Liveness detection: prevenir la suplantación de identidad con verificación facial en México
Qué es liveness detection, cómo funciona, ISO 30107-3 y el marco regulatorio mexicano (UIF, CNBV, SAT, LFPDPPP). Guía técnica y práctica 2026.
Resumir este artículo con
ChatGPT
Claude
Perplexity
Gemini
GrokLa liveness detection — en México conocida como detección de vivacidad o prueba de vida — es la tecnología que confirma que la persona frente a la cámara es un ser humano vivo, y no una fotografía impresa, un vídeo en bucle, una máscara 3D o un deepfake inyectado directamente en el flujo de datos. En un contexto donde los intentos de fraude con deepfake aumentaron un 58 % en 2025 y las empresas perdieron más de 200 millones de dólares en el primer trimestre de 2025, la liveness detection es la primera línea de defensa del KYC digital en el mercado mexicano.
Para una visión general de la automatización de la verificación documental, consulte nuestra guía de verificación documental automatizada. Para el contexto sectorial, vea nuestro análisis de tendencias en identidad digital 2026.
¿Qué es liveness detection?
La liveness detection es la capa antifraude que confirma la presencia de una persona viva ante la cámara antes de cualquier comparación biométrica. Sin ella, cualquier sistema de reconocimiento facial es vulnerable a una fotografía de buena calidad.
Detección activa: el usuario ejecuta una instrucción en tiempo real — parpadear, girar la cabeza, pronunciar una palabra. Las herramientas deepfake actuales sintetizan movimientos faciales en tiempo real, neutralizando este enfoque. Tasas de rechazo en el primer intento: hasta 35 % en flujos no guiados.
Detección pasiva: sin acción del usuario. El sistema analiza silenciosamente textura de la piel, reflejos especulares, indicadores de profundidad 3D y fotopletismografía remota (rPPG — detección del flujo sanguíneo). Las mejores implementaciones operan en menos de 300 milisegundos.
La detección pasiva es el estándar industrial emergente para KYC de alto volumen. Una implementación documentada redujo el tiempo de onboarding un 80 % y el fraude un 65 % al pasar de detección activa a pasiva.
Las cuatro categorías de ataque
Ataques de presentación
| Tipo de ataque | Sofisticación | Contramedida principal |
|---|---|---|
| Fotografía impresa | Baja | Análisis de textura 2D |
| Pantalla (móvil/tablet) | Baja-moderada | Detección de patrón Moiré, reflejos LCD |
| Vídeo en bucle | Moderada | Análisis de movimiento, liveness probe |
| Máscara 3D rígida | Alta | Mapa de profundidad, análisis infrarrojo |
| Máscara hiperrealista articulada | Muy alta | Certificación ISO 30107-3 nivel 3 |
Ataques por inyección — la brecha crítica
Los ataques por inyección eluden completamente la cámara física: un deepfake se inyecta directamente en el pipeline de datos. Un sistema certificado ISO 30107-3 puede ser 100 % vulnerable a los ataques de inyección. En 2025, una sola entidad financiera registró 8.065 intentos de inyección en ocho meses. La protección eficaz combina PAD (Presentation Attack Detection) a nivel de sensor con IAD (Injection Attack Detection) a nivel de pipeline.
La norma ISO 30107-3
ISO/IEC 30107-3 es la norma internacional para la Detección de Ataques de Presentación (PAD), certificada por iBeta Quality Assurance (acreditado por el NIST):
| Nivel | Preparación del ataque | Coste material | Tasa máxima de penetración (APCER) | BPCER máx. |
|---|---|---|---|---|
| L1 | 8 horas | ~30 USD | 0 % | ≤ 15 % |
| L2 | 2-4 días | ~300 USD | ≤ 1 % | ≤ 15 % |
| L3 | 7 días | Sin límite | ≤ 5 % | ≤ 10 % |
Un BPCER del 0,8 % equivale a 8.000 usuarios legítimos rechazados por millón de verificaciones. En enero de 2026, Yoti obtuvo la primera certificación iBeta L3 de la historia (Biometric Update, enero 2026).
Profundizar en el tema
Descubra nuestras guías prácticas y recursos para dominar el cumplimiento documental.
Explorar las guíasMarco regulatorio mexicano
UIF, CNBV y prevención del lavado de dinero
En México, la UIF (Unidad de Inteligencia Financiera) de la Secretaría de Hacienda y Crédito Público es la autoridad de inteligencia financiera. La CNBV (Comisión Nacional Bancaria y de Valores) supervisa el cumplimiento de las instituciones financieras reguladas.
La LFPIORPI (Ley Federal para la Prevención e Identificación de Operaciones con Recursos de Procedencia Ilícita) y sus Disposiciones Generales establecen las obligaciones de identificación del cliente para las Actividades Vulnerables. La verificación biométrica con liveness detection combinada con la verificación documental es una modalidad reconocida para el cumplimiento de la debida diligencia a distancia.
El SAT (Servicio de Administración Tributaria) juega un papel central en la identificación fiscal: el RFC (Registro Federal de Contribuyentes) es el identificador tributario para personas físicas y morales, y la e.firma (antes FIEL) es el certificado digital oficial del SAT. Para personas físicas, el INE (credencial para votar emitida por el Instituto Nacional Electoral) es el documento de identidad más utilizado — equivalente al DNI español. La CURP (Clave Única de Registro de Población) es el identificador único de ciudadanía.
Estructura federal y estatal: a diferencia de España, México tiene un sistema federal donde las regulaciones varían por entidad federativa. Los Registros Públicos de Comercio son estatales, lo que complica la verificación de personas morales a nivel nacional.
INAI y LFPDPPP: protección de datos biométricos
La biometría facial es dato personal sensible conforme a la LFPDPPP (Ley Federal de Protección de Datos Personales en Posesión de los Particulares). El INAI (Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales) es la autoridad de control.
El tratamiento de datos biométricos requiere consentimiento expreso del titular y su inclusión en el Aviso de Privacidad. El principio de minimización impone no conservar plantillas biométricas más allá de la verificación salvo necesidad documentada. El INAI ha sancionado a organizaciones por incumplimiento en el tratamiento de datos biométricos, con multas de hasta 320.000 días de salario mínimo (aproximadamente 37 millones de pesos).
eIDAS 2.0 y contexto internacional
Para empresas mexicanas con operaciones en la Unión Europea, la norma técnica ETSI TS 119 461 v2 (febrero de 2025) establece los requisitos de liveness en el contexto europeo. Un proceso conforme al eIDAS 2.0 satisface simultáneamente los requisitos de AMLD6 y las expectativas de los supervisores prudenciales europeos.
Causas frecuentes de error en México
La iluminación es la principal causa de rechazo falso. El contraluz es el factor más común en entornos domésticos. Las interfaces bien diseñadas muestran un indicador de iluminación en tiempo real.
La variabilidad de dispositivos afecta desproporcionadamente a usuarios con smartphones de gama baja. La alta penetración de dispositivos económicos en el mercado mexicano — con cámaras frontales de baja resolución — crea inconsistencias en las tasas de aprobación que pueden tener implicaciones de equidad digital.
La confusión en instrucciones de liveness activa genera abandono. Las tasas de rechazo en el primer intento alcanzan el 35 % en flujos no guiados. La detección pasiva elimina esta categoría de error.
El impacto en la conversión es medible: el paso de verificación biométrica solo genera 10-15 % de abandonos. En un flujo KYC completo no optimizado, las pérdidas acumuladas alcanzan el 40-68 % de los prospectos.
Integración en un proceso KYC/AML completo en México
Un flujo de onboarding conforme a los requisitos de la CNBV y la UIF combina tres capas:
- Verificación documental — OCR y validación de INE, pasaporte mexicano o Forma Migratoria; validación de RFC/CURP ante el SAT
- Liveness detection + reconocimiento facial — prueba de vida y comparación entre el titular del documento y la persona frente a la cámara
- Escrutinio regulatorio — listas de sanciones (ONU, OFAC, listas UIF), PPE y medios adversos en tiempo real
Session binding: los sistemas deben verificar que la detección de vivacidad y la captura documental pertenecen a la misma sesión. Sin este vínculo, un atacante puede superar la liveness en un dispositivo y sustituir el INE o RFC de otra persona.
La CheckFile integra las tres capas en una plataforma única, con alojamiento en la UE, certificación ISO 27001 y conformidad con la LFPDPPP. Consulte nuestra página de seguridad y tarifas. Para la guía completa de automatización, vea nuestro guía de automatización de la verificación.
Cómo elegir una solución de liveness detection en México
| Criterio | Mínimo exigible | Recomendado |
|---|---|---|
| Certificación ISO 30107-3 | L1 | L2 para onboarding regulado |
| Protección contra inyección | No definida por la norma | Capa IAD integrada |
| BPCER (falsos rechazos) | < 2 % | < 0,5 % |
| Latencia | < 3 segundos | < 500 ms (modo pasivo) |
| Cobertura de dispositivos | iOS/Android recientes | Soporte gama baja |
| Cumplimiento LFPDPPP | Obligatorio | Cero-retención de plantillas biométricas |
| Alojamiento de datos | México o UE | Documentar transferencias internacionales |
Preguntas frecuentes
¿Qué es liveness detection?
La liveness detection (detección de vivacidad) verifica que una persona viva real está frente a la cámara durante una verificación de identidad — no una fotografía, vídeo, máscara o deepfake inyectado. Opera antes de la comparación facial y valida la autenticidad de la presentación biométrica.
¿Cómo funciona liveness detection?
En modo pasivo, el sistema analiza silenciosamente textura de la piel, reflejos de luz, indicadores de profundidad 3D y variaciones de color del flujo sanguíneo (rPPG). En modo activo, el usuario ejecuta una instrucción aleatoria (parpadear, girar la cabeza). Las mejores soluciones combinan ambos enfoques.
¿La CNBV o la UIF exigen liveness detection?
La CNBV y las Disposiciones de la LFPIORPI no especifican una tecnología concreta, pero exigen una identificación adecuada del cliente. La verificación biométrica con liveness detection, combinada con la verificación del INE o pasaporte, es una modalidad reconocida para el cumplimiento de la debida diligencia a distancia.
¿La liveness detection viola la LFPDPPP?
No, siempre que se cumpla con los requisitos de la LFPDPPP: aviso de privacidad, consentimiento expreso para el tratamiento de datos sensibles y principio de minimización de datos. Se recomienda implementar zero-retención de plantillas biométricas y documentar la base legal del tratamiento.
¿Cuánto cuesta liveness detection en México?
Las soluciones API cobran entre 2 y 8 pesos mexicanos por verificación para liveness detection individual. Las ofertas KYC completas — documento + liveness + escrutinio — varían de 8 a 35 pesos por onboarding según el volumen. Consulte nuestra página de tarifas para una estimación personalizada.
Manténgase informado
Reciba nuestros análisis de cumplimiento y guías prácticas en su correo.