Skip to content
Detección IA & DeepfakeNuevo

Señales IA, sintéticos, deepfakes

Caso de clienteTarifasSeguridadComparativaBlog
GlosarioGuías por paísChecklistsCalculadora ROI

Europe

Americas

Oceania

Guía9 min de lectura

Checklist: señales de que un documento fue generado o alterado por IA

12 señales concretas — metadatos, texto, elementos visuales y verificaciones cruzadas — para identificar documentos fabricados o alterados por IA. Guía para equipos de cumplimiento.

El equipo CheckFile
El equipo CheckFile·
Illustration for Checklist: señales de que un documento fue generado o alterado por IA — Guía

Resumir este artículo con

ChatGPTChatGPTClaudeClaudePerplexityPerplexityGeminiGeminiGrokGrok

Un documento generado o alterado por IA deja trazas características en cuatro capas: metadatos del archivo, estructura textual, coherencia visual y exactitud de los datos verificables. Esta checklist recoge las 12 señales más fiables, ordenadas por dificultad de falsificación, para que los equipos de cumplimiento, KYC y crédito puedan filtrar expedientes sospechosos antes de tomar cualquier decisión.

Según el Informe ACFE 2024 Report to the Nations, solo el 37 % de los casos de fraude documental se detectan de forma manual, con un retraso medio de 87 días. Las herramientas de IA generativa han reducido el tiempo de producción de un documento falsificado convincente a cuestión de minutos — lo que hace indispensable la verificación sistemática.

Nivel 1 — Metadatos del archivo: verificación en 90 segundos

Los metadatos son la primera capa que hay que inspeccionar, porque la mayoría de los generadores de IA los omiten o los rellenan de forma incoherente.

En un documento auténtico emitido por un organismo oficial, los metadatos reflejan la cadena de producción: software institucional, impresora, certificado digital. Un documento generado por IA muestra típicamente una herramienta de consumo en el campo Producer o Creator: ChatGPT PDF Export, Canva, PDFCreator o una librería Python (reportlab, fpdf). Este patrón está documentado en el ENISA Threat Landscape 2024.

Campos a controlar sistemáticamente:

  • Creator / Producer: debe coincidir con el software institucional esperado (p. ej., Microsoft Word para un contrato laboral, SAP para la nómina de una gran empresa)
  • CreationDate vs ModDate: una diferencia de solo unos segundos resulta sospechosa; los documentos legítimos conservan un historial de modificaciones
  • Author: con frecuencia en blanco o con un identificador genérico en documentos fabricados
  • Metadatos XMP: totalmente ausentes en documentos producidos con herramientas de generación básicas

Para fotografías adjuntas (selfis KYC, justificantes de domicilio con foto): la ausencia de datos EXIF (modelo de dispositivo, GPS, hora de captura) indica una imagen generada digitalmente o recortada de forma intensiva.

Nivel 2 — Anomalías textuales propias de los LLM

Los modelos de lenguaje como GPT-4o o Gemini producen texto estadísticamente demasiado homogéneo: sin errores tipográficos, sin correcciones manuales, sin variación estilística entre párrafos. Esta señal es invisible en una primera lectura, pero se vuelve evidente al analizar varios campos del mismo documento.

Señales a buscar:

  • Densidad léxica uniforme: una nómina auténtica contiene abreviaturas sectoriales, códigos de convenio colectivo e intitulados de puesto no estandarizados. Una falsificación presenta un texto «limpio» sin jerga sectorial auténtica.
  • Frases de transición LLM: «Cabe señalar que», «Además», «A este respecto» — construcciones sobrerrepresentadas en textos generativos frente a los documentos oficiales reales.
  • Números de referencia demasiado regulares: los números de contrato, factura o NIF generados aleatoriamente suelen pasar la validación de formato pero fallan en la verificación de dígito de control (NIF: algoritmo propio; IBAN: módulo 97).
  • Fechas coherentes en superficie pero imposibles en profundidad: un contrato firmado «el 15 de marzo de 2024» que referencia una versión de convenio colectivo con fecha de 2025.

Los usuarios en foros especializados de cumplimiento preguntan con frecuencia: «¿Cómo saber si una nómina fue creada con ChatGPT?» La respuesta pasa casi siempre por comprobar si el número de la Seguridad Social coincide con el formato de la TGSS, si la referencia del empleador ante la Seguridad Social es real y si las categorías de deducción corresponden a los tipos IRPF vigentes en el período declarado.

Nivel 3 — Señales visuales y gráficas

Las herramientas de generación de imágenes (Midjourney, DALL·E, Stable Diffusion) y los motores de maquetación automática dejan huellas características.

Conforme al Reglamento UE de IA 2024/1689, art. 50, los contenidos sintéticos deben marcarse como tal — pero esta obligación no se aplica retroactivamente a documentos ya en circulación.

Puntos de control visuales:

  • Alineación demasiado perfecta: los documentos impresos y escaneados presentan una ligera rotación (0,5°–2°). Un documento generado digitalmente es perfectamente recto, sin distorsión de perspectiva.
  • Resolución y compresión incoherentes: logotipos en alta resolución sobre un formulario cuyo cuerpo de texto está borroso, o a la inversa.
  • Sellos y firmas: un sello oficial presenta irregularidades de tinta y una ligera deformación. Un sello generado por IA es un círculo perfecto con una tipografía perfectamente centrada.
  • Ausencia de textura de papel: las fotos de documentos reales muestran el grano del papel, reflejos y sombras. Los documentos IA son uniformemente planos.
  • Fotografías en documentos de identidad: piel demasiado suave, simetría facial excesiva, bordes del cabello demasiado nítidos — características de una imagen deepfake. Véase nuestro artículo sobre la detección de deepfakes en documentos.

¿Listo para automatizar sus verificaciones?

Piloto gratuito con sus propios documentos. Resultados en 48h.

Solicitar un piloto gratuito

Nivel 4 — Incoherencias en datos cruzados

Un documento no puede verificarse de forma aislada. La coherencia entre los campos internos y la realidad verificable externamente es la prueba más difícil de superar para un defraudador.

Verificaciones cruzadas esenciales:

  • NIF / CIF: verificación en el Registro Mercantil Central — el número debe existir, coincidir con la empresa nombrada y estar activo en la fecha del documento
  • Dirección: verificación en el callejero de la Dirección General del Catastro — una dirección inexistente es una señal importante
  • Número de IVA intracomunitario: verificación a través del sistema VIES de la Comisión Europea
  • IBAN: el código BIC debe corresponder a una entidad bancaria real activa en España; el IBAN pasa el control módulo 97

Tabla resumen: señales por tipo de documento

Tipo de documento Señal prioritaria Verificación recomendada
Nómina Convenio colectivo coherente, cotizaciones según tipos vigentes Verificar tipos TGSS en vigor en la fecha
Extracto bancario Saldo inicial = saldo final del período anterior Cruzar con otros extractos de la misma cuenta
Factura de proveedor CIF válido, número IVA activo Registro Mercantil + VIES
Documento de identidad Tipografía oficial, zona MRZ coherente Comparar con muestras de referencia OACI
Justificante de domicilio Dirección existente, logotipo auténtico del suministrador Catastro + verificación visual del logotipo
Certificado de empresa Número de inscripción coherente, fecha de constitución Registro Mercantil Central
Título / certificado Número de título verificable, firma del responsable Verificación con el centro emisor

Procedimiento de verificación sistemática

Los equipos de cumplimiento y KYC que procesan grandes volúmenes de documentación — especialmente en el marco de las obligaciones de la Ley 10/2010 de prevención del blanqueo de capitales y las directrices del SEPBLAC — no pueden aplicar manualmente esta checklist completa a cada documento.

El procedimiento recomendado sigue un modelo de triaje a tres niveles:

  1. Filtrado automatizado (niveles 1 + 4): extracción de metadatos y validación de dígitos de control mediante API — esta etapa puede procesar cientos de documentos por hora
  2. Análisis forense asistido (niveles 2 + 3): examen visual dirigido a los documentos marcados por el filtro automático
  3. Revisión humana reforzada: para los expedientes de alto riesgo, verificación directa con el organismo emisor

Nuestra plataforma admite más de 3.200 tipos de documentos en 32 jurisdicciones, lo que permite la comparación estructural en tiempo real durante la verificación. Consulte la página de detección de documentos IA para ver cómo esta capa de detección se integra en sus controles existentes.

Por qué la detección humana sola es insuficiente

Las herramientas de IA generan ahora documentos que superan la verificación visual de la mayoría de los analistas, según los trabajos recogidos en el ENISA Threat Landscape 2024. El dígito de control de un CIF, la estructura de la zona MRZ de un pasaporte, la coherencia de las cotizaciones en una nómina — estas verificaciones requieren cálculos algorítmicos que el ojo humano no puede realizar en pocos segundos.

El Europol Internet Organised Crime Threat Assessment (IOCTA) 2024 señala un aumento notable de los intentos de fraude documental asistido por IA en el sector financiero europeo, dirigidos especialmente a los procesos de onboarding digital y crédito en línea.

Para profundizar en las técnicas de generación, consulte nuestro análisis de cómo la IA genera documentos falsos y las amenazas vinculadas a los LLM como ChatGPT.

La automatización de estas verificaciones mediante una solución especializada — con soluciones adaptadas a su sector — reduce el fraude no detectado manteniendo una experiencia de usuario fluida. Explore nuestra guía de verificación de documentos para una visión general de los métodos disponibles y consulte nuestros precios.

Preguntas frecuentes

¿Puede una herramienta de detección de IA identificar todos los documentos falsos?

No. Las herramientas de detección de IA rinden bien con tipos de documentos conocidos, pero tienen limitaciones frente a formatos completamente nuevos o documentos generados con herramientas muy recientes. La detección multicapa (metadatos + estructura + verificaciones cruzadas) sigue siendo el método más robusto.

¿Un CIF válido en un documento prueba su autenticidad?

No. Un defraudador puede copiar un CIF existente de una empresa real. La verificación debe cruzar el número con el nombre de la empresa, su dirección y su actividad en los registros oficiales — no solo validar el formato del número.

¿Son fáciles de falsificar los extractos bancarios PDF con IA?

Sí. Los LLM pueden generar extractos sintácticamente coherentes en segundos. Las señales de falsificación incluyen: saldos no acumulativos entre meses, referencias de transacciones demasiado cortas o largas, y ausencia de números de referencia bancaria en formato SEPA.

¿Qué normativa española regula la verificación de documentos en el contexto del KYC?

Las obligaciones de verificación documental en KYC derivan de la Ley 10/2010 de prevención del blanqueo de capitales, las directrices del SEPBLAC y la transposición en curso de la 6ª Directiva Antibloqueo (AMLD6). Toda entidad sujeta debe conservar las pruebas de verificación durante cinco años tras la finalización de la relación de negocio.

¿Cómo se comunica a las autoridades un documento sospechoso de ser falso?

En España, la sospecha de blanqueo vinculada a un documento fraudulento debe comunicarse al SEPBLAC mediante una comunicación de operación sospechosa (COS). La detección de un documento generado por IA puede constituir indicio suficiente para activar este procedimiento.

Para situar este riesgo en la oferta CheckFile, consulte nuestro enfoque de detección IA y deepfake.

Manténgase informado

Reciba nuestros análisis de cumplimiento y guías prácticas en su correo.

¿Listo para automatizar sus verificaciones?

Piloto gratuito con sus propios documentos. Resultados en 48h.

Artículos relacionados

Guía11 min

Documentos falsos con LLM y ChatGPT: la nueva amenaza de fraude

ChatGPT y los modelos de lenguaje generan documentos falsos textuales indetectables. Cómo funciona esta amenaza, qué documentos se falsifican y cómo proteger tu organización.

Leer
Guía11 min

Cómo la IA genera documentos falsos — y cómo detectarlos

Los modelos de IA generativa (GAN, difusión, LLM) crean nóminas, DNI y extractos bancarios indistinguibles de los originales. Guía completa sobre mecanismos de fabricación y técnicas de detección en 2026.

Leer
Guía9 min

Detección de vivacidad vs detección de fraude documental: diferencias clave

La detección de vivacidad y la detección de fraude documental cubren vectores de ataque distintos. Aprende sus diferencias, marco regulatorio y cómo integrarlas en KYC.

Leer