilidad delegada. Si un agente puede ejecutar transacciones de extremo a extremo en nombre de un cliente, el riesgo deja de centrarse exclusivamente en la identidad humana. Ahora, la pregunta crítica es: ¿quién responde cuando algo sale mal? 

La transición de KYC (Know Your Customer) a KYA (Know Your Agent) no es solo conceptual. Representa un cambio estructural en la manera en que las instituciones financieras deben gestionar la identidad, la autorización y la trazabilidad en un mundo cada vez más automatizado. 

De KYC a KYA: evolución natural del control de identidad 

Durante décadas, las instituciones financieras han basado sus sistemas de control en KYC: identificar al cliente, verificar su identidad, monitorizar su actividad y mantener evidencia de cada transacción. Este enfoque funcionaba porque el titular de la cuenta y el actor eran la misma persona. 

En un entorno donde los agentes actúan de manera autónoma, esa simetría desaparece. Ahora, la entidad interactúa con un actor que no es humano, que tiene autoridad delegada y que puede ejecutar operaciones complejas de forma independiente. KYA surge como la evolución natural de KYC: no reemplaza la verificación de la identidad humana, sino que añade una capa de control sobre los agentes que actúan en su nombre. 

El objetivo de KYA es responder a preguntas como: ¿qué agente está actuando actualmente?, ¿bajo qué autoridad?, ¿cuáles son sus límites operativos?, ¿y cómo puedo demostrarlo ante un auditor o regulador? 

La delegación autónoma y los riesgos asociados 

La incorporación de agentes de IA introduce riesgos que no existían en el modelo tradicional. Un agente legítimo puede operar dentro de los permisos asignados y, aun así, ejecutar acciones que generen exposición indebida, errores operativos o vulneraciones regulatorias.  

Esto no es hipotético. Estudios recientes sobre la gestión de identidades no humanas muestran que muchas organizaciones tienen visibilidad limitada sobre cuentas de servicio, tokens o claves API. Si hoy existen dificultades para controlar estas identidades internas, el riesgo se multiplica cuando agentes autónomos externos operan en nombre de clientes reales, ampliando la superficie de responsabilidad. 

El problema radica en que estos agentes actúan con autoridad delegada: el titular de la cuenta confía en ellos para tomar decisiones en su nombre, y la institución financiera sigue siendo responsable ante auditores y reguladores por cada acción ejecutada.  

La superficie de riesgo es un ecosistema de actores interdependientes, cada uno con capacidad de ejecutar acciones de alto impacto. Además, estos riesgos no se limitan a pérdidas financieras directas. Las consecuencias pueden manifestarse en: 

• Incumplimientos regulatorios, como la falta de evidencia sobre autorización o trazabilidad de operaciones. 

• Exposición a fraude interno y externo, donde agentes comprometidos puedan ejecutar transacciones maliciosas sin levantar alertas tradicionales. 

• Impacto reputacional, al no poder demostrar a clientes o reguladores que se ejercieron controles adecuados sobre cada acción. 

En este contexto, el riesgo ya no es solo tecnológico; es de accountability. La institución financiera debe garantizar que cada acción del agente pueda ser atribuida, validada y auditada, independientemente de que el cliente haya delegado autoridad. 

Gobernanza y visibilidad: la base de la confianza 

Gestionar agentes autónomos exige ir más allá de los controles convencionales. La confianza no puede construirse solo sobre la presunción de que el agente actuará correctamente; debe existir una infraestructura de gobernanza clara, capaz de rastrear, validar y auditar cada decisión automatizada. 

Entre los elementos críticos se encuentran: 

• Verificación robusta de la identidad humana: La persona que delega autoridad debe estar plenamente autenticada mediante métodos de identidad digital confiables y verificados.  

• Autenticación y registro de la delegación: Cada autorización debe quedar documentada, con evidencia criptográficamente verificable, de modo que se pueda demostrar ante auditores y reguladores la intención y alcance de la delegación. 

• Definición de límites claros de operación: Los agentes deben operar con permisos explícitos, restricciones sobre transacciones críticas, y políticas de acceso diferenciadas según riesgo, tipo de operación y perfil del cliente. 

• Escalado en operaciones críticas: Para acciones de alto impacto, como movimientos de fondos, cambios en credenciales o accesos a información sensible, se deben implementar mecanismos de step-up, validación adicional o intervención humana obligatoria. 

• Trazabilidad integral y evidencia auditable: Cada interacción del agente debe quedar registrada, incluyendo agente específico, usuario, acción ejecutada, políticas aplicadas y excepciones, permitiendo reconstruir cualquier evento con precisión. 

En este ecosistema, la identidad digital y la biometría juegan un rol estratégico. Facephi ofrece una solución integral que unifica verificación de identidad, prevención de fraude y capacidades de compliance/AML, permitiendo garantizar que cada acción delegada pueda verificarse y auditarse, ofreciendo evidencia sólida ante auditores y reguladores y asegurando cumplimiento con estándares de trazabilidad, control y supervisión a nivel global. 

Preparación estratégica ante agentes autónomos 

Las organizaciones que comprendan y gestionen adecuadamente esta nueva capa de responsabilidad transformarán un riesgo potencial en una ventaja competitiva. La clave está en establecer un plano de control sólido que integre: 

• Señales de confianza robustas. 

• Políticas de autorización claras. 

• Mecanismos de escalado para operaciones de alto riesgo. 

• Evidencia auditable de cada acción relevante. 

Instituciones que adopten estos principios estarán mejor posicionadas para cumplir con regulaciones internacionales, como el EU AI Act, DORA, o las últimas actualizaciones en AML/CFT, mientras mantienen confianza y resiliencia operativa frente a fraude, errores y eventos críticos. 

En 2026, Sudáfrica se encuentra en un momento clave de su transformación digital y regulatoria. Tras salir recientemente de la lista gris del Grupo de Acción Financiera Internacional (GAFI/FATF), el país enfrenta la necesidad de consolidar sus avances en prevención de lavado de dinero (AML) y financiamiento del terrorismo (CFT) para mantener la confianza de la comunidad internacional y evitar riesgos que podrían comprometer su posición financiera y reputacional. 

El presidente Cyril Ramaphosa, durante su más reciente discurso del Estado de la Nación, anunció un ambicioso plan de digitalización, destacando la implementación de un sistema nacional de identidad digital (Digital ID) y la digitalización de licencias de conducir, certificados de estudios y otros servicios públicos. Estas medidas se canalizarán a través de la plataforma MyMzansi, que funcionará como el punto de acceso único para que los ciudadanos puedan interactuar con los servicios gubernamentales de manera segura y eficiente. 

Según Ramaphosa, el Digital ID no solo es un paso hacia la inclusión y la eficiencia, sino también un componente crítico para combatir el fraude, mejorar la seguridad y optimizar la prestación de servicios públicos.  

La digitalización permitirá a los ciudadanos completar trámites como declaraciones policiales, verificaciones de elegibilidad para subsidios sociales o solicitudes de servicios bancarios sin necesidad de desplazarse físicamente, reduciendo riesgos de manipulación o falsificación de documentos. 

Desafíos regulatorios y de implementación 

A pesar del entusiasmo, la implementación del Digital ID enfrenta desafíos importantes. La hoja de ruta MyMzansi Digital Public Infrastructure (DPI), diseñada para 2025–2027 y 2028–2030, proyectaba un sistema nacional de ID funcional para finales de 2025. Sin embargo, los plazos se han visto retrasados debido a que el marco legal aún está pendiente de aprobación por el gabinete y el documento de política todavía se encuentra en desarrollo. 

Para las instituciones financieras, esto significa que deben prepararse para un entorno de cumplimiento en evolución, donde la digitalización puede ser una herramienta para mitigar riesgos, pero también introduce nuevas complejidades, especialmente en AML/CFT, gestión de identidad y ciberseguridad. 

El Digital ID, basado en biometría, tiene el potencial de facilitar la verificación de identidad en tiempo real, reduciendo la dependencia de documentos físicos y mejorando la trazabilidad de transacciones. Al mismo tiempo, su integración con servicios financieros, de salud y educación requiere que las organizaciones ajusten sus sistemas de cumplimiento para garantizar que cada interacción digital cumpla con la regulación local y con los estándares internacionales. 

Mantener la efectividad AML/CFT tras la grey list 

La salida de Sudáfrica de la grey list del GAFI no significa que los riesgos hayan desaparecido. Por el contrario, el país debe demostrar efectividad continua en AML/CFT para evitar volver a ser incluido.  

La reciente inclusión de países como Kuwait y Papúa Nueva Guinea en la grey list demuestra que el panorama regulatorio puede cambiar rápidamente, y mantener efectividad continua en AML/CFT es clave para evitar que Sudáfrica vuelva a estar en la lista.  

Esto requiere que las instituciones financieras adopten un enfoque proactivo, utilizando tecnología para: 

• Verificar la identidad de clientes y transacciones de manera confiable. 

• Monitorear patrones de comportamiento y señales de riesgo en tiempo real. 

• Cumplir con los requisitos de reporte de FICA y la supervisión Twin Peaks. 

• Garantizar la protección de datos personales según la ley POPIA. 

• Incorporar mandatos de ciberseguridad, alineados con los estándares nacionales e internacionales. 

En este contexto, la digitalización del gobierno puede convertirse en un aliado estratégico. Sistemas como el Digital ID y la plataforma MyMzansi ofrecen una infraestructura que permite automatizar procesos de verificación y cumplimiento, reduciendo errores humanos, tiempos de espera y exposición a fraude. 

Oportunidades para las instituciones financieras 

Para bancos y fintechs, el entorno sudafricano representa tanto un desafío como una oportunidad. La digitalización de servicios públicos y la disponibilidad de un ID biométrico confiable pueden mejorar la experiencia del cliente, agilizar la apertura de cuentas y garantizar que las transacciones cumplan con las normas AML/CFT. 

Al mismo tiempo, las organizaciones deben invertir en tecnologías de verificación de identidad, biometría y monitoreo de transacciones, para alinearse con la supervisión regulatoria y fortalecer la confianza del mercado. La coordinación con las autoridades y la implementación de soluciones integrales de compliance se vuelve fundamental para sostener la posición de Sudáfrica como un país seguro para las operaciones financieras. 

Conclusión

La digitalización del gobierno sudafricano y la implementación del Digital ID representan un paso clave para fortalecer la inclusión, la eficiencia y la seguridad en los servicios públicos y financieros.  

Para las instituciones, esto implica prepararse para un entorno regulatorio dinámico, adoptando procesos y tecnologías que garanticen efectividad continua en AML/CFT y protejan la confianza de clientes y autoridades. 

Para apoyar a las organizaciones en este proceso, Facephi ha preparado una guía práctica sobre cumplimiento normativo en Sudáfrica, abordando AML/CFT, biometría y ciberseguridad. Esta guía puede ser un punto de referencia útil para entender cómo aplicar tecnología de manera efectiva y mantenerse alineado con los estándares regulatorios locales. 

En octubre de 2025 Sudáfrica salió de la “grey list” del Grupo de Acción Financiera Internacional (GAFI) tras demostrar avances significativos en su régimen de prevención de blanqueo de capitales y financiación del terrorismo. Este hito no solo restableció la confianza internacional en su sistema financiero, sino que también impuso a las instituciones bancarias la obligación de mantener estándares más estrictos: demostrar aumentos sostenidos en investigaciones y confiscaciones de activos ilícitos, fortalecer la supervisión basada en riesgos y asegurar que las autoridades competentes tengan acceso rápido y preciso a la información de beneficiarios reales. En 2026, la ciberseguridad y la integridad de la identidad digital se han convertido en ejes centrales para mantener ese estatus y garantizar la confianza de inversores, reguladores y ciudadanos. 

Un ecosistema bancario digitalizado con crecientes riesgos 

Sudáfrica cuenta con uno de los sistemas financieros más desarrollados de África: cuatro grandes bancos —Standard Bank, FirstRand/FNB, Absa y Nedbank— concentran el 85 % de la cuota de mercado, mientras que desafiantes digitales como TymeBank ya han captado a siete millones de clientes. La penetración bancaria supera el 80 % y se estima que 20 millones de personas utilizan la banca móvil. El Gobierno, a través del Departamento de Asuntos Internos (DHA), ha implantado un registro poblacional biométrico con una tasa de error inferior al 1 %, lo que demuestra su apuesta por la digitalización. 

Sin embargo, este avance ha ido acompañado de un aumento notable del fraude digital. El fraude bancario por canales electrónicos representó el 65,3 % de todos los incidentes denunciados en 2024, casi el doble que el año anterior, y las pérdidas superaron los 1 400 millones de rands. La mayoría de estafas se basan en ingeniería social: los delincuentes envían enlaces falsos por SMS, WhatsApp o redes sociales, o usan deepfakes y anuncios fraudulentos para engañar a los clientes y obtener contraseñas u OTP. Estos datos confirman que la digitalización exige controles más robustos en cada punto de contacto. 

Otro fenómeno alarmante es el fraude de SIM swap. Aunque las cifras pertenecen principalmente al sector telecomunicaciones, impactan directamente a la banca. Según el Centro de Información de Riesgos de Comunicación (COMRiC), el fraude en telecomunicaciones —incluyendo suplantación de identidad y SIM swap— costó a Sudáfrica más de 5 300 millones de rands en 2025. Este tipo de ataques permite a un estafador duplicar la tarjeta SIM de la víctima y, con ello, interceptar códigos OTP y acceder a sus cuentas. La naturaleza del cibercrimen evoluciona constantemente; como señala el CEO de COMRiC, las operadoras y sus socios “deben estar siempre alerta porque los criminales prueban algo nuevo cada día”. Para la banca, esto implica que la autenticación basada únicamente en teléfonos móviles ya no es suficiente. 

Exigencias regulatorias: FICA, POPIA y Joint Standards 

El marco regulatorio sudafricano se ha endurecido para responder a estos riesgos. La Ley de Inteligencia Financiera (FICA) exige que las instituciones designadas identifiquen y verifiquen la identidad de sus clientes, designen un oficial de cumplimiento y establezcan un programa de gestión de riesgos. Durante la incorporación, deben aplicar Diligencia Debida al Cliente (CDD) y controles continuos adaptados al nivel de riesgo. FICA permite la verificación remota: la identidad puede confirmarse digitalmente a través de reconocimiento biométrico con detección de vida o mediante verificación de documentos en línea. Además, las entidades deben registrar actividades sospechosas en un plazo de 15 días mediante Informes de Transacciones Sospechosas (STR) y reportar cualquier indicio de financiación del terrorismo en cinco días. 

La Ley de Protección de Información Personal (POPIA) complementa esta normativa obligando a las empresas a procesar datos de clientes de forma segura, limitar su uso a fines específicos y garantizar la transparencia. El equilibrio entre privacidad y lucha contra el fraude es delicado: los bancos necesitan recopilar y analizar datos biométricos, de comportamiento y de transacciones para combatir la suplantación, pero deben hacerlo de acuerdo con los principios de minimización y consentimiento de POPIA. 

En mayo de 2024, la Autoridad de Conducta del Sector Financiero (FSCA) y la Autoridad Prudencial (PA) publicaron el Joint Standard 2 sobre Ciberseguridad y Resiliencia, que entró en vigor el 1 de junio de 2025. Este estándar es pionero en Sudáfrica: obliga a bancos, aseguradoras, fondos de pensiones, agencias de calificación y otros a adoptar prácticas obligatorias de ciberseguridad y gestión de riesgos digitales. Su alcance es amplio: exige auditorías periódicas, gobierno de ciberseguridad, supervisión de terceros y planes de recuperación ante incidentes. Aunque para muchas entidades, especialmente las pymes, la implementación es costosa y compleja, el objetivo es reducir el riesgo sistémico y proteger a los consumidores y al ecosistema financiero. Precedido por el Joint Standard 1 de 2023 (gobernanza de TI), este marco refleja un giro regulatorio hacia la resiliencia digital. 

Además, la normativa sectorial incluye estándares específicos, como el de la Asociación de Pagos de Sudáfrica (PASA). En 2016, PASA, en colaboración con Visa y Mastercard, lanzó un estándar interoperable para la autenticación biométrica en tarjetas de pago. El esquema permite verificar huellas, palma, voz, iris o rostro de forma segura y uniforme. Su propósito es disponer de una infraestructura común que facilite la adopción de pagos biométricos y reduzca el fraude en tarjetas. Para los bancos, esto marca un precedente al exigir que sus sistemas sean compatibles con múltiples formas de biometría. 

Los requisitos de cumplimiento que la banca debe atender incluyen, además, la verificación de identidad con el Registro de Población Nacional (DHA), el control de Personas Políticamente Expuestas (PEPs) tanto nacionales como extranjeras, la comprobación de beneficiarios reales para participaciones del 25 % o superiores, el filtrado en tiempo real de listas de sanciones (UN y listas domésticas), y la presentación de informes de incidentes de ciberseguridad en un plazo de 24 horas. Estas exigencias elevan el listón de la supervisión y obligan a la banca a integrar fuentes de datos diversas de forma eficiente. 

Cómo responde la banca: biometría, tokens y análisis avanzado 

Ante este panorama regulatorio y delictivo, los bancos sudafricanos están fortaleciendo sus procesos de identificación y autenticación. La biometría se ha convertido en la piedra angular del onboarding digital y de las transacciones sensibles. Gracias a la compatibilidad normativa de FICA y PASA, las entidades pueden comparar una selfie o huella del cliente con los datos oficiales de la DHA y usar algoritmos de detección de vida para evitar deepfakes. La sustitución progresiva del OTP por SMS por notificaciones push, tokens hardware y autenticación biométrica reduce la dependencia de la tarjeta SIM, considerada ya un vector débil de ataque. 

Los bancos también están recurriendo a sistemas de IA y analítica avanzada para monitorizar el comportamiento transaccional y detectar patrones anómalos que sugieran toma de control de cuentas o uso fraudulento de identidades. Un ejemplo es el análisis de contexto y biometría conductual (por ejemplo, velocidad de tecleo, geolocalización, dirección IP) que permite activar verificaciones adicionales cuando se detectan cambios significativos en el comportamiento del usuario. Este enfoque sigue la recomendación de adoptar controles basados en riesgos y escalados por eventos, en lugar de imponer verificaciones uniformes que generan fricción. Tal modelo se alinea con las lecciones de ecosistemas digitales maduros: la identidad ya no se verifica una sola vez; se defiende de forma continua. 

El papel de Facephi en la banca sudafricana 

En este contexto, Facephi ofrece una suite de soluciones que se adaptan específicamente a los requisitos de cumplimiento y ciberseguridad de Sudáfrica. Entre sus capacidades destacan: 

• Onboarding digital con integración al DHA: la plataforma de Facephi se conecta con el Registro de Población Nacional para validar la identidad mediante biometría facial o dactilar, con tasas de error inferiores al 1 %. Además, incorpora detección de vida conforme a la norma ISO 29794-5 para evitar ataques de presentación. 

• Autenticación biométrica multimodal: cumpliendo con el estándar PASA 2016, Facephi soporta la verificación facial, dactilar y por voz; puede combinar factores para que solo el titular autorice transacciones sensibles. Esto elimina la dependencia del OTP y protege a los clientes frente a SIM swaps y robo de credenciales. 

• Cribado AML y monitoreo en tiempo real: la solución incluye la revisión de listas de sanciones de la ONU, listas domésticas de Medidas Restrictivas, y bases de datos de PEPs y medios adversos. Facephi automatiza la generación de informes de transacciones sospechosas (STR) en un plazo de 15 días y la detección de estructuras de transacciones (conocidas como smurfing), cumpliendo así con FICA. 

• Biometría conductual y detección de mulas: mediante análisis de patrones y redes de transacciones, Facephi ayuda a identificar cuentas utilizadas para lavar dinero o canalizar fondos ilícitos. Este enfoque soporta la exigencia de “progresión sostenida” en las investigaciones y confiscaciones establecida por el GAFI y responde a la expansión de la suplantación digital. 

• Monitoreo de transacciones: el módulo de Facephi es compatible con los umbrales de reporte establecidos en FICA (por ejemplo, reportar depósitos o retiros en efectivo a partir de ciertos límites) y automatiza los envíos a la FIC. 

Estas capacidades permiten que los bancos reduzcan el fraude sin deteriorar la experiencia del cliente, cumplan con los requisitos de FICA y POPIA, y se preparen para las nuevas exigencias de ciberseguridad del Joint Standard 2. Al mismo tiempo, la plataforma modular facilita adaptar los controles al nivel de riesgo y al ciclo de vida del cliente, un enfoque recomendado por especialistas en identidad digital. 

Innovación y retos hacia 2026 

Aunque el sector bancario sudafricano ha avanzado notablemente, los desafíos continúan. La transición hacia un sistema de identidad digital nacional —impulsada por el DHA— promete eliminar documentos falsos y duplicados, pero también trasladará el fraude hacia vectores como la toma de control de cuentas, el SIM swap y el compromiso de dispositivos. Los bancos deben prepararse para un entorno donde la autenticación se base en múltiples factores y los controles se activen de manera dinámica según eventos y riesgos. 

El Joint Standard 2 obliga a instituciones grandes y pequeñas a fortalecer sus defensas. Sin un centro nacional de ciberseguridad y con años de infrafinanciación en seguridad digital, el sector tiene que invertir en talento, auditorías, segregación de funciones y supervisión de proveedores. Para las pymes, la carga puede ser onerosa, pero la colaboración con proveedores especializados como Facephi permite acceder a tecnologías de vanguardia y cumplir con los estándares sin sacrificar la agilidad. 

Finalmente, la educación del usuario sigue siendo crucial. El FSCA ha advertido de un aumento de estafas vía SMS, WhatsApp, Telegram y falsos asesores financieros. Los bancos deben combinar tecnología con programas de concienciación para que los clientes identifiquen phishing, deepfakes y promesas de “dinero fácil”, y sepan que nunca deben compartir su OTP ni sus datos biométricos. 

Conclusión: Un futuro de confianza digital 

La salida de Sudáfrica de la grey list del GAFI marca un punto de inflexión, pero mantener la confianza requiere un compromiso continuo con la ciberseguridad y la integridad de la identidad. Los ataques se están sofisticando, los fraudes migran hacia vectores como el SIM swap y la toma de control de cuentas, y los reguladores elevan las exigencias para evitar recaídas. La combinación de un marco normativo riguroso (FICA, POPIA, Joint Standards), tecnologías de verificación robustas (biometría multimodal, detección de vida, análisis de comportamiento) y un enfoque basado en riesgos y eventos permitirá a los bancos proteger tanto a sus clientes como a la estabilidad del sistema financiero. 

Facephi se posiciona como un aliado estratégico en esta transición. Al ofrecer soluciones integradas de onboarding digital, autenticación biométrica y monitoreo de fraude compatibles con las normas sudafricanas y los estándares internacionales, ayuda a las entidades financieras a cumplir con la regulación, reducir el fraude y ofrecer una experiencia segura y fluida. De cara a 2026, la banca que adopte estas herramientas no solo reducirá pérdidas y sanciones, sino que también consolidará su reputación como garante de confianza en la economía digital. 

Navegar por internet y usar redes sociales se ha vuelto casi natural para los adolescentes de 14 a 16 años, pero esta facilidad de acceso trae consigo desafíos crecientes. Desde contenido inapropiado hasta riesgos asociados a la interacción con algoritmos y plataformas.

Aunque los titulares suelen centrarse en las redes sociales, el debate sobre la verificación de edad va mucho más allá: es un reto transversal que toca plataformas de juegos, servicios financieros, aplicaciones cripto y cualquier entorno online donde sea crucial garantizar un acceso responsable.

En otras palabras, la conversación empieza en social media, pero la necesidad de age assurance se extiende a todo el ecosistema digital. La clave está en crear procesos de verificación de edad que sean sólidos, proporcionales y auditables, capaces de proteger a los jóvenes sin comprometer su privacidad digital.

La verificación de edad como prioridad regulatoria en un contexto global

El reciente anuncio del Gobierno español sobre la protección de menores vuelve a poner la verificación de edad en el centro del debate. Pero esto no es solo un tema local: la presión sobre las plataformas digitales para garantizar un acceso seguro a los menores cruza fronteras y sectores.

Distintos marcos normativos y organismos internacionales ya están marcando tendencias claras y convergentes:

• España ha propuesto elevar la edad mínima de consentimiento digital a 16 años, alineándose con la directiva europea sobre servicios digitales (DSA) y las recomendaciones del Parlamento Europeo, que promueven mecanismos de verificación fiables y proporcionados. 

• Unión Europea: el proyecto de la Cartera Digital Europea (EUDI Wallet) busca un estándar armonizado de age assurance, con credenciales verificables y trazables, minimizando la exposición de datos personales y favoreciendo la interoperabilidad entre servicios. 

• Francia ha avanzado en la regulación de la verificación de edad como mecanismo estructural de protección de menores. Con la Ley de Seguridad y Regulación del Espacio Digital (SREN, 2024), se han establecido requisitos técnicos obligatorios de verificación para sitios de contenido explícito accesibles desde el país, incorporando estándares de “doble anonimato”, mecanismos de supervisión por parte del regulador ARCOM y un régimen sancionador por incumplimiento. 

• Australia ha implementado un marco flexible bajo el cual las plataformas deben aplicar “medidas razonables” para prevenir el acceso de menores a redes sociales, sin imponer un único método de verificación. Esto incluye tecnologías que van desde estimaciones de edad hasta verificación basada en atributos, siempre con criterios de proporcionalidad y privacidad. 

• Organismos internacionales, como la OECD y el UNICEF, han subrayado la necesidad de un enfoque coherente y global que combine protección de menores, proporcionalidad del control y privacidad digital, alineando prácticas locales con estándares internacionales. 

El debate ya ha dejado de ser sobre si es necesario verificar la edad, sino de cómo implementarlo de forma efectiva, segura y regulatoriamente consistente. La regulación internacional está convergiendo hacia sistemas que sean auditables, proporcionales y escalables, capaces de proteger a los menores sin comprometer la experiencia digital o la privacidad de todos los usuarios.

El verdadero reto técnico: proporcionalidad y minimización 

La clave Implementar age assurance está en diseñar mecanismos que sean proporcionales al riesgo y respeten la minimización de datos, uno de los principios centrales del RGPD y de los principales marcos internacionales de protección de datos, incluidos el UK GDPR del Reino Unido, la legislación australiana de privacidad y las directrices de la Organización para la Cooperación y el Desarrollo Económicos (OECD).

• La edad como atributo: no siempre requiere identidad completa. Solo debe verificarse el dato necesario para cumplir la regulación o la política interna del servicio. 

• Proporcionalidad según riesgo: no todos los servicios implican el mismo nivel de exposición o consecuencias legales. Una plataforma de streaming puede requerir un nivel de verificación distinto al de un juego online con apuestas reales. 

• Verificación basada en atributos vs. identidad completa: los sistemas modernos permiten demostrar que un usuario cumple con la edad mínima sin recopilar datos identificativos innecesarios, reduciendo el riesgo de exposición o perfilado cruzado. 

En este enfoque, la verificación se convierte en una capa crítica de la arquitectura de identidad digital, integrada en los flujos de autenticación y control de acceso.

Privacy-first age assurance

Cuando hablamos de privacy-first age assurance no hacemos referencia a una tecnología concreta sino a un marco de diseño que establece cómo los servicios digitales pueden cumplir regulaciones de edad sin comprometer la privacidad del usuario.

Un modelo privacy-first debe cumplir cinco principios:

1. Proporcionalidad: el nivel de verificación se ajusta al riesgo del servicio. 

2. Minimización: solo se procesa la información estrictamente necesaria para demostrar la edad. 

3. Seguridad antifraude: incorpora controles frente a suplantación, ataques de presentación, deepfakes y otras técnicas de falsificación digital. 

4. Trazabilidad: los procesos son auditables y demostrables ante reguladores o auditorías internas. 

5. Interoperabilidad regulatoria: la verificación se integra con marcos KYC, AML y normativa sectorial cuando aplica, evitando soluciones aisladas o incompatibles. 

Este enfoque permite desplazar el debate de la tecnología concreta hacia la gobernanza del sistema, demostrando que la verificación es eficaz, responsable y escalable.

Casos de uso en sectores regulados

La experiencia de Facephi en verificación de identidad y cumplimiento global demuestra cómo la age assurance puede integrarse de manera robusta dentro de la arquitectura digital, más allá de ser un simple filtro:

Plataformas crypto

• Cumplimiento de obligaciones KYC y AML. 

• Gestión del riesgo financiero y de acceso por menores. 

• Verificación de edad integrada en el onboarding, combinando OCR de documentos y biometría facial, garantizando que solo los usuarios autorizados acceden a los servicios y reduciendo el riesgo de fraude. 

Gambling & Gaming 

• Edad mínima como requisito legal y protección de usuarios vulnerables. 

• Proceso de verificación rápido y preciso: el usuario escanea su documento y se toma un selfie, con validación de datos y comparación facial mediante modelos de Deep Learning. 

• Integración opcional con bases de datos gubernamentales para una verificación aún más confiable. 

Principales beneficios de la solución Facephi

• Seguridad avanzada: detección de fraude y suplantación de identidad en tiempo real. 

• Cumplimiento regulatorio: asegura conformidad con normativas locales e internacionales. 

• Optimización de procesos: reduce costos operativos frente a verificaciones manuales. 

• Experiencia de usuario fluida: age assurance rápida y sin fricciones. 

• Trazabilidad y auditabilidad: todos los pasos son verificables ante reguladores y auditorías internas. 

En ambos casos, podemos afirmar que age assurance no puede añadirse como capa superficial, sino que debe integrarse desde el diseño del flujo de identidad digital, reforzando confianza y cumplimiento normativo. 

Hacia un estándar global responsable 

El debate sobre la edad mínima y la verificación eficaz se extiende hoy a nivel global. La tendencia apunta a sistemas auditables, escalables y basados en atributos, que permitan: 

• Cumplir regulaciones locales e internacionales. 

• Minimizar riesgos de exposición de datos sensibles. 

• Garantizar interoperabilidad y coherencia regulatoria. 

Aquí es donde la experiencia global de Facephi cobra relevancia. Con soluciones diseñadas para integrarse en distintos sectores regulados, desde plataformas de juego y apuestas hasta servicios financieros y cripto, Facephi aporta marcos de verificación de edad que combinan solidez técnica, trazabilidad y respeto a la privacidad digital. Esto permite a las plataformas demostrar cumplimiento, gestionar riesgos y asegurar que los menores acceden solo a los entornos adecuados. 

La salida de Sudáfrica de la lista gris del Grupo de Acción Financiera (GAFI) el 24 de octubre de 2025 representa algo más que un hito regulatorio: es un modelo para alcanzar la excelencia sostenida en AML/CFT. Tras dos años de esfuerzos intensivos en cumplimiento, el Centro de Inteligencia Financiera (FIC) y las instituciones financieras sudafricanas lograron cumplir los estrictos requisitos necesarios para ser retiradas de la lista de Seguimiento Aumentado (JIUM). 

Para los responsables de prevención del blanqueo de capitales (MLRO), los directores de seguridad de la información (CISO) y los directores de información (CIO) de grandes bancos, neobancos y empresas fintech a nivel mundial, el camino recorrido por Sudáfrica ofrece lecciones clave sobre cómo mantener el cumplimiento regulatorio en una era de mayor escrutinio. 

Pero más allá del titular, la pregunta realmente relevante es cómo Sudáfrica implementó su plan de acción del GAFI a nivel nacional y cómo las instituciones financieras tradujeron esos compromisos en controles operativos y tecnológicos que pueden replicarse en otros contextos. 

Por qué la inclusión en la Lista Gris del GAFI importa a tu institución

Actualmente, la lista gris del GAFI incluye a 24 países que están trabajando para abordar deficiencias estratégicas en AML/CFT. Estar en la lista gris implica cumplir con requisitos de debida diligencia reforzada por parte de los bancos corresponsales, aumenta los costes de procesamiento de transacciones y daña la reputación institucional. Más de 200 países se han comprometido a implementar los estándares del GAFI, y aquellos que no los cumplen se enfrentan a un seguimiento más riguroso con importantes consecuencias reputacionales y económicas.

Las instituciones financieras que operan en jurisdicciones incluidas en la lista gris o que hacen negocios con ellas enfrentan cargas de cumplimiento elevadas. Según datos recientes, los principales bancos gastan hasta 1.000 millones de dólares al año en operaciones de KYC y AML para prevenir el delito financiero. Los riesgos son altos: desde 2008, los reguladores han impuesto más de 403.000 millones de dólares en multas por incumplimientos de KYC y AML.

Principales logros que llevaron a la salida de Sudáfrica de la lista gris del GAFI

El GAFI reconoció ocho mejoras significativas que permitieron a Sudáfrica salir del seguimiento reforzado. Estos fueron algunos de los avances clave que marcaron una diferencia decisiva en la eliminación de Sudáfrica de la lista gris del GAFI: 

1. Mayor transparencia en la propiedad beneficiaria 

Sudáfrica implementó un umbral del 25 % de propiedad beneficiaria, con verificación obligatoria a través del registro de la Comisión de Empresas y Propiedad Intelectual (CIPC). Esta medida aborda una de las vulnerabilidades más comunes en AML: estructuras de propiedad ocultas que pueden facilitar el blanqueo de capitales.

Conclusión clave para MLROs: Establecer sistemas automatizados de identificación de propietarios beneficiarios integrados con registros nacionales y realizar actualizaciones de verificación anuales para detectar cambios en la propiedad que requieran diligencia debida renovada.

2. Fortalecimiento de la monitorización de transacciones y la calidad de los STR

El FIC destacó la importancia de una monitorización automática de transacciones efectiva y de la presentación oportuna de Reportes de Actividad Sospechosa (SAR) de alta calidad. Sudáfrica introdujo un requisito de presentación de 15 días para los Reportes de Transacciones Sospechosas (STR), acompañado de documentación integral de gestión de casos.

Insight de implementación: En 2025, la monitorización de transacciones en tiempo real se ha convertido en la principal prioridad de inversión para los equipos de cumplimiento, con un 62 % de las organizaciones adoptando este enfoque. Los sistemas modernos de monitorización deben ser capaces de detectar siete patrones críticos: anomalías de comportamiento, actividades de estructuración, esquemas de “smurfing” con múltiples intermediarios, movimientos rápidos de fondos, transacciones transfronterizas, riesgo geográfico, análisis de redes y detección de cuentas de mulas.

3. Cribado exhaustivo de sanciones 

Sudáfrica exigió la verificación en tiempo real contra las listas de sanciones del Consejo de Seguridad de la ONU, OFAC, UE y sanciones financieras dirigidas nacionales (TFS). El marco requiere la notificación en 24 horas de violaciones de sanciones a las autoridades y el congelamiento inmediato de activos en casos confirmados. 

Mejor práctica: Implementar cribado a nivel de transacción con cobertura del 100 % desde el inicio del pago. Establecer protocolos de investigación que distingan positivos reales de coincidencias falsas dentro del mismo día hábil para alertas de alta confianza. 

4. Ampliación de la definición de PEPs y diligencia debida reforzada 

Las enmiendas de la FICA de diciembre de 2022 alinearon el marco de Sudáfrica más estrechamente con el GAFI, aclarando que las Personas Influyentes Nacionales Destacadas (DPIP) y los Funcionarios Públicos Extranjeros Destacados (FPPO) se tratan como personas políticamente expuestas, y extendiendo expresamente las obligaciones de diligencia debida reforzada a sus familiares directos y asociados cercanos conocidos. 

Requisito de cumplimiento: Los MLRO deben implementar cribado trimestral de actualización de clientes, verificación de origen de fondos, monitorización de medios adversos y revisiones anuales de diligencia debida reforzada para todas las relaciones con PEP. 

5. Infraestructura de verificación de identidad biométrica 

Sudáfrica mejoró el Sistema Automatizado de Identificación Biométrica (ABIS) del Departamento de Asuntos Internos, logrando tasas de error inferiores al 1 % en reconocimiento facial y huellas dactilares después de marzo de 2025. Esta infraestructura permite una incorporación remota segura y previene el fraude de identidad. 

Enfoque tecnológico: Los sistemas modernos de autenticación biométrica alcanzan una precisión del 99,8–99,9 % en pruebas NIST. Los bancos están adoptando cada vez más el reconocimiento facial y de huellas para prevenir ataques de toma de control de cuentas (ATO), que han aumentado un 122 % interanual en los sectores fintech y financiero. 

El desafío tras la lista gris: mantener lo que has logrado

La salida de la lista gris reduce el escrutinio internacional inmediato, pero establece una nueva expectativa de referencia: la excelencia continua en cumplimiento. Las instituciones financieras deben demostrar efectividad sostenida en AML/CFT mediante: 

Diligencia debida de clientes basada en riesgo (CDD) 

Implementar un marco de diligencia debida de clientes de tres niveles basado en riesgo: aplicar CDD simplificada a clientes de bajo riesgo, CDD estándar a clientes habituales y diligencia debida reforzada (EDD) a perfiles de alto riesgo, como PEPs, relaciones complejas o de alto valor y transacciones transfronterizas de mayor riesgo, utilizando umbrales y criterios basados en rands y alineados con la Ley del FIC, las guías del FIC y tu RMCP (Programa de Gestión de Riesgos y Cumplimiento), en lugar de un límite fijo de 3.000 USD. 

Detección de patrones en tiempo real 

La monitorización moderna de transacciones debe ir más allá de defensas estáticas hacia modelos dinámicos y contextuales que se adapten continuamente en tiempo real. Los sistemas líderes utilizan análisis de comportamiento, estableciendo perfiles de transacción de referencia de los clientes y detectando desviaciones en tamaño, frecuencia, destino geográfico y tipo de contraparte. 

Ecosistemas de cumplimiento integrados 

La monitorización de transacciones efectiva no existe de forma aislada. En 2025, los programas de cumplimiento más avanzados integran la monitorización de transacciones con verificación KYC, cribado de sanciones, monitorización de PEPs y sistemas de detección de fraude. Este enfoque holístico reduce los falsos positivos del 90‑95 % al 60‑70 % mediante priorización de casos potenciada por IA. 

Conclusión: Excelencia en cumplimiento más allá de la lista gris

El caso de Sudáfrica pone de relieve la importancia de soluciones integradas que unifiquen la verificación de identidad, la prevención del fraude y las capacidades de AML/cumplimiento. Plataformas como Facephi 360° Intelligence Fraud ofrecen protección de extremo a extremo, combinando tecnología, datos y procesos para que las instituciones no solo cumplan con los requisitos regulatorios, sino que también optimicen sus operaciones y refuercen la confianza con clientes y reguladores. 

La salida de Sudáfrica de la lista gris del GAFI demuestra que el cumplimiento regulatorio no es un esfuerzo puntual, sino un proceso continuo. Para MLROs, CISOs y CIOs, la clave está en incorporar controles basados en riesgo, monitorización en tiempo real y sistemas de cumplimiento en las operaciones diarias para garantizar una efectividad sostenida en AML/CFT. 

Mantener esta excelencia asegura la confianza regulatoria, reduce el riesgo operativo y establece un referente en el sector financiero global. El cumplimiento no puede ser tratado como un ejercicio reactivo: debe estar integrado en la propia estructura de la institución. 

¿Qué es el GAFI? 

El Grupo de Acción Financiera (GAFI) es el organismo intergubernamental responsable de definir los estándares globales de prevención del blanqueo de capitales y la financiación del terrorismo (AML/CFT). Su misión es crucial, en un contexto donde el lavado de dinero alcanza hasta el 5% del PIB mundial.  

Cuenta con organismos regionales como MENAFATF o GAFILAT, encargados de aplicar estos estándares a nivel local y con el objetivo de lograr un marco regulatorio cada vez más homogéneo.  

Inclusión financiera cómo estrategia AML 

En junio del 2025 el GAFI publica una nueva Guía sobre Inclusión Financiera y Medidas contra el Lavado de Dinero y la Financiación del Terrorismo, donde pone aún más foco la inclusión financiera es un objetivo de cualquier estrategia AML. Actualmente 1300 millones de adultos están fuera del sistema financiero formal, es decir, no tienen ninguna cuenta en un banco, institución similar o proveedor de dinero móvil. 

Ante esta realidad GAFI reconoce que excluir a personas o colectivos del sistema financiero reduce la trazabilidad, empuja a canales informales o no regulados y debilita la eficacia del sistema AML.  

En este contexto, la identidad digital se reconoce como un habilitador clave de inclusión, siempre que se base en sistemas fiables, independientes y con mitigaciones de antifraude adecuadas.

Estos sistemas de identidad permiten: 

• Onboarding remoto seguro 

• Reducción de fricción 

• Mejor control AML 

Son especialmente relevantes para poblaciones no bancarizadas o con documentación limitada.   

KYC es la primera línea de defensa antifraude 

El propio GAFI deja claro en su Guía sobre Identidad Digital que esta puede utilizarse para cumplir con KYC/CDD, siempre que la entidad pueda demostrar cómo se identificó y verificó al cliente. 

De ahí la relevancia de contar con un sistema de KYC defendible que aporte evidencias, trazabilidad y resistencia al fraude.  

El cumplimiento AML debe enfocarse en tener eficacia demostrable ante auditorías, y así evitar sanciones regulatorias.  

Cómo Facephi ayuda a cumplir con el GAFI mediante un KYC defendible 

La tecnología de Facephi ofrece una protección 360 compliace- by- design, lo que permite a las entidades financieras estar alienadas con las expectativas del GAFI y las regulaciones nacionales.  Cuenta con: 

Onboarding Multicapas: 

Así se cierran las brechas típicas de AML/CFT desde el primer punto de contacto. 

• Verificación documental segura 

• Biometría facial con prueba de vida robusta 

• Validación con BBDD gubernamentales 

• Evidencias claras y trazables de cada paso del proceso 

• Experiencia de usuario sin fricción 

Evidencias listas para auditorías: 

• Trazabilidad end-to-end del onboarding 
• Registros con sello temporal y decisiones explicables 
• Trails de auditoría preparados para revisión regulatoria  

Frena el fraude antes de que actúe: 

Al combinar verificación de identidad con señales adicionales (analítica avanzada, riesgo de dispositivo y entorno) permite frenar intentos de fraude como: Account Takeover (ATO), New Account Fraud (NAF) o redes de cuentas mula. De esta manera se reducen costes operativos y sanciones regulatorias. 

El KYC (Know Your Customer) es más que un trámite operativo. Es el primer y más crítico control dentro del marco AML/CFT, y debe ser demostrable para inspecciones y auditorías regulatorias. ¿Puede tu entidad demostrar cómo evita que el fraude y las actividades ilícitas entren en el sistema? 

A partir de enero de 2026, las fintech mexicanas deberán hablar el mismo idioma contable que bancos e instituciones tradicionales: el de la Norma de Información Financiera B-1 (NIF B-1). Lo que antes era una ventaja de agilidad, hoy se convierte en una exigencia de rigor.  

El objetivo: consolidar un ecosistema fintech más transparente, con reportes financieros auditables y trazables, justo cuando México se prepara para una evaluación clave del GAFI. 

Un cambio estructural impulsado por Hacienda y CNBV 

En julio de 2025, la CNBV y la Secretaría de Hacienda publicaron nuevas disposiciones para que las instituciones de financiamiento colectivo y los fondos de pago electrónico adopten de forma obligatoria las NIF, con especial énfasis en la NIF B-1. Esta norma regula cómo se registran, corrigen y presentan los estados financieros ante el regulador. 

El cambio busca alinear a las fintech con criterios internacionales de transparencia financiera (como IFRS), reducir riesgos contables y facilitar la supervisión. Además, responde a una necesidad urgente: fortalecer la imagen país de cara a la evaluación del Grupo de Acción Financiera Internacional (GAFI) en 2026. 

Lo que implica la NIF B-1 para las fintech 

La aplicación de NIF B-1 implica cambios contables, operativos y de gobernanza. Algunas de las transformaciones clave incluyen: 

• Corrección de errores y cambios contables con trazabilidad.  

Las fintech deberán notificar a la CNBV cualquier modificación relevante en sus criterios contables o errores detectados. Esto debe reflejarse en los estados financieros mediante una reexpresión retrospectiva documentada. 

• Unificación de formatos y periodicidad.  

Todos los reportes financieros (mensuales, trimestrales, anuales) deben entregarse con estructuras fijas, sin alteraciones, en formatos definidos por la CNBV. 

• Detallado de operaciones financieras complejas.  

Deberán documentarse operaciones con criptoactivos, instrumentos derivados, partes relacionadas y colaterales en financiaciones. Esto fortalece la revelación de riesgos y mejora la comparabilidad entre entidades. 

• Valuaciones bajo metodologías técnicas.  

Se exige justificar las estimaciones de valor razonable, deterioro de activos o provisiones crediticias con métodos consistentes y auditables. 

• Proyección de pérdidas esperadas.  

Inspirada en IFRS 9, la norma obliga a las fintech a estimar de forma prospectiva las posibles pérdidas por incobrabilidad y a registrar provisiones antes de que el impago ocurra. 

De cumplimiento a confianza: gobernanza y transparencia financiera 

Este nuevo marco contable no es solo un requisito legal: es una oportunidad para que las fintech profesionalicen su estructura financiera y ganen legitimidad ante sus stakeholders. 

Una contabilidad clara, alineada con NIF B-1, permite: 

• Reducir el riesgo regulatorio. Los errores contables o ajustes sin documentación podrían ser sancionables. Cumplir desde el inicio evita problemas futuros. 

• Generar confianza ante inversionistas. Los fondos institucionales y banca tradicional exigen balances auditados, trazables y comparables. El cumplimiento normativo es, en muchos casos, la condición para abrir conversaciones. 

• Mejorar la relación con el regulador. La CNBV, UIF y otras entidades podrán supervisar más fácilmente a las fintech que presenten información clara, homogénea y bien documentada. 

El contexto regulatorio en 2026: presión internacional y madurez local 

México se encuentra en plena aceleración regulatoria. La evolución del marco contable fintech se suma a medidas en marcha como: 

• Las reformas al marco antilavado de la LFPIORPI. 

• La implementación de la CURP biométrica como elemento obligatorio de identidad. 

• La exigencia de nuevos controles de límites transaccionales bajo el esquema de Medios Tecnológicos de Usuario (MTU). 

Todos estos movimientos apuntan a un mismo fin: demostrar al GAFI que México no solo tiene normas en papel, sino que funcionan en la práctica. 

En este contexto, la adopción real y efectiva de NIF B-1 es una pieza clave. No basta con decir «cumplimos»; hay que demostrarlo con cifras, registros y reportes coherentes. 

Caso práctico: de fintech emergente a candidata a inversión institucional 

Una fintech de préstamos en CDMX decidió anticiparse a la norma y adaptó sus estados financieros a NIF B-1 desde 2025. Para ello: 

• Rediseñó sus procesos contables internos. 

• Estableció comités de control financiero y auditoría interna. 

• Documentó su metodología de reservas por pérdidas esperadas. 

• Reexpresó sus estados financieros de los dos años anteriores bajo la nueva norma. 

Este ejercicio de gobernanza financiera se convirtió en un diferenciador clave cuando abrió ronda de inversión. Un fondo institucional valoró positivamente su madurez contable y decidió invertir. 

Prepararse para 2026: lo que las fintech deben hacer ahora 

Las fintech que quieran llegar a 2026 con sus cuentas en orden deberán: 

1. Auditar su situación contable actual, identificando desviaciones respecto a NIF B-1. 

2. Actualizar sus sistemas de contabilidad y ERP, incluyendo trazabilidad de ajustes y automatización de reportes. 

3. Capacitar a sus equipos de contabilidad y cumplimiento, con foco en metodologías IFRS y regulación nacional. 

4. Establecer políticas internas de gobernanza contable, aprobadas por el área legal y 

El fraude digital ya no es un “incidente” aislado: es un fenómeno sistémico que afecta a ingresos, reputación y capacidad de operar en mercados regulados. Gartner estima que, de media, las compañías pierden un 5% de sus ingresos por fraude y que cada caso puede superar los 1,6 millones de dólares en daño financiero. A esto se suma la presión del enforcement: en 2024, los reguladores de EE. UU. emitieron 4,3B$ en sanciones, equivalentes al 95% de las penalizaciones financieras globales registradas.

Con este contexto, fraude digital 2026 no se trata solo de “detectar más”, sino de reducir exposición y demostrar diligencia continua (ante auditorías, inspecciones y comités de riesgo). La ventaja competitiva pasa por anticipar cómo cambia el riesgo y adaptar controles en tiempo real.

1) El nuevo terreno de juego: fraude más escalable, AML más exigente

En 2026 veremos una convergencia clara: el fraude se alimenta de identidad (real o sintética), y el cumplimiento AML/KYC necesita señales de identidad y comportamiento para diferenciar actividad legítima de patrones criminales. Gartner advierte que los blanqueadores “van ganando” en la batalla del crimen financiero y proyecta que los flujos financieros ilícitos podrían alcanzar entre 4,5 y 6 billones de dólares para 2030. Esta presión empuja a las organizaciones a modernizar sistemas, acelerar investigaciones y mejorar la trazabilidad de decisiones.

Al mismo tiempo, el crecimiento del delito financiero está chocando con una realidad operativa: backlogs, falta de perfiles especializados y burnout en equipos de investigación y organismos públicos. Gartner recoge que bancos y agencias están siendo “desbordados” por volumen y sofisticación de casos, y que los investigadores se están quemando bajo una carga excesiva y presión por resolver rápido. En la práctica, esto aumenta el riesgo de: (1) alertas mal priorizadas, (2) revisiones tardías, y (3) evidencias incompletas ante revisiones regulatorias.

2) De “best-of-breed” a plataformas 360: menos silos, más contexto

Una de las tendencias globales más claras para fraude digital 2026 es la consolidación tecnológica. Los bancos quieren reducir el número de proveedores AML para simplificar el stack, y el mercado empuja hacia plataformas “holísticas” que integren AML con fraude (FRAML). Gartner explica que los delincuentes explotan las brechas entre sistemas dispares y que, cuando los datos quedan en silos, se pierde el “big picture”, dificultando detectar esquemas complejos (como redes de mulas o identidades sintéticas).

La implicación práctica es estratégica: una defensa 360 no es “una herramienta más”, sino la capacidad de correlacionar señales (identidad, comportamiento, dispositivo, transacción, riesgo geográfico, listas, casos previos) para tomar decisiones consistentes y auditables.

3) IA, agentes y compliance “machine-to-machine”

La automatización ya no será solo “asistencia”: Gartner plantea como supuesto de planificación que para 2030 el 70% de los casos AML se investigarán, reportarán y gestionarán mediante interacciones machine-to-machine entre agentes de IA de bancos y reguladores. Aunque esto sea un horizonte 2030, empuja decisiones desde 2026: estandarizar datos, reforzar explicabilidad, y diseñar controles que se puedan medir, reportar y defender.

En paralelo, Gartner también señala tensiones en la adopción de GenAI: bancos y reguladores tienden a ir más despacio por cautela (explicabilidad, precisión, resiliencia), mientras el crimen financiero acelera. Resultado: los programas sólidos serán los que avancen con IA, pero con gobernanza, evidencia y métricas robustas.

4) La exigencia clave: monitoreo continuo y KRIs ligados a riesgo real

Una diferencia crítica entre programas maduros y reactivos es el “tiempo” del control. Gartner advierte que, sin monitoreo continuo integrado en la supervisión de segunda línea, las organizaciones pierden visibilidad en tiempo real para detectar amenazas emergentes y demostrar diligencia proactiva ante reguladores.

La recomendación operativa es construir un programa dinámico con KRIs directamente ligados a los principales riesgos, que aporten una lectura continua del paisaje de fraude. En la práctica, el cambio es pasar de “cumplimos el proceso” a “podemos demostrar el control”, con señales como: evolución del riesgo (sube/baja/estable), eficacia de controles, y trazabilidad de decisiones.

5) Qué deberían priorizar CISO, Compliance y Risk Officers en 2026

Si el objetivo es estar “regulator-ready” en fraude digital 2026, Gartner resume cuatro líneas de acción que encajan con lo que los reguladores esperan ver en organizaciones resilientes: compromiso visible de dirección, evaluaciones dinámicas, formación basada en riesgo y monitoreo continuo con KRIs.

A nivel práctico, traducido a un roadmap de 90–180 días, suele implicar:

• Unificar el mapa de riesgos (fraude + AML + KYC) y documentar escenarios priorizados (mulas, identidades sintéticas, ATO, fraude documental).
• Reducir silos: asegurar que identidad, transacción y caso comparten un identificador y un historial común (para investigación y auditoría).
• Definir KRIs accionables (no solo “número de alertas”): señales que indiquen dirección del riesgo y calidad del control.
• Evidencia lista para auditoría: decisiones explicables, logs consistentes, y reporting que no dependa de reconstrucciones manuales.

Porque la pregunta decisiva en 2026 no será “¿tenemos controles?”, sino: ¿nuestro modelo nos avisa cuando el riesgo cambia, o lo confirma cuando ya es demasiado tarde?

Por Ramón Villot Sánchez, Legal, Compliance & GRC Director 

El uso de internet, redes sociales y otras plataformas digitales por parte de adolescentes se ha convertido en un fenómeno generalizado. Entre los 14 y los 16 años, muchos jóvenes acceden con regularidad a servicios online, lo que plantea desafíos crecientes sobre cómo proteger su bienestar, seguridad y privacidad en entornos digitales cada vez más complejos. 

Hoy, estas preocupaciones han saltado a la primera línea del debate público tras el anuncio por parte del presidente del Gobierno español, Pedro Sánchez, de una serie de medidas para limitar el acceso de menores de 16 años a plataformas digitales y redes sociales, obligando a las empresas a implantar sistemas efectivos de verificación de edad para garantizar que solo los mayores de esa edad puedan utilizar ciertos servicios. 

Este anuncio se suma al contexto normativo ya en discusión en España. En tramitación está un proyecto de ley orgánica para la protección de las personas menores de edad en los entornos digitales que también propone elevar de 14 a 16 años la edad mínima para prestar consentimiento al tratamiento de datos personales —condición legalmente necesaria para poder registrarse en redes sociales sin autorización parental. 

¿Por qué este cambio ahora? 

Hasta hace poco, muchas plataformas fijaban de forma unilateral la edad mínima de uso en 13 o 14 años, basándose en parámetros internos o en normas internacionales como las leyes de privacidad online de EE. UU. Sin embargo, estos límites a menudo se aplican sin mecanismos robustos de verificación y son fáciles de eludir. 

La propuesta de que haya un umbral legal de 16 años no es una excepción, sino una opción prevista por el RGPD y que ya varios Estados miembros la aplican desde hace años, por lo que la iniciativa española se alinea con una cada vez mayor corriente europea. 

Este planteamiento debe ir acompañado de sistemas robustos de verificación de edad. Esta medida combina minimizar los riesgos de acceso a contenido inadecuado, manipulación algorítmica y adicción digital con la lógica del proyecto de ley de proteger datos personales. 

Una de las tensiones más complejas en este debate es cómo verificar la edad de alguien sin recopilar o revelar datos personales innecesarios. Métodos tradicionales de verificación (como subir una copia de un documento de identidad o proporcionar fecha de nacimiento sin más) pueden generar riesgos de seguridad y facilitar el perfilado de usuarios. Por eso, en el ámbito tecnológico se están explorando soluciones basadas en credenciales verificables, que permiten comprobar un atributo específico (como ser mayor de edad o tener una determinada edad) sin revelar identidad ni otros detalles personales. 

En estos modelos: 

• Un emisor de confianza entrega una credencial digital que certifica la mayoría de edad o certifica tener una edad determinada. 

• La credencial no contiene datos identificativos como nombre o fecha de nacimiento. 

• El usuario presenta esta credencial ante el servicio y solo se comprueba el requisito (edad) que interesa, evitando la recopilación de información adicional. 

Este enfoque, además de cumplir el objetivo de filtro de edad, redunda en mejores prácticas de privacidad digital porque reduce la acumulación de datos y la posibilidad de seguimiento entre plataformas distintas. 

Edad mínima de 16 años

Si se consagra esta edad mínima obligatoria en la ley y en regulación específica, tal y como anunció el Gobierno, tendrá efectos concretos: 

• Las plataformas tendrán que implementar mecanismos de verificación robustos, como los basados en credenciales verificables u otras tecnologías confiables y respetuosas con la privacidad. 

• Los menores de entre 14 y 16 años necesitarán autorización explícita de padres o tutores para acceder legalmente a servicios digitales que procesen datos personales, en línea con el proyecto de ley orgánica en tramitación. 

Se abre un debate técnico y social sobre el equilibrio entre protección, derechos digitales y autonomía de los jóvenes, especialmente en un escenario donde el acceso temprano a internet es la norma. 

¿Hacia un nuevo estándar europeo? 

El anuncio español no se produce en aislamiento. A nivel europeo, organismos como el Parlamento Europeo han respaldado propuestas para un mínimo armonizado de 16 años para ciertas interacciones digitales, junto con sistemas fiables de verificación de edad que (además de proteger a los menores) preserven la privacidad de todos los usuarios. 

El anuncio de hoy pone de manifiesto que el enfoque tecnológico y el marco regulatorio están convergiendo: no basta con definir una edad mínima, sino que también es necesario verificarla de forma efectiva y respetuosa con la privacidad. En un entorno en el que la presencia digital entre los 14 y los 16 años es habitual, esta combinación de regulación y tecnología apunta a un futuro en el que la protección de menores, el control parental y la privacidad digital puedan coexistir sin sacrificar derechos fundamentales ni seguridad. todos. 

Durante años, la seguridad digital se ha diseñado bajo una premisa clara: evitar accesos no autorizados. Firewalls, autenticación multifactor y controles perimetrales han sido la base de esta estrategia.

Sin embargo, uno de los patrones de fraude más relevantes hoy no rompe los sistemas ni vulnera las credenciales. Los utiliza correctamente.

Los ataques de ingeniería social con credenciales válidas representan un cambio estructural en el riesgo digital: el fraude ocurre dentro de procesos legítimos, ejecutado por usuarios reales y aprobado por los sistemas. Esto los convierte no solo en un problema de seguridad, sino en un desafío directo para la gestión de identidad, el riesgo operativo y el cumplimiento normativo.

Qué son los ataques de ingeniería social con credenciales válidas

Un ataque de ingeniería social con credenciales válidas ocurre cuando un atacante consigue que una persona legítima —cliente o empleado— ejecute acciones críticas utilizando sus propias credenciales.

No hay explotación técnica.
No hay malware.
No hay bypass directo de controles.

El atacante manipula el contexto para inducir una acción que el sistema interpreta como legítima.

Ejemplos habituales:

• Un cliente que valida un “proceso de seguridad” tras una llamada falsa del banco
• Un usuario que autoriza un cambio de dispositivo o beneficiario tras un mensaje urgente
• Un empleado que ejecuta una operación crítica tras una suplantación de soporte interno

Según el Verizon Data Breach Investigations Report, el phishing y la ingeniería social siguen estando presentes en una parte significativa de las brechas analizadas a nivel global, especialmente en entornos financieros y de servicios regulados

Por qué el login ya no es el principal punto de control

El login sigue siendo necesario, pero ya no es suficiente.

En la mayoría de estos ataques:

• El acceso inicial es legítimo
• Las credenciales son correctas
• La autenticación se completa sin errores

El fraude ocurre después.

Los puntos de mayor exposición no están en el acceso inicial, sino en los momentos donde la identidad se redefine o habilita capacidad operativa.

Entre ellos:

• Recuperación de acceso
• Cambio de dispositivo o canal
• Modificación de datos de contacto
• Alta de destinatarios
• Transacciones de impacto económico

Organismos como ENISA y Europol han señalado que el fraude autorizado y la manipulación post-login son una de las áreas de mayor crecimiento en el crimen financiero digital.

Cómo operan estos ataques paso a paso

Un patrón típico incluye:

1. Preparación del contexto
   El atacante obtiene información básica del usuario o del proceso (datos filtrados, redes sociales, información pública).
2. Manipulación del canal
   Se utiliza voz sintética, mensajería, email o suplantación de soporte para generar urgencia y credibilidad.
3. Inducción de la acción
   El usuario ejecuta una acción crítica: reset, cambio, alta, validación o transferencia.
4. Aprobación legítima
   El sistema registra la acción como válida porque las credenciales y el flujo son correctos.
5. Impacto
   Fraude autorizado, account takeover persistente o pérdida económica con trazabilidad limitada.

El sistema no falla técnicamente, pero sí falla en la capacidad de interpretar el riesgo contextual.

Qué controles suelen fallar (y por qué)

Los controles más vulnerables en este tipo de ataques suelen ser:

• Autenticaciones estáticas aplicadas en todos los momentos por igual
• Validaciones basadas únicamente en posesión (SMS, email, OTP)
• Falta de análisis de comportamiento durante la sesión
• Ausencia de scoring de riesgo previo a eventos críticos
• Confirmaciones fuera de banda no contextualizadas

El National Institute of Standards and Technology (NIST) ya advierte que la autenticación debe adaptarse al riesgo y al contexto, no aplicarse de forma uniforme.

Autenticación adaptativa y monitorización post-login

Las organizaciones con mayor madurez están moviendo el foco hacia dos ejes complementarios:

Autenticación adaptativa
Elevar el nivel de verificación solo cuando el contexto lo exige: cambios de dispositivo, beneficiarios, datos sensibles o transacciones críticas.

Monitorización continua de la sesión
Evaluar señales de comportamiento, dispositivo, entorno y secuencia de acciones para detectar desviaciones incluso cuando las credenciales son válidas.

Este modelo está alineado con las recomendaciones del Bank for International Settlements y distintos reguladores financieros en materia de fraude autorizado

Riesgo regulatorio y responsabilidad

Fuera del impacto económico, estos ataques tienen implicaciones directas en:

• Responsabilidad frente al cliente
• Procesos de reclamación y litigio
• Auditorías internas y externas
• Cumplimiento de marcos como PSD2/PSD3, SCA o regulaciones locales

Cuando una acción queda registrada como “autorizada”, demostrar que existía manipulación previa es complejo si no hay trazabilidad contextual suficiente.

Cómo evaluar tu exposición a este tipo de fraude

Una pregunta determinante para cualquier responsable de seguridad o compliance es:

¿Tenemos controles específicos para los momentos post-login más críticos o seguimos tratando todos los eventos como transacciones administrativas?

Para ayudar a responderla, muchas organizaciones están utilizando checklists estructurados que permiten identificar:

• Controles inexistentes
• Controles parciales
• Controles alineados con el riesgo real

Hemos preparado un checklist descargable que permite evaluar, de forma rápida y estructurada, la exposición a fraude inducido en:

• Recuperación de acceso
• Cambios de dispositivo y datos
• Alta de destinatarios
• Operaciones críticas post-login

El checklist no evalúa productos, sino controles y procesos desde una perspectiva de identidad, riesgo y cumplimiento.

Descarga el checklist de evaluación de riesgos de identidad post-login

Conclusión

Los ataques de ingeniería social con credenciales válidas no son una anomalía. Ya son un patrón.

Mientras el foco siga puesto únicamente en el login, estos ataques seguirán operando dentro de procesos legítimos, con impacto financiero y regulatorio creciente.

Lo determinante ya no es solo autenticar quién entra, sino validar quién está actuando en los momentos que realmente importan.

A partir de febrero de 2026, México implementará de forma obligatoria la CURP biométrica, impulsada por el Registro Nacional de Población (RENAPO) como parte de una reforma a la Ley del Registro Nacional de Población y de la CURP. Este cambio transforma la CURP de un identificador administrativo a una infraestructura de identidad digital basada en biometría. 

El alcance de esta medida es prácticamente total: más de 126 millones de personas cuentan con CURP tradicional (código alfanumérico) y, una vez en vigor, casi toda la población necesitará CURP biométrica para realizar trámites esenciales relacionados con banca, salud, educación, programas sociales y servicios públicos. 

Para bancos, fintechs, aseguradoras y entidades reguladas, la obligatoriedad de la CURP biométrica eleva el nivel de exigencia en los procesos de identificación. Las organizaciones deberán alinear sus flujos de onboarding, KYC y autenticación con este nuevo estándar oficial. De no hacerlo, se exponen a riesgos de incumplimiento, observaciones regulatorias y, según distintas interpretaciones legales, posibles multas de entre 10.000 y 20.000 UMAs (aprox. €60.000 – €120.000), además de impactos reputacionales. 

Elementos clave de la CURP biométrica 

La CURP biométrica es la evolución de la CURP tradicional, diseñada para fortalecer la identificación de los ciudadanos mediante tecnología biométrica que garantiza registros únicos, seguros y confiables. A diferencia del modelo actual, que solo utiliza un código alfanumérico, este nuevo esquema integra atributos físicos y digitales de cada persona. 

Los elementos principales de la CURP biométrica son: 

• Huellas dactilares: Validan la identidad de forma única e irrepetible. 

• Fotografía del rostro y reconocimiento facial: Permiten la verificación visual y biométrica. 

• Firma electrónica y, en algunos casos, escaneo del iris: Refuerzan la autenticación en procesos críticos. 

• Código QR: Facilita la validación segura del registro en formatos físicos y digitales. 

La CURP biométrica funciona como un nodo central de identidad digital nacional, unificando múltiples sistemas de identificación en una única fuente confiable respaldada por el Estado. Esto permite una interoperabilidad más segura entre entidades públicas y privadas. 

Este enfoque coincide con una tendencia global hacia identidades digitales confiables. Marcos como eIDAS en la Unión Europea, junto con iniciativas reguladas de identidad digital y biométrica, como el Registro Civil y la Clave Única en Chile, los sistemas de identificación biométrica en Colombia y el DNI electrónico en Perú, reflejan un movimiento claro hacia identidades únicas, interoperables y verificables.  

Para bancos, fintechs, aseguradoras y plataformas digitales, la CURP biométrica implica un cambio operativo y estratégico: permite procesos de identificación más robustos, reduce el riesgo de fraude y duplicidad de identidades, fortalece el cumplimiento regulatorio y sienta las bases para una verificación de identidad más eficiente y escalable, tanto en canales digitales como físicos. 

Cómo impacta en el sistema financiero de México 

La obligatoriedad de la CURP biométrica introduce un nuevo estándar de seguridad y confiabilidad en los procesos de identificación dentro del sistema financiero. Para bancos, fintech y entidades reguladas, este cambio fortalece la validación de identidad en un entorno donde el fraude y la suplantación representan riesgos crecientes. 

Las organizaciones deberán adaptar sus flujos de onboarding, KYC y autenticación para incorporar la CURP biométrica como identificador principal. Esto implica: 

• Integrar validación biométrica y verificación documental con registros oficiales del RENAPO. 

• Garantizar unicidad de identidad y trazabilidad de cada proceso de verificación para cumplir con inspecciones regulatorias. 

• Actualizar sistemas y procesos para operar bajo el nuevo estándar oficial, tanto en canales digitales como físicos. 

La implementación se realizará de manera gradual: durante la fase piloto, varias instituciones han podido probar integración y validación en entornos controlados. A partir de febrero de 2026, la CURP biométrica será obligatoria y dejará de operar en modo prueba; para esa fecha, las instituciones deberán contar con sistemas, procesos y controles actualizados para poder validar identidades en condiciones operativas reales. 

Este cambio representa no solo un requerimiento regulatorio, sino también una oportunidad estratégica: optimizar procesos, reducir fraude y consolidar la identidad digital confiable de clientes y usuarios en el ecosistema financiero. 

¿Qué aporta la CURP biométrica al sector financiero? 

La CURP biométrica ofrece a bancos y entidades financieras un estándar de identidad más seguro y confiable. 

• Mayor seguridad: La biometría reduce la posibilidad de identidades duplicadas o falsas. 

• Mejor prevención de fraude: Refuerza los controles en procesos de apertura de cuentas y transacciones sensibles. 

• Identidades únicas y verificables: Facilita la confirmación de la identidad de un cliente en canales físicos y digitales. 

• Mayor confianza regulatoria: Alinea los procesos de identificación con un estándar oficial respaldado por el Estado. 

• Operar con los registros administrados por el RENAPO. 

Más controles para prevenir fraude y suplantación de identidad 

La implementación de la CURP biométrica establece estándares más altos de verificación de identidad, lo que permite a las instituciones financieras y empresas reducir riesgos asociados a fraude, suplantación de identidad y lavado de dinero. La centralización y seguridad de los datos biométricos facilita controles más precisos y confiables en todos los procesos de identificación. 

Entre los principales beneficios y controles que habilita la CURP biométrica se encuentran: 

• Verificación de autenticidad del INE, mediante detección avanzada de elementos de seguridad documental. 

• Matching facial 1:1 contra registros del RENAPO. 

• Validación de la unicidad del CURP, para prevenir registros duplicados o identidades múltiples. 

• Detección de vida documental, utilizando metodologías robustas que mitiguen ataques de suplantación. 

• Trazabilidad y evidencias auditables de cada etapa del proceso de verificación, ante inspecciones regulatorias. 

• Actualización de los procesos de onboarding, incorporando los requisitos de la CURP biométrica antes de febrero de 2026. 

Cómo Facephi ayuda a las instituciones a cumplir la obligatoriedad de la CURP biométrica 

La obligatoriedad de la CURP biométrica no es solo un requerimiento regulatorio: es un desafío crítico para el sector financiero. Bancos, fintechs y aseguradoras deben adaptar onboarding, KYC y autenticación para cumplir con los nuevos estándares oficiales. No hacerlo puede derivar en multas significativas, observaciones regulatorias y riesgo reputacional, además de dejar expuestos a fraudes, duplicidad de identidades y suplantación. 

En este contexto, Facephi se consolida como una plataforma de Intelligence Fraud, que unifica capacidades de Verificación de Identidad, Prevención de Fraude y soporte a Compliance/AML en una propuesta integral para el sector financiero. 

Bajo el estándar vigente de identificación en México, Facephi acompaña a las instituciones mediante tecnologías biométricas avanzadas y su integración nativa con el sistema del INE, actualmente referencia clave para la verificación de identidad bancaria y reconocida por la CNBV. Esta integración permite fortalecer los procesos de identificación tanto en canales digitales como presenciales, reduciendo riesgos de suplantación y fraude desde el inicio de la relación con el cliente. 

Como plataforma de Intelligence Fraud, Facephi permite a las entidades: 

• Consolidar la verificación biométrica facial como pilar de identidad confiable. 

• Detectar y mitigar intentos de fraude y suplantación en procesos críticos. 

• Generar trazabilidad, evidencias y controles alineados con los requerimientos regulatorios actuales. 

• Integrar identidad, fraude y cumplimiento en una visión unificada del riesgo. 

Facephi se mantiene alineada con los avances regulatorios relacionados con la CURP biométrica en México, siguiendo de cerca la evolución del marco institucional y los futuros modelos de validación que puedan habilitarse. Mientras tanto, su experiencia en biometría, prevención de fraude e integración con infraestructuras oficiales posiciona a la compañía como un partner estratégico para las instituciones que buscan anticiparse al cambio, fortalecer su cumplimiento y avanzar hacia una identidad digital robusta, alineada con las mejores prácticas internacionales y con las expectativas de reguladores y clientes. 

En un contexto donde la regulación exige más trazabilidad que nunca, las organizaciones se encuentran ante una decisión estratégica: unificar capacidades en una suite o apostar por soluciones best-of-breed especializadas.

Gartner, en varios de sus Market Guides recientes para fraude y AML, confirma una tendencia clara: las instituciones buscan reducir el número de proveedores para simplificar arquitecturas, mejorar la integración y acelerar auditorías.

Esta consolidación no siempre ocurre al mismo nivel. En suites con un nivel de abstracción IDV, la unificación se centra en producto y tecnología de verificación de identidad (onboarding, autenticación, biometría). En cambio, cuando el foco es Financial Crime, la suite agrupa dominios funcionales distintos —KYC, clasificación de cuentas, señales antifraude y AML— junto con su capa tecnológica y las fuentes de datos necesarias para cada uno.

En paralelo, los decisores técnicos siguen valorando soluciones best-of-breed en puntos críticos muy concretos, como PAD L2, biometría comportamental o análisis transaccional avanzado, donde la profundidad técnica sigue siendo diferencial.

Entonces, ¿qué conviene en cada caso?

Qué es una suite y qué es un best-of-breed

Suite integrada:
Unifica capacidades críticas a lo largo del ciclo de prevención del crimen financiero —KYC/KYB, autenticación, clasificación de cuentas, señales antifraude y AML— en una única plataforma. Combina producto, tecnología y fuentes de datos bajo una gobernanza común, permitiendo correlación de señales end-to-end, menor fricción técnica y operativa, y evidencias trazables listas para auditoría.

Best-of-breed:
Soluciones altamente especializadas en un dominio concreto del crimen financiero o en un componente crítico del stack —por ejemplo, PAD L2 dentro de KYC, biometría comportamental para ATO, motores de clasificación de cuentas o módulos AML específicos—. Aportan una profundidad técnica muy elevada en ese punto, pero requieren integraciones adicionales, coordinación de flujos de datos y mayor esfuerzo de gobierno operativo.

Ventajas prácticas de cada enfoque

Cuando una suite es mejor

1. Contextos regulados y auditorías exigentes
   En mercados como EAU, KSA, Canadá o Colombia, donde las normativas exigen trazabilidad completa del journey, una suite elimina puntos ciegos. La correlación entre señales de onboarding, autenticación, post-login y transaccionales es inmediata, y la auditoría es más sencilla al centralizar evidencias.
2. Necesidad de “menos fricción, más control”
   Gartner señala que las instituciones están priorizando vendors que reduzcan falsos positivos sin sacrificar conversión. Las suites permiten activar step-up dinámico y políticas de riesgo unificadas, reduciendo abandonos y OPEX.
3. Equipos técnicos limitados
   Un único roadmap, un único SLA, un único panel operativo. El mantenimiento y la evolución regulatoria requieren menos esfuerzo que coordinar múltiples vendors.
4. Escalabilidad y time-to-value
   Cuando se necesita entrar en producción en semanas o replicar el modelo en múltiples países, una suite acelera ciclos porque ya integra KYC, señales y AML sin desarrollos adicionales.

Cuando un best-of-breed es mejor

Necesidad de precisión extrema en un módulo crítico:
Ejemplo: bancos que buscan un proveedor líder solamente para PAD L2 o para behavioural biometrics. Aquí una pieza especializada puede aportar ventajas diferenciales.

Fases muy tempranas del journey tecnológico:
Fintechs o scale-ups que solo necesitan un componente puntual para validar su modelo (por ejemplo, verificación documental sin orquestación completa).

Arquitecturas muy modulares o con integradores locales obligatorios:
En mercados con requisitos específicos (Nigeria con NIN, Pakistán con NADRA), un best-of-breed local puede ser clave como fuente de verdad documental.

El dilema real: integración, riesgo y coherencia del dato

Cuando KYC/onboarding, autenticación, detección de fraude y señales de comportamiento viven en vendors distintos, aparecen tres riesgos estructurales:

• Lag en correlación: los ataques avanzados (deepfakes, sintéticos, mulas) requieren correlación en tiempo real.
• Falsos positivos más altos: sistemas desconectados generan alertas inconsistentes.
• Auditorías lentas: más fuentes, más fricción, más complejidad regulatoria.

Por eso, según Gartner, el mercado está evolucionando hacia vendors que actúan como “hubs de riesgo” capaces de integrar identidad, fraude y cumplimiento de forma nativa.

El enfoque de mercado actual nos dice que las organizaciones de banca, fintech y pagos están moviéndose hacia modelos end-to-end. Buscan:

• Menos proveedores = menos riesgo operativo.
• Orquestación no-code para ajustar políticas por país sin proyectos largos.
• Multibiometría y señales unificadas para frenar mulas, ATO y fraude sintético antes de la pérdida.
• Cumplimiento “by design” para acelerar auditorías y evitar sanciones.

¿Qué decisión es la acertada?

No existe una respuesta universal, pero sí una brújula clara:

• Si tu prioridad es controlar el fraude, reducir fricción y cumplir normativa en múltiples países: suite.
• Si buscas la máxima especialización en un punto concreto del journey: best-of-breed.

La tendencia global, especialmente en mercados altamente regulados, se mueve hacia modelos unificados capaces de ofrecer identidad, antifraude y compliance dentro de una misma plataforma, con IA explicable y evidencias listas para auditoría.

El fraude no opera en silos: los atacantes comparten técnicas, infraestructuras y aprendizaje de forma sistemática. La defensa, por tanto, debe basarse en inteligencia colectiva, donde señales, modelos y evidencias se correlacionan más allá de productos aislados o dominios funcionales.

En este contexto, el concepto de “silo” deja de ser puramente tecnológico y pasa a depender del nivel de abstracción desde el que se aborda el riesgo —producto, suite, entidad o incluso ecosistema—. Cuanto más fragmentada está la inteligencia, mayor es la ventaja del atacante.

El KYC sigue siendo un pilar crítico para la seguridad y el cumplimiento, apoyado en múltiples evidencias —documentales, biométricas, comportamentales y de contexto— que permiten evaluar el riesgo de forma robusta. Sin embargo, uno de sus componentes más costosos desde el punto de vista operativo y de experiencia de usuario es la captura y validación repetida del documento de identidad, que hoy se replica en cada alta digital, incluso cuando la evidencia subyacente no ha cambiado.

El límite del KYC tradicional

En la mayoría de organizaciones, KYC se ha convertido en un cuello de botella simultáneo para la conversión y el cumplimiento normativo. La verificación manual o semimanual multiplica tiempos de respuesta, costes operativos y duplicación de datos personales, mientras las unidades de cumplimiento luchan por mantener el ritmo de nuevas exigencias en materia de AML/CFT e integridad de la identidad.

A esta presión regulatoria se suma el auge del fraude de identidad, el deepfake y la suplantación documentaria, que obliga a endurecer controles sin disponer de un marco verdaderamente estandarizado entre entidades y jurisdicciones. Este modelo fragmentado obliga a destinar una parte significativa del esfuerzo operativo a verificaciones repetidas de bajo valor incremental, en lugar de concentrarlo en señales avanzadas de riesgo como behavioral biometrics, device intelligence y análisis contextual, que son clave para detectar fraude sofisticado y suplantaciones en entornos digitales.

Del “verificar siempre” al “verificar una vez”

En este contexto emerge un nuevo paradigma de identidad: no dejar de verificar en cada servicio, sino evitar repetir la emisión y validación de las mismas evidencias en cada onboarding. Las identidades digitales reutilizables permiten que una credencial —emitida una vez tras una verificación inicial robusta y alineada con los requisitos regulatorios— pueda reutilizarse como evidencia fiable en múltiples procesos de alta, sin sustituir el onboarding ni los controles específicos de cada entidad.

El impacto estratégico es doble. Por un lado, las organizaciones reducen el coste y la fricción asociados a la captura repetida de evidencias ya validadas, pudiendo confiar en credenciales emitidas por terceros de confianza. Por otro, el onboarding sigue existiendo, pero se simplifica: en lugar de reconstruir la identidad desde cero, se apoya en una base verificada sobre la que se aplican controles adicionales de riesgo, contexto y comportamiento definidos por cada entidad.

Credenciales verificables y wallets de identidad

Una credencial verificable es, en esencia, un certificado digital firmado criptográficamente por una entidad emisora de confianza —un gobierno, un banco, una universidad o un proveedor cualificado— que el usuario almacena en una identity wallet bajo su control exclusivo.

Desde esa wallet, la persona puede compartir solo los atributos estrictamente necesarios en cada interacción: desde verificar mayoría de edad o residencia hasta probar la vigencia de un documento, sin exponer el resto de su información personal. La criptografía garantiza autenticidad, integridad y no repudio, mientras que técnicas avanzadas como las Zero-Knowledge Proofs permiten demostrar afirmaciones sensibles —por ejemplo, “soy mayor de 18 años”— sin revelar la fecha de nacimiento ni otros datos subyacentes.

Cómo se transforma el KYC con identidad reutilizable

Aplicado a KYC y onboarding, este modelo introduce cambios profundos:

• El usuario obtiene una credencial digital de identidad mediante un proceso de emisión independiente, realizado por un emisor autorizado —público o privado— que lleva a cabo una verificación de identidad de alto nivel de seguridad, apoyada en biometría y validación documental avanzada. Este proceso de emisión es distinto del KYC que realiza cada entidad en su propio onboarding, salvo en los casos en que la propia entidad actúe como emisor de la credencial.
• A partir de ahí, las empresas pueden consumir credenciales verificables emitidas por terceros como evidencia de identidad, sustituyendo la captura repetida del documento —front, back y validaciones asociadas— por un formato estandarizado y criptográficamente verificable.
  El proceso de KYC y onboarding sigue realizándose en cada entidad, pero se apoya en una evidencia ya validada, lo que reduce tiempos de respuesta, fricción para el usuario y riesgo de error humano en la gestión documental.
• La organización deja de almacenar copias redundantes de documentos y datos sensibles en múltiples sistemas internos, reduciendo su superficie de ataque y su exposición ante brechas de seguridad.
• La identidad del usuario pasa a ser dinámica y actualizable: si cambia un dato (por ejemplo, la dirección), basta con actualizar la credencial emisora en lugar de replicar el cambio en decenas de bases de datos.

El resultado no es un KYC compartido, sino un uso más eficiente de evidencias de identidad dentro de KYC. Las credenciales verificables no son el resultado del KYC, sino una forma estandarizada de representar una identidad previamente verificada, que puede reutilizarse como evidencia fiable en distintos procesos de onboarding.

Para los equipos de cumplimiento, esto se traduce en una mejor trazabilidad de las evidencias utilizadas y en procesos de auditoría más claros y consistentes. Para negocio, el impacto no está en eliminar controles, sino en acelerar el time-to-yes al reducir fricción operativa en la validación documental dentro de productos digitales.

El impulso regulatorio: eIDAS 2.0 y EUDI Wallets

Europa se está posicionando como uno de los grandes catalizadores de este nuevo marco de identidad digital. Con eIDAS 2.0, aprobado en 2024, los Estados miembros deberán poner a disposición de ciudadanía y empresas, a partir de 2026, una Cartera Europea de Identidad Digital (EUDI Wallet) interoperable en toda la UE.

Esta EUDI Wallet permitirá almacenar y gestionar credenciales verificadas emitidas tanto por administraciones públicas como por proveedores privados cualificados, y compartirlas con cualquier servicio público o privado dentro del mercado único europeo, siempre bajo control granular de qué atributos se revelan en cada interacción. Para sectores altamente regulados —servicios financieros, seguros, gaming online, telecomunicaciones, salud— supone una vía directa para reducir la dependencia de procesos manuales en la gestión documental y de controles fragmentados por identidades verificables estandarizadas, auditables y legalmente reconocidas en todos los Estados miembros.

Ventajas estratégicas para banca, fintech y sector público

Adoptar la identidad digital reutilizable no es únicamente una evolución tecnológica; es una decisión estratégica de arquitectura de cumplimiento y de experiencia de cliente. Entre los beneficios más relevantes destacan:

• Menos fricción y mayor conversión en procesos críticos como el alta digital, la contratación remota o la ampliación de servicios, al reducir formularios, cargas de documentos y esperas.

• Reducción de costes operativos al optimizar la gestión de la evidencia documental dentro del KYC, disminuyendo la repetición de la captura del documento de identidad y sus validaciones asociadas, y reduciendo la carga de revisiones manuales relacionadas con inconsistencias, reprocesos o errores en la documentación.

• Cumplimiento más robusto, apoyado en credenciales estandarizadas, auditables y alineadas con marcos como eIDAS 2.0, AMLD y normativas sectoriales nacionales.

• Menor superficie de riesgo y menor volumen de datos sensibles en los sistemas internos, lo que reduce el impacto potencial de incidentes de ciberseguridad y simplifica la gobernanza de datos.

• Una experiencia omnicanal más coherente, en la que la identidad viaja con el usuario a través de distintos servicios, países y dispositivos sin obligarle a “volver a demostrar” quién es en cada paso.

Una década marcada por la identidad reutilizable

La adopción de identidades digitales reutilizables no supone un reemplazo del KYC, sino una innovación de continuidad en uno de sus niveles más operativos: la captura y validación de evidencias de identidad, y en particular del documento de identidad. Su impacto no redefine el KYC como marco global, pero sí introduce una mejora estructural en cómo se gestionan estas evidencias dentro de los procesos de identificación y verificación.

Para banca, fintech y sector público, anticiparse a este cambio implica empezar a integrar credenciales verificables, wallets de identidad y modelos de confianza distribuida en su hoja de ruta de transformación digital.

Las organizaciones que lideren esta evolución podrán combinar tres objetivos que, hasta ahora, parecían en tensión: maximizar seguridad, reducir fricción y acelerar crecimiento. La clave no está en sustituir el KYC, sino en modernizar cómo se capturan y gestionan las evidencias de identidad, evolucionando del manejo repetido de documentos físicos o capturas aisladas hacia formatos digitales verificables que conviven con señales avanzadas de riesgo como biometría comportamental, device intelligence y análisis contextual.

Por Miguel Santos Luparelli Mathieu, Product Innovation Director 

Si la primera parte del Radar 2026 se centra en las infraestructuras, esta segunda parte pone el foco en cómo y dónde se toma la decisión de confianza. La inteligencia se desplaza progresivamente hacia el dispositivo, el contexto y el comportamiento del usuario, redefiniendo la forma en que se construye la seguridad digital. 

En esta segunda parte exploramos cómo estas capacidades avanzadas de la inteligencia artificial cambiarán el diseño de las aplicaciones financieras, el cumplimiento normativo y la relación entre personas, dispositivos y sistemas inteligentes. 

IA Física y Descentralización: la inteligencia se mueve al dispositivo 

La AI Física, es decir, dotar a los dispositivos de la capacidad de percibir el contexto y el entorno, junto con la descentralización en la recopilación, el procesamiento y la toma de decisiones en el propio dispositivo, marcará el diseño de las aplicaciones financieras en 2026. 

Conceptos como Device Intelligence, Contextual Awareness y Passive Behavioural Biometrics se consolidarán como bloques fundamentales de señales que la IA Física utilizará para evaluar de forma continua la identidad durante el registro, la autenticación y las transacciones. 

Las wallets pueden actuar como: 

• un bloque externo de confianza, en apps sectoriales independientes 

• o una fuente interna de inteligencia, integrada en aplicaciones financieras 

Además, se espera que la Agentic AI en el dispositivo acompañe al usuario durante todo el journey: guiando procesos, reforzando la seguridad y ofreciendo recomendaciones sin añadir fricción. 

Impacto clave 

• Behavioural Biometrics 

• Inteligencia de dispositivo y contexto 

• Agentic AI 

IA nativa y experiencia de usuario adaptativa 

Las aplicaciones AI-Native, que ofrecen capacidades de IA como funcionalidad central, y los AI Agents diseñados para tareas específicas e integrarse en una IA Agéntica para la toma de decisiones autónoma, han sido los grandes motores de innovación en 2025 y definirán la experiencia digital en 2026. 

El diseño de aplicaciones se simplificará: 

• menos pantallas 

• menos fricción 

• interacciones más intuitivas 

La IA servirá de apoyo para verificar documentos, recomendar el uso de credenciales verificables, validar atributos de identidad o generar narrativas automáticas para SARs (Suspicious Account Reports)  y STRs (Suspicious Transaction Reports) contribuyendo así a reforzar el cumplimiento y reducir las tasas de abandono. 

Impacto clave: 

• Identity Verification y Authentication 

• Agentic AI 

• KYC, pKYC y screening 

• Automatización de SARs y STRs 

Bonus Track: más allá de 2026 

World Models: dos enfoques hacia la inteligencia artificial 

El futuro de la IA se debate hoy entre dos aproximaciones. 

Por un lado, los Large Language Models (LLMs), entrenados principalmente con lenguaje, destacan por su capacidad de respuesta inmediata. Siguiendo la tesis de Daniel Kahneman, representan el “pensamiento rápido”. 

Frente a ellos, investigadores como Yan LeCun defienden el desarrollo de los World Models, sistemas que aprenden a partir de vídeo, datos espaciales para comprender el mundo. Este cambio de paradigma dotará a las máquinas de una “inteligencia a nivel humano”, permitirá comprender la realidad y, según la visión de LeCun, es el camino para alcanzar verdaderamente la Inteligencia Artificial General (AGI).   

Impacto:  

• Personalización de KYC 

• Automatización de SARs y STRs 

• pKYC adaptativo  

Analítica Cuántica 

La analítica cuántica abre nuevas posibilidades en la detección de fraude, a partir de sus capacidades de superposición y entrelazamiento, especialmente en modelos con datos categóricos y relaciones complejas difíciles de identificar con computación tradicional. 

Por ejemplo, para el modelado de riesgos, una institución financiera que busque detectar fraude en transacciones podría utilizar algoritmos cuánticos para el preprocesamiento de datos y así descubrir relaciones ocultas entre características que ayuden a la computación tradicional a identificar patrones de fraude. 

Impacto 

• Transaction Monitoring 

• Account Classification (Know Your Account) 

Consumo energético para la IA 

El consumo energético de la IA, especialmente de la IA agéntica, será un factor estratégico. La energía nuclear está configurando el futuro del consumo energético necesario para alimentar tanto el entrenamiento como la inferencia de la IA Generativa y de sus derivados más impactantes: los Agentes. Los Domain Specific Language Models jugarán un papel clave en eficiencia y escalabilidad. 

Impacto 

• Agentic AI 

El futuro de la identidad digital será contextual, continuo y profundamente integrado en la experiencia. 

Más allá de 2026, la ventaja competitiva no estará en añadir más controles, sino en tomar mejores decisiones de confianza con menos intervención del usuario. Aquellas organizaciones que apuesten por una identidad inteligente, ética y energéticamente sostenible estarán mejor preparadas para afrontar la próxima década del fraude, la regulación y la economía digital. 

Por Miguel Santos Luparelli Mathieu, Product Innovation Director 

La identidad digital se ha convertido en el eje sobre el que se articula la confianza en la economía digital. En 2026, ya no hablamos solo de verificar usuarios, sino de orquestar ecosistemas completos de confianza, donde identidad, pagos, cumplimiento y seguridad operan de forma integrada. 

En esta primera parte del Radar 2026 analizamos las tendencias estructurales que están sentando las bases del futuro de la identidad digital. 

Wallets de identidad: Núcleo de la confianza digital 

Las Digital Identity Wallets darán forma al futuro del Digital Trust, la procedencia de los datos y la gobernanza de los datos. En 2026 convivirán múltiples modelos de wallets, con distintos niveles de adopción y competencia. 

Los wallets impulsados por gobiernos mantendrán la soberanía sobre la identidad de los ciudadanos, mientras que soluciones como Apple Wallet o Google Wallet jugarán un papel relevante en determinados países (EE. UU., Reino Unido o Japón), aunque sin llegar a competir en soberanía con los modelos gubernamentales. 

La geopolítica será un factor determinante: acelerará el despliegue de infraestructuras públicas digitales, fomentará modelos de super-apps y marcará el camino hacia la IA soberana. En paralelo, surgirán wallets sectoriales diseñados para industrias con necesidades específicas, especialmente en escenarios como el intercambio transfronterizo de datos sensibles (por ejemplo, biometría). 

En estos casos, los wallets deberán incorporar capacidades avanzadas de gestión descentralizada del consentimiento, permitiendo cumplir simultáneamente con múltiples marcos regulatorios. 

Impacto clave 

• Identity-First authentication 

• Consorcios para datos descentralizados 

• Wallets con consentimiento descentralizado 

• Intercambio de inteligencia de dispositivos en tiempo real 

• Know Your Wallet (KYW) 

• Prevención de robo de identidad e identidades sintéticas 

Ciberseguridad preventiva: Protección end-to-end 

El panorama de la ciberseguridad está creciendo debido a la adopción de la IA Generativa. En este contexto, la ciberseguridad pre-emptiva deja de ser una ventaja competitiva para convertirse en un estándar. 

El uso de analítica predictiva para monitorizar de forma continua la superficie de ataque, junto con capacidades adaptativas y ágiles, redefine cómo se diseñan hoy los sistemas de verificación de identidad y autenticación. 

Estas fuerzas están transformando la prevención del crimen financiero hacia modelos 360° end-to-end, que cubren todo el ciclo de confianza digital: 

• onboarding y autenticación de sesión 

• clasificación de cuentas 

• monitorización de transacciones 

Fraud Detection y AML dejan de operar en silos para integrarse en plataformas orquestadas que eliminan vulnerabilidades y conectan a los equipos de fraude y compliance. 

Impacto clave 

• KYC y pKYC robustos 

• Strong Customer Authentication con credenciales verificables 

• Pre-procesamiento de señales de pre-fraude 

• Clasificación de cuentas y monitorización transaccional 

Infraestructuras de pago 

Dos innovaciones destacan en la evolución de los payment rails: 

• La regulación de stablecoins (GENIUS Act en EE. UU) por parte de algunos gobiernos, incorporando requisitos de KYC, AML y compartición de datos. Se da en un contexto de descentralización, pagos instantáneos y la necesidad de los gobiernos de no perder el impulso regulatorio sobre infraestructuras de pago alternativas (o innovadoras) con potencial de adopción masiva 

• El Agent Payment Protocol (A2P) de Google, orientado a identificar y autenticar agentes que toman decisiones de pago en nombre de personas. Una iniciativa de la industria para impulsar la adopción tecnológica, allanando el camino para aportar confianza digital, trazabilidad y agencia a las transacciones impulsadas por Agentic AI 

Impacto clave 

• KYC y pKYC en pagos basados en wallets 

• SCA con credenciales verificables 

• Know Your Wallet (clasificación de wallets) 

• Transaction Monitoring en payment rails descentralizados 

Las tendencias que definirán 2026 comparten un denominador común: la identidad pasa de ser un punto de control a convertirse en el núcleo de la arquitectura digital. 

Este nuevo escenario exige abandonar soluciones fragmentadas y adoptar estrategias Identity-First, capaces de integrar autenticación, KYC, AML y monitorización transaccional en una única visión. Quienes entiendan esta convergencia no solo cumplirán con la regulación, sino que construirán confianza digital sostenible en un entorno cada vez más complejo y distribuido. 

Descubre la parte 2

Diciembre es el mes de la familia, los amigos y… las cuentas mula. Mientras millones de consumidores realizan pagos y transacciones legítimas, los delincuentes aprovechan el volumen, la urgencia y la sobrecarga operativa para ejecutar esquemas que pasan desapercibidos. Se podría decir que es época más maravillosa del año para el crimen organizado. 

Diciembre: el pico anual del fraude.  

El miedo al fraude es real. El 64% de consumidores en Estados Unidos temen ser víctimas de fraude en línea durante esta temporada navideña. No es casualidad: el incremento masivo de transacciones, combinado con equipos reducidos por vacaciones y sistemas saturados, crea el escenario perfecto. Es “buscar una aguja en un pajar” mientras siguen cayendo más agujas. 

Las redes de mulas de dinero intensifican su actividad, aprovechando ofertas de empleo temporales para reclutar personas vulnerables. Y métodos aparentemente inofensivos, como tarjetas regalo, siguen siendo una vía clave para mover fondos ilícitos por su anonimato y facilidad de intercambio. 

Alertas de fraude que se camuflan en diciembre 

Los sistemas modernos de detección dependen de señales de comportamiento: 

• Transacciones inusuales sin propósito comercial claro 

• Clientes que insisten en tratar con una única persona 

• Gestores con control excesivo sobre un proceso 

• Cambios bruscos en patrones transaccionales 

Durante la temporada navideña, estas señales pueden diluirse entre la actividad legítima, aumentando el riesgo de que pasen inadvertidas. No son pruebas concluyentes, pero sí indicadores de riesgo que deben analizarse en profundidad son el resto de los elementos contextuales que los acompañan, especialmente en esta época del año. 

Navidad 2.0: fraude impulsado por IA 

El fraude navideño en 2025 está marcado por un uso mucho más sofisticado de la inteligencia artificial. Santander UK advierte sobre una ola de anuncios fraudulentos generados por IA tan convincentes que el 56% de los adultos teme que ellos o sus familiares caigan en la trampa. A esto se suma la proliferación de deepfakes capaces de suplantar a celebridades para promocionar ofertas falsas y redirigir a los usuarios a webs fraudulentas.  

En esencia, los delincuentes aprovechan la misma tecnología accesible para cualquier usuario —la que usamos para editar fotos o generar vídeos— pero con una finalidad criminal y una rentabilidad alarmante: 485.600 millones de dólares en pérdidas globales por fraude en 2023.  

Además, los ciberataques aumentaron un 47% entre el primer trimestre de 2024 y el de 2025, desplegándose en muchos casos días antes de los grandes eventos de compras para aprovechar el aumento del tráfico y sorprender a comercios y usuarios desprevenidos. 

AML en modo supervivencia: cómo responder 

Para minimizar el riesgo durante esta temporada crítica, las instituciones financieras deben reforzar sus capacidades de detección utilizando: 

• Análisis de velocidad: identificar movimientos anómalos en cuestión de segundos 

• Geolocalización: correlacionar origen y destino de transacciones 

• Detección de vida: asegurar que quien inicia la operación es el usuario legítimo 

• Modelos de riesgo de cuentas mula basados en comportamiento y patrones transaccionales 

En este contexto las soluciones tecnológicas antifraude son grandes aliadas. La biometría de comportamiento analiza más de 3.000 señales, desde la forma de escribir hasta cómo se sostiene un dispositivo, para detectar anomalías casi imperceptibles para los sistemas tradicionales. Y la detección de cuentas mula crea un scoring de riesgo que clasifica las cuenta y frena el fraude antes de que se ejecute. 

Estas soluciones identifican desviaciones sutiles en el comportamiento del usuario que los sistemas tradicionales pasan por alto, deteniendo intentos de fraude como toma de control de cuentas (ATO) o fraude en cuentas nuevas (NAF) antes de que ocurra el daño. 

Compliance: el factor que marca la diferencia 

La tecnología es crucial, pero una prevención efectiva requiere además una cultura de responsabilidad ética, controles internos sólidos y regulaciones adaptadas al contexto actual del auge del fraude.  

Regulaciones como AFASA en Filipinas están marcando un precedente: exige a los bancos congelar fondos sospechosos o reembolsar a las víctimas. La negligencia en AML cuesta varios millones de dólares por infracción a los bancos. 

Los picos de fraude que trae diciembre no son una anomalía estacional; son un recordatorio de lo mucho que queda por fortalecer en los sistemas de prevención. Mientras las luces, las compras y el espíritu navideño distraen a millones de personas, los estafadores encuentran el mejor escenario. Por eso, las empresas no pueden limitarse a reaccionar: necesitan anticiparse. 

Hasta hace poco, la ciberseguridad se medía en muros y contraseñas. Hoy, la verdadera defensa se libra en un lugar más personal: la identidad digital.

En 2025, la banca y los servicios financieros operan en un entorno donde el fraude se mueve con la misma velocidad que la innovación. Los delincuentes utilizan inteligencia artificial, deepfakes y automatización; las organizaciones, por su parte, responden con IA defensiva, análisis contextual y modelos de riesgo adaptativo.

El resultado no es una guerra de extremos, sino una carrera por anticiparse.

El nuevo tablero: tecnología, identidad y contexto

Según Gartner, el 62 % de los líderes bancarios sitúan la ciberseguridad y la gestión del riesgo entre sus máximas prioridades. Las herramientas basadas en reglas fijas y controles aislados han dejado paso a sistemas que aprenden, predicen y se ajustan en tiempo real.

Los bancos más avanzados están combinando biometría continua, graph analytics e IA explicable para detectar patrones de fraude antes de que ocurran. Las arquitecturas modulares, las APIs abiertas y los entornos low-code permiten iterar con rapidez, reducir falsos positivos y ofrecer experiencias sin fricción.

El enfoque Identity-First Security se consolida como principio: quien entiende el contexto de la identidad puede tomar decisiones más seguras y ágiles desde el primer segundo.

Innovación aplicada: casos que marcan tendencia

El informe de Gartner Eye on Innovation Awards recoge ejemplos de cómo la tecnología está impulsando un cambio cultural:

• Europa Central: un banco regional unificó sus procesos KYC y biometría facial. Agricultores y autónomos pudieron abrir cuentas sin desplazarse, mientras el fraude mule se redujo drásticamente. 

• Sudamérica: modelos de machine learning con IA explicable identificaron patrones de fraude complejos y redujeron los bloqueos a clientes legítimos, con un ahorro de millones en costos operativos. 

• Asia-Pacífico: la integración de onboarding digital con APIs gubernamentales permitió validar identidades en remoto y expandir la inclusión financiera, disminuyendo el fraude móvil. 

En todos los casos, la innovación no solo reforzó la seguridad: también mejoró la experiencia y la confianza del usuario.

Hacia una orquestación inteligente de la identidad

Las tendencias del Hype Cycle 2025 apuntan hacia una convergencia clara:

• Automatización y detección predictiva para neutralizar amenazas en su origen. 
• Gestión orquestada de identidades que conecta seguridad, compliance y experiencia de cliente. 
• IA generativa utilizada de forma ética para generar datos sintéticos y simular escenarios de ataque antes de que se materialicen. 

La clave está en la orquestación: que todas las capas —tecnológica, regulatoria y humana— trabajen en sincronía. Y si quieres profundizar en el análisis completo de tendencias y tecnologías emergentes, puedes descargar el Hype Cycle for Fraud and Financial Crime Prevention 2025 desde aquí.

Más allá de la defensa: diseñar el futuro de la confianza digital

La revolución identity-first es, ante todo, una transformación cultural. Supone pasar de un modelo de defensa reactiva a un ecosistema que aprende y se anticipa, sin renunciar a la fluidez que los usuarios esperan. En la era del fraude automatizado, proteger la identidad es proteger la experiencia.

El futuro de la confianza digital no se construye con barreras, sino con inteligencia, cooperación y tecnología ética. Y esa evolución ya está en marcha.

Descarga el Fraud Intelligence Report 2025 y descubre cómo la industria está redefiniendo el equilibrio entre seguridad, cumplimiento y experiencia digital.

Abrir una cuenta desde el móvil a las 23:00 ya es normal: una videollamada o un onboarding guiado permiten completar el alta en minutos. Detrás de esa experiencia, sin embargo, conviven dos fuerzas: usuarios que piden fricción mínima y actores maliciosos que explotan automatización y contenido sintético para intentar saltarse los controles. Ese es el marco del Fraud Intelligence Report 2025.

Un cambio de escala, medido

El Fraud Intelligence Report 2025 revela un panorama donde la suplantación de identidad ha pasado de ser artesanal a operar con lógica industrial. Según el informe, el cibercrimen alcanzará un impacto económico de 10,5 billones de dólares anuales este año, impulsado por técnicas automatizadas, deepfakes y ataques de inyección capaces de imitar usuarios legítimos con una precisión sin precedentes.

Ya no hablamos de estafas aisladas, sino de redes criminales que operan con la misma estructura que una empresa tecnológica. El modelo Fraud-as-a-Service permite ejecutar ataques en masa, reducir costes y aprovechar herramientas de IA generativa para crear identidades sintéticas o manipular vídeos de verificación.

Frente a esta evolución, el concepto Identity-First Security se consolida como respuesta estratégica. Este enfoque, descrito en el informe, sitúa la identidad como núcleo de todas las decisiones de seguridad: cada interacción digital se valida de forma continua y contextual, no solo en el inicio de sesión.

Datos que reflejan la magnitud del cambio

• +20 % de intentos de fraude en procesos de onboarding durante 2023 (TransUnion).
• 47 % de los fraudes financieros en Europa implican robo de identidad (Allianz Trade & BCG).
• 43 % de las brechas biométricas** derivan de ataques de presentación e inyección (IBM Cybersecurity Report).

La identidad como defensa

En la nueva economía digital, los sistemas informáticos no se caen por un fallo técnico, sino por la pérdida de confianza. Por eso, el Fraud Intelligence Report 2025 propone un cambio de perspectiva: dejar de pensar en proteger los sistemas informáticos y empezar a proteger identidades.

El enfoque Identity-First Security hace precisamente esto. En lugar de levantar muros alrededor de las redes, pone a la persona —su identidad verificada— en el centro de la seguridad. Cada interacción digital se valida de forma continua, contextual y transparente, equilibrando la prevención del fraude con la experiencia del usuario.

El informe muestra cómo esta transición ya está en marcha. Las entidades más avanzadas están combinando biometría continua, detección de anomalías en tiempo real e inteligencia adaptativa de riesgo para anticipar ataques, no solo reaccionar ante ellos. La tecnología pasa a ser una herramienta de confianza, no de control.

La nueva frontera: inteligencia ofensiva frente a inteligencia defensiva

Las mismas técnicas que impulsan el fraude —inteligencia artificial, automatización, generación sintética de contenido— se han convertido también en su mayor contrapeso.

El informe describe una nueva dinámica: IA ofensiva frente a IA defensiva.

Mientras los atacantes utilizan modelos generativos para crear deepfakes, identidades sintéticas o documentos falsos, los defensores emplean modelos que detectan incoherencias visuales, microcomportamientos imposibles de replicar y patrones de red anómalos.

El fraude se ha industrializado, pero también lo ha hecho la respuesta. La automatización, el aprendizaje continuo y la colaboración entre sectores son ahora las claves de una protección eficaz.

Más que una receta técnica, es una hoja de ruta estratégica: anticipar, adaptarse y mantener la confianza del usuario como el activo más valioso.

Tres niveles de defensa

Para responder a este panorama, Facephi el informe plantea un modelo de defensa por capas, basado en el enfoque Identity-First, que aborda el fraude desde su origen hasta su fase operativa.

Nivel 1 – Quién eres

• protección ante: intentos de suplantación de identidad (deepfakes, ataques de inyección, entre otros).
• cuándo: en el momento del registro o acceso a una plataforma o servicio.
• cómo: con verificación biométrica certificada y análisis de integridad de datos. 
  

Nivel 2 – Cómo actúas:

• protección ante: apropiación de cuentas (ATO, account takeover), troyanos de acceso remoto (Remote Access Trojan, RAT), ataques de intermediario (Man-In-The-Middle, MITM), entre otros.
• cuándo: tras el registro, continuamente (en cada interacción con la aplicación)
• cómo: monitorización de señales de comportamiento que conforman el perfil de comportamiento del usuario, como velocidad de tecleo o interacción, ubicación, dispositivos habituales y hasta 3.000 señales distintas.
  

Nivel 3 – Con quién interactúas:

• protección ante: intentos de estafa con ingeniería social (cuando se hacen pasar por un conocido para lograr una transacción) o fraude autorizado, como cuentas mula.
• cuándo: al realizar transacciones.
• cómo: análisis de grafos y patrones transaccionales

Más allá de la defensa: diseñar el futuro de la confianza digital

El fraude de identidad no es un episodio, es un proceso que evoluciona con la tecnología. La diferencia entre sufrirlo o anticiparlo está en la capacidad de aprender antes que el atacante.

El Fraud Intelligence Report 2025 no solo analiza las cifras: traza un mapa de amenazas y soluciones para un futuro digital en el que la confianza se construye, no se asume.

Descarga el informe completo y descubre cómo las organizaciones están redefiniendo la lucha contra el fraude en la era de la identidad digital.

El Reglamento Europeo de Inteligencia Artificial (AI Act), aprobado en 2024, marca un antes y un después en la manera en que las organizaciones diseñan, desarrollan y aplican sistemas de IA. 
Esta normativa, la primera ley integral del mundo sobre inteligencia artificial, clasifica los sistemas de IA según su nivel de riesgo (inaceptable, alto, limitado o mínimo) y establece requisitos específicos de seguridad, supervisión humana y transparencia para garantizar un uso ético y responsable de la tecnología. 

Transparencia de algoritmos en la administración pública española: el caso BOSCO 

El Tribunal Supremo de España ya ha dado un primer paso en el cumplimiento de lo que plantea esta regulación. Recientemente ha dictado una sentencia histórica (casación 7878/2024, de 11 de septiembre de 2025) que obliga a la Administración a entregar el código fuente del algoritmo BOSCO, un sistema creado para decidir quién puede acceder al bono social eléctrico, una ayuda destinada a consumidores vulnerables y usada por las empresas de energía eléctrica. 

BOSCO ha sido catalogado como un sistema de “alto riesgo”, ya que influye directamente en decisiones económicas y sociales que afectan a los ciudadanos. 
Con este fallo, España se adelanta a la aplicación del AI Act, reconociendo el derecho a la transparencia algorítmica como una pieza esencial de una IA ética y responsable en el sector público. 

Uso ético de la IA en entornos regulados  

En este contexto, el uso de la inteligencia artificial para la verificación de identidad mediante biometría se considera un sistema de riesgo limitado según los criterios del AI Act, al combinar precisión, seguridad y respeto por la privacidad del usuario. Estas tecnologías se aplican en sectores regulados como la banca, los seguros o las fintech para prevenir el fraude y garantizar la confianza digital. 

El reglamento subraya la importancia de que las personas puedan decidir libre, voluntaria e inequívocamente sobre el uso de estas tecnologías. Por ello, nuestras soluciones de verificación de identidad se diseñan siempre bajo el principio del consentimiento informado, garantizando que el usuario mantenga el control sobre su identidad y haciendo un uso ético de la biometría. 

A diferencia de los modelos centralizados, el tratamiento de la información biométrica en nuestras soluciones se realiza de forma cifrada y anonimizada, sin almacenar datos personales ni permitir su reutilización. Los datos permanecen siempre bajo la custodia exclusiva de cada organización que utiliza la tecnología, reforzando la soberanía del usuario y el cumplimiento de la normativa de protección de datos. 

Además, se aplican mecanismos activos de mitigación de sesgos mediante algoritmos entrenados con conjuntos de datos diversos y auditados bajo los estándares del NIST (National Institute of Standards and Technology). Estas certificaciones garantizan precisión, inclusividad y equidad en los procesos de verificación, asegurando resultados consistentes para personas de todas las edades, géneros y orígenes. 

Hacía una IA más transparente y segura 

La inteligencia artificial está transformando la relación entre ciudadanos, empresas y gobiernos. Pero su implementación debe ir acompañada de transparencia y supervisión humana para garantizar que la innovación tecnológica avance sin comprometer los derechos fundamentales. 

El AI Act no solo impone obligaciones: abre la puerta a un nuevo estándar de confianza digital, donde la transparencia y la ética se convierten en la base de una IA más justa, segura y centrada en las personas. 

Las Vegas no solo brilla bajo sus luces de neón. Es una ciudad donde se mueven más de 15.000 millones de dólares cada año, y no es casualidad que el evento más importante de la industria financiera tenga lugar allí. 
Entre el bullicio de más de 6.000 asistentes, la lección más valiosa fue más silenciosa: el fraude se mueve hoy a la velocidad de la inteligencia artificial, por lo que la defensa debe comportarse como un sistema nervioso, no como un muro. 
No se trata de añadir pasos, sino de escuchar mejor y recopilar datos para tomar decisiones más inteligentes. 

Si lideras equipos de Cumplimiento, Fraude, Tecnología (CIO/CTO) o te interesa el estado actual de la industria financiera, esto es para ti. No es un resumen de sesiones, sino una guía sobre lo que ha cambiado y cómo adaptarse sin comprometer la experiencia del usuario. 

Lo que ha cambiado en la industria financiera 

La IA está redefiniendo el fraude y el lavado de dinero 

Los nuevos modelos de inteligencia artificial están ayudando a las instituciones financieras a pasar de enfoques reactivos a estrategias predictivas en la lucha contra el fraude y el blanqueo de capitales, detectando anomalías en tiempo real y anticipando amenazas antes de que ocurran. 
El foco está en conectar los puntos: correlacionar dispositivo, identidad, comportamiento y datos de transacciones para obtener una visión integral del riesgo. 

Cumplimiento adaptable y basado en datos 

A medida que los delitos financieros se vuelven más complejos —desde identidades sintéticas hasta lavado en múltiples cadenas—, las instituciones están repensando su infraestructura tecnológica. 
Hoy son esenciales los sistemas adaptativos impulsados por datos, capaces de combinar información transaccional, comportamental y contextual para detectar riesgos tanto en ecosistemas tradicionales como cripto. 

Colaboración e inteligencia de datos como nueva resiliencia 

Uno de los mensajes más potentes en Money 20/20 fue la importancia del intercambio de datos y la inteligencia colectiva. 
El concepto de data stack —combinando señales resistentes a la IA, como el historial y la autoridad— es clave para construir fuentes de datos confiables y verificables. 
Los consorcios y las iniciativas de federated learning permiten compartir información de forma segura, reforzando la capacidad del sector para detectar y responder ante nuevos patrones de fraude. 

Catching fraud before it catches you  

Desde Facephi presentamos nuestro modelo Identity-First Security, que sitúa la identidad en el centro de todas las decisiones. 
El fraude opera en capas: identidades sintéticas que superan el KYC, ataques de credenciales que evaden el 2FA y redes de mulas que se expanden silenciosamente. 
Con el cibercrimen alcanzando costes de miles de millones anuales, el mandato es claro: actuar antes. 

Trabajamos en tres dimensiones de protección: 

• Quién eres: identidad verificada mediante biometría avanzada y prueba de vida. 

• Qué haces: análisis de comportamiento y monitorización transaccional que interpreta la intención. 

• Con quién te conectas: inteligencia de red y mapeo de relaciones para detectar patrones de cuentas mula. 

El resultado: menos fricción para los usuarios legítimos y mayor precisión ante el riesgo. 
No se trata de añadir más controles, sino de añadir controles más inteligentes. 

Según mostramos en nuestro Fraud Intelligence Report 2025, el coste del cibercrimen alcanzará los 10,5 billones de dólares anuales en 2025. 
Por eso operamos en tres dimensiones de protección: quién eres, qué haces y con quién te conectas. Descubre más en nuestro portafolio de soluciones 

Como dejó claro Money 20/20 USA, el ecosistema financiero entra en una nueva era, definida por la inteligencia, la interoperabilidad y la confianza. 
Construir el futuro de las finanzas no consiste solo en adoptar tecnologías avanzadas, sino en fomentar la colaboración entre industrias para adelantarse a las amenazas emergentes. 

En Facephi creemos que la base de este nuevo escenario está en la identidad: 
proteger cada interacción, reforzar cada transacción y permitir que las organizaciones se mantengan siempre un paso por delante del fraude.  

Por Luis Eduardo Álvarez Martínez, Cyber Threat & Innovation Lead

En nuestro día a día, convivimos, en casi todas las acciones que realizamos y decisiones que tomamos, con la seguridad, y en muchas ocasiones sin percibirlo. Al desbloquear el móvil con el FaceID, la huella, un PIN, utilizar la autenticación de dos factores para realizar una transferencia o revisar si la web en la que estamos navegando es de fiar. La ciberseguridad actúa de manera silenciosa, protegiéndonos sin fricciones y sin que la experiencia del usuario se vea interrumpida. 

De lo cotidiano a lo corporativo 

Cuando trasladamos esta rutina al entorno corporativo, la perspectiva del usuario cambia. Un fallo de seguridad digital deja de ser un problema individual para convertirse en un riesgo que puede afectar a toda una organización, en su economía, estrategia y reputación. 

La ciberseguridad ya no es solo un tema técnico, sino también una dimensión cultural. El impacto asociado se refleja en la percepción que los usuarios y otras marcas tienen sobre la organización, lo que puede traducirse en una disminución de la adopción de sus productos y en una pérdida de confianza. Según el informe de IBM de 2025, el coste medio global de una brecha de seguridad ascendió a 4,44 millones de dólares, por lo que contar con soluciones avanzadas y resistentes resulta esencial para reforzar la seguridad, proteger los datos de los usuarios y reducir riesgos reputacionales y económicos. Esta necesidad de fortalecer la seguridad digital ha impulsado la evolución de los procesos de verificación de identidad y autenticación biométrica, que se han consolidado como elementos clave a medida que las interacciones y servicios se trasladan al entorno digital. Un onboarding digital sin fricciones, que combine agilidad y seguridad, facilita la incorporación de nuevos clientes. 

Ciberseguridad: una cuestión de equilibrio 

Hoy la seguridad digital ya no es un universo aislado, sino un idioma común para todos, usuarios, organizaciones y Estado. Hablamos de proteger la identidad, la información y su integridad, tanto en casa como en el trabajo. 

Con los años he observado que los usuarios muestran una mayor disposición a aceptar pequeñas fricciones —como pasos adicionales de verificación— cuando perciben que aportan una protección real. Este cambio cultural refleja una madurez digital creciente: la seguridad ya no se percibe solo como una barrera, sino como un componente esencial de confianza, aunque esta aceptación sigue siendo limitada. 

No obstante, el verdadero reto surge al equilibrar la experiencia y la seguridad: cada interacción debe tener un propósito claro y aportar valor real, evitando pasos innecesarios que solo generan frustración. Por otra parte, la adopción de tecnologías frictionless permite proteger a los usuarios y las organizaciones mientras elimina barreras innecesarias, ofreciendo una experiencia fluida y segura que refuerza la confianza y facilita la adopción. 

Un ejemplo claro de cómo este equilibrio puede materializarse es el sistema de verificación antiestafas de la Unión Europea: cuando el nombre del destinatario no coincide con el titular del IBAN, se genera una alerta. Una fricción mínima que puede prevenir millones en fraudes. 

Cada vez más, las empresas entienden que la ciberseguridad debe ser una prioridad. Hoy, el diseño y la protección ya no compiten; se complementan. Tecnologías como la biometría o el inicio de sesión único (SSO) hacen que los procesos de autenticación sean amigables a la par que seguros. En estos casos, la seguridad es casi invisible, pero esencial. 

El objetivo no es optar por la seguridad o la experiencia, sino integrarlas de manera natural. Cuando esto sucede, la protección digital deja de ser percibida como una barrera y se convierte en un elemento de confianza tangible. 

La regulación como brújula 

El tercer pilar de esta convergencia es la regulación. Durante años, las normativas se han percibido como un freno, pero hoy se entienden como una guía. Ejemplo de ello es el nuevo sistema europeo de Entrada/Salida (EES), que utiliza biometría para reemplazar el sellado manual de pasaportes, agilizando y automatizando los procesos fronterizos. En este marco, soluciones como las de Facephi implementan tecnología biométrica cumpliendo con estándares regulatorios y de privacidad. Por ejemplo, Facephi cumple con la ISO/IEC 27001:2022, lo que garantiza la confidencialidad, integridad y disponibilidad de la información, asegurando que la verificación de identidad sea segura y cumpla con los requisitos legales y de protección de datos. 

Adaptarse a los marcos regulatorios requiere tiempo, reflexión y estrategia: la seguridad no puede ser improvisada. Las normativas no solo definen estándares de protección, sino que también promueven la privacidad del usuario y ayudan a las empresas a construir entornos de confianza. Lejos de únicamente imponer límites, las regulaciones ofrecen un camino, una guía que establece responsabilidades compartidas y mínimos de transparencia y seguridad. 

El punto de unión: la confianza 

Una empresa que prioriza únicamente la seguridad puede parecer rígida. Una que se enfoca solo en la experiencia se expone a vulnerabilidades. Y una que ignora la regulación arriesga su legitimidad. 

Cuando seguridad, experiencia y regulación se gestionan de manera equilibrada, se genera un efecto que va más allá de la suma de sus partes: confianza. Confianza de los usuarios, credibilidad frente a los reguladores y certeza de que los procesos son fiables y transparentes. 

Un ejemplo de esta convergencia se encontraría en nuestro caso de éxito con Banrural, que buscaba ofrecer a la comunidad migrante un acceso ágil y seguro a servicios financieros digitales. Aplicando los tres ejes de manera integrada con nuestra tecnología, el banco consolidó la confianza de sus clientes y facilitó la adopción de cuentas digitales, de forma que ahora suman el grueso de su negocio 

Finalmente, solo quedaría destacar que la convergencia de seguridad, experiencia y regulación no es una tendencia: es el nuevo estándar de éxito y confianza en el entorno digital. 

La Inteligencia Artificial se ha convertido en una herramienta clave en sectores estratégicos y en la toma de decisiones. Hasta ahora, Europa no contaba con un marco regulatorio común, pero la aprobación del Reglamento (UE) 2024/1689, también conocido como Reglamento de Inteligencia Artificial (RIA), supone un hito histórico. Su objetivo es combinar la innovación y la protección de los derechos fundamentales. 

¿Qué cambia con la nueva normativa? 

El Reglamento UE 2024/1689 clasifica la inteligencia artificial según el nivel de riesgo: inaceptable, alto, limitado y mínimo. 

Los sistemas de riesgo inaceptable están prohibidos, incluyendo IA que manipule el comportamiento humano, puntúe socialmente, reconozca emociones en el trabajo o realice identificación biométrica en tiempo real, salvo excepciones judiciales. También se limita la creación de bases de datos biométricas sensibles. 

Los sistemas de alto riesgo, usados en sectores críticos como salud, educación o seguridad, solo pueden operar cumpliendo requisitos de seguridad y evaluaciones de conformidad. Los de riesgo limitado deben cumplir obligaciones de transparencia, y los de riesgo mínimo pueden usarse libremente, con códigos de conducta recomendados. 

Además, todo contenido generado o manipulado por IA, incluidos los deepfakes, debe estar claramente etiquetado. Este enfoque por niveles de riesgo protege los derechos fundamentales y promueve una IA segura e innovadora en Europa. 

Fechas clave y sanciones en la Ley de IA de la UE 

La Ley de IA de la UE establece un calendario claro: desde febrero de 2025 se prohíben prácticas incompatibles con los valores democráticos; en agosto de 2026 entran en vigor las obligaciones para sistemas de alto riesgo; y a partir de agosto de 2027, el registro público de estos sistemas será obligatorio. 

Cada Estado miembro podrá fijar sus propias multas y sanciones, designando al menos una autoridad nacional encargada de supervisar la aplicación de la normativa y la vigilancia del mercado, asegurando el cumplimiento de la Ley de IA. 

¿Cómo deben actuar las empresas que utilizan sistemas de IA? 

Las empresas que implementen sistemas de inteligencia artificial deben establecer marcos sólidos de gobernanza y gestión de riesgos basados en ética, eficiencia y legalidad. Esto se articula a través del modelo GRC (Gobernanza, Riesgo y Cumplimiento): 

• Gobernanza: Alinear procesos y decisiones con los objetivos estratégicos de la organización. 

• Riesgo: Identificar, evaluar y gestionar los riesgos asociados a la IA. 

• Cumplimiento: Garantizar que todas las actividades cumplen los requisitos legales y reglamentarios. 

En el caso de sistemas de alto riesgo, la normativa exige además: 

• Documentación técnica actualizada y registros automáticos de actividad. 

• Información clara a los usuarios sobre capacidades, requisitos, ámbito de aplicación, precisión y supervisión humana. 

• Posibilidad de supervisión humana durante el uso. 

• Nivel adecuado de precisión, robustez y ciberseguridad, reflejado en la documentación. 

Es clave fomentar una cultura de riesgo, formando y concienciando a todas las partes sobre los posibles impactos de la IA. Las empresas deben conocer exactamente dónde encajan sus sistemas, aplicar los marcos de gobernanza correspondientes y cumplir rigurosamente con las obligaciones establecidas por la Ley de IA de la UE. 

En la era digital, garantizar la identidad de los usuarios es esencial para realizar transacciones seguras y prevenir el fraude online. Desde abrir una cuenta bancaria hasta acceder a servicios públicos, cada vez más procesos dependen de comprobar que la persona al otro lado de la pantalla es quien dice ser. 

Aunque los términos verificación y validación de identidad se utilicen a veces como sinónimos, cumplen funciones distintas dentro de la protección de la identidad digital. Comprender esta diferencia es fundamental para reforzar la confianza online, cumplir con normativas internacionales y ofrecer una experiencia de usuario segura y ágil. 

¿Qué diferencias hay entre verificación y validación de identidad? 

• Verificación de identidad: confirma que los documentos o datos presentados son auténticos. Por ejemplo, comprobar que un DNI o pasaporte no ha sido manipulado y cumple con los estándares oficiales. 

• Validación de identidad: va más allá. Confirma que el documento pertenece realmente a la persona que lo presenta, utilizando tecnologías como reconocimiento facial y detección de vida (liveness detection). 

En pocas palabras: la verificación asegura que la información es legítima, mientras que la validación confirma que esa información corresponde a la persona real. Ambos procesos son complementarios y forman la base de una identificación digital confiable. 

¿Por qué son importantes la verificación y la validación en procesos digitales? 

La digitalización ha transformado la manera en que abrimos cuentas bancarias, contratamos servicios financieros o realizamos trámites públicos. Procesos que antes requerían presencia física ahora se completan en segundos desde un móvil u ordenador. Sin embargo, para mantener la seguridad y la confianza, es imprescindible aplicar mecanismos sólidos de verificación y validación de identidad. 

Su importancia se refleja en tres aspectos clave: 

• Prevención del fraude digital: permiten detectar suplantaciones de identidad y reducir riesgos asociados a delitos financieros y ciberataques. 

• Cumplimiento normativo: regulaciones como KYC (Know Your Customer) o AML (Anti-Money Laundering) exigen validar no solo los documentos, sino también la legitimidad de las personas que los presentan. Estas obligaciones se recogen en leyes y directivas como la 4ª, 5ª y 6ª Directiva Europea AML, el Bank Secrecy Act y el USA PATRIOT Act, garantizando procesos seguros y la prevención de fraude financiero. 

• Confianza y experiencia de usuario: un proceso ágil y seguro de verificación y validación genera mayor confianza en el cliente y mejora la interacción con la organización. 

En definitiva, la verificación y la validación no solo cumplen obligaciones legales, sino que construyen experiencias digitales confiables y seguras. 

¿Cómo implementamos en Facephi la verificación y la validación? 

En Facephi, la validación de identidad es mucho más que un requisito: es la base para generar confianza en cualquier interacción digital. Nuestras soluciones combinan tecnología avanzada y procesos optimizados para garantizar que cada usuario sea quien dice ser, sin afectar la experiencia. 

Algunas de nuestras soluciones clave: 

• Onboarding digital con validación biométrica: combinamos la captura de documentos con reconocimiento facial y detección de vida, asegurando que el documento pertenece a la persona real. 

• Autenticación biométrica continua: A través de nuestra solución Authentication validamos la identidad en cada acceso o transacción sensible, reforzando la seguridad sin generar fricciones. 

• Cumplimiento global: nuestras soluciones están alineadas con estándares como eIDAS, KYC y AML, permitiendo aplicar procesos de validación auditables y confiables. 

Así, en Facephi transformamos la validación de identidad en un proceso ágil, seguro y transparente, protegiendo a las organizaciones frente al fraude y ofreciendo al usuario final una experiencia digital confiable. 

Por Elena Cantó, People & Culture Director

En el mundo de la techie, donde las tendencias, herramientas, soluciones cambian a una gran velocidad y las innovaciones no esperan, hay algo que debe permanecer como la base para que los desarrollos triunfen: una cultura corporativa centrada en las personas. En Facephi, según hemos ido creciendo, hemos aprendido que para ello hay que cultivar una comunicación auténtica y constante.  

En un entorno de alto rendimiento como el nuestro, con más del 70 % de la plantilla formada por perfiles tecnológicos, diferentes culturas y soft skills, es necesario generar una cultura de feedback en toda la organización. No hablamos solo de despliegues y producto con frameworks agiles, se trata también del desempeño de cada empleado/a, su momento vital en la empresa y la capacidad de desarrollo en el rol que mejor se adapte.  

Para ello implementamos conversaciones de feedback one to one (1:1) entre managers y miembros del equipo, conversaciones que son mucho más que procesos de gestión: son el motor invisible que impulsa el desarrollo profesional, refuerza la confianza y mantiene viva una cultura de la innovación.  

Feedback que transforma 

 En Facephi, entendemos el feedback como un lenguaje vivo, frecuente y específico, orientado siempre al crecimiento. No es una auditoría de errores, aunque de ellos también se habla, sino que es una oportunidad para reconocer logros, afinar habilidades y anticipar oportunidades de mejora antes de que los problemas crezcan. 
Bien gestionadas, estas conversaciones son un catalizador del rendimiento y un ancla de pertenencia para cada miembro del equipo. 

Poco a poco esa cultura del feedback se convierte en parte de la conversación diaria, no hay que “buscar un momento para dar feedback”; fluye de manera natural, generando una cultura de transparencia, confianza y aprendizaje iterativo. 

De la teoría al impacto real: cómo crear una cultura de feedback en entornos tecnológicos 

• Normaliza el feedback como parte del flujo de trabajo 
  Si en cada sprint, retrospectiva o daily hay espacio para compartir feedback breve, los equipos lo interiorizan como algo natural, no como un evento puntual. 

• Forma a líderes y mentores en comunicación constructiva y cultura de feedback 
  Hay ciertos perfiles con más habilidades comunicativas que otros, eso no quiere decir que no se pueda aprender a ser un manager técnico y a la vez un perfil capaz de hablar de temas complejos con el equipo sin desmotivar, sino siendo acelerador del talento. Invertir en esta habilidad es tan clave como invertir en formación técnica. 

• Fomenta la bidireccionalidad 
  La cultura de feedback no es solo “de arriba hacia abajo”. Permitir que los colaboradores den feedback a sus líderes fortalece la confianza y la transparencia, generando un espacio en el que toda la organización aprende y crece. 

• Reconoce públicamente las mejoras derivadas del feedback 
  Cuando una optimización, una reducción de bugs o una mejora de UX nace de un comentario recibido, celebrarlo refuerza el valor de poder opinar. Pequeños gestos, marcan la diferencia. 

En una compañía global como Facephi, estos hábitos de comunicación tienen un efecto directo en el negocio: aceleran la resolución de problemas, reducen fricciones en el desarrollo de soluciones y ayudan a fidelizar el mejor talento.  

Y no es casualidad que esta cultura haya sido reconocida en la segunda edición de los Premios Customer Centric, organizados por la consultora internacional Lukkap, siendo premiados como la empresa con el mejor eNPS (Employee Net Promoter Score) de liderazgo de toda España mostrando que los managers de Facephi han sido los mejor valorados del país. Pero más allá del número, lo que este premio refleja es algo mucho más importante: la confianza y la conexión que existe en los equipos. 

Impacto del feedback en el negocio 

En un contexto tecnológico como el de Facephi, este ejercicio no solo cuida del bienestar de la persona, sino que también garantiza que su potencial se alinee con los objetivos estratégicos de la compañía. 

La alineación con esos objetivos impacta directamente a negocio. La calidad y claridad del feedback se traduce en métricas tangibles que impactan también a negocio, por poner algunos ejemplos: 

• Mejor time-to-market: problemas detectados y corregidos antes reducen retrasos en lanzamientos. 

• Mayor calidad del producto: menos incidencias en producción, más satisfacción de clientes y usuarios. 

• Atracción y fidelización de talento: los perfiles técnicos valoran entornos donde se les escucha, se les reconoce y se les apoya en su desarrollo, clave para la “guerra” del talento en nuestro sector tecnológico. 

• Innovación sostenida: el intercambio constante de ideas y mejoras alimenta un ciclo de innovación continuo. 

• Facilita la corrección de hábitos negativos: 
  En programación, diseño o ciberseguridad, pequeños descuidos repetidos (no documentar código, saltarse revisiones de seguridad…) pueden generar fallos graves.  

• Consecución de OKR: El one to one convierte los OKR en un proceso vivo, no en un documento olvidado en una presentación, los ajustes rápidos marcan la diferencia entre “quedarse cerca” y alcanzar o superar el objetivo. 

En Facephi creemos que invertir tiempo en dar feedback y mantener conversaciones regulares no es una tarea operativa, sino una apuesta estratégica, porque sabemos que cuando se cultivan equipos comprometidos, resilientes y conectados, no solo se fortalece el presente, sino que también se construye un futuro con mayores garantías de éxito. Aunque cada día incorporamos más tecnología, tenemos aún más claro que son las personas, con su compromiso y capacidad de hacer que las cosas sucedan, las que marcan la diferencia y nos distinguen en el mercado frente a nuestros competidores. 

El Decreto n.º 12.564/2025, firmado el 24 de julio por el presidente Luiz Inácio Lula da Silva junto con el Ministerio de Trabajo y Empleo, marca un antes y un después en la regulación del crédito consignado en Brasil. Publicado en el Diário Oficial da União (DOU) y con entrada en vigor inmediata, el decreto establece nuevas reglas que buscan proteger la remuneración de los trabajadores y reforzar la seguridad digital en las operaciones de crédito. 

¿Qué establece el Decreto 12.564/2025? 

La norma reglamenta el artículo 2-I de la Ley N.º 10.820, fijando un límite máximo de descuentos en nómina y estableciendo requisitos técnicos y legales para los contratos de crédito consignado. 

Entre los principales puntos destacan: 

• Verificación biométrica facial con prueba de vida, obligatoria para validar la identidad del trabajador. 

• Consentimiento informado y expreso para el uso de datos personales, en línea con la LGPD (Ley General de Protección de Datos de Brasil). 

• Contratos digitales y firmas electrónicas en tres modalidades: Firma cualificada con certificado ICP-Brasil, firma avanzada con autenticación biométrica y evidencias técnicas, firma electrónica en entornos seguros con múltiples factores de autenticación. 

¿Quiénes deben cumplir con la nueva regulación? 

 El Decreto 12.564/2025 aplica a todas las entidades que ofrecen y operan crédito consignado en Brasil, incluyendo: 

• Bancos públicos y privados. 

• Cooperativas de crédito y fintechs autorizadas por el Banco Central. 

• Plataformas digitales de intermediación y formalización de contratos. 

• Sociedades de arrendamiento mercantil y de financiamiento. 

• Dependencias gubernamentales y empresas estatales responsables de nóminas y validación de contratos digitales. 

Estas entidades deberán implementar biometría facial con prueba de vida, garantizar la firma digital segura, registrar y almacenar el consentimiento de los trabajadores, y contar con infraestructura auditable y conforme a las normas del Ministerio de Trabajo y Empleo. 

La propuesta de Facephi ante el Decreto 12.564/2025 

En este nuevo contexto, Facephi ofrece soluciones de verificación de identidad biométrica que aseguran el cumplimiento total de la normativa. Nuestra tecnología permite: 

• Onboarding biométrico en menos de 10 segundos, con experiencia inclusiva, multilingüe y adaptada a dispositivos móviles. 

• SDKs y APIs modulares para una integración ágil en cualquier plataforma. 

• Prueba de vida pasiva y certificada, garantizando seguridad sin fricción para el usuario. 

• Programa de partner enablement con co-branding, generación de leads y acceso a un portal exclusivo para maximizar resultados. 

Una oportunidad para impulsar la seguridad digital 

 Más allá del cumplimiento normativo, la entrada en vigor del 12.564/2025 representa una oportunidad para fortalecer la protección de la identidad digital y los datos en operaciones financieras en Brasil 

La digitalización creciente de los servicios y la necesidad de generar confianza entre los usuarios impulsan la adopción de mecanismos de autenticación más robustos y eficientes. Prepararse con antelación permitirá a las instituciones mitigar riesgos, optimizar procesos y consolidarse como referentes en seguridad y confianza digital. Actuar a tiempo es clave para asegurar una transición ordenada hacia el nuevo marco normativo y aprovechar plenamente sus beneficios tecnológicos. 

La digitalización del sector financiero no solo transforma la experiencia del usuario, sino que eleva el nivel de exigencia en materia de seguridad y cumplimiento legal. En ese contexto, la regulación SUGEF 10-07 en Costa Rica se posiciona como el nuevo estándar para entidades que buscan proteger a sus clientes, cumplir la normativa y liderar en confianza digital en dicho país.   

¿Cuál es el verdadero reto? 

La SUGEF 10-07 (versión 2025), emitida por la Superintendencia General de Entidades Financieras, establece un ambicioso marco obligatorio para bancos, financieras, cooperativas y entidades supervisadas. La norma exige implementar tecnologías avanzadas que garanticen: 

• Verificación efectiva de identidad. 

• Análisis de comportamiento digital y detección de fraudes. 

• Protección de canales y dispositivos en todo el ciclo de vida del cliente. 

Este reglamento pone en primer plano la transparencia, la seguridad y la protección del usuario financiero, transformando la forma en que las organizaciones gestionan el riesgo y la relación digital con el cliente. 

Aunque la entrada en vigor del nuevo marco refuerza la urgencia de actuar de inmediato. Este cambio de mentalidad permite más allá de evitar sanciones, anticipar y combatir el fraude en procesos como onboarding y transacciones remotas. 

¿Cómo adaptarse al nuevo estándar de SUGEF 10-07? 

El cumplimiento requiere una aproximación personalizada según el tipo de entidad financiera. 

La SUGEF 10-07 exige estrategias específicas según el tipo de entidad financiera: los bancos estatales deben priorizar la seguridad digital y la trazabilidad documental; las entidades creadas por leyes especiales, adoptar autenticación innovadora y concienciar sobre el cumplimiento; los bancos privados tienen la oportunidad de liderar en eficiencia y protección contra el fraude; y las financieras no bancarias y cooperativas pueden mejorar tanto la seguridad como la experiencia de sus socios. 

Una oportunidad para el liderazgo digital

La entrada en vigor de la SUGEF 10-07 no debe verse solo como un desafío regulatorio, sino como una oportunidad para fortalecer la cultura digital de las organizaciones, fidelizar a los clientes y diferenciarse en un mercado cada vez más competitivo. 

Las entidades que adopten tecnologías avanzadas estarán listas para cumplir la SUGEF 10-07 y, al mismo tiempo, elevarán la seguridad, eficiencia y confianza en el sector financiero costarricense.  

En Facephi acompañamos este proceso con experiencia internacional y local, respaldados por clientes como Promerica y Namutek Fintech. Nuestras soluciones cumplen con los estándares GDPR y eIDAS, garantizando máxima consistencia y cobertura: desde el acceso seguro mediante biometría (Art. 14), verificación digital en el onboarding (Art. 15), detección de fraudes vía análisis de patrones (Art. 17), hasta autenticación robusta y multifactorial con prueba de vida y trazabilidad (Art. 18). 

En los últimos 12 meses, los ataques de inyección se han convertido en una de las formas más sofisticadas de fraude digital, multiplicándose gracias a la IA generativa. Estas amenazas ya no atacan el mundo físico, sino que se infiltran directamente en el canal digital. En un ataque de inyección, los ciberdelincuentes emplean cámaras virtuales, archivos multimedia pregrabados y deepfakes generados con inteligencia artificial para inyectarlos en el flujo y engañar a los sistemas de verificación. A diferencia de los ataques de presentación físicos, este tipo de fraude actúa directamente sobre el canal digital, lo que lo hace más difícil de detectar y más peligroso para la integridad de los procesos de onboarding y autenticación. 

Por su complejidad y por la combinación de técnicas en las que están basados, para combatirlos es fundamental implementar tecnologías avanzadas que actúen en múltiples capas y protejan simultáneamente hardware, software y canal de transmisión.  

Tecnologías clave para detectar ataques de inyección 

1. Detección de ataques Man-in-the-Middle (MITM) 

Implementa cifrado robusto y validación de integridad para impedir que terceros intercepten o alteren la comunicación entre el usuario y la aplicación. Analiza en tiempo real la interacción con la interfaz para detectar comportamientos irregulares y previene manipulaciones en las imágenes antes del procesamiento biométrico, identificando recortes, cambios de formato, compresión o alteraciones digitales. 

2. Detección de deepfakes y contenido sintético 

Mediante modelos avanzados de deep learning, se analizan imágenes, vídeos y voces para identificar patrones característicos de contenido manipulado o generado artificialmente . Esto asegura que solo se procesen datos biométricos auténticos y se identifique el contenido sintético con alta precisión. 

3. Biometría de comportamiento y detección de anomalías 

Evalúa patrones de interacción y actividad para crear un perfil conductual de cada usuario. Así es posible detectar comportamientos sospechosos, bloqueando intentos de acceso fraudulentos, ya sea realizado por un ciberdelincuente, por bots o scripts maliciosos. 

4. Verificación documental con análisis morfológico 

Examina la estructura y elementos de los documentos de identidad para detectar falsificaciones, alteraciones o documentos fraudulentos, reforzando la seguridad en procesos de registro y verificación. 

Advanced Injection Defense: tres capas de protección 

Muchas soluciones de verificación actuales no pueden detectar un deepfake en tiempo real o un flujo de vídeo manipulado. Por ello en Facephi, hemos creado Advanced Injection Defense, una solución antifraude de última generación donde se integran estas tecnologías antes mencionadas.  Esta solución está diseñada para detectar y bloquear ataques de inyección en tiempo real. Su arquitectura multicapa combina: 

• Verificación de origen y autenticidad: análisis de metadatos y marcas de agua digitales para confirmar que la captura proviene de un dispositivo autorizado. 

• Análisis forense de imágenes con IA: detección precisa de artefactos sintéticos, manipulaciones y patrones propios de deepfakes. 

• Ciberseguridad de canal y dispositivo: bloqueo de cámaras virtuales, neutralización de archivos pregrabados y protección frente a manipulaciones externas. 

Un enfoque proactivo contra el fraude digital 

Los ataques de inyección evolucionan rápidamente, aprovechando la IA generativa y el fraude como servicio para multiplicar su alcance. La detección temprana evita pérdidas económicas para la empresa, preserva la confianza del usuario, protege la reputación de la marca y asegura el cumplimiento normativo. 

Con Advanced Injection Defense, las organizaciones incorporan una defensa preventiva, escalable y certificada para anticiparse a las amenazas más sofisticadas del panorama actual. Contacta con nosotros y descubre cómo Advanced Injection Defense detiene un ataque de inyección en menos de 2 segundos.  

La cibercriminalidad ya no es obra de individuos aislados y técnicamente brillantes. Hoy, el crimen organizado opera como una industria global, donde los datos personales, las credenciales y las identidades digitales se convierten en activos que se roban, intercambian y explotan a escala masiva. 

El informe más reciente de Europol, IOCTA 2025: Steal, Deal and Repeat – How Cybercriminals Trade and Exploit Your Data, revela cómo ha evolucionado esta economía subterránea. La sofisticación y especialización de los actores implicados convierte cada brecha de seguridad en una oportunidad para el fraude, la extorsión o el blanqueo de capitales.  

¿Qué datos buscan los ciberdelincuentes? 

El primer eslabón de la cadena es el robo de información. Los actores criminales buscan principalmente: 

• Datos personales y credenciales de acceso: correos electrónicos, contraseñas, tokens de autenticación, documentos de identidad. 

• Datos financieros y empresariales: tarjetas, IBANs, cuentas bancarias, acceso a sistemas de gestión de datos como ERP o CRMs. 

• Acceso a sistemas remotos: como VPNs, escritorios virtuales, servidores cloud. 

• Perfiles en redes sociales y servicios online: tanto para suplantación como para construir ingeniería social. 

• Información expuesta públicamente: publicaciones, likes, imágenes… que pueden alimentar ataques dirigidos o phishing hiperpersonalizado. 

La finalidad puede variar: desde preparar un ataque de ransomware o crear identidades sintéticas para fraudes a largo plazo. 

¿Cómo obtienen los datos? 

Ingeniería social 

Los atacantes aprovechan técnicas como el phishing (vía email, SMS o sitios web falsos), el vishing (fraudes por llamada) o el uso de perfiles falsos para engañar a usuarios. 

Actualmente, con el uso de IA generativa y el auge de los deepfakes es posible conseguir identidades falsas más creíbles. Europol destaca cómo los LLMs (Large Language Model) y voces sintéticas ya se están empleando para crear estafas en múltiples idiomas, de forma automatizada.  

Vulnerabilidades técnicas 

Los delincuentes también explotan fallos de seguridad en infraestructuras expuestas. Algunos métodos incluyen: 

• Ataques a VPNs, firewalls o servidores web vulnerables. 

• Robo de cookies o tokens de sesión. 

• Reutilización de datos biométricos interceptados. 

• Suplantación de origen de dispositivos o cámaras (clave en ataques de inyección). 

¿Quiénes están detrás? 

El ecosistema delictivo actual es amplio y distribuido, no hay un único perfil de atacante. Entre los actores clave se encuentran los Initial Access Brokers (IABs), que venden accesos iniciales a sistemas ya comprometidos; los data brokers, especializados en comercializar grandes volúmenes de datos filtrados y perfiles completos; y los grupos APT (Amenazas Persistentes Avanzadas) o actores híbridos, que atacan infraestructuras críticas explotando vulnerabilidades tipo zero-day o comprometiendo la cadena de suministro. También existen delincuentes más especializados, como quienes cometen fraude romántico o sextorsión, que no comercializan los datos robados, sino que los utilizan directamente para manipular a sus víctimas a lo largo del tiempo. 

¿Dónde se comercializan los datos? 

Los datos robados no suelen permanecer en manos del atacante original, sino que se mueven rápidamente a través de distintos canales del cibercrimen. Se intercambian en mercados clandestinos alojados en la dark web, foros privados con acceso restringido, y aplicaciones de mensajería cifrada como Telegram o Discord. Dentro de estos entornos, ha emergido un modelo consolidado de Fraud as a Service (FaaS): redes criminales que ofrecen kits de ataque, soporte técnico, herramientas automatizadas y hasta garantías de calidad en los datos vendidos. Estas plataformas operan casi como marketplaces legítimos, con sistemas de reputación y atención al cliente, facilitando que cualquier actor, incluso sin conocimientos técnicos, pueda lanzar ataques complejos de forma rápida y masiva. 

Este modelo convierte el fraude en un negocio escalable, profesionalizado y global, dificultando su contención y multiplicando su impacto. 

Proteger la identidad requiere ir más allá del dato 

En el panorama actual, los datos ya no son el objetivo final del cibercrimen, sino el punto de partida para ataques más complejos, automatizados y difíciles de rastrear. Por eso, la protección no puede limitarse a reaccionar, debe anticiparse. En Facephi hemos desarrollado un ecosistema de soluciones tecnológicas que combinan biometría avanzada, inteligencia artificial y análisis de señales en tiempo real para blindar cada etapa del ciclo de vida del usuario, desde el onboarding hasta cada transacción. 

A esto se suma la necesidad de educar a usuarios y empleados en ciberseguridad, convirtiéndolos en la primera línea de defensa. 

👉Contacta con nuestro equipo de expertos y descubre cómo anticiparte a las amenazas con tecnología avanzada. 

SEPBLAC, Orden ETD/465/2021 y los requisitos del Anexo F.11 del CCN 

La vídeo identificación remota se ha convertido en una herramienta imprescindible para garantizar la seguridad en el mundo digital. En sectores como el financiero y los servicios electrónicos, esta tecnología combina comodidad y confianza, siendo fundamental para prevenir fraudes y asegurar el cumplimiento normativo. 

Por Ramón Villot, Legal & Compliance Director 

La transformación digital ha impulsado la necesidad de procesos de verificación remota que sean seguros y fiables, especialmente en sectores como el financiero y los servicios electrónicos de confianza. La vídeo identificación no debe confundirse con la videovigilancia o el control masivo de personas: es un procedimiento regulado, diseñado específicamente para validar identidades de forma segura y conforme a la ley. Gracias a un marco normativo sólido que regula su uso, con especial atención en la prevención del blanqueo de capitales y en el fraude de identidad, España se ha consolidado como referente en este ámbito. A continuación, te explicamos los requisitos legales y técnicos esenciales para asegurar el cumplimiento de la normativa vigente. 

SEPBLAC: el marco clave para la identificación remota en España 

El SEPBLAC (Servicio Ejecutivo de la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias) es la autoridad encargada de supervisar la prevención del blanqueo de capitales en España. 

Desde 2016, permite la identificación no presencial mediante videoconferencia para la apertura de cuentas y operaciones financieras, bajo condiciones estrictas: 

• Procedimientos seguros y autorizados. 

• Autenticidad y vigencia del documento de identidad. 

• Grabación íntegra de la videoconferencia con imágenes nítidas. 

• Revisión posterior de las evidencias por un operador cualificado. 

En 2017, el SEPBLAC amplió la normativa para incluir la vídeo identificación automatizada, siempre que se realice en tiempo real, en un único dispositivo y sin usar archivos pregrabados. 

Orden ETD/465/2021: más seguridad para certificados electrónicos 

La Orden ETD/465/2021 refuerza los controles en la expedición de certificados electrónicos cualificados mediante vídeo identificación. Sus principales garantías incluyen: 

• Unidad de acto: todo en un único flujo y dispositivo. 

• Proceso en tiempo real, sin grabaciones editadas. 

• Validación biométrica y prueba de vida obligatoria. 

• Revisión humana posterior del proceso grabado. 

El objetivo es claro: reforzar la fiabilidad y evitar fraudes en procesos críticos como la firma electrónica. 

Guía CCN-STIC-140: requisitos técnicos esenciales (Anexo F.11) 

El Anexo F.11 de la Guía CCN-STIC-140 del Centro Criptológico Nacional define los requisitos técnicos para herramientas de vídeo identificación, diferenciando dos modelos: 

• Asistido (síncrono): videollamada con participación activa de un operador. 

• Desasistido (asíncrono): revisión posterior en back-office. 

Entre las principales amenazas a prevenir destacan: 

• Suplantación de identidad (deepfakes, máscaras, maquillaje). 

• Ataques a la red o la infraestructura. 

• Accesos no autorizados o fraudes biométricos. 

Los Requisitos Fundamentales de Seguridad (RFS) incluyen: 

• Proceso en un único acto y dispositivo, en tiempo real. 

• Verificación biométrica facial y prueba de vida (PAD). 

• Auditoría completa del proceso y comunicaciones cifradas. 

• Protección de datos sensibles y administración confiable. 

En la validación documental, la normativa exige: 
 

• Detección de ataques de réplica o impresión. 

• Verificación de la integridad del documento (comparación VIZ/MRZ). 

• Alertas automáticas ante fallos o intentos de ataque. 

Evaluación biométrica y certificaciones: garantía de confianza 

Para ser realmente seguras, las soluciones de vídeo identificación deben superar pruebas frente a intentos de suplantación con imágenes, vídeos, máscaras o deepfakes. 

Entre las certificaciones clave se incluyen: 

• Common Criteria (EAL2) o certificación LINCE con Módulo de Evaluación Biométrica (MEB). 

• Motores biométricos evaluados por el NIST (National Institute of Standards and Technology), organismo de referencia mundial. 

Estas certificaciones garantizan el cumplimiento de los estándares más exigentes en materia de seguridad y protección de la identidad. 

Cumplimiento normativo: más allá de la tecnología 

Cumplir con la normativa española en vídeo identificación va mucho más allá de implementar una solución tecnológica. Es garantizar seguridad, privacidad y fiabilidad en todas las fases del proceso: desde la captura de evidencias hasta la validación biométrica y documental. 

En Facephi, trabajamos con un enfoque legal y técnico integral para que nuestras soluciones no solo cumplan con SEPBLAC, el CCN o el NIST, sino que ofrezcan una experiencia de usuario segura, transparente y de confianza. 

¿Está tu sistema de vídeo identificación preparado para cumplir con todos estos requisitos?  

Descubre cómo nuestras soluciones te ayudan a garantizar el cumplimiento normativo y a fortalecer la seguridad en tus procesos de verificación digital. 

Gartner ya alertó de un aumento del 200 % en los ataques de inyección solo en 2023, una tendencia que no ha dejado de crecer impulsada por la inteligencia artificial generativa, la ingeniería social y el fraude como servicio. Casos recientes confirman este auge: en 2024, un empleado transfirió un total de 25 millones de dólares desde la cuenta de su empresa a partir de una videollamada con altos directivos donde todos eran deepfakes menos él. Pocos meses después se expuso una base de datos con más de 184 millones de credenciales vinculadas a redes sociales, plataformas online e incluso instituciones gubernamentales. 

El impacto para empresas y entidades públicas va mucho más allá del daño económico: compromete la confianza del usuario, la reputación corporativa y el cumplimiento normativo. 

¿Qué son los ataques de inyección? 

En el ámbito de la verificación de identidad, un ataque de inyección consiste en el uso fraudulento de imágenes, vídeos o simulaciones digitales para suplantar identidades reales o crear identidades falsas altamente convincentes, con el objetivo de obtener acceso a una cuenta o información. A diferencia del clásico spoofing físico con máscaras o fotos impresas, los ataques de inyección utilizan canales digitales para introducir contenido manipulado directamente en el flujo de verificación. 

Los ciberdelincuentes emplean cámaras virtuales, archivos multimedia pregrabados o deepfakes generados por IA que se inyectan en el software sin necesidad de interacción física. De esta forma, intentan engañar al sistema de verificación simulando una presencia humana legítima. Los principales vectores de ataque incluyen: 

• Identity Swap: Sustitución del rostro en selfies o vídeos por el de otra persona, comprometiendo la autenticidad en procesos de onboarding o el acceso a cuentas. 

• Inyección documental:  suplantación de documentos de identidad para acceder a servicios de forma fraudulenta. 

¿Cómo protegerte ante estas amenazas con Facephi Advanced Injection Defense? 

Facephi Advanced Injection Defense es una solución antifraude de última generación diseñada para detectar y bloquear ataques de inyección en tiempo real. Esta funcionalidad premium, ya integrada en la Facephi Identity Platform, actúa de forma multicapa para ofrecer una protección avanzada frente a los ataques más sofisticados como: 

Ciberseguridad de canal y dispositivo 

Bloqueo de cámaras virtuales, detección y neutralización de archivos multimedia pregrabados, protección del canal de captura contra manipulaciones externas. 

Verificación de origen y autenticidad 

Análisis de metadatos y marcas de agua digitales para validar la procedencia genuina de la imagen o vídeo, asegurando que la captura proviene de un dispositivo autorizado. 

Análisis forense de imágenes avanzado con IA 

Modelos de deep learning detectan artefactos sintéticos, manipulaciones digitales y patrones propios de deepfakes. 

Beneficios clave de Advanced Injection Defense 

Facephi Advanced Injection Defense está diseñada específicamente para sectores con alta exposición al fraude digital, como: servicios financieros, salud, transporte, gaming online, administración pública, educación y logística. Entre sus beneficios clave destacan: 

Prevención proactiva del fraude 

Detecta y bloquea automáticamente intentos de inyección durante el proceso de autenticación. Así, impide accesos no autorizados incluso cuando ya se han comprometido credenciales o datos personales. 

Reducción de riesgos regulatorios y reputacionales 

Cumple con los estándares más exigentes en materia de verificación de identidad y reduce el riesgo de incidentes que afecten a la marca o deriven en sanciones. 

Experiencia de usuario sin fricción y más segura 

Garantiza que los procesos de verificación mantengan su velocidad y usabilidad, integrando la máxima seguridad sin impactar negativamente en la conversión o la satisfacción del usuario. 

Las amenazas evolucionan con rapidez y clave contar con soluciones tecnológicas que representen una defensa adaptable y escalable. Con Facephi Advanced Injection Defense, las organizaciones no solo refuerzan su seguridad: adoptan una visión preventiva frente al fraude digital, alineada con los estándares normativos globales y locales.  

La Comisión para el Mercado Financiero (CMF) de Chile ha aprobado la Norma de Carácter General Nº 538 (NCG 538), una regulación que entrará en vigor en julio de 2026 y que supondrá un cambio significativo en la manera en que las entidades financieras gestionan la autenticación de sus clientes en canales digitales. 

Esta normativa establece la obligatoriedad de implementar mecanismos de Autenticación Reforzada del Cliente (ARC), alineándose con estándares internacionales como la directiva PSD2 europea. El objetivo principal es reducir el riesgo de fraude digital y fortalecer la seguridad en operaciones electrónicas mediante la verificación más robusta de la identidad de los usuarios. 

¿Qué es la Autenticación Reforzada del Cliente? 

La autenticación reforzada o SCA (Strong Customer Authentication) es un procedimiento que exige el uso de al menos dos factores de autenticación independientes, provenientes de distintas categorías: algo que el usuario sabe (como una contraseña o un PIN), algo que tiene (como un dispositivo móvil o un token) y algo que es (como una característica biométrica). 

La normativa chilena reconoce explícitamente la biometría como un factor válido en la categoría de inherencia, incluyendo tecnologías de reconocimiento facial, huellas dactilares, voz y datos conductuales. 

Esta nueva exigencia busca elevar el nivel de protección en múltiples escenarios digitales, como el alta de clientes, la modificación de datos personales o dispositivos de confianza, la gestión de claves de acceso y la ejecución de transferencias electrónicas, entre otros. 

¿A quién aplica la norma NCG 538? 

La NCG 538 tiene carácter obligatorio para una amplia gama de entidades del sistema financiero chileno. Esto incluye bancos, sociedades de apoyo al giro, cooperativas de ahorro y crédito, y emisores de tarjetas de pago. Todas estas organizaciones deberán revisar y, en muchos casos, rediseñar sus sistemas de autenticación para adaptarse a los nuevos requisitos antes de julio de 2026. 

Además de implementar la autenticación multifactor, la norma exige una serie de requisitos técnicos y operativos. Entre ellos se encuentran la independencia entre los factores utilizados, la protección y cifrado de los datos relacionados con la autenticación, la capacidad de auditar todos los eventos y transacciones relacionados, y el monitoreo continuo para detectar patrones anómalos que puedan indicar posibles fraudes. 

Uno de los aspectos más relevantes de la norma es que establece que la responsabilidad por el funcionamiento de los mecanismos de autenticación, incluyendo los biométricos, recae directamente sobre el emisor. Esto implica que incluso si se contratan soluciones tecnológicas a terceros, la entidad financiera sigue siendo responsable ante la CMF por su eficacia y nivel de seguridad. 

La propuesta de Facephi ante la NCG 538 

Facephi ofrece soluciones de autenticación digital que ya cumplen con los requisitos de la NCG 538. Muchas entidades de la región como Cencosud Scotiabank (Chile), Banco Industrial (Centroamérica) ya están integrando las soluciones de verificación de identidad de Facephi procesos críticos como el onboarding, la gestión de credenciales y las transacciones electrónicas. 

Las soluciones de Facephi están diseñadas para garantizar la independencia de factores exigida por la normativa, y ha sido certificada internacionalmente por organismos como NIST e iBeta. Al tratarse de una solución tecnológica propia, se asegura el control completo del proceso de autenticación, sin depender de terceros. 

Con presencia técnica en Latinoamérica, Facephi también ofrece soporte local y acompañamiento en todas las etapas del proyecto, desde la integración hasta la operación en producción. 

Una oportunidad para fortalecer la seguridad digital 

Más allá del cumplimiento normativo, la entrada en vigor de la NCG 538 representa una oportunidad para mejorar la infraestructura de seguridad en las operaciones digitales. La evolución del fraude y la demanda de una mejor experiencia digital por parte de los usuarios impulsan la adopción de modelos de autenticación más avanzados. 

Prepararse con antelación permitirá a las entidades mitigar riesgos, optimizar procesos y posicionarse como referentes en confianza digital. Actuar a tiempo es clave para evitar posibles sanciones y asegurar una transición ordenada hacia el nuevo marco regulatorio. 

El diseño UX y la experiencia de usuario ya no son un “extra”, sino un factor estratégico esencial. En un contexto donde la tecnología avanza a gran velocidad y los usuarios son cada vez más exigentes, crear experiencias digitales centradas en las personas es clave para el éxito de cualquier producto digital. 

Por María Victoria Tomasek, UX UI Director 

Hoy el diseño UX no es solo la última fase del desarrollo o un detalle estético: es un pilar esencial para diferenciarse y garantizar la adopción y el engagement. Como profesional de UX en entornos ágiles y colaborativos, he visto de cerca cómo el diseño puede potenciar (o bloquear) el impacto de una solución. 

En este artículo comparto algunas de las tendencias más relevantes en UX y buenas prácticas que aplicamos en Facephi para que cada producto no solo funcione, sino tenga sentido y valor real para las personas que lo usan. 

Tendencias UX que están transformando la experiencia digital 

Inteligencia Artificial y diseño adaptativo 

La IA generativa ya forma parte del flujo de trabajo UX, desde la creación de contenidos o wireframes hasta la simulación de comportamientos de usuario. Pero su verdadero valor está en cómo permite personalizar experiencias, diseñar sistemas inteligentes y desarrollar interfaces más transparentes, éticas y responsables. 

Interfaces inmersivas y nuevos lenguajes de interacción 

La realidad aumentada, los asistentes de voz y los entornos mixtos están redefiniendo cómo interactuamos con los productos. El diseño UX ya no se limita a pantallas: se trata de crear experiencias tridimensionales, contextuales y multisensoriales, donde disciplinas como motion design, diseño espacial y contenido estratégico se vuelven fundamentales. 

Accesibilidad e inclusión como base del diseño 

La accesibilidad ha dejado de ser un añadido. Hoy es parte central de la propuesta de valor, tanto por responsabilidad ética como por necesidad legal y competitiva. Diseñar productos inclusivos desde el inicio mejora no solo el alcance, sino también la calidad general de la experiencia. 

UX integrado con agilidad real 

El diseño UX está cada vez más integrado en equipos ágiles, con ciclos iterativos cortos, decisiones basadas en datos y validaciones continuas. Las herramientas evolucionan, pero el principio se mantiene: entender necesidades reales, co-crear con los equipos y validar con usuarios desde las etapas más tempranas. 

Buenas prácticas para diseñar productos que conectan 

Investigación con propósito 

La investigación con usuarios no es un paso aislado, sino una mentalidad. Conocer objetivos, puntos de dolor y contextos de uso permite detectar oportunidades reales. Técnicas como entrevistas semiestructuradas, recorridos de usuario o análisis de métricas permiten fundamentar las decisiones con evidencia. 

Prototipado y validación continua 

El testeo no espera al producto final. Hoy se trabaja con prototipos navegables, flujos específicos y sesiones de validación temprana que permiten iterar rápidamente. Herramientas como Figma, Maze o Lookback son aliadas clave para optimizar este proceso. 

Diseño funcional, estético y coherente 

Una interfaz debe ser intuitiva, visualmente consistente y fiel a la identidad del producto. Para lograrlo, los sistemas de diseño son esenciales. En Facephi contamos con un sistema propio que actúa como núcleo de todos nuestros productos digitales, permitiéndonos escalar con solidez, coherencia y eficiencia. 

Diseño ético y responsable 

Diseñar experiencias también implica decidir sobre el comportamiento de las personas. UX tiene un rol clave en detectar sesgos, evitar patrones oscuros (dark patterns) y fomentar decisiones informadas. La ética debe ser parte del diseño desde el inicio, especialmente al trabajar con IA o datos personales. 

UX, identidad digital y confianza: una mirada desde Facephi 

En Facephi somos expertos en identidad digital. A través de nuestras soluciones de verificación y protección de identidad basadas en biometría, integramos seguridad, prevención del fraude y cumplimiento normativo (KYC/AML) en un ecosistema inteligente y confiable. 

Desde el área de UX, acompañamos estos procesos con un objetivo claro: mejorar la experiencia de cada usuario, sin perder de vista lo más importante: la confianza y la percepción de seguridad. Diseñamos pensando en personas reales que validan su identidad en momentos clave: abrir una cuenta bancaria, firmar un contrato o proteger su información personal. 

La identidad digital es el eje. Nuestro reto es lograr que esa experiencia sea simple, clara, accesible y segura. 

Experiencia como ventaja competitiva 

El diseño UX ya no se limita a la estética o la navegación. Es una disciplina estratégica que conecta tecnología, personas y propósito. Es lo que puede marcar la diferencia entre una experiencia confiable o una frustrante, entre un usuario que vuelve o uno que abandona. 

En Facephi trabajamos junto a nuestros clientes para crear experiencias que respetan la identidad de las personas, se adaptan a normativas locales y globales, y fortalecen la seguridad desde el diseño. UX también tiene un rol determinante en la prevención del fraude, la reducción de errores y la mejora de la confianza en entornos digitales. 

Gracias al equipo que lo hace posible 

Detrás de cada decisión de diseño, de cada mejora en la experiencia y de cada validación con usuarios, hay un equipo de personas comprometidas que creen en lo que hacen. Este camino de crear experiencias digitales más humanas, accesibles y seguras solo es posible gracias al talento, la sensibilidad y la entrega diaria de quienes diseñan pensando en las personas. 

Descubre cómo en Facephi diseñamos experiencias centradas en las personas que impulsan la confianza, la inclusión y la seguridad digital en todo el mundo. 

El cumplimiento normativo es uno de los mayores retos para las instituciones financieras que operan en un entorno globalizado. A la creciente presión regulatoria se suma la transformación digital, el auge del ciberfraude y la necesidad de proteger la reputación institucional. Para responder a este escenario, las organizaciones necesitan soluciones tecnológicas avanzadas, seguras y adaptables a múltiples jurisdicciones. 

Principales retos del sector financiero ante el cumplimiento regulatorio 

Las entidades financieras, especialmente las que operan en varios países, requieren soluciones tecnológicas sólidas y flexibles para enfrentarse a desafíos cada vez más complejos como: 

1. Aumento de los ciberataques: 
   La digitalización de los servicios financieros como escenario y el uso de IA generativa como herramienta han incrementado los delitos digitales. El coste medio de una violación de datos en el sector financiero supera los 5,7 millones de dólares. 
2. Protección de datos personales: 
   Las instituciones financieras manejan un alto volumen de datos personales y protegerlos es crucial. En incumplimiento de las leyes de protección de datos además de riesgos reputaciones implican sanciones que pueden alcanzar los 20 millones de euros. 
3. Prevención del lavado de dinero: 
   Implementar controles efectivos en AML y KYC sigue siendo uno de los principales retos de las instituciones financieras.  
4. Gestión multijurisdiccional: 
   Operar en diferentes países implica cumplir con marcos regulatorios fragmentados y, a menudo, diferentes entre sí. Esto requiere soluciones tecnológicas que permitan adaptar políticas y procesos según la legislación local, sin perder eficiencia operativa.

Cumplimiento normativo internacional con Facephi 

Facephi ofrece una solución modular, escalable y configurable que permite a las entidades financieras cumplir con las normativas locales sin sacrificar la eficiencia operativa. La plataforma se adapta a diferentes regiones y marcos legales desde una única integración. 

Europa: Cumplimiento con el GDPR y EU AI Act 

En Europa, tanto el Reglamento General de Protección de Datos (GDPR), como la Ley de Inteligencia Artificial, exigen prácticas rigurosas en el tratamiento de datos personales y en el desarrollo de las herramientas de IA: En cuanto al tratamiento de datos personales, se exige transparencia, consentimiento explícito, minimización de datos y derecho al olvido. Por su parte, la EU AI Act requiere autoevaluación, explicabilidad y minimización de riesgos en el uso de IA. 

Facephi facilita este cumplimiento mediante: 

• Cifrado avanzado AES-256  
• Auditorías completas y trazabilidad para demostrar conformidad con el reglamento. 
• IA explicable y auditable ante reguladores y usuarios 

LATAM: Adaptación a múltiples legislaciones nacionales 

Facephi permite configurar políticas específicas por país (LGPD, Ley 1581, LFPDPPP…) y gestionar el cumplimiento desde una sola plataforma. 

• Gestión centralizada y local 
• Protección transfronteriza con cifrado extremo a extremo 
• Soporte técnico y formación localizados 

EMEA y APAC: Respuesta a marcos normativos en evolución 

En regiones como Oriente Medio, África y Asia-Pacífico, donde las regulaciones están en constante cambio, Facephi ofrece: 

• Configuraciones dinámicas por jurisdicción 
• Ajuste a marcos sectoriales o nacionales 
• Soporte local para una adopción rápida y efectiva

Beneficios clave para las instituciones financieras 

Tanto Facephi Identity Platform  como IDV Suite permiten a las entidades financieras operar con una plataforma única y modular que se ajusta automáticamente a los requisitos regulatorios de cada región, ideal para instituciones con presencia en varios países  

Entre los beneficios clave para las empresas se encuentran: 

• Cumplimiento avanzado y adaptable: Modelo único configurable para cumplir normativas locales de forma simultánea. 
• Reducción del riesgo legal: Procesamiento local y trazabilidad para anticiparse a sanciones y demostrar conformidad. 
• Escalabilidad internacional: Soluciones tecnológicas que impulsan la expansión global y reducen costes operativos. 
• Confianza y reputación global: Cumplimiento transparente y ético que fortalece la imagen institucional y la relación con los clientes. 

Convertir el cumplimiento normativo en una ventaja competitiva 

Facephi no solo ayuda a cumplir la ley, sino que transforma el cumplimiento normativo en un valor diferencial. Con una solución escalable, segura y preparada para los retos globales, nuestras tecnologías biométricas, certificadas por organismos como iBeta, ISO y el NIST, destacan por su alta fiabilidad y capacidad de detección frente a intentos de suplantación. 

En el mundo del delito digital, ya no hace falta ser un hacker experto para cometer fraude. Basta con tener intenciones y presupuesto. Hoy, existe un mercado en la dark web que vende herramientas, bots, identidades falsas e incluso asesoramiento personalizado para ejecutar ataques. Es lo que se conoce como Fraude como Servicio o FaaS (Fraud as a Service): un modelo en el que el fraude se alquila, se terceriza y se convierte en una amenaza masiva, escalable y profesionalizada.  

Y sí, el fraude ahora funciona como una empresa: con “soporte técnico”, paquetes escalables y servicio 24/7.  

¿Qué es el Fraude como Servicio (FaaS)? 

FaaS es la oferta de herramientas, servicios o plataformas completas que permiten a cualquier persona (sin conocimientos técnicos) ejecutar fraudes digitales. Esto incluye desde bots que crean cuentas falsas, hasta deepfakes listos para sortear sistemas de verificación de identidad. 

Los “proveedores” de FaaS ofrecen:  

• Kits de phishing personalizables.  

• Acceso a miles de credenciales robadas.  

• Simuladores de comportamiento humano.  

• Deepfakes faciales y de voz.  

• Generadores de identidades sintéticas.  

• Asistencia en tiempo real para evadir medidas antifraude.  

El problema es claro: el fraude ya no es artesanal, ahora es escalable, automatizado y disponible para cualquiera, especialmente a través de servicios que se adquieren en la dark web y se pagan comúnmente con criptomonedas.  

¿Por qué FaaS es una amenaza tan seria?  

Su impacto es especialmente crítico en sectores como el financiero y las fintech, donde la integridad de la identidad digital es clave para prevenir pérdidas económicas y proteger a los usuarios. Esto se debe a que el fraude como servicio ha hecho accesible la ejecución de estafas complejas a un público mucho más amplio. El FaaS ha democratizado el fraude. Ahora, cualquier persona puede alquilar estos servicios en la dark web y atacar tanto a organizaciones financieras como a plataformas tecnológicas y sistemas públicos. 

Esto tiene consecuencias directas:  

• Incremento exponencial de ataques simultáneos y coordinados.  

• Más dificultad para distinguir entre usuarios reales y maliciosos.  

• Mayor sofisticación en el uso de identidades falsas y cuentas mula.  

• Escalada de fraudes como el Account Takeover o la apertura de nuevas cuentas (NAF).  

Y lo peor: muchas soluciones antifraude tradicionales no están preparadas para detectar señales complejas, contextuales o conductuales. El FaaS es más rápido, más barato y más difícil de rastrear.  

¿Cómo frenar el Fraude como Servicio?  

La respuesta está en tecnología que no solo detecte el fraude cuando ocurre, sino que lo anticipe antes de que se materialice. En Facephi, llevamos más de una década trabajando con tecnologías pensadas para proteger cada punto del ciclo de vida del usuario.  

La clave está en tres pilares:  

1. Identidad digital verificada desde el inicio 

Con soluciones como Facephi Onboarding y Facephi Authentication, aseguramos que quien accede a una plataforma sea un usuario legítimo.  

Esto incluye:  

• Verificación documental con OCR y chip NFC.  

• Biometría facial, de voz o huella.  

• Liveness detection pasivo (prueba de vida sin fricción).  

• Cumplimiento con KYC, AML, GDPR.  

Esto evita que cuentas falsas o sintéticas puedan crearse o activarse fácilmente.   

2. Autenticación fuerte, continua y adaptativa  

Nuestras soluciones combinan la Autenticación Multifactor (MFA), que refuerza el acceso con múltiples factores (biometría, dispositivos confiables, etc.), con autenticación continua basada en análisis conductual y contextual. Esto permite evaluar el riesgo en tiempo real y adaptar las medidas de seguridad según el contexto de cada sesión o transacción, siguiendo el modelo de Zero Trust. 

Incluye: 

• Multibiometría. 

• Dispositivos confiables. 

• Análisis de contexto (dispositivo, IP, red, comportamiento, etc.). 

• Códigos OTP, verificación de número de móvil y notificaciones push. 

Todo ello sin afectar la experiencia del usuario legítimo, logrando un equilibrio óptimo entre seguridad y usabilidad. 

3. Monitorización y detección avanzada con IA  

Donde Facephi da un paso más es en la detección proactiva del fraude en tiempo real, con soluciones diseñadas para entornos de alta sofisticación, como:  

Behavioural Biometrics  

La biometría del comportamiento permite detectar fraudes que se ocultan tras accesos aparentemente legítimos, analizando más de 3.000 señales, como el ritmo de escritura, trayectorias del ratón, gestos móviles, hábitos de navegación o variables contextuales, para crear un perfil conductual único o “ciber-ADN”.  

Esto permite detectar:  

• Fraudes de toma de control de cuentas (Account Takeover, ATO)  

• Fraudes en apertura de nuevas cuentas (New Account Fraud, NAF).  

• Bots avanzados o automatismos maliciosos. 

• Anomalías en sesiones legítimas o deepfakes.  

Todo funciona de forma invisible para el usuario, con validación continua y sin fricción. La IA se ajusta en tiempo real, aprende de cada sesión y mejora su capacidad predictiva con cada interacción. Y siempre bajo estrictos estándares de privacidad y seguridad, garantizando que los datos se procesan de forma anónima y sin comprometer la identidad del usuario. 

Detección de Cuentas Mula  

Las cuentas mula son clave en esquemas de fraude financiero y blanqueo de capitales. Pueden ser operadas por usuarios engañados, cómplices o creadas con identidades falsas. Muchas veces pasan inadvertidas hasta que ya es tarde.  

Nuestra solución de detección proactiva de cuentas mula identifica estas cuentas antes de que el fraude ocurra, gracias a:  

• Análisis de señales pre-fraude desde el alta de la cuenta. 

• Clasificación dinámica en tiempo real de roles (víctima, cómplice, sintética). 

• Rastreo de dispositivos conectados a múltiples cuentas sospechosas. 

• Consorcios de inteligencia colaborativa entre entidades, sin comprometer la privacidad. 

• Scoring de riesgo adaptativo en función del comportamiento de la cuenta. 

Esta tecnología no solo identifica cuentas individuales, sino que descubre patrones entre redes organizadas de fraude y activa defensas en todos los puntos del ciclo transaccional.  tos del ciclo transaccional.  

Anticiparse es la mayor defensa  

El FaaS ha cambiado las reglas del juego. No basta con reaccionar, hay que anticiparse al fraude. En Facephi, hemos diseñado un ecosistema de soluciones que combina biometría avanzada, IA y análisis contextual y de señales en tiempo real, para proteger a las organizaciones desde el onboarding hasta la última transacción. Porque en un mundo donde el fraude se alquila por horas, la confianza no puede ser una promesa: tiene que ser una arquitectura.  

¿Quieres saber cómo proteger tu organización frente al nuevo fraude como servicio?  

Contacta con nosotros y descubre cómo anticiparte a las amenazas con tecnología avanzada. 

La generación de imágenes sintéticas ha irrumpido con fuerza en distintos sectores, incluida la verificación biométrica. Su potencial para mejorar modelos de reconocimiento convive con riesgos emergentes como los ataques de suplantación y los deepfakes. La clave está en cómo equilibrar innovación, seguridad y ética. 

Por Ángela Sánchez Pérez, R&D AI Researcher 

Los datos sintéticos están ganando terreno en diversos ámbitos de nuestra sociedad, como la salud, las finanzas y la educación, donde ya se utilizan para entrenar modelos, optimizar procesos o reforzar la seguridad. En paralelo, es cada vez más común el uso de herramientas capaces de generar imágenes a partir de otras imágenes o de instrucciones de texto (prompts). Un ejemplo representativo es el uso de modelos como ChatGPT, que pueden crear imágenes sintéticas con características específicas, como cambios de estilo o composiciones completamente nuevas. 

No obstante, estas herramientas también implican ciertos riesgos, entre ellos, la posibilidad de facilitar ataques contra sistemas de verificación de identidad durante procesos de onboarding digital. 

Datos sintéticos en reconocimiento facial: ¿calidad o coherencia? 

Aunque la generación de datos sintéticos de buena calidad está al alcance de muchos, su utilidad depende del contexto. En reconocimiento facial, es fundamental que los individuos sintéticos dispongan de un número suficiente de imágenes que reflejen la variabilidad propia de las imágenes reales: variaciones en pose, iluminación, expresiones faciales u oclusiones, entre otros factores. 

Además, es crucial que las imágenes mantengan coherentemente la identidad del sujeto, sin mezclar características de diferentes personas. En este sentido, la consistencia de la identidad se convierte en una prioridad incluso por encima de la calidad visual. 

Preservar la identidad: un reto crítico en biometría sintética 

Este último aspecto, conocido como preservación de identidad, representa uno de los principales retos en la generación de datos sintéticos aplicados a biometría. Si las imágenes no conservan fielmente los rasgos distintivos de una persona, o si combinan involuntariamente características de distintos individuos, su utilidad para entrenar o evaluar sistemas de reconocimiento facial se ve comprometida. 

Por ello, la generación controlada de identidades sintéticas continúa siendo un área central de investigación. 

Entrenamiento más ético y robusto con datos sintéticos 

La generación sintética de datos también puede aportar grandes beneficios en la fase de entrenamiento de modelos, especialmente como complemento a datos reales. En este contexto, los datos sintéticos pueden ayudar a reducir tanto el error como el sesgo presentes en los conjuntos de entrenamiento, al incorporar mayor diversidad de condiciones y ofrecer una representación más equilibrada. 

Además, disminuyen la dependencia de datos reales, que en reconocimiento facial suelen ser sensibles. Minimizar la necesidad de recopilar y procesar información personal no solo refuerza la privacidad de los individuos, sino que también facilita el cumplimiento de normativas éticas y legales relacionadas con la protección de datos. 

Deepfakes y ataques de suplantación: amenazas en crecimiento 

El acceso cada vez más extendido a herramientas de generación de datos sintéticos plantea desafíos significativos para la seguridad biométrica. Los sistemas de reconocimiento facial se enfrentan a un riesgo creciente de vulnerabilidad ante técnicas como los deepfakes y otros métodos de suplantación visual. Estas tecnologías permiten crear de imágenes o vídeos altamente realistas capaces de engañar a los mecanismos de autenticación, comprometiendo la integridad del proceso de verificación de identidad. 

Reforzando la seguridad frente a identidades generadas artificialmente 

Ante estas amenazas emergentes, tanto el ámbito académico como el sector privado están intensificando sus esfuerzos en el desarrollo de sistemas avanzados de seguridad biométrica. El objetivo es reforzar la detección y mitigación de intentos de suplantación mediante contenidos generados artificialmente, garantizando la protección de los usuarios y la fiabilidad de los procesos de verificación. 

Implicaciones sociales y éticas de las identidades sintéticas 

Más allá de los aspectos técnicos, la proliferación de imágenes sintéticas plantea desafíos sociales y éticos relevantes. La capacidad de manipular o crear identidades con alto grado de realismo abre la puerta a nuevas formas de desinformación, fraude digital y suplantación de identidad. 

Este fenómeno pone en riesgo la confianza en las evidencias visuales, en contextos legales y cotidianos, y plantea interrogantes sobre la responsabilidad en la creación y difusión de este tipo de contenidos. 

Ante este escenario, en Facephi trabajamos para desarrollar tecnologías que no solo garanticen la eficacia técnica, sino también el respeto por la privacidad, la integridad y la protección de la identidad digital. Con un enfoque basado en la innovación responsable, contribuimos a construir un entorno digital más seguro y confiable para todos. 

Conoce cómo nuestras soluciones están impulsando una gestión ética y segura de la identidad digital, adaptada a los desafíos de un mundo cada vez más digitalizado. 

La biometría de comportamiento es una de las herramientas de los métodos de autenticación continua, y se está consolidando como una pieza clave en la lucha contra el fraude digital. A diferencia de otras tecnologías biométricas más conocidas, como el reconocimiento facial o la verificación por voz, que se basan en lo que un usuario es, la biometría de comportamiento analiza lo que un usuario hace. Es decir, cómo escribe, cómo se mueve por una web o cómo interactúa con un dispositivo. 

Estos patrones de comportamiento, únicos e invisibles, forman una firma digital que es muy difícil de imitar, incluso para los atacantes más sofisticados. Por ejemplo, mientras una persona legítima suele escribir su contraseña pulsando tecla por tecla, un estafador probablemente la copiará y pegará. Esta diferencia, junto a miles de señales más, permite detectar anomalías en tiempo real sin afectar la experiencia del usuario. 

En este blog, te contamos cómo funciona esta tecnología, qué amenazas combate, cómo puede transformar la seguridad en sectores clave como la banca, las fintech o los seguros y cómo Facephi la aplica a través de su solución Behavioural Biometrics, diseñada para ofrecer una protección antifraude avanzada, proactiva y sin fricciones. 

¿Cómo funciona la biometría de comportamiento? 

Esta tecnología se basa en estudiar los patrones digitales que cada persona genera al interactuar con un dispositivo. Así, es posible evaluar el riesgo de forma continua a lo largo de toda la sesión del usuario, desde el inicio hasta el cierre. 

En el caso de Facephi Behavioural Biometrics, la solución recopila y analiza más de 3.000 señales distintas utilizando inteligencia artificial y machine learning. Gracias a este análisis profundo, el sistema genera un perfil conductual único para cada usuario, que permite identificar cualquier desviación respecto a su comportamiento habitual. 

¿Qué tipo de señales analiza? 

Para crear este perfil conductual único, Facephi Behavioural Biometrics evalúa señales como: 

• Typing biometrics: velocidad, ritmo y patrones de escritura. 

• Mouse biometrics: trayectoria, clics y desplazamientos del ratón. 

• Mobile biometrics: movimientos del dispositivo, presión en pantalla, gestos. 

Estas señales permiten identificar desviaciones respecto al comportamiento habitual del usuario, lo que ayuda a detectar intentos de fraude en tiempo real. 

Pero la tecnología va más allá. También tiene en cuenta el contexto técnico y ambiental de cada interacción para obtener un análisis más preciso. Este enfoque contextual incluye: 

• Datos del dispositivo y de la red: sistema operativo, tipo de conexión, proxies, VPNs… 

• Geolocalización IP y GPS, SIM, accesibilidad y más. 

• Indicadores de malware: firmas, tráfico sospechoso, permisos anómalos… 

Todo este análisis se traduce en un scoring de riesgo dinámico y continuo, capaz, por ejemplo, de detectar un intento de acceso desde un dispositivo desconocido que copia y pega credenciales, disparando una alerta y bloqueando la sesión antes de que se complete. que se ajusta en tiempo real sin generar fricción para el usuario legítimo. 

Amenazas clave que resuelve la biometría de comportamiento 

Protección contra Account Takeover (ATO) 

Uno de los mayores retos actuales en ciberseguridad es el Account Takeover (ATO), o apropiación de cuentas. Se produce cuando un atacante consigue acceso a las credenciales de un usuario legítimo y entra en su cuenta. 

Aquí es donde la biometría de comportamiento marca la diferencia. Al monitorear cada sesión en tiempo real y combinar datos actuales e históricos, la solución puede detectar comportamientos sospechosos al instante. Además, adapta las defensas sin generar fricción para el usuario, manteniendo una experiencia fluida. 

Detección de fraude en Apertura de Nueva Cuenta (NAF) 

Otra amenaza creciente es el fraude de cuentas nuevas (NAF). En este caso, los estafadores crean cuentas falsas, a menudo con identidades robadas o sintéticas, para cometer delitos financieros, estafas o blanqueo de capitales. Muchas veces el atacante supera los controles iniciales y consigue operar como si fuera un usuario legítimo. 

Gracias al análisis conductual, Facephi Behavioural Biometrics es capaz de: 

• Detectar comportamientos sospechosos y patrones de fraude en tiempo real.  

• Evitar intentos de toma de control desde el inicio.   

• Generar un scoring preciso para identificar cuentas fraudulentas.  

• Distinguir entre usuarios legítimos y posibles atacantes.  

Todo ello se traduce en un sistema que protege desde el inicio y reduce drásticamente el riesgo de que cuentas fraudulentas pasen los filtros de seguridad. 

Ventajas de integrar la biometría de comportamiento en tus soluciones antifraude 

Incorporar esta tecnología en tu ecosistema de ciberseguridad no solo mejora la protección, sino que también optimiza recursos y eleva la experiencia del usuario. Entre sus principales beneficios destacan: 

• Automatización inteligente del análisis de riesgo con IA adaptativa. 

• Protección proactiva y sin fricción frente al crimen financiero. 

• Reducción de costes operativos, al eliminar tareas manuales innecesarias. 

• Protección de los usuarios legítimos, evitando accesos fraudulentos. 

En un mundo donde la identidad digital se está convirtiendo en el nuevo perímetro de seguridad, proteger a tus usuarios sin obstaculizar su experiencia es más importante que nunca. Los métodos tradicionales ya no son suficientes, la biometría de comportamiento representa un cambio de paradigma. Permite detectar el fraude antes de que ocurra, sin afectar la fluidez de la experiencia del usuario. Solicita una demo de nuestra solución de biometría de comportamiento y descubre cómo prevenir fraudes antes de que ocurran. 

El fraude por suplantación de identidad ha evolucionado. Ya no basta con una voz falsa o un documento manipulado: ahora, la amenaza tiene rostro, mirada y expresión humana. La IA generativa ha impulsado una nueva generación de vídeos sintéticos hiperrealistas que desafían los sistemas tradicionales de verificación, haciendo que lo falso parezca real y convincente. 

El auge de los vídeos sintéticos y su impacto directo en la suplantación de identidad 

Hasta hace poco, crear un vídeo creíble de una persona falsa requería experiencia técnica, tiempo y recursos. Hoy, herramientas accesibles como Veo 3 de Google, Sora de OpenAI o Synthesia permiten generar vídeos hiperrealistas a partir de simples descripciones en texto. Esto ha abierto la puerta a una nueva forma de fraude: la suplantación de identidad mediante deepfakes. 

Imagina recibir un vídeo donde un directivo, un familiar o un cliente pide, aparentemente en directo, una acción urgente. Este escenario ya no es ficción, sino una realidad cada vez más común que pone en jaque la confianza digital. 

La amenaza real del fraude digital con vídeos creados por IA generativa 

Los vídeos creados con IA generativa ya no son simples curiosidades virales. Su uso en el fraude por suplantación de identidad es una realidad presente y en rápida expansión: 

• Suplantan visualmente a personas reales, como directivos, empleados, clientes o familiares. 

• Engañan sistemas de verificación de identidad basados en vídeo, onboarding remoto o autenticación biométrica. 

• Se utilizan en ataques de ingeniería social avanzada para provocar transferencias financieras o cambios en accesos internos. 

Combinados con datos personales filtrados, estos vídeos pueden generar mensajes hiperpersonalizados que convencen a la víctima de que está hablando con alguien de confianza. La línea entre lo real y lo falso se difumina cada vez más. 

¿Por qué es tan difícil detectarlos? 

El realismo de estos vídeos crece a un ritmo acelerado, superando muchas técnicas de detección: 

• Incorporan movimientos oculares, expresiones emocionales y voces sincronizadas. 

• Pueden usarse en videollamadas en tiempo real mediante plataformas de spoofing. 

• Son accesibles para cualquier persona, incluso sin conocimientos técnicos avanzados. 

Este nivel de sofisticación exige soluciones avanzadas para mantener la seguridad. 

Cómo Facephi frena el fraude con vídeos sintéticos 

Aunque estos deepfakes engañan a nuestros sentidos, existen señales invisibles que permiten identificarlos si se cuenta con la tecnología adecuada. Por ejemplo, imagina que un empleado recibe una videollamada urgente de un supuesto directivo solicitando una transferencia inmediata. Aunque el vídeo parece auténtico, las soluciones de Facephi detectan anomalías invisibles a simple vista y bloquean la operación antes de que ocurra el fraude. 

En Facephi hemos desarrollado una estrategia de detección que combina múltiples capas para ir más allá de la imagen: 

• Prueba de vida pasiva: detecta si hay una persona real interactuando en el momento, utilizando tecnología que analiza señales como la iluminación natural del rostro o microexpresiones para confirmar que no se trata de un vídeo grabado, sin necesidad de acciones explícitas. 

• Reconocimiento facial biométrico: analiza rasgos faciales únicos difíciles de replicar en vídeos sintéticos. 

• Verificación documental con análisis morfológico: valida no solo el contenido, sino la estructura física de documentos que acompañan el vídeo. 

• Detección de contenido sintético: aplica algoritmos entrenados para identificar rostros artificiales, artefactos y alteraciones temporales. 

• Biometría del comportamiento: incluso si el vídeo parece auténtico, los patrones de interacción con el dispositivo, como la forma de teclear, mover el cursor o manipular el teléfono, permiten detectar si se trata de un usuario legítimo una suplantación. 

• Seguridad del canal de comunicación: protege el canal desde el origen para evitar manipulaciones remotas o en tiempo real. 

Este enfoque integral permite identificar intentos de suplantación visualmente indetectables y activar medidas preventivas antes de que se materialice el fraude. 

La verificación digital en la era del vídeo sintético 

La suplantación de identidad a través de vídeos creados con inteligencia artificial generativa ya no es un escenario teórico ni una amenaza futura. Estas técnicas están al alcance de cualquier actor malintencionado con acceso a herramientas abiertas, capaces de generar vídeos creíbles en cuestión de minutos. 

Por eso, las soluciones tradicionales ya no son suficientes. Hoy, la verificación de identidad exige una arquitectura antifraude sólida que integre detección en tiempo real, análisis morfológico, comportamiento digital y protección activa del canal. 

En Facephi entendemos que la autenticidad no puede depender únicamente de lo que se ve. Nuestras soluciones analizan señales invisibles y patrones complejos que solo puede generar un ser humano legítimo. 

Mientras muchas soluciones se enfocan exclusivamente en el análisis visual del vídeo, en Facephi adoptamos un enfoque holístico que combina detección biométrica, señales de comportamiento y seguridad del canal. Esta diferenciación tecnológica permite a nuestras soluciones detectar amenazas que otros sistemas pasan por alto, proporcionando una defensa más sólida y efectiva frente a los deepfakes y al fraude de identidad sintética. 

Protegiendo la identidad digital más allá de la apariencia 

Herramientas como Sora, Veo o Synthesia están cambiando radicalmente la forma en que se produce contenido digital. Pero con ese avance llega también una nueva responsabilidad en la protección de la identidad digital. 

En Facephi, estamos comprometidos con garantizar que cada persona pueda verificar su identidad en un entorno seguro, incluso frente a las amenazas más sofisticadas creadas con IA generativa. 

Seguimos innovando para que la identidad de tus clientes esté protegida más allá de la apariencia, con tecnología capaz de detectar señales invisibles incluso cuando el vídeo parece auténtico. 

¿Quieres proteger tu organización de las amenazas del synthetic media? 

Solicita una demo personalizada o explora nuestros casos de uso y descubre cómo podemos ayudarte a reforzar tu estrategia de verificación de identidad digital. 

Construir una Infraestructura Digital Pública segura, interoperable y resiliente exige repensar la identidad digital, incorporando tecnologías clave como la biometría y la inteligencia artificial, como un componente estratégico para el desarrollo económico y la confianza digital.

Por Miguel Santos LUPARELLI MATHIEU, Product Innovation Director 

La identidad digital es mucho más que un mecanismo de autenticación. Es el puente esencial entre el mundo físico y el entorno digital, y se ha convertido en un pilar estructural para habilitar economías más conectadas, eficientes y seguras. De acuerdo con el Grupo Banco Mundial, junto con los pagos digitales y la gestión de datos compartidos, la identidad digital constituye uno de los tres bloques fundacionales de una Infraestructura Digital Pública (IDP, por sus siglas en inglés) que permita a los países acelerar su transformación digital de manera soberana y sostenible.

Una IDP moderna necesita soluciones de Verificación Digital de Identidad (IDV) robustas, basadas en tecnologías como la biometría, que garanticen niveles de seguridad elevados y, al mismo tiempo, preserven la privacidad de los ciudadanos. Este ecosistema debe estar sustentado asimismo en una Infraestructura de Clave Pública (PKI) resiliente.

Soberanía tecnológica, eficiencia, ciberseguridad e interoperabilidad

La adopción de componentes digitales seguros, de calidad y con capacidad de interoperar entre jurisdicciones no solo impulsa la eficiencia de las transacciones digitales, sino que también fortalece la soberanía tecnológica de los países. La Comisión Europea, por ejemplo, con su programa marco DIGITAL 2025-2027, promueve un enfoque basado en la colaboración público-privada, para mejorar la ciberseguridad, la inteligencia artificial, y las capacidades digitales.

Este tipo de infraestructura (IDP) no solo permite anticipar amenazas y mejorar la capacidad de respuesta ante ciberataques o interrupciones, sino que facilita la recuperación ágil de los servicios críticos y la continuidad operativa del ecosistema digital.

Marcos de confianza: colaboración global para la adopción de la identidad digital

La Infraestructura Digital Pública se construye sobre múltiples marcos de confianza —públicos y privados— que permiten la interoperabilidad entre países y regiones. Algunos ejemplos clave incluyen:

• Europa: Marco Europeo de Identidad Digital

• Canadá: DIACC (Digital Identity and Authentication Council of Canada)

• Estados Unidos: AAMVA mDL / VICAL

• Reino Unido: DIATF (Digital Identity and Attributes Trust Framework)

• Australia: Austroads Digital Trust Service

• Singapur: Singpass

También en el sector privado surgen iniciativas como la de la Asociación Internacional de Transporte Aéreo (IATA) que explora el uso de identidades digitales para agilizar procesos aeroportuarios mediante experiencias de autenticación sin contacto (“Seamless and Contactless Travel”).

Todos estos marcos comparten una visión común: permitir la presentación selectiva de atributos de identidad —lo que implica una minimización de datos— y fomentar la descentralización del almacenamiento, dando al usuario el control total de su información personal.

Datos compartidos para reforzar la seguridad colectiva

La Infraestructura Digital Pública (IDP) también contempla el intercambio de datos transaccionales anonimizados entre entidades del ecosistema financiero y tecnológico. Este enfoque permite detectar comportamientos atípicos, prevenir fraudes y reforzar la seguridad sistémica mediante:

• Análisis de señales y eventos

• Detección de intencionalidad

• Modelos predictivos de inteligencia artificial

Estos mecanismos son claves para identificar casos como el lavado de dinero, el uso de cuentas mulas o intentos de suplantación de identidad, facilitando una respuesta colaborativa, anticipativa y automatizada ante los riesgos.

Credenciales verificables y autenticación resistente al fraude

Las Credenciales Verificables (VCs) son documentos digitales que permiten probar de manera segura y privada atributos o información personal de una persona, como su identidad, edad o nacionalidad. Estas credenciales pueden ser emitidas y verificadas por entidades confiables, y son especialmente útiles en contextos donde la autenticación debe ser rápida, segura y sin compartir datos innecesarios.

Las Credenciales Verificables (VCs) se consolidan como uno de los formatos más prometedores para las futuras identidades digitales. Sus principales ventajas incluyen:

• Descentralización e interoperabilidad

• Seguridad mediante criptografía de clave pública

• Presentación selectiva de datos (ej. mayoría de edad sin revelar fecha de nacimiento)

• Compatibilidad con autenticación fuerte (SCA) si se combina con biometría facial

Emitidas tras un proceso de Verificación Digital de Identidad con un nivel de seguridad elevado, estas credenciales pueden reemplazar progresivamente a los documentos físicos y cumplir con estándares como KYC, AML y CFT en el sector financiero.

Hacia un ecosistema digital resiliente, seguro y centrado en el ciudadano

En definitiva, integrar la identidad digital con otras capas tecnológicas como la Infraestructura de Clave Pública (PKI), la biometría, la inteligencia artificial y las credenciales verificables permite construir ecosistemas digitales más:

• Seguros y confiables

• Ágiles e interoperables

• Resilientes ante amenazas y disrupciones

• Centrados en el control de datos por parte del usuario

Este enfoque no solo es clave para proteger a las personas y a las instituciones, sino que también actúa como un catalizador para el crecimiento económico sostenible, la inclusión digital y la consolidación de una soberanía tecnológica real y efectiva.

En Facephi trabajamos para ofrecer soluciones de identidad digital seguras, accesibles e interoperables, ayudando a gobiernos y empresas a construir infraestructuras digitales más confiables, inclusivas y resilientes.

Descubre cómo nuestras soluciones están transformando la gestión de identidad digital en distintos sectores y contextos reales.

La evolución de sectores clave como la banca, los seguros, la salud o las fintech, entre otros, ha dejado claro que la verificación de identidad ya no puede ser un evento puntual. Debe ser un proceso continuo, dinámico y adaptativo. En este contexto, el Perpetual Know Your Customer (pKYC) está ganando cada vez más relevancia como la forma más efectiva de garantizar la seguridad, el cumplimiento normativo y la prevención de riesgos en tiempo real. 

En Facephi, entendemos que este enfoque no es solo una tendencia: es una respuesta estratégica a las exigencias de un entorno donde los datos cambian constantemente y las amenazas evolucionan en segundos. Con pKYC, pasamos de una verificación estática a una supervisión continua del perfil del cliente, asegurando que su identidad esté permanentemente actualizada, cumpliendo con regulaciones cambiantes y anticipándonos al fraude antes de que se materialice. 

 

¿Qué es pKYC y por qué está tomando tanta relevancia la verificación de identidad continua? 

A diferencia de los procesos tradicionales de KYC, que se actualizan de forma periódica, el pKYC ofrece una monitorización constante del perfil del cliente. Esto permite identificar de forma instantánea cualquier cambio relevante o comportamiento sospechoso. 

En Facephi combinamos tecnologías avanzadas como IA, biometría del comportamiento y análisis en tiempo real, para construir una arquitectura tecnológica capaz de adaptarse, aprender y responder. Este enfoque dinámico y continuo es crucial para garantizar que las organizaciones puedan responder de forma inmediata a cualquier riesgo o intento de fraude, a la vez que ofrecen una experiencia de usuario fluida y sin interrupciones. 

 

¿Por qué es el momento de implementar pKYC? 

1. Cumplimiento continuo de regulaciones: adaptarse a un entorno cambiante 

Las normativas en torno a KYC, AML y GDPR están en constante evolución. Mientras que los enfoques tradicionales solo permiten cumplir en ciertos momentos, pKYC asegura una adecuación constante a las regulaciones vigentes. Nuestras soluciones actualizan automáticamente los perfiles, eliminando la necesidad de auditorías manuales y minimizando el riesgo de incumplimientos. 

2. Evaluación de riesgos en tiempo real: anticiparse al fraude 

Las amenazas son cada vez más sofisticadas y rápidas. pKYC permite analizar datos de comportamiento y transacciones en tiempo real para identificar patrones anómalos que podrían indicar actividades fraudulentas. Esta capacidad de respuesta inmediata refuerza la seguridad y evita daños antes de que ocurran. 

3. Verificación continua durante toda la relación 

El Perpetual Know Your Customer garantiza que la identidad no solo se valide al inicio, sino que se mantenga actualizada durante todo el ciclo de vida del cliente. Con Facephi, las soluciones están diseñadas para proporcionar una verificación continua, reduciendo el riesgo de fraude y manteniendo a las organizaciones alineadas con las normativas que requieren actualizaciones constantes del perfil del cliente. 

4. Eficiencia operativa: menor coste, mayor precisión 

El pKYC reduce considerablemente la carga operativa y los costes asociados con la verificación manual y las auditorías periódicas. Al automatizar los procesos de verificación y la actualización de datos, las empresas pueden optimizar sus recursos, permitiendo que los equipos de cumplimiento se enfoquen en los casos más críticos. Además, la precisión de los datos se incrementa, minimizando los errores humanos que pueden poner en riesgo el cumplimiento. 

 

La tecnología detrás del pKYC: soluciones avanzadas para la verificación continua 

 

Análisis en tiempo real y biometría del comportamiento 

Nuestra tecnología analiza de forma continua cómo interactúa cada usuario: desde la forma de teclear hasta los patrones de navegación. Estos microcomportamientos permiten detectar cambios sutiles que podrían indicar intentos de suplantación o fraude. Este análisis se integra sin fricciones en la experiencia del usuario, sin requerir acciones adicionales por su parte. 

 

Liveness pasivo y biometría avanzada 

El liveness pasivo es una tecnología que detecta automáticamente si una persona está presente durante la autenticación, sin necesidad de realizar movimientos específicos o seguir instrucciones. Esto garantiza que el usuario esté físicamente presente sin interrumpir su experiencia. Junto a nuestros algoritmos biométricos avanzados, esta tecnología permite validar identidades de forma continua, natural y segura. 

 

Los beneficios de implementar pKYC en tu empresa 

• Protección constante contra fraudes y suplantaciones de identidad: protección constante contra fraudes y suplantaciones de identidad, especialmente en sectores como banca, fintech, seguros y salud, donde la verificación continua es esencial. 
• Adaptación automática a nuevas regulaciones y cambios normativos. 
• Reducción de costes operativos y mayor eficiencia en el cumplimiento. 
• Mejora en la experiencia del usuario, eliminando fricciones en cada interacción. 
• Mayor confianza de los clientes, sabiendo que su identidad está protegida en todo momento. 

 

Hacia una verificación de identidad continua y sin fricciones con Facephi 

En Facephi, sabemos que el Perpetual Know Your Customer ya no es opcional. Es el estándar para garantizar la seguridad, el cumplimiento y la protección frente al fraude en el entorno digital actual. Al ofrecer verificación continua y actualizada de la identidad de los usuarios, estamos ayudando a las organizaciones a protegerse frente a los riesgos emergentes, mantener la confianza del cliente y cumplir con las normativas de forma dinámica y eficiente. 

Si tu empresa está lista para dar el siguiente paso hacia una verificación de identidad continua y segura, no dudes en contactarnos. Estamos aquí para ayudarte a integrar pKYC de manera efectiva y optimizar la seguridad en tu plataforma. 

 

Por Ramón Villot Sánchez, Legal & Compliance Director 

Entre la solidez de un marco normativo pionero y las críticas a su excesiva burocracia 

La regulación sobre protección de datos y su interacción con la inteligencia artificial (IA) se ha convertido en uno de los mayores retos jurídicos de nuestro tiempo. La Unión Europea, a través del Reglamento General de Protección de Datos (RGPD), ha sentado las bases de un marco normativo exigente, imponiendo obligaciones rigurosas a las organizaciones que desarrollan o emplean tecnologías basadas en IA.  

El RGPD y el principio de “privacidad desde el diseño” 

Uno de los pilares del RGPD es el principio de “privacy by design”, que exige que la protección de datos personales esté integrada desde el diseño inicial de cualquier sistema tecnológico. Esto significa que el tratamiento de datos debe realizarse siempre con el consentimiento explícito del titular y bajo estrictas medidas de seguridad. El incumplimiento de estas normas no es menor: las sanciones pueden alcanzar hasta el 4% de la facturación global anual de la empresa. 

La Ley de inteligencia artificial europea: control e innovación 

Desde el 1 de agosto de 2024, la nueva Ley de Inteligencia Artificial de la UE ha entrado en vigor con un objetivo claro: asegurar que los sistemas de IA operen de forma ética, confiable y segura. Esta normativa aplica un enfoque basado en el riesgo, clasificando las aplicaciones de IA según su nivel de impacto potencial y estableciendo requisitos diferenciados para cada categoría. El reto es ambicioso: proteger los derechos fundamentales sin frenar la innovación tecnológica. 

La visión del Comité Europeo de Protección de Datos (CEPD) 

El Comité Europeo de Protección de Datos ha publicado un dictamen clave que aborda los principales desafíos del tratamiento de datos personales en el contexto de la IA, centrándose en tres puntos críticos: 

• Anonimización de datos: aunque muchos modelos de IA aseguran tratar datos de forma anónima, el CEPD aclara que esta condición solo se cumple si el riesgo de reidentificación es insignificante. 
• Interés legítimo como base legal: invocar el interés legítimo para justificar el tratamiento de datos en IA requiere una evaluación cuidadosa, equilibrando ese interés con derechos fundamentales como la privacidad, la libertad de expresión o la no discriminación. 
• Licitud de los datos utilizados: cuando el entrenamiento de un modelo de IA se basa en datos obtenidos sin consentimiento o de origen dudoso, el CEPD recomienda aplicar técnicas de anonimización desde la fase inicial para minimizar riesgos legales. 

Retos reales, soluciones responsables 

Las organizaciones que no gestionan adecuadamente los riesgos asociados a la IA pueden enfrentar serias consecuencias legales, especialmente si recurren a prácticas como el web scraping o la adquisición de bases de datos de origen no verificado. Al mismo tiempo, las autoridades europeas deben encontrar el equilibrio entre proteger los derechos de los ciudadanos y permitir un entorno propicio para el desarrollo tecnológico. 

En este contexto, simplificar el marco normativo sin perder garantías será clave. El avance de la IA plantea desafíos que no pueden resolverse con rigidez regulatoria, sino con marcos legales dinámicos que promuevan la transparencia, la rendición de cuentas y la educación tecnológica. 

IA y privacidad: avanzar sin comprometer derechos 

La relación entre inteligencia artificial y protección de datos exige una visión integral: es necesario garantizar la seguridad y privacidad de las personas sin frenar el progreso. La solución no pasa por una regulación excesiva, sino por fomentar la autorregulación responsable, el cumplimiento ético y una colaboración activa entre legisladores, empresas y sociedad civil. Solo así podremos desbloquear todo el potencial de la IA, construyendo al mismo tiempo una base sólida de confianza y respeto por los derechos fundamentales. 

El fraude financiero asociado a las cuentas mula ha alcanzado niveles alarmantes, según la Autoridad de Conducta Financiera del Reino Unido, cada semana se blanquean más de 40.000 millones de dólares, de los que sólo se intercepta e incauta el 1%. Sin embargo, la innovación tecnológica y la colaboración entre bancos están marcando un cambio radical en la lucha contra este problema. A continuación, exploraremos cómo las señales pre-fraude, los consorcios bancarios y la biometría avanzada están transformando la seguridad financiera. 

El impacto del fraude financiero en el ecosistema global 

Las cuentas mula son utilizadas por delincuentes para mover dinero ilícito, actuando como intermediarios en esquemas de lavado de dinero y fraude. Estas cuentas, muchas veces abiertas a nombre de personas engañadas o cómplices, son un eslabón crítico en la infraestructura del crimen financiero. En respuesta, empresas tecnológicas como Facephi estamos desarrollando herramientas avanzadas que permiten detectar patrones sospechosos antes de que el daño ocurra. Muchos bancos líderes ya están adoptando estas soluciones.

La lucha contra el fraude financiero es mucho más efectiva si en lugar de esfuerzos aislados nos alineamos en una estrategia común.  La combinación de alianzas estratégicas entre bancos y tecnología de vanguardia ha demostrado ser una barrera efectiva contra la proliferación de cuentas mula. Los consorcios bancarios permiten compartir información en tiempo real, mientras que las soluciones avanzadas de detección pre-fraude ayudan a anticiparse a los movimientos de los delincuentes. Juntas, estas estrategias crean un ecosistema financiero más seguro y resistente ante las amenazas emergentes. 

 

Señales pre-fraude: Detecta el fraude antes de que ocurra 

La detección pre-fraude se basa en identificar patrones anómalos en el comportamiento digital de los usuarios. Estas señales, que quizás tu banco esté pasando por alto, son claves para identificar un posible fraude antes de que el dinero salga de la cuenta.  

Algunas señales clave de comportamiento digital anómalo son: 

• Velocidad de tecleo irregular 

• Cambios bruscos en patrones de navegación 

• Dispositivos nuevos con huella digital desconocida 

• Conexión desde una ubicación distinta a la habitual 

 

Ventajas de los consorcios bancarios anti-fraude 

Los consorcios bancarios están revolucionando la lucha contra el fraude al permitir el intercambio seguro y en tiempo real de información crítica entre entidades financieras. Estos grupos de colaboración entre bancos y otras instituciones permiten compartir datos sobre modus operandi fraudulentos o listas de exclusión (Black lists). Algunos de los bancos líderes ya están adoptando estas redes colaborativas, ejemplos como FrauDfense en España, una alianza entre Santander, BBVA y CaixaBank, y el Grupo Bancolombia, han demostrado cómo compartir inteligencia en tiempo real puede reducir significativamente las pérdidas.  

 

Transforma la seguridad de tu banco con la tecnología de Facephi 

Adoptar estas soluciones no solo mejora la seguridad financiera, sino también la experiencia del cliente legítimo. Nuestra solución de detección de cuentas mula detecta al menos 3 veces más rápido los patrones de fraude y permite:  

• Integración segura entre bancos 

• Análisis conjunto de patrones emergentes 

• Alertas automatizadas a todo el consorcio 

• Multibiometría en tiempo real con varias capas de autenticación para detectar comportamientos sospechosos 

• Geolocalización inteligente para identificar patrones anómalos basados en ubicaciones geográficas 

 

El fraude financiero evoluciona constantemente, pero también lo hacen las herramientas y estrategias para combatirlo. La implementación de tecnologías de detección pre-fraude, la adopción de consorcios bancarios colaborativos y el uso de biometría avanzada están marcando un antes y un después en la lucha contra las cuentas mula. Estas soluciones no solo protegen a los bancos y sus clientes, sino que también fortalecen la confianza en el sistema financiero global. Ahora es el momento de que tu banco se sume a esta revolución tecnológica y colaborativa para estar un paso adelante frente al fraude. ¿Está tu institución preparada para liderar el cambio? Solicita una demo de nuestra solución antifraude 

La verificación de identidad digital es un pilar fundamental para generar confianza en el sector bancario. En la 2024 Gartner®Market Guide for KYC Platforms for Banking, Facephi ha sido reconocido como proveedor de referencia, lo que valida nuestra trayectoria en innovación y liderazgo tecnológico. Nuestra solución KYC no solo garantiza el cumplimiento normativo, sino que también impulsa una experiencia de usuario ágil y segura en todo el mundo.  

KYC: más que cumplimiento, una ventaja competitiva 

La digitalización del sector financiero ha acelerado la necesidad de procesos de incorporación remota que sean seguros e intuitivos. Hoy, el proceso de Know Your Customer (KYC) es esencial, ya que las instituciones deben ir más allá de cumplir regulaciones y ofrecer, además, una experiencia de usuario rápida, confiable y sin fricciones. 

¿Por qué Gartner destaca a Facephi? 

El informe de Gartner® señala que las soluciones KYC más eficaces son aquellas que integran automatización, biometría avanzada y adaptabilidad a diversos entornos regulatorios. Facephi se alinea perfectamente con esta visión, ofreciendo una solución modular y escalable que incluye: 

• Reconocimiento facial con liveness pasivo: valida la autenticidad del usuario sin requerir interacciones forzadas. 
• Soporte para más de 20,000 documentos oficiales: permite escalar la verificación de identidad en mercados globales sin barreras. 
• Procesos de verificación en menos de 10 segundos: agiliza la conversión y mejora la experiencia de onboarding. 
• Cumplimiento normativo integral: asegura la conformidad con eIDAS 2, GDPR, AML y revisiones en listas PEP y sanciones. 

Beneficios tangibles del KYC para la banca 

Las soluciones KYC de Facephi han demostrado transformar la forma en que las instituciones financieras gestionan la verificación de identidad. Entre los beneficios clave destacan: 

• Altas tasas de conversión: con flujos de incorporación simples y personalizables, alcanzamos tasas superiores al 89%. 
• Prevención eficaz del fraude: nuestra tecnología detecta amenazas sofisticadas, como identidades sintéticas y deepfakes. 
• Verificación continua de identidad: garantiza seguridad en cada transacción sin interrumpir la experiencia del usuario. 
• Cobertura internacional: facilita la expansión a nuevos mercados al cumplir con normativas globales. 

Hacia el pKYC: el futuro de la verificación 

Gartner® destaca una tendencia creciente hacia el Perpetual KYC (pKYC), un modelo basado en la monitorización continua del perfil del cliente. Las soluciones de Facephi, combinando IA avanzada, biometría del comportamiento y análisis en tiempo real, están preparadas para este cambio, ofreciendo una respuesta dinámica al fraude y a la evolución constante de las regulaciones. 

Construyendo relaciones de confianza desde la primera verificación 

En nuestra opinión, el reconocimiento en la guía de Gartner® refuerza nuestro compromiso como partner tecnológico clave para aquellas instituciones financieras que buscan acelerar su digitalización sin comprometer la seguridad. En Facephi, no solo cumplimos con los requisitos KYC, sino que redefinimos la verificación de identidad en la era de la banca digital, permitiendo a nuestros clientes crear relaciones de confianza desde el primer contacto.

Consideramos, que con este reconocimiento en la guía de Gartner®, Facephi reafirma su papel como proveedor líder de soluciones de verificación de identidad y KYC para el sector financiero.

GARTNER is a registered trademark and service mark of Gartner, Inc. and/or its affiliates in the U.S. and internationally and is used herein with permission. All rights reserved.  

Gartner does not endorse any vendor, product or service depicted in its research publications, and does not advise technology users to select only those vendors with the highest ratings or other designation. Gartner research publications consist of the opinions of Gartner’s research organization and should not be construed as statements of fact. Gartner disclaims all warranties, expressed or implied, with respect to this research, including any warranties of merchantability or fitness for a particular purpose. 

Por Federico Imoda 

Nuestras soluciones están diseñadas para ofrecer múltiples capas de seguridad que protegen contra diversas modalidades de fraude. 

En los últimos cinco años (y de manera acelerada en los últimos dos), los atacantes han evolucionado significativamente en sus métodos, aprovechando avances en inteligencia artificial, manipulación de video y vulnerabilidades en los sistemas de autenticación.  

Los ataques tradicionales de suplantación de identidad como las presentaciones en pantalla siguen vigentes, pero ahora se complementan con técnicas más sofisticadas, lo que ha elevado el nivel de complejidad en la detección y prevención del fraude, como: 

• Ataques de inyección de video 

• Ataques Man-in-the-Middle (MITM) 

• Ataques de Acceso Remoto (RATs) 

Estos ataques avanzados han obligado a elevar los estándares de seguridad, no solo en la verificación facial, sino también incorporando tecnologías complementarias como biometría del comportamiento, detección de patrones de fraude y análisis forense en tiempo real (cuentas mulas). 

A continuación, se detallan los tres principales niveles de seguridad integrados en nuestras soluciones.  

Nivel 1: Suplantación de identidad 

La suplantación de identidad es una de las amenazas más extendidas en la seguridad digital y representa un riesgo crítico para cualquier proceso de verificación de identidad. Este tipo de fraude se basa en la manipulación de imágenes, videos y documentos para engañar los sistemas biométricos. 

Facephi aborda este desafío con un enfoque integral que combina tecnologías biométricas avanzadas y verificación documental, permitiendo una protección robusta sin comprometer la experiencia del usuario. 

• Prueba de vida pasiva: detecta si la persona está realmente presente en el momento de la autenticación. 

• Autenticación facial: garantiza que la persona que se registra o autentica es quien dice ser, a través de la comparación biométrica. 

• Verificación documental con análisis morfológico: analiza la integridad y autenticidad de los documentos de identidad.  

• Conexión con registros civiles: accedemos a bases oficiales para verificar imágenes e información de las personas.  

• Detección de manipulación y deepfakes: para identificar imágenes generadas o modificadas sintéticamente.  

• Comparación con listas negras: para alertar sobre intentos de autenticación realizados por individuos previamente identificados como fraudulentos. 

Además implementamos controles de primera línea para mitigar ataques Man-in-the-Middle (MITM), y toda la información transmitida es encriptada, protegiendo los datos biométricos frente a intentos de interceptación. 

Nivel 2: Fraude No Autorizado 

El fraude no autorizado representa una evolución en los métodos de ataque, donde los defraudadores no buscan suplantar directamente la identidad de un usuario, sino explotar vulnerabilidades del sistema para manipular procesos legítimos. 

Este tipo de fraude suele pasar desapercibido en los controles de identidad tradicionales, ya que el atacante no necesita hacerse pasar por otra persona, sino que utiliza accesos o cuentas reales para cometer actividades ilícitas. 

Para abordar esta amenaza, Facephi ha desarrollado un enfoque de seguridad basado en biometría del comportamiento, permitiendo identificar patrones anómalos en la interacción del usuario con el dispositivo y la aplicación, agregando una capa adicional de protección: 

• Biometría del comportamiento: Detectamos fraude analizando cómo el usuario teclea, mueve el mouse o toca la pantalla, comparándolo en tiempo real con patrones legítimos. 

• Protección contra ataques de acceso remoto: Evitamos la toma de control a distancia del dispositivo por parte de un atacante, detectando herramientas de acceso remoto.  

• Seguridad en el canal de comunicación: para prevenir ataques de tipo Man-in-the-Middle (MitM), donde los atacantes interceptan y manipulan la comunicación entre el usuario y la aplicación. 

• Prevención de ataques de inyección de video: bloqueamos la virtualización de cámaras y detectamos intentos de inyectar imágenes falsas en autenticaciones. 

• Detección de fraude desde el primer día: detectamos fraude sin historial previo del usuario, monitoreando onboarding, autenticaciones y transacciones desde el primer uso. 

Gracias a estas capacidades, Facephi no solo protege contra accesos fraudulentos, sino que también fortalece la seguridad del canal digital, impidiendo que los atacantes manipulen dispositivos o autenticaciones en tiempo real. 

Nivel 3: Fraude Autorizado 

El fraude autorizado representa una de las formas más complejas de actividad ilícita, ya que se basa en el uso de identidades y cuentas legítimas para cometer delitos financieros sin levantar sospechas inmediatas. 

Un caso común es el de las cuentas mulas, donde personas reales (conscientes o no) prestan o venden sus cuentas bancarias para que delincuentes puedan mover dinero de origen ilícito. 

Para abordar esta amenaza, Facephi ha desarrollado un enfoque de seguridad basado en la detección de patrones anómalos y el análisis de transacciones en tiempo real, permitiendo identificar indicadores de fraude antes de que los fondos sean movidos fuera del sistema. 

Este nivel de seguridad incorpora: 

• Detección de patrones de cuentas mulas: analizamos el historial y comportamiento financiero de las cuentas para detectar signos de actividad inusual.  

• Análisis en tiempo real de transacciones sospechosas: aplicamos modelos de detección de riesgo dinámicos que evalúan factores como frecuencia, volumen y origen de los fondos para determinar si una cuenta está siendo utilizada como una «mula». 

• Vinculación de identidades y redes fraudulentas: identificamos conexiones entre cuentas aparentemente independientes para detectar posibles redes organizadas de fraude. 

• Alertas tempranas y medidas de mitigación: proporcionando herramientas de monitoreo continuo, generando alertas en tiempo real cuando se detectan comportamientos sospechosos en una cuenta. Esto permite aplicar acciones automatizadas como la retención de fondos.  

El fraude autorizado, especialmente el uso de cuentas mulas, representa un riesgo crítico para el sistema financiero. 

Seguridad digital en evolución 

Los desafíos en la verificación de identidad y la seguridad digital evolucionan constantemente, impulsados por la sofisticación de los ataques y el uso de nuevas tecnologías por parte de los defraudadores. 

En este contexto, Facephi ofrece una solución integral que no solo responde a las amenazas actuales, sino que también anticipa y previene futuros riesgos a través de un enfoque proactivo y basado en múltiples capas de seguridad. 

En un entorno donde la confianza y la seguridad son esenciales, Facephi se posiciona como el socio estratégico ideal para prevenir el fraude y garantizar la integridad de los procesos digitales, protegiendo tanto a las empresas como a sus usuarios. 

El auge de las cuentas mula en el ecosistema financiero

¿Sabías que solo en 2024 se estima que más de 3.1 billones de dólares en fondos ilícitos circularon en Estados Unidos? Las cuentas mula se han convertido en un componente clave dentro de los esquemas de fraude financiero. Estas cuentas, utilizadas para mover dinero de origen fraudulento, representan un desafío creciente para bancos, fintechs y entidades reguladoras. A pesar de los esfuerzos por combatirlas, su evolución constante y sofisticación siguen poniendo en riesgo la estabilidad del sistema financiero global.

En Facephi, identificamos el fraude de manera proactiva antes de que cause impacto. Hemos desarrollado una solución avanzada para la detección de cuentas mula, capaz de identificar patrones sospechosos desde la apertura de una cuenta hasta su actividad en tiempo real.

Tipos de cuentas mula y cómo operan 

Las cuentas mula son utilizadas para lavado de dinero, fraudes bancarios y estafas en línea, permitiendo a los delincuentes disimular el origen de fondos ilegales. Generalmente, se dividen en tres categorías:

• Cuentas mula voluntarias: personas que prestan su cuenta conscientemente a redes criminales a cambio de una comisión.

• Cuentas mula engañadas: individuos que son manipulados para recibir y transferir dinero sin saber que están participando en fraude.

• Cuentas mula cómplice: cuentas creadas con identidades sintéticas o robadas, utilizadas para mover dinero ilícito sin que los datos se correspondan con una identidad real.

El reclutamiento de estas cuentas suele ocurrir en redes sociales, anuncios falsos de empleo o a través de phishing. Muchas víctimas caen en la trampa creyendo que están participando en actividades legales.

El desafío para las entidades financieras: Detección en tiempo real

Si no se detectan a tiempo, estas cuentas pueden operar durante meses sin levantar sospechas, generando enormes pérdidas. Y es justamente la detección uno de los mayores desafíos para las instituciones financieras, ya que en sus primeras fases pueden parecer cuentas legítimas.

Tradicionalmente, los bancos han empleado controles manuales y reglas estáticas para detectar fraudes, pero los delincuentes han encontrado formas de evadir estas estrategias. Por ello, es necesario un enfoque más avanzado basado en inteligencia artificial y análisis de comportamiento.

Estrategias avanzadas de Facephi para frenar las cuentas mula

Las entidades financieras deben adoptar un enfoque proactivo que combine distintas estrategias de detección:

• Análisis de señales pre-fraude: Identificación temprana de patrones sospechosos en la apertura de cuentas y en los primeros movimientos de dinero.
• Clasificación de cuentas: Monitorización constante de transacciones y clasificación de cuentas para detectar movimientos inusuales y detectar fraudes antes de que ocurran.
• Colaboración interbancaria: Creación de consorcios de datos para compartir información clave sobre cuentas fraudulentas sin comprometer la privacidad de los usuarios.

La clave: Anticiparse al fraude

A medida que los esquemas de fraude evolucionan, la única manera efectiva de combatir las cuentas mula es a través de un modelo basado en detección temprana, IA avanzada, biometría de comportamiento y cooperación entre entidades financieras.

En Facephi, apostamos por soluciones que no solo detectan fraudes en tiempo real, sino que se anticipan a ellos, protegiendo tanto a las instituciones como a los usuarios.

Tu entidad puede estar en riesgo. Contáctanos y descubre cómo anticiparte al fraude

Viajar sin pasaporte físico, sin colas interminables y sin tener que mostrar documentos en cada control ya no es una utopía. La transformación digital en los viajes aéreos está en marcha, y Know Your Passenger (KYP) es la clave para hacerlo realidad. 

A medida que la industria avanza hacia modelos de viaje más fluidos y seguros, tecnologías como la biometría avanzada y las credenciales verificables están redefiniendo la identidad digital en los aeropuertos. Pero, ¿qué implica este cambio y cómo impacta a aerolíneas, aeropuertos y pasajeros? 

Del pasaporte físico a las credenciales verificables: la nueva identidad en los viajes

El pasaporte físico, aunque esencial para cruzar fronteras, representa un punto de fricción: controles manuales, riesgo de extravío o falsificación y largas esperas en el aeropuerto. KYP soluciona estos problemas mediante la emisión de credenciales verificables, que permiten a los pasajeros almacenar su identidad en un wallet digital seguro. Gracias a esta solución, su identidad puede ser validada de forma instantánea con biometría facial, sin necesidad de presentar documentos físicos en cada punto de control. Este avance mejora la experiencia del viajero y optimiza los procesos operativos de aerolíneas y aeropuertos, reduciendo tiempos de espera y reforzando la seguridad.

¿Cómo funciona KYP?

El proceso de KYP es sencillo, rápido y 100% seguro:

1. Registro y generación de credenciales verificables

El viaje digital del pasajero comienza en el momento de su registro:

• Escaneo del pasaporte: el pasajero escanea su pasaporte, verificando su autenticidad mediante la lectura del chip integrado.
• Selfie biométrica: después, el pasajero realiza una selfie que se compara con la foto del pasaporte para asegurar que ambas coinciden, validando su identidad de manera automática.
• Generación de la credencial verificable (e-Passport VC): a partir de la información obtenida, se emite una credencial verificable (VC) o ePassport VC, que se almacena de forma segura en un wallet digital en el dispositivo móvil del pasajero, garantizando la privacidad y protección de sus datos biométricos.

 

2. Verificación rápida y contactless en el aeropuerto

En el aeropuerto, el proceso de verificación es completamente sin contacto. Los pasajeros validan su identidad a través de biometría facial, sin necesidad de sacar su dispositivo móvil ni presentar documentos físicos. La autenticación se basa en dos factores (SCA):

• Primer factor: lo que el pasajero posee (su pasaporte digital almacenado en la wallet), que es compartido de manera remota y previo a la llegada al aeropuerto. Esta información se transfiere primero a la aerolínea, que la distribuye a los demás stakeholders involucrados en los diferentes puntos de control.
• Segundo factor: lo que el pasajero es (su biometría facial), comparando su rostro con una galería de imágenes previamente generada disponible en el punto de control (autenticación 1:few). Esta galería se elimina automáticamente una vez ha pasado el tiempo estimado para que el pasajero complete el proceso en el punto de control.

 

3. Viaje sin fricciones: rápido y eficiente

El pasajero puede avanzar solo con su biometría facial por todos los controles de seguridad y embarque, haciendo que su experiencia de viaje sea ágil y completamente digital.

Viajes aéreos 100% digitales con Facephi e IATA

El concepto de viaje 100% digital avanza con la participación de Facephi en el Strategic Partnership Program de la Asociación Internacional de Transporte Aéreo (IATA), junto a otros actores clave del sector. Esta colaboración permite crear un sistema de identidad digital interoperable que mejora la experiencia del pasajero y agiliza los procesos operativos de aerolíneas y aeropuertos.

Mediante la integración de credenciales verificables y biometría facial, respaldada por el Digital Identity Trust Framework —un marco unificado que garantiza la interoperabilidad entre aerolíneas, aeropuertos y autoridades gubernamentales—, se asegura una experiencia de viaje fluida, segura y respetuosa con la privacidad, reduciendo al mismo tiempo el riesgo de fraude y falsificación.

Viaje real sin documentos físicos entre aeropuertos Hong Kong Chek Lap Kok y Tokyo Narita

Un ejemplo tangible de la aplicación de KYP tuvo lugar en un vuelo de prueba entre Hong Kong y Tokyo Narita, donde los pasajeros pudieron completar su viaje sin presentar ningún documento físico, utilizando solo sus credenciales digitales y biometría facial. Este vuelo de prueba involucró a varios actores clave, incluidos aeropuertos, aerolíneas y proveedores tecnológicos, que colaboraron para hacer de este proyecto una demostración exitosa del potencial de KYP.

Facephi, transformando los viajes aéreos con identidad digital verificada y tecnología avanzada

Facephi está desempeñando un papel fundamental en el desarrollo de esta innovadora solución de viaje digital, permitiendo la verificación de identidad mediante tecnología biométrica avanzada y el uso de credenciales digitales verificables. Nuestra infraestructura tecnológica facilita una experiencia de viaje 100% digital, eliminando la necesidad de documentos físicos y mejorando la eficiencia operativa.

A través de la colaboración con actores clave de la industria, estamos contribuyendo a un futuro donde los pasajeros puedan disfrutar de un proceso de viaje fluido, seguro y sin interrupciones. Con soluciones de identidad digital que priorizan la privacidad y la seguridad, la experiencia del viajero se redefine por completo, eliminando las barreras físicas y proporcionando un servicio mucho más ágil.

Con la tecnología de Facephi, el futuro de los viajes aéreos está cada vez más cerca: sin fricciones, sin papeles, personalizado y completamente digital.

El fraude financiero sigue en aumento, no solo en frecuencia sino también en sofisticación. Más del 60% de las cuentas fraudulentas consiguen superar los controles de verificación de identidad tradicionales, por lo que la verificación de identidad debe ir más allá de simplemente marcar casillas de cumplimiento normativo. 

El crecimiento del uso de tecnologías como la inteligencia artificial por parte de los ciberdelincuentes ha transformado los ataques: apropiaciones de cuentas, blanqueo de capitales o estafas relacionadas con deepfakes están poniendo a prueba incluso las estrategias de ciberseguridad más robustas. Además, las instituciones financieras enfrentan cada vez más presión por parte de reguladores para proteger a sus usuarios, evitar pérdidas económicas y garantizar el cumplimiento normativo.

El desafío no solo está en identificar las amenazas a tiempo, sino también en hacerlo sin añadir fricciones a la experiencia del usuario. Las soluciones avanzadas de verificación de identidad digital (IDV) de Facephi están diseñadas precisamente para enfrentar este doble reto: reforzar la seguridad y, al mismo tiempo, optimizar la relación con el cliente.

¿Qué es IDV y por qué es esencial en el sector financiero?

La verificación de identidad digital (IDV) combina tecnologías biométricas avanzadas, como el reconocimiento facial, de huellas dactilares o de voz, con inteligencia artificial para autenticar a los usuarios en tiempo real. Estas soluciones ofrecen un control integral, adaptándose a las múltiples interacciones que ocurren en las plataformas digitales.

En el sector financiero, IDV se ha convertido en un aliado indispensable. Hoy en día, los fraudes ya no se limitan a métodos tradicionales, sino que las instituciones financieras se enfrentan además a ataques más complejos:

Apropiaciones de cuentas

Ataques en los que un delincuente toma el control de cuentas legítimas para realizar transacciones fraudulentas. Estas prácticas están costando millones a las instituciones financieras anualmente.

Ataques con deepfakes

El uso de inteligencia artificial para crear identidades falsas mediante imágenes y vídeos extremadamente realistas. Este tipo de fraude puede generar pérdidas con una media de 480.000 dólares por incidente.

Estafas de pagos autorizados (APP)

Donde los clientes son manipulados para realizar transferencias a cuentas controladas por delincuentes. Países como el Reino Unido ya están regulando la responsabilidad de los bancos emisores y receptores en estos casos, marcando un precedente global.

Tecnologías biométricas: tu aliado en la prevención del crimen financiero

Las soluciones de Facephi, ofrecen ventajas significativas frente a métodos tradicionales, detectando el fraude de forma eficiente sin interrumpir las operaciones ni la experiencia del cliente. Nuestra tecnología integra medidas proactivas como:

• La detección de liveness: distingue entre una interacción genuina y una presentación falsa.
• El análisis de profundidad en imágenes: identifica fotos, vídeos o máscaras 3D utilizadas en ataques de presentación.
• Algoritmos especializados en la identificación de deepfakes: analiza inconsistencias en movimientos faciales, texturas de piel y reflejos generados por inteligencia artificial.

La flexibilidad de las soluciones biométricas permite su aplicación en múltiples escenarios, como la autenticación en apps móviles o la recuperación de cuentas. Por ejemplo, muchas instituciones financieras ya han adoptado estas herramientas para implementar autenticaciones sin contraseñas (passwordless MFA), mejorando la confianza y eliminando los riesgos asociados con credenciales tradicionales.

Soluciones IDV: más allá de la seguridad

El impacto del IDV no se limita a la prevención del fraude. Estas soluciones contribuyen al desarrollo sostenible de las organizaciones financieras al simplificar el cumplimiento normativo y reducir riesgos operativos. Además, automatizan procesos, eliminando errores manuales y mejorando la precisión en la validación de usuarios. Colocando al cliente en el centro de la experiencia, se da lugar a flujos fluidos como el onboarding digital o la recuperación de cuentas en cuestión de minutos.

El avance del crimen financiero exige soluciones a la altura de estos retos. En Facephi, desarrollamos tecnologías de verificación de identidad digital que combinan la seguridad más avanzada con la mejor experiencia para el usuario. Protege tu organización, cumple con los estándares regulatorios más exigentes y refuerza la confianza de tus clientes con nuestras soluciones innovadoras. Si quieres profundizar en cómo la verificación de identidad digital puede reducir el fraude y el crimen financiero, no te pierdas el webinar que nuestro Product Innovation Director, Mike Luparelli, grabó junto a Fintech Americas.

Tras analizar cómo la inteligencia artificial y la computación X darán forma a la identidad digital, nos centramos en otras fuerzas importantes que influirán en este campo. En 2025, la ciberseguridad, la descentralización de los datos, la preocupación por la huella de carbono, la regulación y la confianza digital desempeñarán papeles fundamentales en la definición del panorama de la identidad digital. Desde hacer frente a los nuevos retos de seguridad hasta fomentar la confianza en un mundo descentralizado, Facephi está aquí para guiarte a través de las tendencias que afectarán a la identidad digital el año que viene.

 

Innovación en ciberseguridad para proteger la identidad digital

En 2025, las empresas, los productos y los servicios adoptarán cada vez más la resiliencia por diseño. Las mismas fuerzas que promueven el futuro de la IA (automatización, ampliación y aceleración) marcarán el panorama cambiante de la ciberseguridad. Aunque la IA generativa reforzará las capacidades de ciberseguridad, también ampliará la superficie de ataque.

Además, la creciente conectividad de los dispositivos y la interoperabilidad entre las partes interesadas dentro de procesos únicos ampliarán aún más la superficie de ataque. Para hacer frente a estos retos, la inteligencia de amenazas aprovechará los análisis mejorados por IA, las señales sintéticas y la generación de datos de eventos, junto al procesamiento en tiempo real de las señales procedentes de dispositivos conectados.

La criptografía poscuántica seguirá siendo una preocupación clave dentro de la comunidad de la ciberseguridad, dada la amenaza inminente de ataques basados en la cuántica.

El auge de los deepfakes, la desinformación y la ingeniería social aumentará el riesgo de delitos financieros, como el «pig butchering» y el «money muling». En respuesta, el análisis biométrico del comportamiento basado en IA se consolidará como una herramienta esencial para la autenticación continua y la detección de delitos financieros.

 

Descentralización de datos, huella de carbono y regulación

La inteligencia artificial, la computación X y la ciberresiliencia van a influir en gran medida en los ecosistemas digitales y físicos. La ampliación de la superficie de ataque y la necesidad de reconfigurar los paisajes también repercutirán en el espacio de datos. La descentralización se convertirá en una característica fundamental en la mayoría de los productos tecnológicos de vanguardia, sobre todo, en la forma de almacenar y gestionar los datos.

En el diseño de productos y experiencias de usuario, el espacio de datos se considerará clave. Un punto central será determinar cómo lograr el almacenamiento y la gestión descentralizados de los datos sin comprometer la seguridad. La computación periférica ofrecerá mayor flexibilidad y permitirá que los datos se procesen en el dispositivo, lo que reducirá la dependencia de las comunicaciones y el almacenamiento en la nube.

A medida que se afiance la descentralización de los datos, surgirán nuevos conceptos como titular y propietario de los datos, que delimitarán distintos niveles de derechos y responsabilidades en relación con el uso de los datos. Por otro lado, la supercomputación y los modelos de lenguaje de gran tamaño (LLM) seguirán demandando grandes cantidades de energía, lo que promoverá el crecimiento de las iniciativas de energía verde y limpia. La contabilidad del carbono puede convertirse en un KPI fundamental para las empresas tecnológicas, sobre todo en relación con el cumplimiento de las normas ESG (ambientales, sociales y de gobernanza).

Por último, las normativas en torno a la IA y al consumo de energía repercutirán de manera significativa en el ritmo de la innovación tecnológica. Esto podría crear una división cada vez mayor entre quienes lideran la innovación y los organismos reguladores que intentan seguirles el ritmo.

 

Confianza digital: la base de una identidad segura

La verificación de identidad (VID) basada en IA seguirá siendo la puerta de entrada a experiencias digitales fiables. Los procesos de VID automatizados y ampliados integrarán tecnologías de IA adicionales y aprovecharán la conectividad de los dispositivos de los usuarios, lo que ampliará el alcance de la verificación de la identidad. La detección del fraude se mejorará mediante el uso de señales e inteligencia de eventos recopilada de las interacciones de los usuarios con los dispositivos, los servicios digitales y las pruebas físicas, lo que creará una comprensión más completa de las personas que se relacionan con el ecosistema digital.

La inteligencia continua de eventos de identidad, que incluye la preselección, la VID, la biometría del comportamiento y el conocimiento contextual, desempeñará un papel crucial en la detección de la suplantación de identidad y la prevención de delitos financieros, como el money muling. Los avances en las arquitecturas de IA, la mejora de la eficiencia, el procesamiento robusto en el dispositivo y la conectividad de baja latencia permitirán realizar evaluaciones en tiempo real dentro de este panorama de VID cada vez más complejo.

Este proceso VID mejorado y automatizado extenderá las prácticas KYC (conoce a tu cliente) más allá del sector financiero, aplicándolas a casos de uso más amplios como los tejidos de identidad, la agregación de identidad y KYB (conoce tu empresa). Las identidades digitales y descentralizadas también desempeñarán un papel fundamental, ya que ofrecerán métodos alternativos de autenticación. La presentación de credenciales verificables se convertirá en un componente clave de una infraestructura ciberresistente.

Los métodos tradicionales de autenticación basados en la vinculación criptográfica del titular se mejorarán mediante la integración de la presentación de credenciales biométricas, o vinculación del titular, para reforzar aún más la seguridad. Se espera que la adopción de identidades digitales se acelere en varios sectores, con la ayuda de los directorios de clave pública (PKD) existentes. Por último, la accesibilidad se convertirá en una característica indispensable, permitiendo que la confianza digital se convierta en un estándar en todas las industrias. 

A medida que nos adentremos en 2025, el panorama de la identidad digital seguirá evolucionando, moldeado por los avances en IA, computación X, ciberseguridad e innovación normativa. En Facephi, nos mantenemos a la vanguardia de estas tendencias, y estamos comprometidos en ofrecer soluciones innovadoras que no solo protegen, sino que también refuerzan la resistencia y la seguridad en un mundo digital en constante cambio. Nuestro compromiso nos lleva a liderar la redefinición de la confianza digital para el mañana.

La captura automática de documentos y rostros ha revolucionado los procesos de verificación digital en sectores como el financiero, el juego online o el transporte. Esta tecnología permite un onboarding más rápido, seguro y preciso, mejorando tanto la experiencia del usuario como la eficiencia operativa. En Facephi, hemos desarrollado soluciones basadas en inteligencia artificial que no solo automatizan la captura de documentos e imágenes, sino que también optimizan todo el proceso gracias a sistemas avanzados como nuestra funcionalidad de Advanced Tracking.

La importancia de la usabilidad en la captura automática

La captura automática es una tecnología que permite identificar y extraer datos de manera precisa y eficiente a partir de documentos y rostros. Al reconocer automáticamente cuándo un documento o rostro está correctamente encuadrado, nuestro sistema captura la imagen en el momento óptimo, garantizando una alta calidad en cada paso del proceso de verificación.

Nuestro sistema de captura automática se refuerza además con la detección automática de ojos abiertos, oclusiones y reconociendo elementos que se interpongan entre el usuario y la cámara, como una mascarilla o unas gafas. Integrando esta detección avanzada en nuestras soluciones de autenticación multibiométrica, aseguramos que las verificaciones de identidad sean no solo precisas, sino también seguras. Utilizamos algoritmos avanzados de deep learning que analizan en tiempo real la apertura de ojos, proporcionando un diagnóstico detallado e independiente para cada ojo, lo que resulta en una mayor precisión y fluidez en la interacción con el usuario.

 

Facephi y la innovación en tecnología biométrica: velocidad y precisión

La implementación de sistemas de captura automática con IA en nuestras soluciones ofrece múltiples ventajas:

Reducción de errores humanos

Elimina la necesidad de que los usuarios ajusten manualmente los documentos o rostros para obtener una captura adecuada, lo que minimiza errores durante el onboarding.

Mejora de la experiencia de usuario

Al realizar una UX guiada en tiempo real, el sistema orienta al usuario para una interacción fluida y rápida, garantizando un proceso sin fricciones.

Alta precisión

La combinación de IA avanzada y nuestra nueva funcionalidad de Advanced Tracking permite que los datos capturados sean de la máxima calidad desde el principio, reduciendo la probabilidad de fallos en la verificación.

Seguridad optimizada

Gracias a tecnologías como la detección automática de ojos abiertos y el análisis de múltiples factores como iluminación y oclusiones, el sistema asegura que las muestras sean fiables y precisas, aumentando la seguridad en todo el proceso de verificación y autenticación.

Metodologías avanzadas en el desarrollo de soluciones biométricas  

En Facephi, hemos implementado esta tecnología en varios de nuestros productos, como Facephi Onboarding, Facephi Authentication y Facephi Identity Platform, que utilizan captura automática para extraer datos de documentos de identidad y realizar reconocimiento facial con la máxima precisión. Estas soluciones permiten a nuestros clientes ofrecer un onboarding rápido, sin fricciones y alineado con las normativas de KYC/AML. 

Nuestra funcionalidad de Advanced Tracking, presente en nuestra plataforma de Identidad Digital, va más allá al proporcionar una visión detallada de cada fase del proceso de captura y verificación. Tomando como ejemplo al sector financiero, este sistema permite a los bancos monitorear en tiempo real la calidad de las imágenes y las condiciones de captura, identificando posibles puntos de fricción para una mejora continua. 

La captura automática de documentos y rostros, junto con las herramientas avanzadas de diagnóstico en tiempo real presentes en nuestras soluciones, ha marcado un antes y un después en el mundo de la verificación digital. Si buscas implementar una solución que optimice la precisión y la seguridad de tus procesos de onboarding, te invitamos a descubrir cómo nuestra tecnología puede transformar tu empresa.  

A medida que los rápidos avances establecen normas más estrictas de seguridad, confianza y privacidad, la identidad digital se adapta para satisfacer estas demandas. En 2025, los avances en IA, computación X, ciberseguridad e innovación normativa promoverán la evolución de las soluciones de identidad.  

En Facephi estamos a la vanguardia de estos cambios, comprometidos a ofrecer formas más seguras y resistentes para proteger las identidades digitales. Exploremos las tendencias que marcarán el futuro de la identidad el año que viene. 

Cómo la inteligencia artificial redefinirá la identidad digital en 2025 

La automatización, la ampliación y la aceleración se consolidarán como las principales fuerzas impulsoras de la adopción e innovación de la IA en 2025. Los avances clave en las implementaciones de IA, las interacciones entre humanos y máquinas, y entre máquinas, capacidades como la IA compuesta, la IA incorporada o las conversaciones entre IA mejorarán las soluciones tecnológicas y de IA de vanguardia.  

• IA compuesta:

  La integración de múltiples sistemas de IA que trabajan juntos para ofrecer resultados mejorados.

• IA incorporada:

  Fusiona el aprendizaje automático, la robótica y el procesamiento del lenguaje natural para que los robots puedan percibir, actuar y colaborar.

• Comunicación de IA a IA:

  Cuando dos (o más) modelos de lenguaje de gran tamaño (LLM) entablan un diálogo basado en instrucciones relacionadas.

Se espera que las arquitecturas de los motores de IA continúen su evolución en dos direcciones distintas, pero complementarias. Por un lado, los LLM continuarán con su expansión exponencial, promovidos por grandes empresas con importantes recursos financieros para apoyar su formación y ampliación. Por otro lado, cada vez serán más accesibles las pequeñas implementaciones de IA en los dispositivos, que permitirán experiencias de usuario hiperpersonalizadas con modelos de IA locales y ligeros. 

Por último, la regulación desempeñará un papel fundamental a la hora de determinar el ritmo y alcance de la innovación en IA. Los ecosistemas con marcos normativos más estrictos ofrecerán una mayor protección de la privacidad de los datos, pero pueden quedarse atrás en cuanto al acceso a tecnologías innovadoras que podrían mejorar las experiencias de los usuarios y la accesibilidad mediante la automatización, la ampliación y la aceleración. 

Avances clave en Computación X 

Dado que grandes gigantes de la tecnología como Amazon, Microsoft y Google tienen previsto recurrir a la energía nuclear para satisfacer sus demandas energéticas en la próxima década, esto pone de relieve la creciente necesidad de una supercomputación más eficiente para alimentar las tecnologías avanzadas de IA. En este contexto, se espera que tres paradigmas de computación clave desempeñen papeles significativos: 

• Computación cuántica:

  aunque todavía se encuentra en sus primeras fases, la computación cuántica progresa constantemente y promete resolver problemas complejos de IA que actualmente están fuera del alcance de los ordenadores clásicos. 

• Computación neuromórfica:

  este paradigma altamente eficiente y basado en eventos imita al cerebro humano y tiene el potencial de revolucionar la forma en que la IA procesa la información. 

• Computación fotónica:

  una prometedora tecnología que aprovecha la fotónica del silicio para transmitir y procesar datos mediante el uso de la luz, lo que capta la atención de grandes operadores como Google. 

Las continuas innovaciones y tensiones en el sector de la fabricación de chips, tanto tecnológicas como geopolíticas, promoverán aún más los avances en la automatización, la ampliación y la aceleración de la IA. Estas innovaciones, unidas a los avances en computación periférica, facilitarán la adopción de productos hiperpersonalizados mejorados con IA. Tecnologías como las gafas inteligentes Orion de Meta tenderán un puente entre los humanos y la IA, y combinarán experiencias físicas y digitales. 

El 2025 será el año de la computación X, que engloba la supercomputación, la computación espacial, la cuántica, la neuromórfica, la fotónica y la periférica, y que dará paso a una era transformadora de avances tecnológicos. 

¿Tienes curiosidad por saber cómo afectarán a la identidad digital en 2025 la ciberseguridad, la descentralización de datos, la huella de carbono, la regulación y la confianza digital? No te pierdas la segunda parte de las principales tendencias de identidad digital para 2025 

En la gestión de identidad digital, tanto usuarios como empresas enfrentan desafíos. Desde la fatiga de contraseñas hasta las violaciones de datos, la seguridad digital se ve comprometida por sistemas de autenticación obsoletos. Las identidades portables y reutilizables destacan como soluciones, transformando la ciberseguridad y mejorando la protección de datos. 

Qué son las Identidades digitales Portables y Reutilizables 

Imagina llevar toda tu identidad, desde identificaciones emitidas por el gobierno hasta tarjetas bancarias y registros médicos, en una cartera digital segura, accesible desde cualquier dispositivo. ¿Qué nos ofrecen las identidades portables? Un sistema de identidad digital self-sovereign donde los individuos tienen el control total sobre sus datos, decidiendo qué compartir y con quién. Con esta tecnología, se elimina la necesidad de múltiples nombres de usuario y contraseñas, facilitando una experiencia en línea más fluida y segura. 

Beneficios de las Identidades Portables en la ciberseguridad 

Las identidades portables ofrecen una serie de ventajas que van más allá de la comodidad: 

• Control centrado en el usuario: los individuos tienen total autonomía sobre sus datos de identidad, decidiendo qué compartir y con quién. 

• Seguridad mejorada: la criptografía y la tecnología blockchain garantizan la integridad de los datos y previenen el acceso no autorizado. 

• Autenticación simplificada: una identidad digital segura reemplaza a numerosas combinaciones de usuario y contraseña. 

• Reducción del fraude: métodos de autenticación más robustos hacen que las transacciones y las interacciones en línea sean más seguras. 

• Mayor conveniencia: los usuarios pueden acceder a servicios y completar transacciones de manera rápida y sin complicaciones. 

Casos de uso de Identidades Portables y Reutilizables en diferentes industrias 

Las identidades portables y reutilizables están transformando diversas industrias: 

• Servicios financieros: acceso seguro y conveniente a la banca online, pagos y plataformas de inversión. 

• Salud: acceso simplificado a registros médicos, recetas y citas. 

• Servicios gubernamentales: facilita el acceso a beneficios gubernamentales, votación y otros servicios esenciales. 

• Viajes y hospitalidad: procesos de check-in/check-out rápidos y seguros, verificación de documentos de viaje y cruces fronterizos. 

• Retail y e-commerce: experiencias de compra online más convenientes con opciones de autenticación y pago simplificadas. 

Desafíos y consideraciones en la gestión de Identidades Portables 

A pesar de su inmenso potencial, la adopción generalizada de las identidades portables enfrenta aún desafíos. La implementación de identidades portables requiere un enfoque coordinado en la estandarización, la interoperabilidad entre diferentes sistemas y la educación del usuario. Para lograr un éxito generalizado, es fundamental que los gobiernos y las empresas colaboren en la construcción de una infraestructura digital segura y en la creación de marcos regulatorios robustos. 

El futuro de la gestión de identidad con Identidades Portables y Reutilizables 

Las identidades digitales portables representan un cambio de paradigma en la autenticación online y la experiencia del usuario. Al devolver el control a los individuos y mejorar la seguridad digital, esta tecnología prepara el camino hacia un futuro más seguro, conveniente y centrado en el usuario. La colaboración entre gobiernos, empresas e individuos será crucial para desbloquear todo el potencial de estas soluciones y construir un mundo online no solo más seguro, también más accesible para todos. 

En Facephi nos hemos posicionado como un líder en la implementación de tecnologías de identidades portables y reutilizables, abriendo nuevas fronteras en la gestión de identidad digital. Estas soluciones no solo simplifican el acceso y la autenticación, sino que también mejoran la privacidad y seguridad en la era digital.   

En el panorama actual de la ciberseguridad, la Gestión de Identidad y Acceso (IAM, por sus siglas en inglés) se ha convertido en un componente fundamental y complejo de cada programa de protección de la identidad digital. La digitalización, el trabajo remoto y la adopción del modelo de Zero Trust han reforzado al IAM como un habilitador clave en la estrategia de ciberseguridad de cualquier organización. Facephi destaca por su enfoque innovador y robusto para el IAM, integrando tecnologías de autenticación, análisis continuo de comportamiento y detección de riesgos en el tejido identitario.  

Las características de nuestras soluciones permiten la implementación de modelos generativos (GenAI) y basados en aprendizaje automático (ML) para extraer información valiosa, analizar eventos y señales contextuales, y detectar fraudes de manera eficaz. Este enfoque no solo mejora la seguridad, sino que también ofrece insights profundos para la gestión proactiva de riesgos. 

Los pilares del IAM 

La seguridad centrada en la identidad es un enfoque que sitúa los controles basados en identidad como elemento fundamental de la arquitectura de ciberseguridad. Este enfoque permite una evaluación continua y adaptativa de la confianza y el riesgo, reflejando cambios inmediatos a través de todas las sesiones. En un entorno de amenazas dinámicas, las decisiones de acceso deben ser rápidas y sabias, y cambiar rápidamente ante amenazas activas. La implementación de una estrategia de seguridad centrada en la identidad requiere un marco integrado y extensible, donde un IAM potenciado con herramientas y procesos de gestión de riesgos y seguridad trabajan de manera interoperable. 

Para gestionar eficazmente el IAM, es crucial entender su complejidad y profundidad. Por ello en Facephi definimos el plan de acciones, establecemos una estructura de gobernanza clara, y alineamos las iniciativas de seguridad del cliente.  

Gestión de Acceso (Access Management)

La gestión de acceso es el conjunto de prácticas que habilitan solo a quienes se les permite realizar una acción en un recurso en particular. Tecnologías como la autenticación multifactor (MFA), el control de acceso a APIs y el inicio de sesión único (SSO) son esenciales en esta área. Estas capacidades permiten a las organizaciones gestionar de manera segura el acceso a aplicaciones en la nube, estándares modernos web y aplicaciones web heredadas. 

Gobernanza de Identidad y Acceso (Identity and Access Governance – IGA)

La gobernanza de identidad y acceso se centra en la política, los procedimientos y las prácticas que garantizan que los derechos de acceso sean apropiados y se mantengan correctamente a lo largo del tiempo. Esto incluye la provisión y desprovisión de acceso, la gestión de roles y el cumplimiento regulatorio, asegurando que solo las personas adecuadas tengan acceso a los recursos adecuados en el momento adecuado. 

Cómo el IAM puede mejorar la seguridad y eficiencia de tu empresa

Las empresas pueden sufrir brechas en su seguridad, por lo que la detección y respuesta a amenazas de identidad es una disciplina de seguridad esencial. Esta abarca inteligencia sobre amenazas, mejores prácticas, una base de conocimientos, herramientas y procesos para proteger los sistemas de identidad. 

IAM ofrece este enfoque y respalda una capacidad de seguridad de Zero Trust y Continuos Adaptive Trust. Para lograr una estrategia de seguridad que dé prioridad a la identidad, se recomienda la práctica de centrarse en casos de uso de un extremo a otro en lugar de enfocarse únicamente en herramientas y capacidades específicas de IAM.  

 

Facephi, con su enfoque avanzado en IAM, ayuda a las organizaciones a enfrentar los desafíos de seguridad actuales. Al integrar tecnologías de autenticación continua, análisis de comportamiento y detección de fraudes, y al adoptar enfoques innovadores como la seguridad centrada en la identidad, Facephi no solo mejora la seguridad, sino que también permite a las organizaciones adaptarse rápidamente a las amenazas emergentes, protegiendo eficazmente sus activos y datos críticos. 

En la ciberseguridad, donde la batalla entre defensores y atacantes es constante, la irrupción de la tecnología deepfake ha dado comienzo a una nueva era de engaño digital. Un ataque a una empresa de desarrollo de software, en el que se comprometieron las cuentas de 27 de sus clientes en la nube, sirve como recordatorio de la creciente amenaza que la manipulación generada por inteligencia artificial (IA) representa para las organizaciones de todo el mundo. 

A medida que el acceso a la tecnología de IA para crear deepfakes aumenta, también lo hace el riesgo para individuos y empresas. Según un informe de IBM, un tercio de las empresas globales ya ha sido víctima del fraude deepfake.  

Caso real de fraude por deepfake 

El ataque a una conocida empresa para construir herramientas internas sin código comenzó con una campaña de phishing por SMS dirigida a los empleados de la misma. Los atacantes, haciéndose pasar por miembros del equipo de TI, enviaron mensajes a los empleados instruyéndoles a hacer clic en un enlace aparentemente legítimo para resolver un problema relacionado con la nómina. Un empleado, sin sospechar, cayó en la trampa, lo que lo llevó a una página de aterrizaje falsa donde entregó sus credenciales. 

En la siguiente etapa del ataque, los hackers llamaron al empleado, nuevamente haciéndose pasar por el equipo de TI, para obtener el código de autenticación de múltiples factores (MFA). Utilizaron técnicas avanzadas de manipulación de voz para crear un entorno convincente. El código MFA les permitió añadir su propio dispositivo personal a la cuenta del empleado, otorgándoles acceso continuo. 

Este acceso permitió a los atacantes comprometer las cuentas de 27 clientes, sufriendo la pérdida de cerca de 15 millones de dólares en criptomonedas como resultado del ataque. 

Estrategias efectivas para combatir los deepfakes en empresas 

Pocos serán quienes piensen que una situación así también podría suceder en sus empresas. Pero la realidad nos muestra que sin una formación adecuada en la detección de deepfakes y técnicas de ingeniería social, las probabilidades de detectar el fraude eran mínimas sin una solución de detección de fraude a través de la verificación de identidad. Por ello, en Facephi diseñamos soluciones para minimizar los riesgos financieros, reducir las pérdidas por fraude y proteger contra el riesgo reputacional, asegurando la integridad de las operaciones comerciales. 

A continuación, detallamos como la relevancia de nuestra tecnología frente ataques de identidad puede ayudar a crear la mejor solución para su empresa.  

Ciberseguridad

Se implementan medidas para evitar la inyección de imágenes o vídeos y para restringir el uso de cámaras virtuales. 

Verificación del origen de la imagen/vídeo:

La integridad de la imagen se evalúa analizando la información del dispositivo que captura la imagen utilizando técnicas de criptografía y marcas de agua. 

Análisis de la imagen/vídeo:

Se emplean técnicas avanzadas de deep learning para detectar indicios de manipulación de imágenes como:

• Presencia de elementos extraños o defectuosos
• Evidencia de una imagen comprimida
• Análisis de la textura de la imagen
• Evidencia de generación sintética (Deepfake)

Detección del liveness en ataques de presentación:

La detección del liveness en ataques de presentación es un mecanismo de seguridad que se usa para verificar que quien está delante de la cámara es un usuario genuino y no un intento fraudulento como: fotografía, video o persona usando una máscara. Mediante esta técnica, desde Facephi prevenimos el fraude biométrico, proporciona confianza en las transacciones y simplifica la autenticación de los usuarios.

Protección frente deepfakes

El ataque que costó 15 millones de dólares en criptomonedas a esta empresa hace apenas unos meses no es un caso aislado, el sector bancario también es particularmente vulnerable a estos ataques de inyección. Un 83% y 81% respectivamente de los líderes empresariales en este sector perciben el fraude de voz y vídeo deepfake como amenazas reales para sus organizaciones.

A medida que organizaciones, individuos y proveedores de tecnología navegan esta realidad, la evolución de las medidas antifraude jugará un papel crucial para mantenerse un paso adelante frente a la amenaza de los deepfakes.

Echa un vistazo a nuestro video enfocado en protección de ataques sobre la identidad digital para entender mejor como nuestras soluciones protegen la identidad del usuario en cada paso del proceso hacia la verificación:

La importancia del nuevo marco de la UE contra el blanqueo de capitales 

Este año es crucial para la Unión Europea, ya que refuerza su lucha contra el blanqueo de capitales (BC) y la financiación del terrorismo (FT). La Autoridad Bancaria Europea (EBA) ha anunciado la implementación de un marco legal que promueve un enfoque colaborativo para eliminar los delitos financieros en todo el continente. La reciente inauguración de la Autoridad de Lucha contra el Blanqueo de Capitales y la Financiación del Terrorismo (AMLA, por sus siglas en inglés) es un ejemplo del compromiso de la UE en salvaguardar sus sistemas financieros de actividades ilícitas. La AMLA será un organismo especializado, dedicado a desarrollar estrategias para monitorear y coordinar el sector financiero, estableciendo un sólido mecanismo defensivo contra las amenazas del blanqueo de capitales (ML) y la financiación del terrorismo. 

Unidos contra los delitos financieros 

El establecimiento de la AMLA augura un futuro en el que las instituciones financieras y de crédito transfronterizas estarán bajo una supervisión estricta, garantizando la monitorización y la regulación de las entidades con alto riesgo de blanqueo de capitales (AML) y financiación del terrorismo (FT). La creación de AMLA marca un antes y un después para la Unión Europea en su búsqueda por un entorno financiero seguro y transparente. Este esfuerzo de colaboración no solo consolida la determinación de la UE de desmantelar las redes de delitos financieros, sino que también sienta las bases para un sector bancario conectado y duradero. A medida que avanzamos hacia un futuro libre de blanqueo de capitales y financiación del terrorismo, AMLA se erige como un símbolo de esperanza, representando el poder de los objetivos comunes.  

El compromiso de Facephi con el AML y el cumplimiento normativo 

Durante años, en Facephi nos hemos posicionado estratégicamente a la vanguardia de los esfuerzos contra el blanqueo de capitales y el cumplimiento normativo, sirviendo como un ejemplo de confianza y seguridad en el mundo de las finanzas digitales. Reconocemos el profundo impacto de estos avances regulatorios, como el Reglamento sobre la Resiliencia Operativa Digital (DORA), en el sector financiero. Nuestro compromiso de brindar apoyo a las instituciones financieras en su adaptación a estas transformaciones sigue siendo firme.  

• Establecer estándares de la industria: podemos ayudar a establecer los estándares sobre cómo debe ser una gestión de identidad digital eficaz y compatible con las nuevas regulaciones. 
• Contribuciones educativas: Aprovechando nuestra experiencia tecnológica y conocimiento de las regulaciones, nuestro objetivo es explicar claramente el impacto de las nuevas medidas de identidad digital y la importancia de soluciones seguras de verificación y gestión de identidad. 
• Innovación: La creación de AMLA marca el inicio de un capítulo transformador en la seguridad financiera y el cumplimiento normativo. En respuesta, en Facephi estamos preparados para seguir innovando, desarrollando soluciones que no solo cumplan con las nuevas regulaciones impuestas por AMLA, sino que también las anticipen.

  Nuestro compromiso es firme: desarrollar soluciones que permitan a las instituciones financieras ir más allá del cumplimiento tradicional, estableciendo un entorno donde las finanzas digitales seguras se conviertan en la norma, no solo en un objetivo.  Con el respaldo de estructuras como AMLA, estamos iniciando un camino para remodelar el futuro de la seguridad e integridad financiera en próximos años. 

La historia del juego en Brasil ha pasado por diversas etapas. Desde la prohibición total de los juegos de azar en la década de 1940 hasta la legalización selectiva de ciertos tipos de apuestas, como el póker, Brasil ha experimentado un vaivén legislativo. Sin embargo, el debate sobre la regulación de las apuestas deportivas online ha sido una constante desde 2018. 

El mercado de las apuestas deportivas en Brasil ha tenido el desafío de reconciliar la complejidad de los factores socioculturales con la realidad de la demanda del mercado. A pesar de que los casinos terrestres (y los casinos en cruceros) siguen prohibidos, el gobierno federal ha optado por otorgar licencias a casinos en línea y plataformas de apuestas deportivas.  

Quién se ve afectado 

Las apuestas de cuotas fijas son una forma de juego en la que los individuos realizan apuestas sobre los resultados de eventos deportivos o juegos virtuales en línea. Según la normativa brasileña, los juegos en línea se definen como «plataformas electrónicas que permiten apuestas virtuales en juegos cuyos resultados se determinan por la generación aleatoria de números, símbolos, figuras u objetos especificados en las reglas del juego». Estos juegos en línea están sujetos a regulaciones y supervisión específicas como parte de las operaciones de apuestas de cuotas fijas. 

Además, la ley también aborda los deportes de fantasía, que son competiciones virtuales basadas en el rendimiento de personas reales. Es importante destacar que, según la ley, no se requiere ninguna autorización previa para participar en actividades deportivas de fantasía. 

Marco regulatorio actual 

En 2023 tuvieron lugar dos hitos importantes en la regulación del juego online en Brasil. En marzo se formó la Associação Brasileira de Defesa da Integridade do Esporte (ABRADIE), señalando un paso adelante hacia una regulación más segura y transparente de los juegos de azar en el país. En diciembre se aprobó la Ley Nº 14.790, que regula principalmente las apuestas de cuotas fijas. La nueva legislación tiene nuevas reglas de pago diseñadas para intentar desmantelar el enorme mercado de juegos de azar ilegales de Brasil. Solo los operadores autorizados por el Banco Central podrán ofrecer servicios de pago, y los jugadores solo podrán enviar dinero a una cuenta bancaria con sede en Brasil. La nueva ley fue promulgada por varias razones importantes:  

• El creciente auge de los juegos en línea y otros juegos de azar en Brasil 
• La pérdida de importantes ingresos fiscales del presupuesto brasileño debido a estos juegos 
• La necesidad de garantizar la seguridad, ya que los juegos y apuestas no regulados son más susceptibles al fraude y al lavado de dinero 
• La necesidad de atraer inversiones y grandes marcas de juegos online 

En la actualidad, a pesar de que las regulaciones son bastante laxas, la legalización completa de los juegos de azar promete una serie de beneficios para Brasil. La Secretaría Nacional de Juegos y Apuestas (Secretaría de Apostas Esportivas) y el Ministerio de Hacienda de Brasil son los encargados de supervisar las operaciones de apuestas con cuotas fijas y eventos de juegos virtuales en línea. Desde finales de enero, han estado activamente publicando directrices regulatorias y aceptando solicitudes para licencias de operadores. El 15 de julio de 2024, las nuevas regulaciones entrarán en vigor. Desde la generación de ingresos fiscales hasta la creación de nuevas oportunidades empresariales, el futuro de la industria del juego en el país es tan prometedor como incierto.  

Las sanciones por incumplimiento de la normativa en el sector de juegos y apuestas incluyen amonestaciones, multas de hasta 2.000.000.000,00 R$, revocación de la autorización, prohibición de obtener una nueva autorización de propiedad por hasta 10 años, exclusión de participar en concesiones de servicios públicos o permisos de licitación por al menos 5 años dentro de la administración pública federal, e inhabilitación para actuar como director o administrador en entidades involucradas en cualquier modalidad de lotería por un máximo de 20 años. Estas sanciones estrictas sirven como elemento disuasorio y garantizan el cumplimiento de los estándares regulatorios dentro de la industria. 

Implicaciones económicas y sociales 

Se espera que la regulación de las apuestas deportivas contribuya significativamente a los ingresos fiscales y genere oportunidades de empleo en Brasil. Sin embargo, el éxito a largo plazo de la industria dependerá de la implementación efectiva de las regulaciones y el mantenimiento de un equilibrio entre los intereses económicos y la protección del consumidor. 

El crecimiento proyectado del juego online subraya la importancia de implementar regulaciones sólidas y establecer un proceso de licencias efectivo. Sin embargo, las discusiones sobre las tasas impositivas aún están en curso, y se espera que obtener una licencia de juego sea una inversión significativa para los operadores. 

A medida que Brasil avanza hacia una mayor regulación y legalización de los juegos de azar, la industria se prepara para un período de transformación y crecimiento. Con un enfoque en la seguridad pública y la prevención del lavado de dinero, el camino hacia un mercado de juego regulado y seguro está ya en marcha.  

Estrategias de integración de la identidad digital en plataformas de apuestas  

La seguridad del jugador y la protección de la información personal son aspectos clave de las regulaciones de apuestas deportivas en Brasil. Es fundamental garantizar un entorno de juego seguro y transparente, así como aumentar la conciencia sobre la seguridad de la información entre los jugadores. 

Las regulaciones y leyes del sector exigirán que las instituciones verifiquen la identidad de sus clientes. Aplicar un proceso efectivo de verificación de identidad no solo ayuda a cumplir con los estándares normativos KYC (Conoce a tu Cliente) y AML (Contra el Lavado de Dinero), sino que también ayuda a prevenir sanciones legales, promoviendo así el juego responsable y protegiendo a los jugadores. 

Facephi, una empresa líder en tecnologías de verificación de identidad, ofrece soluciones innovadoras para la industria del juego, permitiendo verificar la identidad de sus jugadores de manera rápida y segura: 

• Tecnología de reconocimiento facial para identificar las identidades de los apostadores y la cantidad de impuestos a pagar 
• Verifica y valida la autenticidad de la identificación comparándola con listas de sanciones y PEPs. Para realizar apuestas, un apostador debe ser identificado por su nombre completo, fecha de nacimiento y documentos de identificación.  
• Realizamos verificaciones del CPF utilizando fuentes de datos del gobierno de Brasil para autenticar y verificar las identidades de las personas.  
• Ofrecemos una amplia gama de servicios diseñados para abordar diversos desafíos relacionados con la identidad en diversas industrias. Estos servicios incluyen verificación de edad, recuperación de contraseñas, prevención del abuso de bonificaciones, detección y prevención del fraude de afiliados, mitigación de riesgos de apropiación de cuentas e identificación de cuentas mula. 
• El procesamiento de datos personales y datos personales sensibles seguirá las disposiciones de la Ley Nº 13.709 de 14 de agosto de 2018 (Ley General de Protección de Datos Personales – LGPD). 

Al implementar tecnologías de verificación de identidad como las soluciones de Facephi, las organizaciones y plataformas del sector se protegen frente el fraude de identidad mientras garantizan a sus jugadores disfrutar de la experiencia de juego sin preocupaciones, sabiendo que su información personal está protegida y que están participando en un entorno seguro y regulado. 

La incorporación de tecnologías de verificación de identidad permite al mercado de las apuestas deportivas cumplir con los estándares normativos, promover el juego responsable y brindar a los jugadores la tranquilidad de estar participando en un entorno protegido. 

En la actualidad, la información personal se ha convertido en un activo invaluable, y es fundamental proteger los datos tanto para salvaguardar los derechos de los usuarios como para promover la integridad y la confianza en el manejo de la información por parte de las organizaciones. En este contexto, en Facephi destaca nuestro compromiso con la privacidad y la seguridad de los datos de nuestros clientes y usuarios finales, basándonos en los principios establecidos por el Reglamento General de Protección de Datos (GDPR por sus siglas en inglés). A continuación, veremos cómo en Facephi cumplimos con estos principios fundamentales. 

Principios clave de la política de protección de datos en Facephi 

• Privacidad desde el diseño y por defecto: en Facephi hemos integrado la normativa GDPR en el diseño mismo de nuestras soluciones, asegurando que la protección de datos sea la máxima prioridad de todas las operaciones. Cumpliendo con el principio de accountability o responsabilidad proactiva, desde Facephi nos aseguramos de que los responsables y los encargados del tratamiento están en condiciones de cumplir sus obligaciones en materia de protección de datos. Esto implica que los datos de los usuarios finales de nuestras soluciones se traten de forma lícita, leal y transparente.
• Minimización de datos: el GDPR indica que los datos deben ser «adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que se tratan.” Por lo que, se recopila únicamente la información necesaria para cumplir con los propósitos específicos. Esto garantiza que no se recopile ni se almacene más información de la requerida, minimizando así el riesgo potencial para la privacidad de los usuarios. 
• Centrados en los derechos de los interesados: Nuestras soluciones reconocen y respetan los derechos de los individuos sobre sus datos personales, incluyendo el derecho de acceso, corrección o eliminación de su información personal. Facephi se esfuerza por facilitar este proceso de manera efectiva. 
• Protección de datos: La seguridad de los datos es una prioridad para Facephi. Implementando mecanismos de seguridad de vanguardia, garantizamos la protección y la integridad de la información de los usuarios. Esto incluye medidas técnicas y organizativas para prevenir el acceso no autorizado, el procesamiento ilegal o la pérdida accidental de datos. Una deficiente protección de la información puede poner en riesgo los sistemas y servicios. No hay una solución universal, pero el RGPD establece que las organizaciones deben garantizar niveles de seguridad adecuados para mitigar los riesgos asociados al manejo de datos. 
• Plazo de conservación de los datos: reconocemos la importancia de la gestión responsable de los datos. Por lo tanto, Facephi no conserva los datos personales más allá del tiempo necesario para cumplir con los propósitos para los cuales fueron recopilados, en cumplimiento de los requisitos legales y normativos aplicables. 
• Reacción inmediata ante incidentes de seguridad: en Facephi nos comprometemos a actuar con rapidez, eficacia y siguiendo la normativa ante cualquier incidente de seguridad que pueda comprometer la confidencialidad o la integridad de los datos. Esta gestión puede llevarse a cabo de forma correcta dividiéndola en tres áreas: 
  • Seguimiento de los incidentes de seguridad de la información
  • Recogida de pruebas
  • Reacción ante incidentes de seguridad de la información 

Nuestra metodología respecto a la seguridad de los datos se basa en los postulados de la ISO 27701. Esta norma proporciona una guía para implementar, mantener y mejorar un Sistema de Gestión de la Privacidad de la Información (SGPI) como extensión de la ISO 27001 para la gestión de la privacidad en el contexto de organización. 

 

Privacidad digital: compromiso de Facephi con la protección de datos 

La política de protección de datos de Facephi se basa en los principios fundamentales del GDPR, garantizando así la privacidad, la seguridad y el cumplimiento normativo en todas sus operaciones. Los usuarios pueden confiar en que sus datos son nuestra máxima prioridad cuando interactúan con los productos y servicios de Facephi. 

Los avances recientes en los modelos de reconocimiento facial se han logrado gracias a la disponibilidad de grandes conjuntos de datos y modelos de aprendizaje profundo. Sin embargo, la recopilación de datos a gran escala realizada a través de internet plantea problemas legales, éticos y de privacidad. De esta forma, se valoran métodos alternativos como generar conjuntos de datos de rostros sintéticos y utilizar imágenes sintéticas para entrenar modelos de reconocimiento facial. No obstante, la generación de conjuntos de datos sintéticos con suficientes variaciones sigue siendo un área de investigación activa. 

Este planteamiento se ha llevado a cabo en el Winter Conference on Applications of Computer Vision (WACV) organizando un reto de Reconocimiento Facial en la Era de los Datos Sintéticos (FRCSyn). Se trata del primer reto internacional cuyo objetivo es explorar el uso de datos sintéticos en el reconocimiento facial para abordar las limitaciones existentes en la tecnología. En concreto, el FRCSyn Challenge aborda cuestiones relacionadas con la privacidad de los datos, los sesgos demográficos y las limitaciones de rendimiento en escenarios complicados (disparidades significativas de edad, variaciones de pose y oclusiones). Los resultados logrados en el FRCSyn Challenge contribuyen significativamente a la aplicación de datos sintéticos para mejorar la tecnología de reconocimiento facial. Los participantes desarrollaron y aplicaron estrategias inteligentes para utilizar conjuntos de datos sintéticos en el entrenamiento de modelos de reconocimiento facial. Todos los modelos enviados por los participantes fueron evaluados utilizando conjuntos de datos de referencia y clasificados según su rendimiento en estos conjuntos de datos. 

El potencial de los datos sintéticos en la verificación de identidad: resultados de Facephi 

En Facephi participamos en el FRCSyn Challenge para probar si los datos sintéticos podían sustituir a los datos reales en el entrenamiento de reconocimiento facial, si podían mitigar las limitaciones conocidas de la biometría facial y los desafíos éticos y legales asociados con la recopilación de datos a gran escala. Para ello se utilizan las más actuales arquitecturas de redes neuronales, y diversas técnicas de aumento de datos. 

Nuestro éxito se ha visto reflejado en los resultados, destacando frente al resto de los participantes y demostrando un desempeño excepcional en la primera tarea de calidad del conjunto de datos sintetizados. A la hora de valorar la capacidad para mitigar el sesgo y adaptarse a diferentes bases de datos, conseguimos, a través de la utilizaron datos sintéticos para entrenar los sistemas FR, ser de los mejores en mitigación y reducción del sesgo. Además, en la segunda tarea del concurso, que ofrecía libertad en la elección del modelo, conjunto de datos y entrenamiento, también demostramos resultados competitivos al demostrar la versatilidad y eficacia de nuestro enfoque en diferentes escenarios. Los jueces y expertos elogiaron la originalidad y la calidad de los métodos utilizados, reconociendo nuestro enfoque innovador y la contribución significativa al avance de la investigación en la generación de conjuntos de datos sintéticos para el reconocimiento facial. 

La Unión Europea ha dado un paso crucial al establecer un acuerdo sobre el Acta de Inteligencia Artificial que garantiza el desarrollo de la IA de forma segura. Su objetivo es proteger los derechos fundamentales, la democracia, el Estado de derecho y la sostenibilidad medioambiental frente a la IA, impulsando al mismo tiempo la innovación y construyendo una Europa líder en el sector. 

El Reglamento fija una serie de obligaciones para la IA en función de sus riesgos potenciales (riesgo inaceptable, alto, limitado y bajo) y su nivel de impacto. A través de esta ley, se prohíben aplicaciones de inteligencia artificial que infrinjan los derechos ciudadanos, como la categorización biométrica, la recopilación indiscriminada de imágenes faciales y el reconocimiento de emociones en entornos laborales y educativos. Se prohíbe el uso de sistemas de identificación biométrica en tiempo real por parte de las fuerzas de seguridad, a menos que exista autorización previa. Los sistemas de IA de alto riesgo deben evaluar y reducir los riesgos, establecer requisitos de transparencia y contar con supervisión humana. Por último, se proporcionarán espacios de prueba y desarrollo a las pymes y empresas emergentes para que puedan desarrollar y entrenar la IA. Para asegurar el cumplimiento de estas regulaciones, se han establecido sanciones significativas para las empresas que no cumplan con las normas, lo que demuestra el compromiso con la protección de los derechos y la seguridad de los ciudadanos. 

La verificación de identidad biométrica considerada de riesgo bajo  

En aquellos sistemas categorizados como de bajo riesgo, destaca la importancia de permitir a los ciudadanos decidir de forma libre, voluntaria e inequívoca acerca del uso de estas tecnologías, por lo que la verificación a través de biometría ha sido calificada como un riesgo bajo. El Comité Europeo de Protección de Datos (CEPD), en sus Directrices CEPD 5/2020 sobre el consentimiento, indica que los usuarios pueden dar su libre consentimiento cuando se les ha informado de los riesgos y los beneficios del tratamiento y el hecho de que otorguen o no dicho consentimiento no tenga consecuencias adversas. El Reglamento de Inteligencia Artificial resalta la participación activa de los interesados en todas las etapas del proceso, asegurando que se respete su privacidad y se proteja su información mediante técnicas avanzadas de cifrado. De este modo, esta forma de verificar la identidad se posiciona como una opción segura, eficiente y de bajo riesgo en el ámbito de la IA.

 

Implantación del Reglamento de la IA  

La implantación será gradual y se hará definitiva en 2026. Se designarán autoridades nacionales competentes para supervisar la aplicación de las normas, así como la creación de otros instrumentos europeos para regular la inteligencia artificial de forma efectiva. El consentimiento y la identidad digital se establecen como elementos fundamentales en un mundo impulsado por la inteligencia artificial, donde la transparencia y el control son clave para generar confianza y seguridad en las interacciones digitales. Para ello, se subraya la necesidad de regular la inteligencia artificial en sus etapas iniciales de desarrollo. 

El Reglamento de IA de la UE representa un paso fundamental hacia un futuro en el que la tecnología avanza rápidamente en armonía con nuestros valores, encontrando el equilibrio entre la innovación y la regulación para garantizar un uso ético y seguro de la inteligencia artificial. 

Facephi y su compromiso con la Regulación de la IA   

Con el mismo objetivo, en Facephi buscamos que el usuario esté plenamente informado y tenga capacidad de decidir si desea hacer uso o no de esta tecnología. Todas nuestras soluciones se crean bajo el principio de biometría ética, por lo que se diseñan solo para una verificación de identidad consentida. Buscamos garantizar su seguridad; con pleno respeto al derecho a la privacidad, así como a la legislación vigente en cada país en materia de protección de datos. Para nosotros, esta privacidad de los datos y la voluntariedad del usuario es totalmente innegociable.   

Las tecnologías de verificación de identidad deben garantizar el cumplimiento de las principales normas que regulan el sector, con el objetivo de que toda la información obtenida a partir del consentimiento del usuario se utilice para proteger lo más valioso: su identidad digital. 

Los ataques cibernéticos y de suplantación de identidad continúan en aumento y representan una grave amenaza para la seguridad de las empresas y los usuarios. Según un informe de Cybersecurity Ventures, se prevé que el coste de los daños por ciberdelitos alcance los $265 billones anuales para el año 2031. En este contexto, es fundamental fortalecer la seguridad en las aplicaciones y plataformas que utilizamos a diario.

Técnicas avanzadas para combatir deepfakes

En el ámbito de la verificación digital de la identidad existen actualmente dos vectores de ataques: los ataques de presentación o PAD por sus siglas en inglés y los ataques de inyección o IAD por sus siglas en inglés. En primer lugar, para garantizar que la tecnología de detección de ataques de presentación cumple con los estándares del Estado del Arte es imprescindible contar con certificaciones como iBeta Level 1 e IBeta Level 2, o estar bien posicionados en el FATE PAD del NIST.

Por otra parte, el vector de ataque de los deepfakes es algo más complejo. Para que un ataque de estas características tenga lugar, debe hacerse mediante un ataque de inyección. Actualmente, en el marco del grupo de trabajo CEN TC 224/WG18 “Biometric data injection detection”, se está trabajando en elaborar una norma ISO específica para este tipo de amenazas, dicho vector de ataque no cuenta actualmente con un esquema de certificaciones que pueda tomarse como referencia. Esto es así, debido a que la inyección de imágenes o vídeos afecta tanto al hardware como al software empleado para capturar las evidencias que verifican digitalmente la identidad. Por este motivo, es común observar enfoques que atacan el problema desde varias capas de seguridad:

• Técnicas basadas en proteger la seguridad e integridad tanto del software como del hardware empleado para la captura y comunicación de evidencias (ciberseguridad).
• Técnicas para evaluar la integridad del dato. Por ejemplo, mediante la implementación de marcas de agua, o mediante el análisis del origen de la muestra biométrica.
• Técnicas de análisis forense de la imagen. Dichas técnicas buscan detectar evidencias que sugieran inyección de imagen o vídeo.
• Técnicas basadas en IA para la detección de deepfakes, o para la detección de suplantación de caras. 

Facephi, garantizando la seguridad

En Facephi, aplicamos una estrategia de seguridad de varias capas, utilizando la inteligencia artificial para mejorar la precisión y la eficiencia del proceso de verificación de identidad. Los algoritmos de aprendizaje automático pueden ayudar a detectar y prevenir el fraude y el robo de identidades. No solo nos centramos en la detección de deepfakes, sino que también evaluamos el proceso de captura, procesamiento y análisis de la imagen en sí misma. Esto incluye ciberseguridad robusta, integridad del dato y el análisis de la imagen basado en inteligencia artificial.

La gestión de la identidad digital se vuelve cada vez más compleja debido, entre otros, al aumento de cuentas online por parte de los usuarios. Esta situación, sumado al crecimiento de la superficie susceptible a ser atacada, abre la puerta a muchos escenarios fraudulentos. En este contexto, con la llegada de la inteligencia artificial (IA) y su potencial para transformar y mejorar por completo la gestión de identidades, se están desarrollando soluciones más precisas, eficientes y seguras.  
 

¿Cómo puede la IA prevenir el fraude? 

La IA se ha convertido en una heramienta fundamental para detectar fraudes en identidad digital. Los modelos de gestión y verificación de la identidad digital basados en IA facilitan la detección de patrones anómalos y permite identificar y prevenir posibles actividades fraudulentas en el entorno digital. 

Además, la IA generativa (GenAI), está siendo empleada con éxito para extraer información accionable (accionable insights) y resaltar operaciones potencialmente fraudulentas. Este enfoque proactivo, frente al enfoque reactivo tradicional, permite a las organizaciones anticiparse a posibles amenazas y tomar medidas preventivas de manera eficiente. 

 

Protección frente identidades generadas por IA 

Aunque la inteligencia artificial ofrece beneficios para proteger la identidad digital, desde la detección temprana de amenazas hasta la autenticación biométrica avanzada, es crucial conocer que esta tecnología también puede usarse maliciosamente para perpetrar fraudes de identidad.  

La ciberdelincuencia ha evolucionado con el tiempo, adoptando técnicas cada vez más sofisticadas. El fenómeno del deepfake es un ejemplo destacado de cómo la IA se utiliza para generar réplicas convincentes de personas reales, lo que plantea serios desafíos en términos de verificación de identidad. 

Estos avances tecnológicos han impulsado la necesidad de implementar soluciones más avanzadas y seguras para verificar la identidad digital de las personas. Los desafíos presentados por la IA, como los deepfakes, hacen evidente que nuestras soluciones deben ser aún más sólidas para proteger la integridad de nuestras identidades en línea. 

 

Innovación en seguridad con IA 

En el futuro, se espera que la IA continúe desempeñando un papel crucial en la gestión de identidades digitales. Desde Facephi estamos liderando el camino implementando modelos de IA en nuestras soluciones para garantizar la seguridad en la gestión de identidades digitales. Estas iniciativas son esenciales para construir una sociedad digital inclusiva y segura. 

En un mundo cada vez más conectado, la inteligencia artificial se presenta como una herramienta indispensable para garantizar la seguridad y autenticidad en el entorno digital. Ponte en contacto con nosotros y nuestros asesores expertos te guiarán a lo largo del proceso, asegurándose de ofrecerte la mejor solución adaptada a tus necesidades tecnológicas. Nos dedicamos a personalizar tu proyecto y darle forma para cumplir tus requisitos y objetivos.    

Desde el inicio de la pandemia de Covid-19, cada vez más servicios públicos y privados son digitales lo que requiere sistemas de identificación digital seguros y fiables. En este contexto, el Reglamento sobre identificación electrónica, autenticación y servicios de confianza (eIDAS) de 2014 juega un papel fundamental en la Unión Europea al establecer normas técnicas y de seguridad para la identificación electrónica. Desde su implementación, el eIDAS ha creado un marco que permite la interoperabilidad de los sistemas nacionales de identificación electrónica, garantizando la confianza en las transacciones online y fomentando la adopción de servicios digitales seguros por parte de los ciudadanos europeos. 
 

El Wallet europeo impulsado por la actualización eIDAS 2024 

En febrero de 2024, el Parlamento Europeo aprobó una actualización del marco europeo de identidad digital que sentó las bases para acceder de forma segura a los servicios y realizar transacciones en la UE. Esta actualización establece la expedición de un wallet europeo de identidad digital en todos los Estados miembros. Este wallet digital formará parte de un sistema de identidad electrónica, bajo normas técnicas comunes y certificación obligatoria. 
 
La aprobación del acuerdo provisional entre el Parlamento Europeo y el Consejo es un paso significativo hacia la implementación de la identidad digital europea creando un ecosistema digital seguro, confiable e interoperable. Con esta actualización, se espera que al menos el 80% de las personas utilicen una identidad digital, permitiendo a los usuarios tener el control sobre sus datos y poder acceder a servicios públicos clave a través de las fronteras de la UE para 2030. 

Beneficios clave del nuevo Wallet digital europeo 

• Acceso a servicios públicos: Los ciudadanos pueden utilizar su identidad digital europea para acceder a servicios públicos: solicitar certificados, hacer trámites administrativos y declaraciones de impuestos. 

• Servicios privados: Abrir una cuenta bancaria, solicitar una plaza universitaria en otro país de la UE, o alquilar un coche. 
   
• Normas mejoradas: La actualización del marco europeo de identidad digital establece normas técnicas y de seguridad mejoradas para los sistemas nacionales de identificación electrónica. Esto garantiza que los sistemas funcionen entre sí y que los ciudadanos tengan control sobre sus datos personales. 

En Facephi, nuestras soluciones están basadas en la excelencia tecnológica y la innovación y así lo demuestra Facephi Wallet que se presenta como una solución segura y confiable para almacenar y gestionar la identidad digital. Al estar en línea con el marco europeo de identidad digital, Facephi Wallet contribuye a la creación de un ecosistema digital seguro y confiable en la Unión Europea. Con su implementación, se espera que los ciudadanos europeos puedan acceder de manera más eficiente a servicios públicos y privados, garantizando la privacidad y la seguridad de sus datos personales.  

Las estrategias de seguridad digital progresan hacia el modelo denominado Continuous Adaptive Trust (CAT), representando una evolución significativa desde la perspectiva del Zero Trust. Esta transformación ensalza el cambio hacia una evaluación y gestión continuas de los riesgos asociados a cada acceso y a cada transacción que tenga lugar en una plataforma, pasando de un simple control perimetral (autenticación) al de evaluación continua (Zero Trust). 

Existen diferentes escenarios donde la autenticación de usuarios y las vulnerabilidades asociadas con prácticas como contraseñas débiles y reutilizadas suponen desafíos en la protección de la identidad digital. La implementación del CAT vela por estas soluciones añadiendo una capa de seguridad a la identidad de los usuarios, con el fin de identificar posibles evidencias de fraude o posibles evidencias de suplantación de identidad. 

Seguridad proactiva: casos de uso del modelo CAT 

El modelo CAT subraya que los riesgos de seguridad relacionados con contraseñas convencionales se solucionan con la adopción de métodos de autenticación más avanzados, como el método sin contraseña Passkeys o Identidades Digitales Reutilizables, así como la relevancia de la Alianza FIDO y la mejora de la autenticación multifactor (AMF) mediante la evaluación continua del uso de identidades. Aún así, a pesar de sus ventajas, existen limitaciones asociadas con la implementación universal. 

Una vez presentado este modelo de seguridad digital, el paradigma de identidad Zero Trust se presenta como una alternativa, sustituyendo la confianza implícita con una evaluación continua.  

En el sector bancario también se conocen estas transacciones no autorizadas, donde La Directiva de Servicios de Pago PSD2 y la implementación de la autenticación reforzada de clientes (SCA) funcionan como respuesta jugando un papel fundamental. 

La integración de tecnologías de inteligencia artificial (IA) y aprendizaje automático (ML) en sistemas de gestión de acceso e identidad del cliente (Identity Fabric) se plantea para evaluar riesgos y comportamientos biométricos. Además, se explora la posible adopción de identidades digitales verificables basadas en credenciales, como el protocolo OpenID, con el propósito de fortalecer la resistencia a la suplantación de identidad, especialmente en monederos digitales. 

CAT y Facephi 

La tesis fundamental es que además de implementar medidas de autenticación phishing resistant para proteger el acceso perimetral a una plataforma, como por ejemplo mediante Passkeys o mediante Identidades Digitales Reutilizables, el CAT implica asimismo evaluar continuamente la información contextual (eventos) de forma tal que pueda identificarse de manera temprana posibles evidencias que sugieran fraude o suplantación de una identidad. En este sentido, el CAT implementa políticas de seguridad activas y flexibles dotando a la plataforma cierto grado de resiliencia que se adaptan a distintas situaciones de riesgo. 

En Facephi somos especialistas en soluciones de verificación de la identidad digital de los usuarios, centrándonos en crear procesos digitales seguros, accesibles y libres de fraude. Estamos comprometidos con la innovación e integramos la inteligencia artificial, machine learning y las tecnologías blockchain en nuestras soluciones. 

Ponte en contacto con nosotros y nuestros asesores expertos te guiarán a lo largo del proceso, asegurándose de ofrecerte la mejor solución adaptada a tus necesidades tecnológicas. Nos dedicamos a personalizar tu proyecto y darle forma para cumplir tus requisitos y objetivos.  

 

La evolución tecnológica ha transformado la forma en que interactuamos con el mundo digital, pero junto con estos avances, surge la necesidad crucial de proteger la privacidad y los datos personales. En este blog, exploraremos tres aspectos fundamentales: la Evaluación de Impacto en la Protección de Datos Personales (EIPD), el artículo 35 del RGPD que aborda la evaluación de impacto y cómo Facephi asegura la protección de datos biométricos. 

 

EIPD en el contexto de la normativa de datos 

La Evaluación de Impacto en la Protección de Datos Personales (EIPD), también conocida como Privacy Impact Assessment (PIA) en inglés, se convierte en una herramienta cuando sea probable que un tratamiento vaya a entrañar un alto riesgo para los derechos y libertades de las personas. Es un ejercicio detallado de análisis de riesgos que abarca sistemas de información, productos o servicios. Esta evaluación permite la identificación y gestión proactiva de los riesgos para la privacidad, fortaleciendo la seguridad de los datos personales.  

 

Artículo 35 RGPD: Evaluación de Impacto relativa a la Protección de Datos 

El artículo 35 del Reglamento General de Protección de Datos (RGPD) establece claramente la obligación de realizar una Evaluación de Impacto antes de llevar a cabo ciertos tratamientos de datos que podrían entrañar un alto riesgo para los derechos y libertades individuales.  Esta evaluación incluye: 

• Una descripción sistemática de las operaciones de tratamiento previstas y de los fines del tratamiento, inclusive, cuando proceda, el interés legítimo perseguido por el responsable del tratamiento. 
• Una evaluación de la necesidad y la proporcionalidad de las operaciones de tratamiento con respecto a su finalidad. 
• Una evaluación de los riesgos para los derechos y libertades de los interesados a que se refiere el apartado 1. 
• Las medidas previstas para afrontar los riesgos, incluidas garantías, medidas de seguridad y mecanismos que garanticen la protección de datos personales, y a demostrar la conformidad con el presente Reglamento, teniendo en cuenta los derechos e intereses legítimos de los interesados y de otras personas afectadas. 

Es una medida proactiva que busca asegurar la conformidad con el RGPD y proteger los derechos e intereses de las personas.  

La Agencia Española de Protección de Datos (AEPD) establece una lista de tratamientos en la que, de cumplirse dos o más criterios, se debe realizar la EIPD. En ella están los tratamientos que impliquen el uso de categorías especiales de datos, uso de datos biométricos con el propósito de identificar de manera única a una persona física, uso de nuevas tecnologías, etc… 

 

El Compromiso de Facephi 

Los datos biométricos son únicos y sensibles, abriendo un mundo de posibilidades y desafíos. En este contexto, es crucial que el nivel de seguridad sea óptimo. Facephi, como líder en protección y verificación de identidad digital, destaca por su compromiso en garantizar la máxima seguridad para los datos biométricos.  ¿Todavía no sabes cómo protegemos tus datos biométricos? 

En un mundo cada vez más digitalizado, la protección de datos es una responsabilidad compartida. Desde la evaluación de impacto hasta la seguridad de los datos biométricos, cada medida es un eslabón crucial en la cadena de la privacidad digital. Facephi, a través de su innovación y compromiso, nos muestra cómo la tecnología puede avanzar sin comprometer la seguridad y la privacidad de los usuarios. 

Proteger la identidad digital es un reto continuo, pero con herramientas como la EIPD, el cumplimiento de la normativa y tecnologías de protección de la identidad avanzadas, estamos un paso más cerca de un futuro digital más seguro y respetuoso con la privacidad.  

La reciente implementación por parte del Banco Central de Catar (QCB, por sus siglas en inglés) de nuevas regulaciones e-KYC supone un avance decisivo en la digitalización del sector financiero. Estas normativas son fundamentales para reforzar la seguridad y agilizar las operaciones en la banca moderna, y subrayan los esfuerzos de Catar para crear un sector financiero seguro y tecnológicamente avanzado, en línea con los estándares internacionales.  Al integrar medidas como la verificación de identidad con NFC, controles biométricos avanzados y estrictos protocolos de protección de datos, estas regulaciones suponen un claro avance en el cumplimiento y la innovación de la banca digital.

En esta entrada, te mostraremos una descripción general de los cambios más relevantes y explicaremos cómo las soluciones de Facephi contribuyen a que las instituciones financieras se adapten sin problemas a los requisitos más estrictos de la QCB. 

 

Una descripción general de las nuevas regulaciones e-KYC de Catar  

Las regulaciones e-KYC de QCB establecen un marco integral para los procesos de documentación, registro, identificación y verificación de clientes en el sector financiero.  Entre los puntos clave, se encuentran:

• Las entidades reguladas que deseen implementar procesos e-KYC u ofrecerlos por medio de terceros estarán obligadas a obtener la aprobación del QCB. 
• La recopilación de datos personales debe estar claramente definida y siempre basada en el consentimiento. 
• Será obligatorio el uso de un documento nacional de identidad y del pasaporte compatible con la OACI para titulares de documentos de identidad no cataríes. 
• Deberán emplearse las tecnologías de escaneo y NFC para hacer más eficiente la recopilación de datos. 
• Se vincularán los protocolos con la Ley de Protección de Privacidad de Datos Personales para mayor seguridad en la información.  
• Se permitirá el uso de IA y aprendizaje automático para hacer más precisas la identificación y la verificación con las soluciones e-KYC. 
• Las soluciones e-KYC deberán ser compatibles con identificación de texto, texto a voz y con los idiomas árabe e inglés. 
• Las entidades deberán garantizar la validez y la autenticidad de los documentos de identificación que se muestren. 
• Será obligatorio efectuar una evaluación continua y examinar las listas de sanciones nacionales y de otros rangos. 
• Se recomendará utilizar opciones de registro multicanal, como aplicaciones móviles y portales digitales. 
• El almacenamiento y la transmisión de datos deberán integrar algoritmos de cifrados sólidos. 
• Se aplicarán los estándares de geocerca (geo-fencing) y la verificación de IP para la verificación de ubicación. 
• Las entidades deberán implementar medidas de autenticación multifactor. 
• Se animará a las entidades a utilizar tecnologías biométricas avanzadas, como el reconocimiento facial y el escaneo de huellas dactilares, para una verificación de identidad mejorada, de acuerdo con los últimos estándares en autenticación segura de clientes. 
• Con el fin de prevenir el fraude, se efectuarán análisis aleatorios de seguridad en tiempo real que faciliten la detección de actividad. 

• Las soluciones e-KYC deberán implementar técnicas de verificación visual para la autenticidad de los documentos. 

 

Cumplimos con las nuevas regulaciones  

Las innovadoras soluciones de verificación de identidad de Facephi están en línea con las nuevas regulaciones e-KYC de QCB. Contamos con tecnología de vanguardia diseñada para satisfacer las necesidades dinámicas de las instituciones financieras modernas. Es clave para garantizar que se mantengan al frente de un panorama digital en constante evolución. 

• Soporte multibiométrico avanzado, que incluye datos faciales, de huellas dactilares y de comportamiento.  
• Compatible con NFC y tecnología habilitada para OCR que lee a la perfección árabe e inglés. 
• La detección aleatoria avanzada garantiza una óptima prevención del fraude. 
• Tecnología de algoritmo sofisticada para contrarrestar el fraude y cumplir con las regulaciones AML. 
• La geocerca, la verificación de IP y la autenticación multifactor mejoran la seguridad. 
• Recopilación de datos basada en el consentimiento y los de cifrado y almacenamiento de datos más exigentes. 
• Detección continua de PEP, sanciones, listas negras y listas de incidentes en tiempo real a través de la sincronización de datos con las autoridades y otras bases de datos. 
• Soluciones de integración flexible que incluyen SaaS, medios híbridos o locales, para una perfecta autenticación multifactor. 

El compromiso de Facephi con Oriente Medio  

Nuestras soluciones, diseñadas con precisión y cuidado, no solo cumplen, sino que superan los requisitos establecidos por la QCB, lo que garantiza que las instituciones financieras puedan realizar fácilmente la transición a esta nueva era de la banca digital.  

Como proveedor con el mayor número de clientes financieros, incluidos bancos y empresas de tecnología financiera líderes a nivel mundial, Facephi se encuentra en una posición única. Estamos listos para asociarnos con instituciones financieras en Catar y más allá, aprovechando nuestra amplia experiencia y base de clientes para impulsar el futuro de los servicios financieros seguros e innovadores. 

Para obtener más información sobre la verificación de identidad para servicios financieros con Facephi, haz clic aquí.  

Como ya vimos en Comprobante de domicilio en la UE (Parte 1) demostrar tu domicilio es un procedimiento crucial que permite garantizar la autenticidad y validez de muchos trámites administrativos y comerciales. A lo largo de esta segunda parte, exploraremos los documentos aceptados como comprobante de domicilio, las diferencias entre los países de la UE en términos de requisitos, idioma y regulaciones para extranjeros. Analizaremos, además, los desafíos y puntos de mejora y ofreceremos recomendaciones para mejorar la eficiencia y simplificar el proceso, como mejorar la infraestructura digital y utilizar soluciones de verificación automatizada. 

 

Documentos generalmente aceptados como comprobante de domicilio 

Una serie de documentos son comúnmente aceptados en los Estados miembros de la UE. Sin embargo, ten en cuenta que la validez de estos documentos puede variar según la institución y el país. A continuación, presentamos un listado con distintos formatos de comprobante de domicilio aceptados:  

1. Facturas de servicios. 
2. Extractos bancarios o estados de cuenta. 
3. Notificaciones oficiales de la Administración Pública.  
4. Contratos de alquiler o estados de cuenta del pago completo de la hipoteca. 
5. Pólizas de seguro 
6. Certificado de matriculación del vehículo. 
7. Certificado emitido por la empresa o centro educativo del que se forme parte.  

Es esencial asegurarse de que el documento que proporciones no solo esté actualizado, sino que también muestre claramente tanto tu nombre como tu dirección. Algunas instituciones pueden exigir que el documento esté en un idioma específico o que tenga una traducción oficial (jurada en España) si está en un idioma extranjero.  

  

Requisitos específicos del país en la UE 

Si bien los tipos de documentos aceptados como prueba de domicilio son generalmente válidos en toda la Unión Europea, puede haber diferencias importantes entre países. En esta línea, se incluyen:  

Diferencias entre documentos válidos

Algunos países de la UE pueden tener formatos propios de documentos aceptados como comprobante de domicilio. Por ejemplo, algunos Estados pueden exigir certificados de residencia o empadronamiento emitidos por el ayuntamiento, mientras que otros pueden priorizar facturas de servicios o extractos bancarios.

Requisitos lingüísticos

En ciertos casos, los documentos deben estar en el idioma oficial del país o deben disponer de una traducción oficial (jurada en España).

Documentos digitales o físicos

Hay países que aceptan extractos bancarios en formato digital, pero otros exigen que se presenten los documentos en su versión física.

Regulaciones específicas para extranjeros

Puede haber requisitos diferentes para los no ciudadanos o residentes de países extracomunitarios (fuera de la UE). Dependiendo del caso, se pueden pedir formatos diferentes de un documento o un comprobante más específico y, por tanto, más estricto que para el resto de ciudadanos.

Políticas de las administraciones locales

En ocasiones, las administraciones locales de un país pueden tener su propia normativa con respecto al comprobante de domicilio, que pueden diferir de las pautas nacionales. 

 

Desafíos que presenta el comprobante de domicilio 

Si bien ha habido avances significativos en el comprobante de identidad, todavía existen varios problemas. Estos incluyen: 

Falta de un formato estandarizado

Hay miles de documentos que pueden ser válidos y no son uniformes entre sí, lo que complica la verificación de un comprobante de residencia y hace que, a menudo, sea inabarcable.

Proceso complicado e ineficiente

Para muchas personas, el proceso de búsqueda, digitalización, envío y espera por la verificación de los documentos de comprobante de domicilio puede resultar complejo. Lo más importante es que es cada vez más probable que resulte en un abandono total de la incorporación.

Costes derivados de los documentos

Las comprobaciones manuales de los documentos de comprobante de domicilio no solo son propensas a errores y retrasos en los trámites, sino que también pueden resultar caras. Gestionar docenas de solicitudes al mes puede ser factible, pero, cuando hablamos de cientos o miles, es inevitable que se den desafíos logísticos y financieros. La necesidad de mantener registros, volver a verificar y otras tareas relacionadas con los documentos solo provoca que el coste aumente. 

  

Mejores prácticas para la documentación de prueba de domicilio 

Para abordar estos desafíos, es fundamental adoptar las mejores prácticas al tramitar documentación de prueba de domicilio. Entre estas, se incluye: 

Mejorar la infraestructura digital

Mejorar la infraestructura digital para tramitar con más eficiencia los documentos digitales, adoptando medidas de seguridad más robustas e interfaces fáciles de usar, puede solucionar muchos de los problemas asociados a la dependencia del formato físico (en papel). 

Verificación mediante geolocalización

Este método puede complementar las pruebas convencionales basadas en documentos y ofrecer una capa adicional de verificación, más eficiente e innovadora. 

Automatización y soluciones digitales

Aprovechar la tecnología para automatizar el proceso de verificación contribuye a reducir de manera significativa los errores humanos y los tiempos de gestión para que el proceso de validación sea más eficiente y sencillo. 

Para obtener más información sobre cómo Facephi puede transformar el KYC y los procesos de tramitación en tu organización con soluciones innovadoras, haz clic aquí.  

Qué es la biometría de comportamiento y cómo funciona   

La tecnología biométrica del comportamiento es una tecnología de alta precisión para autenticar a los usuarios en función de sus patrones de comportamiento. Reconoce características únicas e individuales en la forma en la que las personas escriben y se relacionan con sus dispositivos móviles u ordenadores, lo que facilita la identificación precisa de los usuarios.   

La identificación digital mediante biometría del comportamiento es tan única para cada persona como sus huellas dactilares. Con esta técnica, es posible verificar la identidad de un usuario de manera rápida y precisa en diferentes sesiones, así como mantener una verificación continua de su identidad en una misma sesión.

Verificación continua a través de biometría de comportamiento  

La detección de algún comportamiento anómalo o inusual durante la sesión de un usuario puede ser una indicación de que alguien está intentando suplantar su identidad o que se está produciendo un intento de fraude, un ataque o una violación de seguridad. En su Informe sobre el costo de una violación de datos de 2023, IBM afirma que “solo el 28% de las organizaciones utilizaron ampliamente la inteligencia artificial y la automatización de seguridad en sus operaciones, lo que significa que muchas organizaciones tienen una oportunidad significativa de mejorar su velocidad, precisión y eficiencia”. Como solución al riesgo de violación de datos en la identidad digital IBM propone “soluciones de identidad y seguridad de datos impulsadas por IA ya que pueden ayudar a impulsar una postura proactiva de seguridad identificando transacciones de alto riesgo, protegiéndolas con mínima fricción del usuario y detectando comportamientos sospechosos de manera más efectiva”. 

El paradigma Zero Trust Identity actualiza el proceso de autorización del ya conocido Multi-Factor Authentication (MFA), a un método de autenticación de Continuous Adaptative Trust (CAT), permitiendo una verificación continua de la identidad a través de biometría de comportamiento. La infraestructura aprende de patrones de comportamiento obteniendo información útil en tiempo real sobre el funcionamiento de todo el ecosistema, evaluando y gestionando de forma dinámica y continua los riesgos de cada acceso o cada transacción. Este proceso es el considerado de confianza cero (Zero Trust), en lugar de un método de autenticación estático o único. 

La implementación de motores basados en ML (Machine Learning) o AI (Artificial Intelligence) permite recopilar y analizar información del ecosistema como credenciales, ubicación, métricas de dispositivos, conexión de red o transacciones entre otras. 

Implementación de la biometría de comportamiento en Facephi 

El sistema recopila diferentes parámetros a través de la biometría del comportamiento: cómo un usuario usa un dispositivo, capas de análisis de comportamiento o cuándo, desde dónde y a qué accede el usuario. También proporciona información sobre el dispositivo y la red, incluidos todos los datos asociados que se utilizan para acceder a un sitio web protegido o un servidor de aplicaciones móviles.  

Es un “ciber-ADN” construido usando diversos parámetros sobre el contexto del usuario basados en biometría de comportamiento, análisis de comportamiento y perfiles de dispositivos, datos de red, geolocalización, patrones de malware y otros datos de inteligencia de amenazas. En tan solo dos interacciones, puede identificar a la persona real detrás de cada usuario con una precisión del >99% en cuestión de milisegundos. También detecta anomalías, califica riesgos y genera alertas, permitiendo a las empresas configurar fácilmente el sistema para controlar los casos de fraude automáticamente.  

La biometría de comportamiento en Facephi utiliza un sistema híbrido de IA que usa algoritmos de aprendizaje profundo bajo supervisión experta. El sistema está diseñado para detectar patrones de uso sospechosos, sin necesidad de conocer la biometría del usuario. Esta capacidad, ayuda a prevenir la apertura de cuentas fraudulentas durante el proceso de onboarding al detectar comportamientos dudosos como cambios en la forma de teclear, cambios de foco en la pantalla o tiempos de respuesta anormales.   

Desenvolverse en los procesos burocráticos en la Unión Europea (UE) suele ser complicado, especialmente, cuando se trata de algo tan básico como demostrar tu domicilio. Este requisito es compartido por numerosos trámites cotidianos, como abrir una cuenta bancaria, acceder a los servicios de tu ayuntamiento o dar de alta a los suministros de la vivienda.  

El comprobante de domicilio no es solo una formalidad, sino un procedimiento esencial para garantizar la legitimidad y adecuación de incontables trámites administrativos y comerciales. Por tal motivo, este blog tiene como objetivo desmitificar el proceso y ofrecer información sobre los distintos requisitos en los Estados miembros de la UE, las complicaciones más frecuentes y las mejores prácticas. 

  

¿Qué es el comprobante de domicilio? 

En la Unión Europea, el comprobante de domicilio es un documento clave para confirmar tu dirección oficial para relacionarte con distintas entidades, desde bancos hasta administraciones públicas. No es una mera formalidad, es una parte esencial de la verificación de identidad que contribuye a mantener la integridad y adecuación de los servicios bancarios y de instituciones públicas o incluso tu derecho al voto.  

Por lo general, lo lógico es que el comprobante de domicilio sea un documento reciente (normalmente, con una antigüedad no superior a los tres o seis meses) en el que aparezcan tanto tu nombre como tu dirección.  

  

¿Por qué es importante el comprobante de domicilio? 

El comprobante de domicilio en la UE desempeña una función primordial en varios sentidos:  

Prevención del fraude

Verificar la residencia de una persona contribuye a que las instituciones reduzcan el riesgo de fraude. En este sentido, se combate la suplantación de identidad, los fraudes financieros y otras actividades ilegales que requieren el uso de direcciones falsas o imposibles de comprobar. 

Cumplimiento regulatorio

 Las instituciones financieras, en particular, están sujetas a marcos regulatorios estrictos que exigen mantener un alto nivel de due dilligence (diligencia debida).  El comprobante de domicilio es un documento fundamental de este sentido, ya que ayuda a garantizar que los bancos y otras entidades financieras cumplen con las normativas Anti Money Laundering y Know your customer.

Precisión de los registros

Las instituciones públicas, los centros médicos y otros servicios públicos necesitan tener información precisa sobre las direcciones para facilitar sus servicios de manera eficiente. Tener tu dirección actualizada es esencial para recibir y planificar los servicios públicos, como ejercer tu derecho al voto, pagar los impuestos, acceder a los servicios de emergencia o tener reconocimiento en el Sistema Nacional de Salud.

Establecer la residencia

En la UE, verificar la residencia es crucial para numerosos trámites administrativos. Entre ellos, se incluyen acceder a las prestaciones de la sanidad pública, recibir el derecho a educación, obtener el carné de conducir o votar en las elecciones municipales. En todos estos casos, el comprobante de domicilio es fundamental para que confirmes tu residencia.

Confianza y seguridad

En un plano más amplio, la prueba de domicilio genera una sensación de confianza y seguridad dentro del sistema. Ofrece una garantía tanto a instituciones como a ciudadanos de que las relaciones y transacciones en que desempeñan se mantienen entre residentes certificados como tales. Esta práctica no solo mejora la seguridad en general, sino que también refuerza la confianza e integridad de la acción que realizan las administraciones públicas.  

Facephi está a la vanguardia de estas soluciones digitales y ofrece medios para verificar la residencia que son preciso y automatizados en segundos. Al integrar tecnologías de geolocalización y verificación de edad, Facephi garantiza una experiencia de tramitación y KYC (Know your Customer) rápida, segura y completa. Este enfoque innovador no solo agiliza el proceso de verificación, sino que también mejora la precisión y veracidad de los datos recopilados.  

Para obtener más información sobre cómo Facephi puede transformar el KYC y los procesos de tramitación en tu organización con soluciones innovadoras, haz clic aquí.  

Para conocer más detalles sobre los documentos aceptados como comprobante de domicilio, requisitos y desafíos, consulta la parte II de este blog. 

En un entorno digital en continua transformación, la verificación de la identidad digital es esencial para construir un mundo más seguro e innovador. En Facephi somos referentes en verificación de la identidad digital y así lo ha confirmado Gartner en su última Market Guide for Identity Verifcation. Facephi ha sido nombrado proveedor de referencia en la categoría de “Verificación de la Identidad digital”.  
 

Facephi afianza su liderazgo en verificación de la identidad digital  

Con esta nueva mención de Gartner, nuestra presencia y posicionamiento en el mercado de verificación de la identidad digital se ve reforzada. Este reconocimiento como proveedor de referencia refuerza nuestro compromiso de construir un futuro de identidad digital sólido, basado en la protección y la innovación tecnológica. Gartner confirma en su informe la importancia de que la identidad digital sea segura y de confianza y así, lo garantizamos en Facephi. A través de una gestión integral de la identidad digital ofrecemos soluciones que se adaptan a las necesidades específicas de cada mercado y cliente.  
 

El mercado de verificación de la identidad digital requiere soluciones avanzadas 

En el contexto actual, garantizar la seguridad y la protección de las organizaciones y de sus clientes es primordial para prevenir amenazas como la suplantación de identidad o el fraude. Así lo asegura Gartner en su informe “Crece la preocupación entre las organizaciones sobre si los ataques habilitados por IA que utilizan deepfakes debilitarán la integridad del proceso de verificación de la identidad”.  
 
Con procesos de verificación de identidad sólidos y especializados en detectar deepfakes, entre otros, las empresas pueden facilitar interacciones remotas más seguras y eficientes. Nuestra tecnología, tal y como demuestra el reciente informe del NIST, nos posiciona como líderes en la detección de ataques de presentación facial (PAD) pasivos.  
 
Esta Guía de Mercado explica cómo la verificación de la identidad ayuda a mejorar la seguridad, el cumplimiento normativo y la confianza a través de los diferentes usos de la tecnología. Destaca la importancia de “Diferenciarse entre proveedores centrándose en características ajenas al proceso verificación de la identidad como la implementación de código bajo, la mejorada del fraude y la conectividad con fuentes de afirmación de datos”.   
 
En Facephi, desarrollamos nuestras soluciones basadas en la excelencia tecnológica con procesos de implementación low-code y la innovación, siendo la seguridad, protección y experiencia de usuario los principales impulsores del crecimiento. 
 
De entre los múltiples factores que afectan a la hora de elegir la estrategia de verificación de identidad (gestión de presentación de ataques, implementación de procesos  low-code etc) Gartner destaca la demanda de soluciones de identidad digital portables junto con la verificación de identidad “Prepárese para un futuro basado en la identidad digital portátil evaluando la verificación de la identidad”. Las empresas de verificación de la identidad digital, como Facephi, tienen un papel clave ya que permitirán la identificación online de forma fehaciente en soluciones de identidad digital portables.  

Facephi referente en verificación de identidad digital 

Para nosotros, la verificación de la identidad digital tiene un papel fundamental en la protección de la identidad del usuario y de las organizaciones. La recomendación de Gartner en su Market Guide refuerza este posicionamiento y como, a través de tecnología biométrica, en especial la biometría de comportamiento, protegemos de forma integral el customer journey para salvaguarda la identidad del usuario durante todo el proceso. Además, plantea la necesidad de un modelo de gestión y monitorización integral del proceso “solicitar métricas para el proceso básico de verificación de identidad” a través de una plataforma de identidad. En este caso, nuestra plataforma Facephi Identity Platform permite diseñar, implementar y monitorizar cualquier proceso de onboarding y autenticación de acuerdo con las regulaciones vigentes y los más altos estándares de seguridad.  

Gartner, Market Guide for Identity Verification, Akif Khan, Robertson Pimentel, and 2 more, 7 September 2023 

GARTNER is a registered trademark and service mark of Gartner, Inc. and/or its affiliates in the U.S. and internationally and is used herein with permission. All rights reserved. 

Gartner does not endorse any vendor, product or service depicted in its research publications, and does not advise technology users to select only those vendors with the highest ratings or other designation. Gartner research publications consist of the opinions of Gartner’s research organization and should not be construed as statements of fact. Gartner disclaims all warranties, expressed or implied, with respect to this research, including any warranties of merchantability or fitness for a particular purpose.

La identidad digital se ha convertido en un activo invaluable, donde las tendencias tecnológicas están evolucionando rápidamente ofreciendo soluciones más robustas y seguras. En el centro de esta revolución se encuentra Facephi, liderando el camino hacia la protección y verificación de la identidad digital. A continuación, analizaremos algunas de las tendencias clave que definirán el panorama de la seguridad de la identidad digital en 2024. 

Entornos híbridos y entornos multicloud: La infraestructura IAM como tejido identitario

El uso cada vez más extendido de entornos híbridos o multicloud está transformando la forma en que abordamos la gestión de identidad y acceso (IAM). La infraestructura IAM se está convirtiendo en un tejido identitario flexible que respalda una variedad de casos de uso para todo tipo de entidades. Facephi, consciente de esta tendencia, adapta sus soluciones para brindar un soporte integral tanto en entornos híbridos como en entornos multi-cloud, proporcionando a los usuarios una experiencia segura y fluida en cualquier tipo de entorno.  

Identity fabric: Autenticación continua

La gestión de identidad y acceso (IAM) asume la responsabilidad de integrar tecnologías de autenticación y de análisis continuo de comportamiento y de detección de riesgo en el tejido identitario.  Por otra parte, las características morfológicas del tejido identitario permiten la implementación de modelos generativos (GenAI) y de modelos basados en ML (Machine Learning) para extraer insights y la detección de fraude. La gestión de identidad y acceso es uno de los conceptos clave que destaca Gartner en su 2023 Market Guide for Identity Verification en el que Facephi es nombrado como proveedor de referencia.  

Integración de identidades portables e identidades reusables: La nueva frontera de AM

La integración de portable digital identity y reusable identity, redefine la forma en que se gestionan las identidades digitales en productos de AM (Access Management). Esta tendencia ofrece características que abarcan tanto opciones de gestión de la identidad digital centralizada, como opciones de gestión de identidades digitales decentralizadas (DCI). Anteriormente conocida como «bring your own identity» (BYOI), la integración de Portable Identity representa un cambio hacia una gestión de identidad más fluida y adaptable.  

Wallet: Para la gestión de la identidad digital

Existen muchas propuestas de wallets digitales. La mayoría están orientadas a la gestión de activos digitales, y a la gestión de transacciones financieras. Otros están explorando casos de uso para la gestión de la identidad digital. Europa lidera un proyecto muy ambicioso, EU Digital identity Wallet, que definirá probablemente un aspecto muy relevante de la relación de los ciudadanos con la administración pública. Mientras, el resto del mundo está explorando también varias alternativas que van desde propuestas centralizadas, descentralizadas, híbridas, basadas en los estándares ISO (e.g. ISO/IEC 18013 o ISO/IEC 23220), o basadas en credenciales verificables (VCs) y en identificadores descentralizados (DIDs).  

IA: Confianza en la gestión de la identidad digital 

La IA es una parte clave para una gestión de la identidad digital basada en la confianza. Observamos modelos basados en IA para la detección de fraude. En este último caso, se dan implementaciones para analizar la información contextual de las interacciones en los tejidos de identidades con el objetivo de detectar comportamientos anómalos. Además, podemos identificar modelos basados en IA generativa (GenAI) empleados para extraer información accionable o destacar operaciones potencialmente fraudulentas. Durante 2024 Facephi continuará implementando modelos de IA, en todo su rango de operación, para garantizar la seguridad en la gestión de las identidades digitales. 

Facephi se encuentra al día de las tendencias que marcarán el 2024 en cuanto a protección y verificación de la identidad digital. Desde la adaptación a entornos híbridos y multicloud hasta la integración de identidades portátiles y la implementación de wallets. Facephi está comprometido en ofrecer soluciones de vanguardia que no solo protejan, sino que también mejoren la experiencia del usuario en el siempre cambiante paisaje digital. 

En el terreno de la verificación de identidad digital, la biometría es una herramienta fundamental que afronta nuevos retos en seguridad, ética e inclusión. Javier Barrachina, R&D Director en Facephi, compartió su experiencia y conocimientos en una Masterclass online en colaboración con Fintech Americas, explorando a fondo la pregunta fundamental: ¿Es posible implementar la biometría de manera ética e inclusiva en la era de la IA?

La importancia de la biometría en la actualidad

Ya podemos encontrar la tecnología biométrica en diferentes industrias como servicios financieros, administraciones públicas, seguros o eventos entre otros. Gracias al avance de la Inteligencia Artificial, las diferentes biometrías se sitúan como una herramienta esencial para la autenticación de identidades digitales, superando así procesos tediosos e ineficientes. Esta transformación conlleva llevar a cabo prácticas éticas y de inclusividad reconociendo los sesgos que hay en la sociedad y trabajando en algoritmos que aseguren un comportamiento responsable.

Dentro del ámbito del Digital Onboarding, Javier Barrachina enfatizó el papel de la IA en la verificación de identidad. Desde huellas dactilares hasta reconocimiento facial, la biometría se ha convertido en una herramienta esencial para evaluar el perfil de riesgo financiero de los usuarios. Este proceso, conocido como «Know Your Customer» (KYC), se ha vuelto fundamental para comprender la identidad del cliente en el sector financiero.

Uso seguro y ético de la tecnología biométrica

El avance de la IA también ha traído consigo desafíos éticos y de seguridad. Javier Barrachina abordó preocupaciones como la suplantación de identidad, phishing, robo de datos, falsificación de documentos y otros tipos de fraude. La seguridad y la ética en la implementación de la biometría se vuelven aspectos críticos para garantizar una identificación segura y evitar posibles riesgos asociados con el avance tecnológico.

La implementación de la biometría debe, además,  cumplir con las regulaciones de protección de datos, siendo el  Reglamento Europeo de Protección de Datos (GDPR) un referente por su detalle y nivel de protección. La futura EU AI Act, de la que ya se conocen las líneas maestras, marca el camino por el que las empresas deben transitar en su desempeño ético. En esta masterclass se subrayó que las buenas prácticas y la transparencia en el uso de datos son esenciales para construir la confianza entre los usuarios y las empresas. Por ello, además del GDPR, el uso de la IA en la Unión Europea será regulado por la EU AI Act, la primera normativa sobre inteligencia artificial.  Teniendo en cuenta el cumplimiento de ambas regulaciones, el de Facephi exploró cómo ofrecer un onboarding ético, destacando la importancia de datos representativos y fieles a la diversidad humana para un funcionamiento correcto y justo de la tecnología.

Avances recientes en tecnología biométrica ética

En Facephi nos aseguramos de que los algoritmos y las decisiones de estos no muestren un comportamiento discriminatorio hacia ciertos grupos. Empezando por clasificar el sesgo en dos tipos: conocido o previsto y desconocido o imprevisto.

En esta sesión sobre cómo implementar la biometría ética e inclusiva en la era de la IA se destacó la importancia de la digitalización para evitar la pérdida de clientes y oportunidades.La gestión adecuada de datos en conformidad con el GDPR y el seguimiento de las pautas de la UE AI Act que son un factor clave para ganar la confianza del usuario y mejorar la tasa de conversión. En Facephi ofrecemos una biometría ética, sin sesgos, e inclusiva, elementos cruciales para lograr la masividad en las aplicaciones.

Si todavía no has visto la sesión de Javier Barrachina en FATV: Los How To´s esenciales para la banca, no te pierdas cómo implementar la biometría ética e inclusiva en la era de la IA y haz click aquí.

Marco legal en Brasil para la verificación de identidad digital

El cumplimiento normativo, o compliance, engloba los procesos que una organización sigue para operar conforme a leyes, reglamentos y estándares éticos. La verificación de identidad digital es esencial para cumplir con estas regulaciones y mantener la confianza de los clientes en Brasil, el país con más víctimas de estafas financieras. Tal como muestra el Indicador de Intentos de Fraude de Serasa Experian “Brasil inició 2023 con más de 284 mil intentos de suplantación de identidad en el mes de enero, lo que significa que cada 9 segundos un brasileño era víctima de estafadores.”  El cumplimiento normativo en Brasil ha ganado relevancia, con regulaciones más estrictas en la verificación de identidad. Las empresas en todos los sectores se encuentran ante regulaciones cada vez más rigurosas relacionadas con la verificación de la identidad de clientes, socios comerciales y empleados.

Exploraremos cómo la normativa brasileña aborda la seguridad de los datos biométricos y cómo la identidad digital contribuye a asegurar la confidencialidad de todas las partes involucradas.

 

Regulación y normativas en Brasil

La Lei Geral de Proteção de Dados Pessoais (LGPD) es una de las normativas más extensas y de las que más garantías ofrece sobre los derechos de los usuarios. La LGPD crea un marco de protección que obliga a las organizaciones que procesen datos, tomando como modelo al Reglamento General de Protección de Datos de la UE (RGPD). En consonancia con las regulaciones europeas, la LGPD contempla la realización de Evaluaciones de Impacto (RIPD) en casos de tratamiento que puedan generar riesgos para las libertades. Algunos de los elementos clave que aborda esta ley incluyen:

Procesamiento de datos

Se refiere a cualquier actividad que utilice datos personales en la ejecución de su operación. Estas actividades pueden ser: recolección, producción, recepción, clasificación, uso, acceso, reproducción o transmisión entre otras.

 

Guía de Buenas Prácticas para la Implementación en la Administración Pública Federal de la LGPD

Elaborada por los diferentes órganos que integran el Comité Central de Gobierno de Datos, esta guía contiene lineamientos sobre las atribuciones y actuación del Responsable, el Operador y del Encargado, así como de la Autoridad Nacional de Protección de Datos (ANPD). Además, la Guía de Buenas Prácticas para la Implementación en la Administración Pública Federal de la LGPD  trata de los derechos fundamentales de los ciudadanos titulares de los datos, aborda hipótesis del tratamiento de datos y su realización, indica el ciclo de vida del tratamiento de datos personales y presenta buenas prácticas en seguridad de la información.

 

Compliance y Facephi

En Facephi, como desarrolladores de tecnología biométrica para la verificación de identidad digital, sabemos que tener un profundo conocimiento de las regulaciones y los organismos reguladores vigentes en Brasil, garantiza el pleno respeto a los derechos de los usuarios.

La colaboración estrecha y el cumplimiento riguroso con estos organismos son esenciales para garantizar que las soluciones tecnológicas que ofrecemos se integren de manera segura y cumplan con los más altos estándares legales y de seguridad. Esto no solo previene posibles problemas legales y sanciones, sino que también refuerza la confianza de los usuarios y contribuye a la construcción de un sistema financiero robusto y seguro para todos los involucrados.

En la era digital, la verificación de la identidad de sus clientes es esencial. No se arriesgue a comprometer la seguridad y póngase en contacto con nosotros hoy mismo para descubrir cómo puede cumplir con las normativas y proteger la identidad de sus usuarios.

• En este artículo, exploraremos la importancia de la tecnología de liveness facial en la verificación de identidad online, una defensa crucial contra el creciente fraude de identidad en la era digital.

El avance exponencial del mundo digital lleva consigo un aumento en la sofisticación del fraude de identidad digital, incrementando así el riesgo de ataques de presentación (cualquier intento de eludir los sistemas de reconocimiento facial mediante la presentación de imágenes o vídeos faciales falsos, alterados o sintéticos). Tal como indica el estudio de Javelin Strategy & Research, las pérdidas totales por fraude de identidad en el último año ascendieron a 43.000 millones de dólares solamente en Estados Unidos.

Para combatir los ataques fraudulentos, se han desarrollado tecnologías avanzadas como la detección de liveness (prueba de vida). Esta técnica de autenticación verifica la presencia genuina del usuario que se va a autenticar, evitando representaciones falsas como fotografías o máscaras.

 

Entorno altamente regulado en la verificación de identidad en línea

La naturaleza crítica de las transacciones financieras exige un nivel muy alto de seguridad que Facephi considera como su core standard, ya que se trata de un entorno altamente regulado a nivel europeo e internacional.

Regulaciones europeas, como la Directiva de Servicios de Pago 2 (PSD2) y el Reglamento eIDAS, imponen medidas de seguridad rigurosas, incluida la autenticación de múltiples factores (MFA). Además, protocolos como el Know Your Customer (KYC) y Anti-Money Laundering (AML) establecen pautas claras para verificar la identidad y prevenir actividades ilícitas. El cumplimiento de estas regulaciones y protocolos no solo es una prioridad para Facephi, sino que también constituye la base para construir una tecnología de verificación de identidad confiable.

 

Detección de liveness en tiempo real, ¿cómo funciona?

En Facephi trabajamos, entre otros mecanismos, con la prueba de vida pasiva, siendo uno de los métodos más utilizados en tecnología biométrica con el que verificar si el usuario es genuino y está presente en el momento del proceso de identificación o autenticación. Este método se aprovecha como herramienta de seguridad para mitigar una gran cantidad de ataques de fraude como los ataques de presentación (PAD) o suplantación de identidad. La detección de ataques de presentación, como imágenes en pantalla o impresas en papel y la creación de máscaras, se aborda mediante el liveness pasivo (combinación muy compleja de diferentes técnicas que buscan verificar que el rostro presentado no sea una imagen impresa en papel, o una imagen presentada en la pantalla del dispositivo móvil) determinando que se trata de un usuario genuino y que esa persona es quien dice ser.

La verificación de identidad implica dos procesos cruciales que aseguran una validación completa. En primer lugar, se evalúa la autenticidad de los documentos de identidad gubernamentales mediante la captura de imágenes o usando la tecnología NFC en dispositivos móviles. A continuación, se verifica la identidad del usuario a través de selfies o videos utilizando la detección de liveness pasivo para confirmar la autenticidad y prevenir ataques de presentación. Este proceso incluye la comparación biométrica con datos extraídos del documento.

Pasos claves en nuestra solución:

1. Captura de Imagen del Documento:

A través de técnicas innovadoras, se garantiza la calidad y autenticidad de las imágenes de documentos de identidad.

2. Evaluación del Documento:

Se utilizan métodos automatizados para asegurar la autenticidad de los documentos gubernamentales.

3. Extracción de Datos del Documento:

La tecnología de OCR y lectura de chips NFC permite una extracción precisa de la información relevante.

4. Captura de Selfie y PAD:

se implementan tecnologías de liveness avanzadas para verificar la autenticidad del usuario, evitando ataques de presentación.

5. Comparación Facial:

La comparación biométrica asegura una concordancia precisa entre la foto del documento y los datos extraídos, garantizando una validación integral.

 

Sistemas de reconocimiento facial basados en liveness

A través del liveness pasivo en los procesos de autenticación se verificará que usuarios e interacciones son genuinas, reduciendo el fraude y securizando las interacciones del usuario.

En Facephi, garantizamos la eficacia de nuestra tecnología en los procesos de onboarding y autenticación, priorizando la seguridad, el cumplimento normativo (ISO 30107-3, NIST o iBeta) y la experiencia de usuario. Con nuestra tecnología de liveness pasivo conseguimos reducir el fraude un 99,9% y solventar, por lo tanto, el problema de la suplantación de identidad.  

Si quieres obtener más información sobre la autenticación biométrica fiable y la prueba de vida pasiva, haz clic aquí.   

La autenticación biométrica implica el uso de características biológicas únicas, como huellas dactilares o rasgos faciales, para verificar la identidad de una persona. En un mundo que evoluciona tan rápido como el de las criptomonedas, donde las transacciones son irreversibles y a menudo son de sumas significativas, unas medidas de seguridad sólidas son fundamentales. Por eso, la autenticación biométrica es un tema de gran relevancia en el ámbito criptográfico. 

  

La resolución de la EBA y lo que implica para las criptomonedas 

La Autoridad Bancaria Europea (EBA, por sus siglas en inglés) ha publicado una guía sobre Autenticación Reforzada de Clientes (SCA), una medida de seguridad diseñada para prevenir el fraude en los pagos. Según la EBA, el desbloqueo de un dispositivo con datos biométricos no debe considerarse un elemento SCA válido para verificar la identidad si estos no están controlados por una institución financiera. Entonces ¿qué nos dice esta resolución en el ámbito de las criptomonedas? En realidad, bastante. La SCA no es solo una tendencia, sino también un requisito obligatorio para las transacciones financieras digitales europeas. La decisión de la EBA de no reconocer la autenticación biométrica en dispositivos como un elemento SCA independiente afecta de modo significativo al contexto criptográfico. Es un argumento convincente para que los intercambios y los proveedores de billeteras reevalúen sus protocolos de seguridad para cumplir con las regulaciones.  
 

¿Qué pasa con la autenticación biométrica en dispositivos?

La autenticación biométrica en dispositivos, como el Face ID de Apple, almacena datos exclusivamente en el dispositivo del usuario. Si bien puede parecer seguro, suscita riesgos, particularmente cuando varios usuarios registran sus datos biométricos en el mismo dispositivo. En el ámbito de las criptomonedas, donde no hay un botón para deshacer las transacciones, ¿podría ser una puerta abierta al acceso no autorizado y a conflictos financieros? 

Es fácil imaginar un escenario en el que un miembro de la familia o un compañero de piso que también haya registrado su rostro o huella digital en tu dispositivo acceda de modo involuntario a tu billetera criptográfica. Estas brechas hacen que la autenticación biométrica en dispositivos sea una opción que deje mucho que desear para la seguridad criptográfica. 

 

Medidas de seguridad biométricas para tu tranquilidad

A diferencia de la autenticación biométrica en dispositivos, una medida de verificación de identidad biométrica captura, encripta y transmite los datos biométricos del usuario a un servidor remoto para su autenticación. Este método ofrece una capa adicional de seguridad y garantiza que, incluso si el dispositivo o su código PIN están comprometidos, los activos de criptomonedas del usuario estarán seguros. 

El modelo del lado del servidor funciona creando una ruta cifrada entre el dispositivo del usuario y un servidor seguro. Esto garantiza que, incluso si un dispositivo está comprometido, los datos biométricos serán inaccesibles. Como está en línea con la preferencia de la EBA por que las instituciones financieras controlen los datos biométricos, es la opción ideal para las plataformas criptográficas que quieren abordar el cumplimiento normativo y una seguridad sólida. 

Si quieres obtener más información sobre las complicaciones de la verificación biométrica en criptografía, haz clic aquí. 

El panorama financiero de la Comunidad de Desarrollo de África Austral (SADC, por sus siglas en inglés) ha experimentado una transformación notable, especialmente, en Sudáfrica, la potencia económica de la región. Entre 2019 y 2021, el uso de billeteras digitales se duplicó e igualó el volumen de transacciones de los métodos de pago tradicionales, como las tarjetas de crédito y débito. Esta transformación digital ofrece múltiples beneficios, como transacciones simplificadas, una mayor inclusión financiera y facilidades de pago en tiempo real. Sin embargo, que aumenten los servicios bancarios digitales provoca que también lo haga el riesgo de fraude.      

  

El auge del fraude en los pagos en línea

Hace poco, Sudáfrica se convirtió en el sexto país de todo el mundo más afectado por delitos cibernéticos. Según un informe reciente, solo en el sector de la banca digital los fraudes de este tipo aumentaron las pérdidas económicas un 45 % entre 2020 y 2021. El 42 % de estas operaciones se desarrollaron en aplicaciones bancarias, que registraron un 13 % más de incidentes durante el año pasado. 

  

Para resaltar la gravedad del asunto, en este país también ha surgido recientemente una estafa basada en la tecnología NFC (comunicación de campo cercano). Los responsables lograron esquivar la validación OTP con datos robados de tarjetas bancarias para hacer compras no autorizadas con billeteras digitales. Como consecuencia, un importante banco ha recibido más de 6000 reclamaciones y unas pérdidas superiores a los 6,5 millones de rands sudafricanos (más de 320 000 euros) en solo año y medio. El vishing, una práctica en la que los estafadores utilizan llamadas de teléfono para hacerse pasar por asesores bancarios, está cobrando tanta relevancia que se calcula que representa en torno al 99 % de los casos de fraude en el país.  

  

A la luz de estas tendencias alarmantes, se confirma que la fase del customer journey (recorrido del cliente) más propenso al fraude está en la etapa de las transacciones de compra o la distribución de fondos. Esto demuestra la urgente necesidad de implementar la Autentificación Reforzada de Clientes (SCA por sus siglas en inglés) en los pagos en línea para combatir la creciente amenaza del fraude. 

  

La SCA como parte de una estrategia de seguridad multicapa

Con el avance de los fraudes digitales, los métodos de protección de punto único han quedado obsoletos. Carecen de la capacidad de verificar de varias maneras las identidades de los usuarios, lo que los hace susceptibles a sufrir ataques informáticos de alta sofisticación. Por lo tanto, es esencial contar con un mecanismo de defensa más completo y multicapa ante un entorno cibernético en evolución, con la SCA como piedra angular. Esta requiere un mínimo de dos métodos de verificación: algo que el usuario sabe (una contraseña), algo que tiene (un dispositivo móvil) y, a ser posible, algo propio del usuario (una característica biométrica como la huella digital o el escaneo facial). 

  

Cabe señalar que, si bien muchos dispositivos ofrecen tecnología biométrica integrada (como Face ID en los dispositivos Apple), no se consideran técnicas de SCA válidas (como aclaró recientemente la Autoridad Bancaria Europea). La razón es que los datos biométricos no están controlados por la institución financiera y, de cualquier modo, son tan seguros como su método de autenticación más débil: un simple código PIN (más información al respecto aquí). En su lugar, se recomienda que las organizaciones utilicen métodos de verificación de identidad biométrica que capturen, encripten y transmitan credenciales biométricas a un servidor remoto.  

  

Tecnología biométrica sólida para la SCA

A pesar del aumento de estos delitos, el 22 % de los proveedores e instituciones financieros sudafricanos siguen sin implementar programas de prevención del fraude. Incluso entre quienes lo han hecho se ha detectado fraude digital, puesto que los delincuentes han logrado frustrar los protocolos de seguridad existentes. Alrededor del 18 % de todos los casos de fraude estuvieron relacionados con engaños visuales en la liveness detection (habitualmente llamada «prueba de vida»), lo que demuestra la necesidad de incorporar técnicas más avanzadas y sólidas.  

  

Los sistemas biométricos con pruebas de vida pasivas ofrecen una combinación idónea de seguridad mejorada y una experiencia de usuario superior, lo que minimiza el margen de error propio de las pruebas de vida activas y, por lo tanto, constituyen un elemento excelente para la SCA.  

  

Si quieres obtener más información sobre la autenticación biométrica fiable y la prueba de vida pasiva, haz clic aquí.   

 

 

El NIST, reconocido como el organismo de evaluación y estandarización más prestigioso a nivel global para tecnologías biométricas, ha sido el escenario de esta reciente evaluación. Nuestros sistemas de detección de ataques presentación se han sometido a un escrutinio riguroso, obteniendo resultados excepcionales que nos colocan en la élite de los sistemas antispoofing. 

 

Los recientes resultados del NIST avalan el liderazgo de Facephi en la tecnología biométrica facial 

En entornos financieros como las Fintech o la banca la seguridad se ha convertido en un factor crucial, por lo que se debe trabajar con un perfil de seguridad alto. En Facephi, somos expertos en ello y así lo demuestra el reciente informe del NIST. En él, aparecen 81 algoritmos de detección de ataques de presentación facial (PAD) pasivos y nos sitúan en una posición líder en términos de precisión y usabilidad, al conseguir la primera posición (Rank 1) como el algoritmo más seguro en la detección de tipos de ataques Photo Print/Replay Attack, con un error menor al 0.2%(*).  

Nuestra capacidad para superar los estándares establecidos nos ha permitido destacar en una de las evaluaciones con mayor reconocimiento a nivel mundial (NIST) y, además, con una posición de liderazgo frente a los principales competidores.  

 

Facephi eleva el estándar en reconocimiento facial 

Los resultados obtenidos respaldan nuestra posición de liderazgo y nuestra dedicación a proporcionar soluciones que redefinen la seguridad y la eficiencia, y superan las exigentes expectativas del mercado. 

Este logro no solo es un testimonio de nuestro compromiso con la innovación y la excelencia, sino que también señala un hito en la evolución constante de Facephi. 

 

(*) La métrica que se puede extraer del reporte del NIST se define como BPCER @ APCER = 0.01. Es la tasa de error para usuarios genuinos (Bona Fide), para el umbral de seguridad en el que, solamente, el 1% de ataques de Tipo 8 que no se consiguen rechazar.  Se utiliza 0.01 por su consideración como un valor altamente seguro para el NIST. Por tanto, BPCER@APCER=0.01 = 0.002 significa que, para un nivel de alto de seguridad, el error que se obtendría para los Bona Fide es mínimo, equivalente al 0,2%.

¿Qué es el cumplimiento normativo?

Cumplimiento normativo o compliance es el conjunto de procesos, prácticas y medidas que sigue una organización para desarrollar su actividad de acuerdo a las leyes, reglamentos, normativas y estándares éticos que se aplican a su sector e industria. A día de hoy, la verificación de identidad digital se ha convertido en una herramienta esencial para que las instituciones puedan cumplir fácilmente con estas regulaciones y mantener al mismo tiempo la confianza de los clientes.

El panorama empresarial de México está en constante evolución y en los últimos años, el cumplimiento normativo se ha vuelto más crucial que nunca. Las empresas en todos los sectores se enfrentan con regulaciones cada vez más estrictas relacionadas con la verificación de la identidad de sus clientes, socios comerciales y empleados. En este artículo, exploraremos cómo la normativa mexicana vela por la seguridad de la información biométrica y de qué manera la identidad digital puede colaborar garantizando la seguridad de todos los implicados.

Regulación y normativas en México

La ley de protección de datos personales establece las pautas y principios fundamentales que las organizaciones deben seguir para el tratamiento de datos personales. Algunos de los elementos clave que aborda la LFPDPPP incluyen:

Aviso de Privacidad

Las organizaciones están obligadas a proporcionar a los titulares de datos un aviso de privacidad que detalle cómo se recopilan, utilizan y protegen sus datos personales.

Bases de Datos

La ley regula la creación y administración de bases de datos que contienen información personal y establece pautas para su manejo seguro.

Bloqueo de Datos

La LFPDPPP establece la obligación de bloquear y eliminar datos personales una vez que se haya cumplido la finalidad para la cual fueron recopilados.

Consentimiento

Se requiere el consentimiento explícito de los titulares de datos antes de recopilar y procesar sus datos personales.

Datos Personales y Datos Personales Sensibles

La ley define y diferencia los datos personales de los datos personales sensibles, que incluyen información delicada como origen racial o étnico, estado de salud, creencias religiosas, entre otros.

Transferencia de Datos

La LFPDPPP establece que cualquier comunicación de datos a terceros debe ser informada al titular de los datos en el aviso de privacidad correspondiente. Los titulares tienen el derecho de aceptar o rechazar dicha transferencia.

Con el mismo propósito, la Red Iberoamericana de Protección de Datos proporciona una guía de implementación de cláusulas contractuales modelo para la transferencia internacional de datos personales.

Por otro lado, y para regular y controlar al sector bancario, existe la Secretaría de Hacienda y Crédito Público. La SHCP tiene la misión de proponer, dirigir y controlar las políticas financieras, fiscales, de gasto, de ingresos y deuda pública del Gobierno Federal de México. Este organismo delega responsabilidades específicas a otros especializados, siendo la más relevante la CNBV (Comisión Nacional Bancaria y de Valores).

 

Compliance y Facephi

En Facephi, como desarrolladores de tecnología biométrica para la verificación de identidad digital, sabemos que tener un profundo conocimiento de las regulaciones y los organismos reguladores vigentes en México, garantiza el pleno respeto a los derechos de los usuarios.

La colaboración estrecha y el cumplimiento riguroso con estos organismos son esenciales para garantizar que las soluciones tecnológicas que ofrecemos se integren de manera segura y cumplan con los más altos estándares legales y de seguridad. Esto no solo previene posibles problemas legales y sanciones, sino que también refuerza la confianza de los usuarios y contribuye a la construcción de un sistema financiero robusto y seguro para todos los involucrados.

Una identidad legal es sin duda necesaria, pues no es solo un derecho humano fundamental, sino también un pilar esencial de cualquier sociedad próspera, especialmente en nuestro mundo digital que evoluciona tan rápidamente. Sin embargo, según el Banco Mundial, 850 millones de personas en todo el mundo carecen de documento de identidad, motivo por el que en este Día de la Identidad, reafirmamos nuestro compromiso de reducir esta brecha, procurando que nadie se quede atrás.

En Facephi somos conscientes del poder transformador de la tecnología para impulsar la inclusión. Nuestras soluciones biométricas, diseñadas para ofrecer una verificación de la identidad segura y fácil de usar, facilitan la plena participación en la economía digital. Por ello, queremos hacer hincapié en los tres pilares fundamentales de la identidad: inclusión, protección y utilidad.

Inclusión

El Día de la Identidad sirve para recordar nuestro compromiso con quienes carecen de documento de identidad. Motivo por el cual en Facephi creamos soluciones para hacer llegar las ventajas de la identidad digital a todas las personas y facilitar el acceso a servicios básicos para todos, con independencia de su ubicación o circunstancias.

Protección

Para quienes poseen documento de identidad, este día hace énfasis en la necesidad de proteger sus identidades contra los ataques de suplantación, garantizando así su privacidad. En Facephi utilizamos tecnología biométrica avanzada y técnicas de cifrado para proteger las identidades, porque la seguridad de los datos de los usuarios es imprescindible.

Utilidad

El Día de la Identidad también nos brinda la oportunidad de reflexionar sobre el carácter práctico de nuestras identidades. Como proveedor tecnológico, en Facephi nos esforzamos continuamente por mejorar la utilidad de las identidades digitales, para que las personas puedan desenvolverse en la vida cotidiana fácilmente y con eficacia.

Identidad digital y prosperidad socioeconómica

Al celebrar este día, recordamos el poder transformador de la identidad digital como impulsor del crecimiento económico y la prosperidad. Así lo sugiere el informe “Identificación digital: la clave para el crecimiento inclusivo” de McKinsey Global Institute que estima que lograr la plena cobertura de la identificación digital podría desbloquear un valor económico entre el 3 y el 13 % del PIB en 2030. Sorprendentemente, más de la mitad de este valor potencial podría beneficiar directamente a las personas, lo que subraya las ventajas personales y sociales de la identidad digital.

Además, un sistema de identificación digital sólido puede tener un impacto significativo en la sociedad al permitir un mayor acceso a la educación, la sanidad y los mercados laborales, fomentando así mayores niveles de participación cívica.

Celebración del Día Internacional de la Identidad:

Como socio del Pacto Mundial de la ONU y socio de coalición de ID4Africa, en Facephi nuestro equipo se enorgullece de unirse a la comunidad mundial en la conmemoración del Día Internacional de la Identidad este 16 de septiembre. Más que un evento del calendario, este día subraya nuestro compromiso compartido con el Objetivo de Desarrollo Sostenible 16.9 de las Naciones Unidas: garantizar la identidad jurídica para todos en 2030.

En Facephi nos sentimos muy felices de nuestra contribución a la verificación de la identidad digital y de formar parte de este esfuerzo mundial. Por estos motivos, mantenemos nuestro firme compromiso de avanzar en este campo y soñamos con un futuro en el que todo el mundo disponga de una identidad digital segura, útil e integradora.

¡Feliz Día Internacional de la Identidad! 

Las criptomonedas son divisas digitales que utilizan métodos de criptografía para asegurar las transacciones. Se utilizan en un sistema descentralizado mediante la tecnología blockchain, donde cada agente de la red garantiza la seguridad y el equilibrio de las operaciones, muy alejado del modelo de los bancos centrales tradicionales. 

De este modo, las criptomonedas eliminan el papel del intermediario en todas las transacciones, acelerando cada proceso dentro de una red en la que todos los usuarios velan por su buen funcionamiento. El uso de la tecnología blockchain permite almacenar de forma segura los datos compartidos de las operaciones, de tal forma que todos los participantes puedan rastrear cada paso.   

 

La seguridad de las criptomonedas, pros y contras 

Los protocolos de consenso establecidos por los usuarios de las redes blockchain definen la velocidad, el tamaño y la seguridad de los sistemas de cada crypto, lo que deja más o menos margen para la manipulación y hackeo de terceros. Las redes más pequeñas son las más expuestas a sufrir estos ataques, cada vez más perfeccionados, y de alcance supranacional.  

El acceso a las carteras de criptomonedas se ha controlado y gestionado tradicionalmente mediante contraseñas y otras credenciales basadas en el conocimiento. Sin embargo, las cada vez más frecuentes estafas de suplantación de identidad realizadas a través de sofisticadas técnicas, como el uso de “malwares”, han demostrado la inoperatividad de estos métodos. 

Según un informe elaborado por De.Fi, los tres primeros meses de 2023 se alcanzó un total de 372 M$ por estafas y exploits en el mercado crypto,  grandes pérdidas económicas que urgen una pronta solución. 

 

Reconocimiento biométrico, la alternativa más eficaz 

Los métodos biométricos de verificación de identidad digital han demostrado ser la mejor alternativa para evitar estos ataques. La sustitución de las tradicionales contraseñas como métodos de acceso a las cuentas por el patrón biométrico obtenido del rostro del usuario, único e intransferible, se convierte en la mejor garantía de protección de las carteras de criptomonedas.  

La autenticación de dos factores en la que se basan estos procedimientos refuerza la seguridad del proceso de verificación de identidad. La pertenencia de la cuenta queda blindada gracias al proceso, basado en dos sencillos pasos: el escaneo de los datos del documento de identidad del usuario y la verificación de su fotografía con el selfie que realiza el usuario. El uso de la tecnología Deep Learning, donde se aplican los últimos avances en IA como las técnicas de liveness pasivo, garantiza la seguridad del procedimiento.  

De este modo, las carteras de criptomonedas quedan a salvo de los intentos de fraude a través de la suplantación de identidad, proporcionando la máxima operatividad a los usuarios de las crypto.   

La revolución de la identidad digital  

Las identidades están en constante evolución en la era digital. En la actualidad, las identidades digitales no son únicamente una opción práctica, sino una parte esencial para las transacciones seguras en línea en numerosos sectores. Ante el crecimiento previsto del sector de la identidad digital (de 28 000 millones de USD en 2022 a 71 000 millones en 2027), la interoperabilidad ocupa, actualmente, un lugar destacado. 

 

Entender la interoperabilidad 

En esencia, la interoperabilidad permite que una identidad de una plataforma sea reconocida, autenticada y aceptada por otra. Esta integración y comunicación fluidas entre diferentes sistemas ya no son una opción, sino algo imprescindible en nuestro mundo cada vez más digital.  

Una de las principales ventajas de la interoperabilidad es su potencial para fomentar la inclusión financiera y facilitar el acceso a servicios bancarios a los casi 1400 millones de adultos de todo el mundo que actualmente no tienen acceso a los mismos. Gracias a las identidades digitales interoperables, estos servicios son cada vez más accesibles. 

La interoperabilidad de las identidades digitales también se enmarca dentro de la Declaración Universal de los Derechos Humanos de las Naciones Unidas, en la que se establece el derecho de cada persona a que se la reconozca ante la ley. En la era digital, este derecho se extiende a las identidades digitales aceptadas entre las plataformas. 

 

Retos y oportunidades de la interoperabilidad

La interoperabilidad plantea determinados retos, como la diversidad de protocolos y estándares entre distintas plataformas, que puede dificultar la comunicación eficaz entre sistemas, y la necesidad de medidas de seguridad avanzadas, incluidas técnicas sólidas de autentificación y cifrado. 

Sin embargo, los beneficios compensan ampliamente estos retos. Las identidades digitales interoperables acaban con el uso de múltiples nombres de usuario y contraseñas, lo que se traduce en una reducción del riesgo de brechas de seguridad. También garantizan que a nadie se le niegue el acceso a importantes servicios digitales por carecer de un determinado tipo de identidad digital. La interoperabilidad mejora, además, la eficacia, ya que permite que distintos sistemas autentiquen la misma identidad digital, con un considerable ahorro de tiempo y costes. 

 

Seguridad y cumplimiento 

La interoperabilidad no solo se refiere a la compatibilidad técnica, sino también a la privacidad y seguridad de los datos.  

A medida que avanza la industria de la identidad digital, también lo hace la amenaza de la suplantación de identidad. En 2022, los consumidores manifestaron haber perdido casi 8800 millones de USD por fraude, lo que supone un aumento de más del 30 % respecto al año anterior. Del total de 5,7 millones de casos presentados ante la Comisión Federal de Comercio de Estados Unidos, 1,4 millones (el 25 %) correspondían específicamente a la suplantación de identidad. Esto pone de manifiesto el importante papel de las identidades digitales seguras e interoperables, en particular las reforzadas con tecnologías biométricas, en la protección de los consumidores. 

En este contexto, para la verificación precisa y fiable de la identidad es fundamental el cumplimiento de la normativa de protección de datos de ámbito mundial, así como la tecnología biométrica avanzada. La biometría añade una capa de seguridad inigualable al proporcionar rasgos únicos y difíciles de replicar para la autentificación, al tiempo que preserva la privacidad. 

 

El futuro de las identidades digitales  

Las identidades digitales reforzadas con tecnología biométrica avanzada son el futuro de la interoperabilidad. Garantizan un acceso fluido, seguro e inclusivo a diferentes plataformas.  

En Facephi nos encontramos a la vanguardia en esta revolución de la identidad digital. Para obtener más información sobre tecnología biométrica de seguridad, consulta nuestras soluciones de onboarding y autentificación.   

El sector aéreo es uno de los que más cambios ha sufrido en las últimas dos décadas. La diversificación del modelo de negocio con la proliferación de las compañías low cost y los cambios aplicados en los servicios ofrecidos al usuario, así como las medidas de seguridad impuestas en todos los aeropuertos tras los atentados del 11S, han cambiado las reglas de la aviación en todo el mundo.

Necesidad de métodos fiables y seguros en la identificación de pasajeros

La necesidad de implantar métodos fiables de seguridad en el control de pasajeros según las normas internacionales y la continua adaptación a las preferencias de los viajeros han llevado a las empresas del sector a un continuo reciclaje.

¿Qué buscan los pasajeros del futuro?

Tanto los aeropuertos como las empresas del sector -aerolíneas, agencias o portales de viajes-, han ido a la carrera con el fin de ofrecer la mejor experiencia al viajero a la vez que cumplir con las reglas de seguridad establecidas. El ahorro de tiempo en el acceso al embarque, y la completa satisfacción del usuario a la hora de cumplir con sus expectativas pasan por el uso de herramientas digitales de gestión directa.

Según el estudio “Tribus viajeras 2033” de Amadeus, realizado a partir de las aportaciones de 10.000 viajeros de 15 países distintos y 22 expertos de diferentes campos, los viajeros del futuro atenderán a las siguientes razones a la hora de planificar y realizar sus desplazamientos aéreos: más sostenibilidad en las gestiones y viajes personalizados, con la IA, el machine learning y el Big Data como aliados.

Soluciones

En este contexto, los viajeros buscan soluciones cada vez más simples y efectivas, y las propuestas biométricas de reconocimiento e identificación de las personas se presentan como el mejor recurso. Los aeropuertos ya pueden identificar de forma rápida y segura a los viajeros a través de soluciones de identificación facial para aerolíneas y proceso de check-in facial que verifican su identidad, con un sencillo proceso de autenticación en dos pasos. Ello ayuda a reducir los tiempos en el proceso de embarque y reduce las colas de entrada en el país destinatario cumpliendo con la normativa internacional de seguridad del tráfico aéreo.

Por otra parte, las aerolíneas o agencias de viajes pueden utilizar las soluciones de onboarding digital a través de la biometría a la hora de registrar nuevos clientes, quienes se ahorrarán el uso de contraseñas de acceso, cada vez más difíciles de configurar y memorizar para evitar el fraude de suplantación de identidad. De esta forma, los clientes se registran con su rostro y acceden a su cuenta para realizar los servicios de reserva, compra de billetes y expedición de las tarjetas de embarque.

Además, las soluciones biométricas ayudarán a las aerolíneas y empresas de gestión de viajes a incorporar con seguridad nuevas y disruptivas formas de pago, como las Fintech o las criptomonedas, que los viajeros más jóvenes demandan. Todos estos cambios ya en marcha exigen cada vez más una gestión de los datos solvente, segura y eficaz, con medidas que blinden la identidad digital de las personas, un escenario donde las soluciones biométricas son el mejor aliado.

La irrupción de los wallets digitales 

A medida que avanzamos hacia economías sin efectivo, los wallets digitales se han convertido en una parte integral de las transacciones cotidianas. Estas herramientas digitales ofrecen una comodidad inigualable y permiten agilizar los pagos y las transferencias. Con una previsión de ingresos mundiales por pagos móviles de 15,69 billones de dólares estadounidenses en 2028, el uso de wallets digitales registra un claro aumento. Sin embargo, esta flexibilidad conlleva un reto importante: garantizar la autenticación segura de los pagos. 

 

El reto de la autenticación de los pagos 

Los métodos tradicionales de autenticación, como las contraseñas y los PIN, aunque nos resultan familiares, son cada vez más insuficientes en nuestra era digital. Recordar contraseñas complejas puede ser complicado, y los ciberdelincuentes encuentran continuamente formas innovadoras de vulnerar estas defensas. Esto ha contribuido a un aumento del fraude con los wallets digitales, y un informe reciente revela que el fraude en los pagos con wallets digitales se incrementó en un 200 % solo en el primer trimestre de 2022. 

 

Identidades reutilizables: una nueva era de seguridad 

Presentamos el innovador concepto de las identidades reutilizables, una representación digital única de uno mismo compuesta por datos variados y específicos del usuario. Esta identidad puede utilizarse en múltiples plataformas, lo que acaba con la necesidad de recurrir a innumerables contraseñas. Un componente clave de las identidades reutilizables son los datos biométricos. La biometría, personal, intransferible y casi imposible de replicar, ofrece un nivel superior de seguridad. Con la previsión de que la autenticación biométrica se utilizará para asegurar 2,5 billones de dólares estadounidenses en transacciones de pagos móviles, lo que supone un aumento de casi el 1000 % a partir de 2019, el futuro de la autenticación biométrica en los wallets digitales es evidente. 

 

Más allá de la seguridad: mejorar la experiencia del usuario 

Las ventajas de las identidades reutilizables van más allá de la mejora de la seguridad. El uso de la biometría también agiliza el proceso de autenticación y ofrece una experiencia más fluida y fácil de usar. Ahora es posible lograr un equilibrio entre una seguridad inquebrantable y la facilidad de uso, algo que antes era difícil de conseguir. Acceder a un wallet digital a través de la autenticación biométrica es prácticamente instantáneo, a diferencia de tener que lidiar con contraseñas complejas o cambiar entre plataformas complejas para obtener contraseñas de un solo uso (OTP). Este proceso sin complicaciones mejora la experiencia del usuario y fomenta un uso más frecuente de los wallets digitales, integrándolos aún más en nuestras actividades financieras cotidianas. 

 

Facephi: identidades reutilizables con biometría 

En Facephi, hemos aprovechado el potencial transformador de las identidades reutilizables para combatir el fraude en los wallets digitales. Nuestra vanguardista solución de autenticación biométrica emplea identidades reutilizables para mejorar considerablemente la seguridad de los pagos.  

Para obtener más información sobre cómo habilitar el acceso seguro de los usuarios con la autenticación biométrica de confianza de Facephi, haga clic aquí.

 

El uso fraudulento de documentos de identidad y de viaje representa una amenaza para la seguridad de los países y de sus ciudadanos, para su economía y para el comercio mundial, ya que facilita la comisión de una amplia variedad de delitos. Los pasaportes falsificados o alterados se han convertido en piezas esenciales del arsenal de los terroristas y de otros delincuentes que tratan de ocultar su identidad para desplazarse a través de fronteras, transferir fondos y llevar a cabo sus actividades ilícitas. Como resultado, las autoridades nacionales, los gobiernos y las empresas necesitan saber si sus ciudadanos y clientes son realmente quienes dicen ser. 

En la actualidad, el reconocimiento facial se ha convertido en una tecnología popular en muchas industrias y aplicaciones, especialmente en la verificación de identidad digital para entidades bancarias, pero también en aeropuertos. Los sistemas de reconocimiento facial están empezando a ser utilizados por aeropuertos de todo el mundo para mejorar la seguridad y la eficiencia en los procesos de control de pasaportes y aduanas. 

 

¿Qué ventajas tiene la autenticación de identidad para los pasajeros? 

Uno de los beneficios más significativos del reconocimiento facial en los aeropuertos es su capacidad para verificar la identidad de las personas de forma rápida y precisa. Una vez el pasajero ha realizado el onboarding en su aplicación y se ha verificado su identidad contrastando su documento con sus datos biométricos y las bases gubernamentales, ya tiene todo lo necesario para viajar sin contratiempos ni esperas.  

Ya en el aeropuerto el sistema puede escanear y comparar el rostro de un pasajero contra una base de datos de imágenes almacenadas para determinar si la persona es quien dice ser. Una vez allí, y con el proceso de onboarding ya realizado, podrá atravesar los controles que requieran de verificación de identidad tras un rápido reconocimiento facial. Esto reducirá significativamente el tiempo de espera en los puntos de control de seguridad, lo que a su vez mejorará la experiencia del usuario. 

Otro beneficio importante del reconocimiento facial es su capacidad para detectar a posibles delincuentes o terroristas que puedan estar intentando ingresar al país. Si una persona ha sido previamente identificada como sospechosa, el sistema de verificación de identidad puede alertar a las autoridades para que tomen medidas de precaución necesarias. 

Además, el uso del reconocimiento facial también puede ayudar a reducir el fraude de pasaportes y documentos de identidad falsos. Gracias al estudio de las facciones y la tecnología de liveness pasivo pueden detectar anomalías en el rostro, como cambios en la apariencia o en la posición de las características faciales, lo que puede indicar que un pasaporte o documento de identidad ha sido falsificado. 

En comparación con los sistemas tradicionales de control de pasaportes, los sistemas de verificación de identidad digital tienen un mayor grado de precisión y pueden detectar de manera más efectiva cualquier intento fraudulento o peligroso. Además de convertir la experiencia en aeropuertos en una más cómoda y sobre todo rápida para los viajeros. Y a medida que la tecnología se popularice veremos una mayor implementación en aeropuertos, pero también en otros ámbitos como: entrada a estadios, alquiler de coches, apertura de cuentas bancarias…  

La transformación digital, los escándalos de privacidad y las violaciones de seguridad masivas hacen urgente una revisión de los sistemas de almacenamiento de nuestros datos. Porque, además, estos son cada vez más sensible. Toda nuestra información está en internet, cuentas bancarias, tarjetas de crédito, direcciones, contraseñas… pero no sabemos en manos de quién, lo que nos deja en una situación de vulnerabilidad constante. Por eso debemos recurrir a modelos de almacenamiento que respeten nuestra privacidad y protejan nuestra identidad digital. 

 

¿Qué es la tecnología blockchain? 

La tecnología blockchain no es solo una base de datos, sino un conjunto de tecnologías que permiten la transferencia de un valor o activo de un lugar a otro sin intervención de terceros. 

La cantidad de transacciones ha crecido exponencialmente. Esto ralentiza el negocio y perjudica los resultados. Necesitamos mejorar nuestra manera de hacer las cosas. Y es aquí donde interviene el blockchain. 

Un blockchain está compuesto de “bloques”, los cuales se agregan continuamente a la cadena. Estos bloques pueden considerarse páginas permanentes en un archivo donde se almacenan datos sobre la red. Una vez que se escribe la información, o se agrega el bloque, no se puede cambiar sin el consenso de los nodos que se ejecutan en esa red. ¿Pero cómo utilizarlo para asegurar nuestra identidad digital? 

 

El modelo Self Sovereign Identity 

La aplicación de este modelo pretende  devolver a las personas el control y la responsabilidad sobre su propia identidad digital. La autogobernanza del dato o Self-Sovereign Identity  tiene la capacidad de ayudar al usuario final a tener un control más preciso sobre la información personal, qué comparte, en qué contexto y con quién. 

Ahora mismo tenemos cientos de cuentas en internet, pero ninguna nos representa al 100% y ni siquiera están bajo nuestro control. Esas cuentas son propiedad del proveedor, lo que nos permite utilizar el servicio como usuarios, a cambio de los datos y la información que proporcionamos. Con el modelo SSI no son las grandes corporaciones, ni los gobiernos quienes recogen, almacenan y procesan los datos, y por tanto no existe esa jerarquía. Y la verificación, a través de la biometría, resulta en la consecución de una identidad digital veraz, segura y sobre todo privada. 

 

¿Qué problemas resuelve la combinación de ambos? 

La tecnología blockchain es la pieza que falta para que la identidad autosuficiente sea una realidad. En el contexto de la SSI, la tecnología blockchain resuelve varios problemas que han afectado al mundo de las identidades digitales hasta el día de hoy. 

El intermediario: elimina la necesidad de un mediador, que generalmente está representado por un banco. Podemos confirmar transacciones e identidades, así como verificar contratos, y todo ello sin la necesidad de un tercero. 

Problemas de confianza: la red nos procura confianza a través de una combinación, de un complejo problema matemático que debe ser resuelto, probado y luego verificado por el resto de la red, antes de que se pueda agregar cualquier nueva información.  

Transparencia: en blockchains públicos, todas las transacciones están disponibles para su visualización, esto permite un nivel de integridad y responsabilidad, que no ha existido antes en sistemas financieros anteriores. 

Control: el usuario es el propietario de sus propios datos, teniendo el control sobre la trazabilidad de los mismos cumpliendo con el RGPD.