De contraseñas robadas a deepfakes de IA: dentro del mundo del fraude digital

¿Cómo es realmente el fraude moderno? No la versión de Hollywood, no un genio solitario con sudadera con capucha, sino las operaciones reales, industrializadas y cada vez más potenciadas por IA con las que los expertos en verificación de identidad lidian todos los días?

En el primer episodio de la serie Veriff Voices Deepfakes, la anfitriona Anisah Osman Britton se sienta con dos personas de dentro de Veriff para averiguar lo siguiente: Ira Bondar-Mucci, líder de la plataforma de fraude, y Geo Jolly, gerente principal de producto. Juntos, trazan el panorama del fraude desde sus formas más básicas hasta la frontera de los deepfakes, y qué podemos hacer al respecto cualquiera de nosotros.

Producido por Any Other Business

Fraude 101: se trata de hacerte pasar por otra persona

Ira comienza con una definición aparentemente simple: el fraude es que alguien se haga pasar por otra persona para acceder a algo que no debería tener. Pero esa simpleza oculta una complejidad que crece rápidamente. El espectro del fraude actual va desde el oportunismo torpe hasta la empresa criminal sofisticada y, cada vez más, todo está impulsado por la IA a gran velocidad.

El equipo divide el fraude en cuatro tipos generales:

El fraude oportunista de bajo esfuerzo explota brechas en los procesos en lugar de usar herramientas sofisticadas. Una contraseña débil, una persona empleada distraída, un sistema que acepta un documento impreso cuando no debería: esos son los puntos de entrada. No se necesita un plan maestro malicioso; las personas estafadoras simplemente encuentran la puerta sin llave y entran.

El fraude organizado es algo completamente distinto. Ira describe operaciones que se parecen, incómodamente, a negocios: granjas de dispositivos —salas llenas de teléfonos ejecutando verificaciones en paralelo—, compras masivas de identidades robadas en la dark web, rotación de VPN para ocultar el origen de las sesiones y suplantación de dispositivos para evadir el rastreo. «Existe la intención de eludir, y de eludir a escala», dice ella.

El fraude amistoso abarca casos en los que la persona que comete fraude no es plenamente consciente de que está haciendo algo mal. Es un caso límite, pero real.

El fraude potenciado por IA atraviesa las tres categorías y es, con mucha diferencia, la preocupación de más rápido crecimiento: deepfakes, identidades sintéticas y ataques de inyección que pueden engañar tanto a los sistemas como al ojo humano.

La dark web: la trastienda del fraude

Para la mayoría de las personas, la dark web es un concepto vago sacado de un thriller. Geo la desmitifica con claridad: piensa en ella como el lado no rastreable de internet, donde la falta de visibilidad por parte de las autoridades crea un entorno permisivo para la actividad ilegal. Documentos de identidad robados, pasaportes falsificados y datos personales procedentes de filtraciones cambian de manos allí: se pagan con herramientas de pago no rastreables, no con banca convencional.

Pero no es solo un mercado. La dark web —y, cada vez más, plataformas de superficie como Telegram, TikTok, Discord y Reddit— se ha convertido en un sistema educativo para personas que cometen fraude. Ira introduce el concepto de fraude como servicio: paquetes de herramientas de fraude listos para usar que se venden por suscripción, con plantillas de documentos falsos preconfiguradas, software de enmascaramiento de deepfakes en tiempo real y guías paso a paso para eludir sistemas específicos de verificación de identidad. Algunos incluso incluyen soporte al cliente en vivo vía Telegram.

«La barrera y las habilidades técnicas necesarias para esos ataques han bajado», dice Ira. «El fraude como servicio está democratizando el fraude, lo que le permite escalar a un ritmo increíblemente rápido. Es un juego constante del gato y el ratón.»

Apps de citas: donde el fraude se vuelve personal

De todas las industrias afectadas por el fraude de identidad, las apps de citas presentan las consecuencias humanas más inmediatas. Históricamente, explica Ira, el nivel de verificación en estas plataformas ha sido muy bajo —una foto y una dirección de correo electrónico— principalmente porque la fricción en el registro ahuyenta a las personas usuarias. El resultado: un sector que invirtió poco en verificación precisamente cuando más lo necesitaba.

Las consecuencias son profundamente personales. El catfishing no se trata solo de una foto de perfil falsa. Implica construir confianza durante semanas o meses y luego explotarla para obtener dinero, datos personales o algo peor. Y ahora la IA ha eliminado la última barrera: la videollamada. Antes, quienes cometían fraude no podían mostrar su rostro sin exponerse; ahora, las herramientas de enmascaramiento de deepfakes en tiempo real les permiten hacerse pasar por cualquier persona de forma convincente en cámara. El caso de alto perfil de una mujer a la que estafó alguien que se hacía pasar por Brad Pitt —con hospitalizaciones inventadas y solicitudes de dinero incluidas— se convirtió en uno de los ejemplos más comentados de esta nueva realidad.

Geo añade otra dimensión: no toda la tergiversación en apps de citas tiene intención delictiva. La inseguridad lleva a algunas personas a presentar una versión de sí mismas que no es del todo real, y esa zona gris —entre la vulnerabilidad personal y la explotación deliberada— es parte de lo que hace que el problema sea tan complejo. La verificación de edad es otra frontera activa, especialmente en lo relacionado con proteger a las personas usuarias más jóvenes de acceder a plataformas a las que no deberían entrar.

La buena noticia, coinciden ambas personas invitadas, es que la industria de las citas está cambiando. Las plataformas empiezan a tratar la verificación de identidad no como una formalidad de cumplimiento, sino como una función real de seguridad, asociándose con proveedores como Veriff para comprobar que las fotos de perfil son rostros reales, no deepfakes.

Deepfakes: el desafío que es diferente

La sección de Geo sobre los deepfakes es, quizá, la parte más inquietante de la conversación, y lo es deliberadamente. Lo que hace que los deepfakes sean una amenaza única, sostiene, no es solo que sean convincentes. Es que desafían la percepción sensorial humana de una forma en la que ningún otro tipo de fraude lo había hecho.

Tres cambios definen el momento actual:

1. El costo de entrada se ha desplomado. Crear un deepfake que hace cinco o seis años habría requerido herramientas especializadas y costosas hoy puede iniciarse con una simple conversación con un modelo de IA disponible públicamente. Un menor costo implica un mayor volumen.
2. Las figuras públicas son las más expuestas. Cuantos más datos existan sobre una persona —distintos ángulos, diferentes iluminaciones, diversos contextos—, más fácil es entrenar un modelo convincente de ella. Las personas políticas, celebridades y cualquiera con una presencia pública significativa son desproporcionadamente vulnerables.
3. Los deepfakes erosionan la confianza en la realidad misma. Debido a que existen falsificaciones convincentes, ahora se cuestiona de forma rutinaria el material auténtico de personas reales. Se duda de quien se comunica de manera genuina. «Su confianza ya se ve afectada», dice Geo, «porque alguien hizo algo como un deepfake.»

Cuando le preguntan directamente si las personas comunes pueden aprender a detectar deepfakes, Geo responde con honestidad: no de forma confiable. Incluso él, tras haber revisado grandes volúmenes de contenido de deepfakes de manera profesional, lo encuentra difícil. La tecnología ha superado la capacidad del ojo desnudo.

Informe Deepfakes 2026 de Veriff

Obtén el Informe Deepfakes y descubre las tasas de precisión de detección, las diferencias de género a la hora de identificar falsificaciones y las estrategias de defensa potenciadas por IA.

Obtén el informe gratuito

Cómo funciona realmente la detección

Si las personas no pueden detectar deepfakes de forma confiable, ¿cómo lo hace Veriff? Geo explica que la detección no puede basarse en una sola señal. Los sistemas de Veriff evalúan más de 1,000 puntos de datos junto con cualquier imagen o video: el comportamiento de la persona usuaria antes de la sesión, el tipo y la ubicación del dispositivo, la resolución de la imagen, la calidad del video, la duración de la sesión, para construir un panorama del contexto más amplio. Un deepfake puede pasar una comprobación, pero fallar ante el peso combinado de todas las evidencias.

Los artefactos visuales, inconsistencias que deja la generación de deepfakes, a veces pueden ser identificados por una mirada entrenada, aunque a menudo solo al revisar con cuidado múltiples cuadros y no con un simple vistazo.

El principio clave: «No trates a los deepfakes como un problema aislado. Piénsalos como un problema de contexto más amplio.» Las organizaciones que dependen de un solo sistema para detectar todo en una única interacción se están exponiendo a un único punto de falla.

¿Puedes identificar el deepfake?

Las identidades generadas por IA son cada vez más difíciles de detectar. ¿Crees que puedes identificar un deepfake?

Responda el cuestionario

Qué están haciendo las regulaciones y la industria

Geo señala como una señal positiva las iniciativas emergentes de las grandes tecnológicas, incluidas marcas de agua invisibles incrustadas en contenido generado por IA para identificar su origen. Plataformas como Instagram han introducido etiquetas de contenido de IA, que permiten a las personas creadoras etiquetar explícitamente lo que producen. Las apps de citas se están asociando con proveedores de verificación de identidad. Hay movimiento.

Pero Geo deja claro que se necesita más. Así como las regulaciones han empezado a abordar el acceso de menores a las redes sociales, la autenticidad de los medios —normas claras y aplicables para distinguir el contenido real del sintético— debe convertirse en una prioridad regulatoria.

Cómo protegerte: consejos prácticos

Ira y Geo cierran con consejos prácticos para las personas:

• Lee la política de privacidad. Entiende cómo se recopilan y usan tus datos en cualquier servicio al que te registres.
• Cuida tu huella digital pública. Cuanto más estén disponibles públicamente tu rostro, tu voz y tus documentos personales, más material existirá para un posible uso indebido.
• Sé tú mismo en línea. Presentarte de forma engañosa, incluso sin intención dañina, crea las condiciones en las que el fraude prospera.
• Habilita la autenticación de dos factores siempre que esté disponible.
• Usa un gestor de contraseñas y rota tus contraseñas con regularidad.

Para organizaciones: invierte en una detección en capas y basada en contexto, en lugar de depender de una única verificación.

Escucha el episodio completo

Este es el primer episodio de la serie Veriff Voices Deepfakes. No te pierdas la conversación completa para escuchar a Ira y Geo profundizar en cada uno de estos temas, y mantente atento al resto de la serie.