Detección de vivacidad vs detección de fraude documental: diferencias clave
La detección de vivacidad y la detección de fraude documental cubren vectores de ataque distintos. Aprende sus diferencias, marco regulatorio y cómo integrarlas en KYC.
Resumir este artículo con
ChatGPT
Claude
Perplexity
Gemini
GrokLa detección de vivacidad (liveness detection) verifica que una persona física está presente durante la verificación biométrica, mientras que la detección de fraude documental analiza si un documento es auténtico o falsificado. Estos dos controles cubren vectores de ataque distintos y son complementarios en cualquier proceso robusto de verificación de identidad.
Este artículo tiene carácter informativo y no constituye asesoramiento jurídico. Las referencias regulatorias son exactas a la fecha de publicación, junio de 2026.
Los intentos de fraude de identidad combinan con frecuencia ambos vectores: un defraudador puede presentar un pasaporte auténtico robado mientras utiliza una fotografía impresa para engañar al sistema de verificación biométrica. Comprender las diferencias entre estas dos técnicas es esencial para diseñar una arquitectura KYC sin puntos ciegos.
¿Qué es la detección de vivacidad?
La detección de vivacidad designa el conjunto de técnicas que permiten verificar que la persona que presenta un rostro ante una cámara es un ser humano real, y no una fotografía impresa, un vídeo reproducido, una máscara 3D o un deepfake generado por inteligencia artificial.
La norma ISO/IEC 30107-3 (Biometric Presentation Attack Detection) es la referencia internacional para evaluar los sistemas de detección de vivacidad, definiendo los tipos de ataques (artefactos impresos, ataques de vídeo, máscaras 3D) y las métricas de evaluación estandarizadas (ISO/IEC 30107-3:2023).
Dos enfoques principales: activo y pasivo
Los sistemas de detección de vivacidad se dividen en dos categorías según el grado de interacción requerida:
- Vivacidad activa: el usuario realiza una acción (girar la cabeza, parpadear, pronunciar un número). Más robusta frente a fotografías y vídeos, pero introduce fricción en el recorrido del usuario.
- Vivacidad pasiva: el sistema analiza texturas, profundidad, micromovimientos naturales y artefactos de compresión sin interacción visible. Ofrece mejor experiencia de usuario pero requiere modelos más sofisticados.
Los vectores de ataque incluyen fotografías impresas de alta resolución, reproducción de vídeo en pantalla secundaria (replay attacks), máscaras 3D impresas y, desde 2024, deepfakes en tiempo real inyectados mediante controladores de cámara virtual.
Marco regulatorio aplicable a la detección de vivacidad
El AI Act (Reglamento UE 2024/1689) clasifica los sistemas de identificación biométrica remota entre los sistemas de IA de alto riesgo (Anexo III, categoría 1). Los sistemas de detección de vivacidad utilizados en contextos de verificación de identidad regulados están sujetos a evaluación de conformidad obligatoria antes de su comercialización en la UE (Reglamento (UE) 2024/1689, Art. 6 y Anexo III).
eIDAS 2 (Reglamento UE 2024/1183), en aplicación progresiva desde enero de 2025, exige un nivel de garantía «elevado» para casos de uso sensibles de identidad digital. Este nivel requiere procedimientos de identificación en línea que integren detección activa de vivacidad (Reglamento (UE) 2024/1183, Art. 8).
En España, el SEPBLAC (Servicio Ejecutivo de la Comisión de Prevención del Blanqueo de Capitales) ha publicado guías sobre la identificación no presencial que establecen que los controles biométricos deben ser proporcionales al riesgo de fraude de identidad (SEPBLAC, guías de supervisión 2024).
¿Qué es la detección de fraude documental?
La detección de fraude documental designa las técnicas que permiten identificar si un documento presentado es auténtico, falsificado, contrahecho o generado por inteligencia artificial. Se aplica a todos los tipos de documentos: documentos de identidad, pasaportes, nóminas, extractos bancarios, diplomas y permisos de conducir.
La ACFE (Association of Certified Fraud Examiners) estima que solo el 37 % de los fraudes documentales son detectados por controles manuales, subrayando la necesidad de controles automatizados para cubrir vectores invisibles al ojo humano (ACFE 2024 Report to the Nations).
Principales categorías de fraude documental
| Tipo de fraude | Técnica utilizada | Documentos más afectados |
|---|---|---|
| Falsificación total | Reproducción íntegra | Pasaportes, DNI |
| Alteración | Modificación de documento auténtico | Nóminas, extractos bancarios |
| Generación IA | Creación sintética por LLM/GAN | Todos los tipos |
| Sustitución de foto | Reemplazo de fotografía en doc. real | Documentos de identidad |
| Inyección digital | Presentación de archivo PDF manipulado | Documentos digitales |
Técnicas de análisis forense documental
La detección de fraude documental moviliza varias capas de análisis complementarias:
- Inspección de elementos de seguridad: zonas MRZ (Machine Readable Zone), hologramas, tipografías seguras, filigranas UV
- Error Level Analysis (ELA): detecta zonas modificadas por inpainting o montaje digital mediante inconsistencias de compresión JPEG
- Verificación de metadatos: coherencia entre software de creación, fecha, perfil de color y tipo de documento esperado
- Validación cruzada semántica: coherencia entre campos del documento y con otras piezas del expediente
La AMLD6 (Directiva (UE) 2024/1640, Art. 20) obliga a las entidades sujetas a implementar medidas de identificación a distancia proporcionales a los riesgos de fraude documental, incluyendo controles automatizados para procedimientos digitales (Directiva (UE) 2024/1640).
La Ley 10/2010 de prevención del blanqueo de capitales en España, en su desarrollo reglamentario, establece requisitos específicos para la identificación no presencial que complementan las exigencias de la AMLD6.
La detección de contenidos sintéticos se despliega como capa adicional junto a los controles estructurales existentes. La plataforma CheckFile ofrece esta capacidad para organizaciones que deseen reforzar su protección frente a documentos generados por IA.
Comparativa: detección de vivacidad vs detección de fraude documental
| Criterio | Detección de vivacidad | Detección de fraude documental |
|---|---|---|
| Vector de ataque cubierto | Suplantación biométrica (spoof) | Documento falsificado o sintético |
| Objeto analizado | Rostro / comportamiento en tiempo real | Documento (estructura, metadatos, imagen) |
| Tecnologías principales | Visión por ordenador, 3D, infrarrojo | Forense, OCR, ELA, MRZ |
| Norma de referencia | ISO/IEC 30107-3 | ISO/IEC 18013, estándares nacionales |
| Marco regulatorio UE | AI Act 2024/1689, eIDAS 2 | AMLD6 2024/1640, eIDAS 2 |
| Riesgo cubierto | "Me hago pasar por otra persona" | "Uso un documento falso o robado" |
| Complementariedad | Requiere verificación documental | Requiere detección de vivacidad |
¿Listo para automatizar sus verificaciones?
Piloto gratuito con sus propios documentos. Resultados en 48h.
Solicitar un piloto gratuitoPor qué ambos controles son imprescindibles
La detección de vivacidad y la detección de fraude documental cubren ángulos de ataque radicalmente distintos. Un sistema robusto debe combinar ambos para eliminar puntos ciegos.
Escenario 1 — Documento auténtico, suplantador biométrico. Un defraudador utiliza el pasaporte auténtico de una víctima cuyas credenciales ha robado. La verificación documental valida el documento (es auténtico). Sin detección de vivacidad, el defraudador puede superar la verificación presentando una fotografía de alta resolución de la víctima. La detección de vivacidad identifica el artefacto impreso y bloquea el intento.
Escenario 2 — Persona real, documento falsificado. Un solicitante de crédito presenta una nómina generada por IA que refleja unos ingresos ficticios. La detección de vivacidad confirma que hay una persona real frente a la cámara. Sin análisis forense documental, el fraude pasa desapercibido. La detección de fraude documental identifica las anomalías de metadatos y señala el expediente.
Escenario 3 — Doble fraude combinado. Deepfake en tiempo real + documento sintético. Este vector de ataque sofisticado exige ambas capas de protección simultáneamente. La ENISA documentó en 2024 un aumento de los ataques que combinan deepfakes biométricos y documentos de identidad generados por IA en contextos de onboarding financiero (ENISA Threat Landscape 2024).
En los foros especializados de cumplimiento normativo, los profesionales suelen debatir si priorizar la vivacidad o la verificación documental. La conclusión práctica es siempre la misma: ambos deben operar simultáneamente en el mismo flujo KYC, porque los defraudadores experimentados atacan el control que falta.
Para profundizar en la detección de vivacidad en contextos KYC bancarios, consulte nuestra guía sobre detección de vivacidad y prevención de suplantación de identidad.
Integración en un workflow KYC
La secuencia de implementación óptima en un proceso de verificación de identidad sigue generalmente estos pasos:
- Captura del documento → análisis forense en tiempo real (detección de fraude documental)
- Extracción de datos → OCR + verificación MRZ
- Captura del selfie o vídeo → detección de vivacidad
- Matching facial → comparación biométrica rostro-documento
- Puntuación global → decisión KYC consolidada
Esta secuencia es conforme con los requisitos del nivel de garantía «elevado» de eIDAS 2 para la identificación a distancia. El NIST SP 800-63A (Digital Identity Guidelines, Rev. 4, 2024) recomienda una arquitectura análoga para los flujos de registro digital (NIST SP 800-63A).
Las soluciones de verificación de identidad modernas exponen ambas capacidades mediante una API unificada. Consulte nuestra guía de verificación de documentos para conocer el conjunto de controles requeridos según su sector.
Preguntas frecuentes
¿Son intercambiables la detección de vivacidad y la verificación documental?
No. Cubren vectores de ataque distintos. La detección de vivacidad protege contra la suplantación biométrica; la verificación documental protege contra documentos falsos. Un defraudador puede superar uno y fallar el otro, por lo que ambos son necesarios en un proceso KYC completo.
¿Cuál es la norma internacional para la detección de vivacidad?
La norma ISO/IEC 30107-3 define los requisitos de detección de ataques de presentación (Presentation Attack Detection o PAD). Los sistemas certificados han sido evaluados por laboratorios acreditados como iBeta Quality Assurance en niveles de conformidad estandarizados (Nivel 1 y Nivel 2).
¿Se aplica el AI Act a la detección de vivacidad?
Sí. El Reglamento (UE) 2024/1689 clasifica los sistemas de verificación biométrica utilizados en contextos regulados como IA de alto riesgo (Anexo III). Los proveedores deben completar una evaluación de conformidad obligatoria antes de comercializar su sistema en la UE.
¿Es suficiente la verificación documental por sí sola para cumplir con la AMLD6?
La Directiva (UE) 2024/1640 exige medidas de identificación proporcionales al riesgo evaluado. Para la identificación a distancia, la combinación verificación documental + detección de vivacidad representa el estándar mínimo para niveles de riesgo medio-alto. La verificación documental sola puede ser insuficiente según el análisis de riesgo de la entidad obligada.
¿Cómo evaluar la calidad de un sistema de detección de vivacidad?
Priorice soluciones con certificación ISO/IEC 30107-3 de un laboratorio acreditado, con métricas BPCER y APCER publicadas. Verifique que los modelos se actualizan regularmente para cubrir las nuevas técnicas de deepfake y confirme la compatibilidad con los requisitos del nivel de garantía eIDAS 2 aplicables a su caso de uso.
Para situar este riesgo en la oferta CheckFile, consulte nuestro enfoque de detección IA y deepfake.
Manténgase informado
Reciba nuestros análisis de cumplimiento y guías prácticas en su correo.