API de detección de fraude documental: guía de integración 2026
Integra una API de detección de falsificación de documentos en tus workflows. Autenticación OAuth 2.0, endpoints, webhooks, puntuaciones de confianza y cumplimiento RGPD/SEPBLAC.
Resumir este artículo con
ChatGPT
Claude
Perplexity
Gemini
GrokLa integración de una API de detección de fraude documental permite automatizar la identificación de documentos falsificados, manipulados o generados por inteligencia artificial dentro de cualquier workflow de verificación de identidad o cumplimiento normativo. En 2026, esta capacidad ha pasado de ser una ventaja competitiva a convertirse en una obligación práctica: según el informe de la ACFE 2024, solo el 37 % de los casos de fraude documental se detectan mediante revisión manual, mientras que los sistemas automatizados multiplican esa tasa de forma consistente. Al mismo tiempo, el informe Global Economic Crime and Fraud Survey de PwC 2025 señala que el 69 % de las empresas encuestadas declaró haber sido afectada por alguna forma de fraude en los últimos dos años.
Esta guía cubre los aspectos técnicos y regulatorios de la integración: autenticación, endpoints, gestión de respuestas, puntuaciones de confianza y cumplimiento con el marco normativo español y europeo. Consulta también nuestra guía general de automatización de verificación para el contexto estratégico completo.
¿Por qué integrar una API de detección de fraude documental?
Una API de detección de fraude documental automatiza la identificación de documentos falsificados, manipulados o generados por IA, eliminando la dependencia de la revisión humana en procesos de alta escala. Esta automatización es especialmente relevante en sectores con obligaciones legales de diligencia debida reforzada.
En España, la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo impone a entidades financieras, aseguradoras, inmobiliarias y otros sujetos obligados la verificación de la identidad de sus clientes mediante documentos fehacientes. El incumplimiento puede derivar en sanciones administrativas graves impuestas por el SEPBLAC (Servicio Ejecutivo de la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias) o por la CNMV en el ámbito de los mercados de valores.
Los datos actuales reflejan la magnitud del problema. Según la ACFE, la tasa de detección manual del fraude documental se sitúa en el 37 %, lo que implica que más de seis de cada diez casos pasan desapercibidos sin herramientas automatizadas. Por su parte, PwC estima en su edición 2025 que el fraude costó a las organizaciones afectadas una media de 1,8 millones de euros por incidente. La integración de una API que analice cada documento en el momento de su recepción transforma ese riesgo residual en un riesgo gestionable.
Más allá del cumplimiento, la automatización reduce el tiempo de onboarding de clientes. Un flujo KYC que antes requería revisión manual de entre 24 y 72 horas puede completarse en segundos cuando la verificación documental está integrada en la cadena de llamadas de la aplicación. Puedes ver cómo esto se aplica al sector financiero en nuestra sección de soluciones para banca y KYC.
Arquitectura técnica: cómo funciona la integración
La integración de una API de verificación documental se basa en una arquitectura REST con autenticación OAuth 2.0 y payloads JSON, compatible con cualquier backend moderno independientemente del lenguaje o framework utilizado.
Flujo de autenticación
La autenticación sigue el estándar OAuth 2.0 con el grant type client_credentials. El cliente envía su client_id y client_secret al endpoint de autorización y recibe un token de acceso con un tiempo de vida configurable. Ese token se incluye como cabecera Authorization: Bearer <token> en cada solicitud posterior. Los tokens expiran y deben renovarse antes de su caducidad para evitar interrupciones en workflows de alto volumen.
Procesamiento síncrono frente a asíncrono
La elección del modo de procesamiento depende del caso de uso. El procesamiento síncrono devuelve el resultado en la misma llamada HTTP, con tiempos de respuesta inferiores a 3 segundos para documentos estándar. Es adecuado para flujos de onboarding en tiempo real donde el usuario está esperando. El procesamiento asíncrono acepta el documento, devuelve un job_id inmediatamente y procesa el análisis en segundo plano. Es la opción recomendada para lotes de documentos, análisis forenses detallados o cuando el documento requiere modelos adicionales de detección de deepfakes. Los tiempos de procesamiento asíncrono oscilan entre 5 y 30 segundos dependiendo de la complejidad del análisis.
Callbacks por webhook
Para el modo asíncrono, la API admite la configuración de un endpoint de webhook en la cuenta del cliente. Cuando el análisis finaliza, se realiza un POST a la URL registrada con el resultado completo. El payload incluye una firma HMAC-SHA256 que permite verificar la autenticidad del callback antes de procesarlo. Esta arquitectura desacopla la solicitud del resultado y permite gestionar picos de volumen sin bloquear los hilos de la aplicación cliente. Consulta la página de seguridad de CheckFile para detalles sobre el modelo de firma y cifrado en tránsito.
Endpoints principales y formato de solicitudes
El endpoint central para el envío de documentos es POST /v1/documents/analyze, y para la consulta asíncrona del estado y resultado se utiliza GET /v1/results/{id}. A continuación se detallan los endpoints disponibles:
| Endpoint | Método | Descripción | Tiempo de respuesta |
|---|---|---|---|
/v1/documents/analyze |
POST | Envía un documento para análisis síncrono o asíncrono | 1-3 s (síncrono) / inmediato (asíncrono) |
/v1/results/{id} |
GET | Consulta el estado y resultado de un análisis asíncrono | < 200 ms |
/v1/documents/batch |
POST | Envía un lote de hasta 50 documentos en una sola solicitud | Varía según volumen |
/v1/webhooks |
POST/GET | Registra o consulta los endpoints de callback configurados | < 200 ms |
/v1/account/usage |
GET | Consulta el consumo de la cuenta y los límites de tarifa | < 200 ms |
Un ejemplo de respuesta JSON para una solicitud síncrona tiene el siguiente formato:
{
"document_id": "doc_8f3a2b1c",
"status": "completed",
"confidence_score": 82,
"risk_level": "high",
"document_type": "DNI",
"jurisdiction": "ES",
"signals": [
{
"type": "font_inconsistency",
"severity": "high",
"location": "surname_field"
},
{
"type": "metadata_mismatch",
"severity": "medium",
"location": "document_metadata"
}
],
"ocr_extracted": {
"name": "...",
"document_number": "...",
"expiry_date": "..."
},
"processing_time_ms": 1840,
"model_version": "3.1.2"
}
El campo signals detalla cada anomalía detectada con su tipo, severidad y localización dentro del documento, lo que permite a los equipos de cumplimiento priorizar la revisión manual cuando el volumen lo requiere.
¿Listo para automatizar sus verificaciones?
Piloto gratuito con sus propios documentos. Resultados en 48h.
Solicitar un piloto gratuitoInterpretación de respuestas y puntuaciones de confianza
La puntuación de confianza devuelta en el campo confidence_score va de 0 a 100 y el campo risk_level toma uno de cuatro valores: low, medium, high o critical. Esta escala permite configurar umbrales de decisión adaptados al perfil de riesgo de cada organización.
| Puntuación | Nivel de riesgo | Acción recomendada |
|---|---|---|
| 0 - 20 | Crítico | Rechazo automático y apertura de expediente de investigación |
| 21 - 45 | Alto | Revisión manual obligatoria por analista de fraude |
| 46 - 70 | Medio | Verificación adicional por canal alternativo (videollamada, NFC) |
| 71 - 89 | Bajo | Aprobación con registro de auditoría |
| 90 - 100 | Muy bajo | Aprobación automática con trazabilidad completa |
Los umbrales de decisión no son universales. Una entidad financiera sujeta a la Ley 10/2010 aplicará criterios más estrictos que una plataforma de comercio electrónico. La API permite configurar reglas de enrutamiento por tipo de documento, jurisdicción y nivel de riesgo del cliente, de modo que el mismo confidence_score puede derivar en acciones diferentes según el contexto del workflow. Para una visión completa de las capacidades de detección, incluida la identificación de deepfakes en documentos de identidad digitales, visita la página de detección de deepfakes por IA.
Casos de uso por sector
La API de detección de fraude documental cubre los sectores financiero, de seguros, KYC y mercado inmobiliario, con capacidad para analizar más de 3.200 tipos de documentos en 32 jurisdicciones y con OCR en 24 idiomas. A continuación se resumen los casos de uso más frecuentes:
| Sector | Tipo de documento | Señal detectada con mayor frecuencia |
|---|---|---|
| Banca y fintech | DNI, NIE, pasaporte | Manipulación de número de documento, foto sustituida |
| Seguros | Partes de accidente, facturas médicas | Alteración de importes, metadatos inconsistentes |
| Mercado inmobiliario | Nóminas, extractos bancarios | Modificación de cifras, fuente tipográfica inconsistente |
| Recursos humanos | Títulos universitarios, certificados | Falsificación completa generada por IA |
| Plataformas de crédito al consumo | Contratos de arrendamiento, recibos | Fechas alteradas, sellos digitales falsos |
La cobertura de DNI y NIE es especialmente relevante en el contexto español, ya que estos documentos son los más utilizados en procesos de verificación de identidad presencial y remota. La lectura por NFC del chip del DNI 3.0 puede combinarse con el análisis visual de la API para una verificación de doble capa que resulta prácticamente inviolable ante ataques de falsificación actuales.
Puedes consultar también el artículo técnicas de detección de fraude documental por IA para una descripción detallada de los modelos de visión por computador y análisis forense que subyacen a estas capacidades, y el artículo sobre integración de API de verificación de documentos para desarrolladores para ejemplos de código en Python, Node.js y Java.
Cumplimiento: SEPBLAC, AEPD, RGPD y AI Act
El Reglamento (UE) 2024/1689 sobre Inteligencia Artificial (AI Act) clasifica los sistemas de verificación de identidad utilizados en contextos de acceso a servicios financieros, sanitarios o educativos como sistemas de IA de alto riesgo, lo que impone obligaciones de transparencia, documentación técnica, supervisión humana y registro en la base de datos de la UE antes de su puesta en servicio comercial.
Minimización de datos y RGPD
El Reglamento (UE) 2016/679 (RGPD), en su artículo 5, establece el principio de minimización de datos: solo deben recogerse los datos estrictamente necesarios para la finalidad declarada. En el contexto de la verificación documental, esto implica que la API no debe almacenar imágenes de documentos más allá del tiempo necesario para el análisis, y que los datos extraídos por OCR deben tratarse con la base jurídica adecuada (habitualmente, ejecución de un contrato o cumplimiento de una obligación legal). La Agencia Española de Protección de Datos (AEPD) ha publicado guías específicas sobre el tratamiento de datos biométricos y documentos de identidad que deben tenerse en cuenta al diseñar el workflow de integración.
Obligaciones de conservación según la Ley 10/2010
Los sujetos obligados por la Ley 10/2010 deben conservar los documentos de diligencia debida durante un periodo mínimo de diez años desde la finalización de la relación de negocio. La API de CheckFile genera un registro de auditoría inmutable para cada análisis, incluyendo el hash del documento, la puntuación de riesgo, los modelos utilizados y la marca de tiempo, que puede exportarse en formato compatible con los sistemas de archivo de las entidades.
SEPBLAC y obligaciones de reporte
El SEPBLAC exige que las entidades obligadas cuenten con procedimientos internos documentados para la detección y comunicación de operaciones sospechosas. La integración de una API de detección de fraude documental debe estar reflejada en el manual de prevención del blanqueo de capitales de la entidad, junto con los umbrales de decisión configurados y los criterios de escalado a revisión manual. El SEPBLAC puede solicitar en sus inspecciones demostración del funcionamiento del sistema automatizado y acceso a los registros de análisis.
Este artículo tiene únicamente fines informativos y no constituye asesoramiento jurídico, fiscal ni de cumplimiento normativo. Las obligaciones concretas varían en función de la actividad de cada entidad, su sector y el tipo de clientes. Consulta con un especialista en cumplimiento normativo antes de implementar cualquier solución de verificación documental en entornos regulados.
Para situar este riesgo en la oferta CheckFile, consulte nuestro enfoque de detección IA y deepfake.
Preguntas frecuentes
¿Qué es exactamente una API de detección de fraude documental?
Una API de detección de fraude documental es un servicio web que recibe la imagen o archivo de un documento (DNI, pasaporte, nómina, contrato, etc.) y devuelve un análisis automatizado indicando si el documento presenta señales de falsificación, manipulación o generación artificial. El análisis combina visión por computador, análisis forense de metadatos, modelos de lenguaje para validar la coherencia de los datos extraídos y, en los sistemas más avanzados, detección específica de documentos generados por IA generativa. El resultado se expresa como una puntuación de confianza y un nivel de riesgo que puede integrarse directamente en la lógica de decisión del workflow del cliente.
¿Cómo gestiona la API los falsos positivos?
Los falsos positivos se gestionan mediante la configuración de umbrales de decisión adaptados al perfil de riesgo de la organización y mediante el enrutamiento a revisión humana de los casos en rangos de puntuación intermedios. La API proporciona el campo signals con el detalle de cada anomalía detectada, lo que permite al analista evaluar rápidamente si la señal corresponde a un defecto real del documento o a una degradación de calidad en la captura (imagen borrosa, iluminación deficiente, compresión excesiva). Además, los modelos se actualizan periódicamente con datos de feedback de los clientes para reducir la tasa de falsos positivos sin incrementar la de falsos negativos.
¿Es compatible la API con el RGPD y el AI Act europeo?
La API está diseñada para cumplir con los requisitos del RGPD y del AI Act en su categoría de sistemas de IA de alto riesgo. Esto incluye: procesamiento de datos en servidores ubicados dentro del Espacio Económico Europeo, retención mínima de imágenes de documentos (eliminación automática tras el análisis salvo configuración explícita de archivo), generación de registros de auditoría con trazabilidad completa, documentación técnica del modelo disponible para autoridades supervisoras y soporte para el ejercicio de derechos ARCO por parte de los interesados. Los detalles del modelo de tratamiento de datos están disponibles en el Acuerdo de Tratamiento de Datos de CheckFile.
¿Cuánto tiempo lleva integrar una API de detección de fraude documental?
Una integración básica que cubra el flujo de envío de documento, recepción de resultado y enrutamiento por nivel de riesgo puede completarse en entre uno y tres días de desarrollo para un equipo con experiencia en APIs REST. La integración completa con webhook, gestión de errores, configuración de umbrales por tipo de documento y conexión con el sistema de gestión de casos de cumplimiento suele requerir entre una y dos semanas. CheckFile ofrece SDKs oficiales para Python, Node.js, PHP y Java que reducen el tiempo de integración inicial a pocas horas. Los planes y tiempos de implementación detallados están disponibles en la página de precios.
¿Qué formatos de archivo acepta una API de detección de fraude documental?
Los formatos aceptados habitualmente incluyen JPEG, PNG, PDF (una o múltiples páginas), HEIC (captura directa desde dispositivos iOS) y TIFF para entornos de escaneado de alta calidad. El tamaño máximo por archivo es de 10 MB en modo estándar y de 25 MB en modo análisis forense avanzado. Para documentos PDF de varias páginas, la API analiza cada página de forma independiente y devuelve un resultado agregado junto con los resultados individuales por página. La calidad mínima recomendada para una tasa de detección óptima es de 300 DPI para documentos escaneados y de 8 megapíxeles para fotografías capturadas con dispositivo móvil.
Manténgase informado
Reciba nuestros análisis de cumplimiento y guías prácticas en su correo.