Liveness detection: prevenir la suplantación de identidad con verificación facial
Qué es liveness detection (detección de vivacidad), cómo funciona, norma ISO 30107-3 y marco regulatorio español. Guía técnica y práctica 2026.
Resumir este artículo con
ChatGPT
Claude
Perplexity
Gemini
GrokLa liveness detection — en español, detección de vivacidad o prueba de vida — es la tecnología que confirma que la persona frente a la cámara es un ser humano vivo, y no una fotografía impresa, un vídeo en bucle, una máscara 3D o un deepfake inyectado directamente en el flujo de datos. En 2027, las transacciones de verificación biométrica superarán los 50.000 millones anuales a escala mundial (Biometric Update, 2025), impulsadas por el KYC digital, los pagos instantáneos y el despliegue del monedero digital europeo (EUDI Wallet). Mientras tanto, los intentos de fraude con deepfake aumentaron un 58 % en 2025 y los ataques de inyección un 40 % interanual. La liveness detection ha dejado de ser una opción técnica para convertirse en un requisito regulatorio y comercial.
Para una visión de conjunto de la automatización de la verificación documental, consulte nuestra guía de verificación documental automatizada. Para el contexto sectorial, vea nuestro análisis de tendencias en identidad digital 2026.
¿Qué es liveness detection?
La liveness detection es la capa antifraude que confirma la presencia de una persona viva ante la cámara antes de cualquier comparación biométrica. Sin ella, cualquier sistema de reconocimiento facial es vulnerable a una fotografía de buena calidad.
La tecnología se divide en dos familias:
Detección activa: el usuario ejecuta una instrucción en tiempo real — parpadear, girar la cabeza, pronunciar una palabra. La lógica es que una foto estática no puede obedecer una consigna aleatoria. Vulnerabilidad: las herramientas deepfake actuales pueden sintetizar movimientos faciales en tiempo real. Las tasas de rechazo en el primer intento alcanzan el 35 % en flujos no guiados, generando abandono y frustración.
Detección pasiva: no se requiere ninguna acción del usuario. El sistema analiza silenciosamente la textura de la piel, los reflejos especulares (distintos en una piel real que en una pantalla LCD), los indicadores de profundidad 3D y la fotopletismografía remota (rPPG — detección del flujo sanguíneo mediante variaciones sutiles del color cutáneo). Las mejores implementaciones operan en menos de 300 milisegundos.
La detección pasiva es el estándar industrial emergente para KYC de alto volumen. Una implementación documentada redujo el tiempo de onboarding un 80 % y el fraude un 65 % al pasar de detección activa a pasiva.
La mejor práctica emergente es un enfoque híbrido: detección pasiva para todos los usuarios, con un desafío activo activado únicamente ante señales de riesgo elevado — dispositivo inusual, transacción de alto valor, metadatos anómalos.
Las cuatro categorías de ataque
Ataques de presentación
Los ataques de presentación presentan físicamente un artefacto falsificado ante la cámara:
| Tipo de ataque | Sofisticación | Contramedida principal |
|---|---|---|
| Fotografía impresa | Baja | Análisis de textura 2D |
| Pantalla (móvil/tablet) | Baja-moderada | Detección de patrón Moiré, reflejos LCD |
| Vídeo en bucle | Moderada | Análisis de movimiento, liveness probe |
| Máscara 3D rígida | Alta | Mapa de profundidad, análisis infrarrojo |
| Máscara hiperrealista articulada | Muy alta | Certificación ISO 30107-3 nivel 3 |
Ataques por inyección — la brecha crítica
Los ataques por inyección eluden completamente la cámara física: un deepfake se inyecta directamente en el pipeline de datos como si fuera una cámara real. Un sistema certificado ISO 30107-3 puede ser 100 % vulnerable a los ataques de inyección, porque la norma solo cubre lo que ocurre en el sensor, no en el pipeline posterior.
Los datos son contundentes: en 2025, una sola entidad financiera registró 8.065 intentos de inyección en ocho meses. Las empresas perdieron más de 200 millones de dólares en el primer trimestre de 2025 por fraudes con deepfake. Un único banco indonesio expuso 138,5 millones de dólares en pérdidas potenciales en tres meses (KYC Chain, 2025). Sin embargo, el 42 % de las organizaciones depende únicamente de la detección PAD, quedando completamente expuesto.
La protección eficaz combina PAD (Presentation Attack Detection) a nivel de sensor con IAD (Injection Attack Detection) a nivel de pipeline.
La norma ISO 30107-3
ISO/IEC 30107-3 es la norma internacional para la Detección de Ataques de Presentación (PAD). Define la metodología para evaluar si un sistema biométrico puede detectar y rechazar artefactos falsificados. El principal organismo de certificación es iBeta Quality Assurance, acreditado por el NIST.
| Nivel | Preparación del ataque | Coste material | Tasa máxima de penetración (APCER) | BPCER máx. |
|---|---|---|---|---|
| L1 | 8 horas | ~30 USD | 0 % | ≤ 15 % |
| L2 | 2-4 días | ~300 USD | ≤ 1 % | ≤ 15 % |
| L3 | 7 días | Sin límite | ≤ 5 % | ≤ 10 % |
La norma ISO 30107-3 reemplaza las métricas clásicas FAR/FRR en el contexto PAD:
- APCER: tasa a la que los ataques pasan como presentaciones auténticas. Cuanto más bajo, mejor.
- BPCER: tasa a la que rostros legítimos son rechazados. Un BPCER del 0,8 % equivale a 8.000 usuarios legítimos rechazados por millón de verificaciones — un coste real de soporte y abandono.
En enero de 2026, Yoti se convirtió en la primera empresa en obtener la certificación iBeta L3, que incluye máscaras hiperrealistas con párpados mecánicamente articulados y deepfakes que responden en tiempo real a las consignas de vivacidad activa (Biometric Update, enero 2026).
Exija siempre las cartas de confirmación iBeta — disponibles en ibeta.com. Las afirmaciones de "conformidad ISO" sin carta de confirmación son inverificables.
Profundizar en el tema
Descubra nuestras guías prácticas y recursos para dominar el cumplimiento documental.
Explorar las guíasMarco regulatorio español
SEPBLAC, Banco de España y prevención del blanqueo
En España, el SEPBLAC (Servicio Ejecutivo de la Comisión de Prevención del Blanqueo de Capitales) supervisa el cumplimiento de la normativa ALD/FT. La Ley 10/2010 de prevención del blanqueo de capitales y su Reglamento de desarrollo establecen las condiciones para la verificación de identidad no presencial. La verificación biométrica con liveness detection combinada con la verificación documental es una modalidad reconocida para la diligencia debida del cliente (DDC) a distancia.
El Banco de España y la CNMV han publicado guías técnicas que reconocen la verificación biométrica remota como equivalente a la presencial, siempre que cumpla los estándares técnicos del ETSI TS 119 461 v2 (febrero de 2025), que operativiza los requisitos de eIDAS 2.0.
Un proceso de verificación conforme a ETSI TS 119 461 v2 cumple simultáneamente eIDAS 2.0, AMLD6 y las expectativas de los supervisores prudenciales — una convergencia regulatoria relevante para los actores financieros.
AEPD y RGPD: datos biométricos como categoría especial
La biometría facial es un dato personal de categoría especial conforme al artículo 9 del RGPD. La AEPD (Agencia Española de Protección de Datos) es la autoridad de control. El tratamiento requiere consentimiento explícito o base jurídica específica. El principio de minimización de datos obliga a no conservar las plantillas biométricas más allá del momento de verificación.
La AEPD ha sancionado a varias empresas por uso indebido de datos biométricos, con multas que pueden alcanzar el 4 % del volumen de negocio global bajo el RGPD. La implantación de liveness detection debe documentarse en el Registro de Actividades de Tratamiento y, generalmente, requiere una Evaluación de Impacto relativa a la Protección de Datos (EIPD).
eIDAS 2.0 y el monedero digital europeo
El reglamento eIDAS 2.0 obliga a cada Estado miembro a ofrecer al menos un monedero digital europeo (EUDI Wallet) certificado antes de finales de 2026. La liveness detection es un elemento técnico obligatorio del proceso de verificación de identidad que alimenta estos monederos.
Causas frecuentes de error — lo que los usuarios experimentan
Los foros especializados identifican causas recurrentes que los proveedores rara vez discuten públicamente:
La iluminación es la principal causa de rechazo falso. El contraluz — una ventana detrás del usuario — sobreexpone el rostro y distorsiona el análisis de textura. Las interfaces bien diseñadas muestran un indicador de iluminación en tiempo real antes de la captura.
La variabilidad de dispositivos penaliza desproporcionadamente a usuarios con smartphones de gama baja. Los sensores frontales de baja resolución producen imágenes que fallan el análisis de textura 2D. Este sesgo afecta de manera diferenciada a la población con menores recursos — un problema de equidad digital raramente documentado.
La confusión en las consignas de liveness activa genera abandonos. Las tasas de rechazo en el primer intento alcanzan el 35 % en flujos no guiados. La detección pasiva elimina esta categoría de error.
El impacto en la conversión es medible: el solo paso de verificación biométrica genera un 10-15 % de abandonos. En un flujo KYC completo no optimizado, las pérdidas acumuladas alcanzan el 40-68 % de los prospectos.
Integración en un proceso KYC/AML completo
La liveness detection es un componente, no un sistema completo de verificación de identidad. Un flujo KYC conforme combina tres capas:
- Verificación documental — OCR, detección de falsificaciones, cruce con bases de datos oficiales
- Liveness detection + reconocimiento facial — prueba de vida y comparación entre el titular del documento y la persona frente a la cámara
- Escrutinio regulatorio — listas de sanciones (UE, OFAC, ONU), PPE y medios adversos en tiempo real
Un punto arquitectónico crítico: los sistemas deben verificar que la detección de vivacidad y la captura documental pertenecen a la misma sesión (session binding). Sin este vínculo, un atacante puede superar la liveness en un dispositivo y sustituir un documento de identidad diferente.
CheckFile integra las tres capas en una plataforma única, con alojamiento en la UE, certificación ISO 27001 y cumplimiento pleno del RGPD. Consulte nuestra página de seguridad y tarifas. Para la guía completa de automatización, vea nuestro guía de automatización de la verificación.
Cómo elegir una solución de liveness detection
| Criterio | Mínimo exigible | Recomendado |
|---|---|---|
| Certificación ISO 30107-3 | L1 | L2 para onboarding regulado |
| Protección contra inyección | No definida por la norma | Capa IAD integrada |
| BPCER (falsos rechazos) | < 2 % | < 0,5 % |
| Latencia | < 3 segundos | < 500 ms (modo pasivo) |
| Cobertura de dispositivos | iOS/Android recientes | Soporte gama baja |
| Cumplimiento RGPD | Obligatorio | Cero-retención de plantillas biométricas |
| Alojamiento de datos | UE | España o Alemania |
Preguntas frecuentes
¿Qué es liveness detection?
La liveness detection (detección de vivacidad) verifica que una persona viva real está frente a la cámara durante una verificación de identidad — no una fotografía, vídeo, máscara o deepfake inyectado. Opera antes de la comparación facial y valida la autenticidad de la presentación biométrica.
¿Cómo funciona liveness detection?
En modo pasivo, el sistema analiza silenciosamente la textura de la piel, los reflejos de la luz, los indicadores de profundidad 3D y las variaciones de color asociadas al flujo sanguíneo (rPPG). En modo activo, el usuario ejecuta una instrucción aleatoria (parpadear, girar la cabeza). Las mejores soluciones combinan ambos enfoques, reservando el desafío activo para señales de riesgo.
¿Por qué es importante liveness detection?
Sin liveness detection, cualquier sistema de reconocimiento facial es vulnerable a una simple fotografía de alta resolución. En 2025, las empresas perdieron más de 200 millones de dólares en un solo trimestre por fraudes con deepfake. La regulación — RGPD, AMLD6, eIDAS 2.0, Ley 10/2010 — impone niveles de garantía crecientes para la verificación de identidad a distancia.
¿Cuánto cuesta liveness detection?
Las soluciones API facturan entre 0,10 y 0,50 € por verificación para liveness detection individual. Las ofertas KYC completas — documento + liveness + escrutinio — van de 0,50 a 2 € por onboarding según los volúmenes. Consulte nuestra página de tarifas para una estimación personalizada.
¿Cuáles son las mejores soluciones de liveness detection?
Las soluciones líderes se evalúan por su certificación ISO 30107-3 (mínimo L2 para casos regulados), protección contra ataques de inyección, BPCER medido y cumplimiento del RGPD con cero-retención de plantillas biométricas. Exija siempre las cartas de confirmación iBeta y las métricas APCER/BPCER de tests reales — no cifras comerciales.
Manténgase informado
Reciba nuestros análisis de cumplimiento y guías prácticas en su correo.