KYC en banca minorista: prevenir deepfakes y la identidad sintética
Cómo los bancos minoristas protegen el proceso KYC de onboarding frente a deepfakes de selfie e identidad sintética: obligaciones SEPBLAC, Ley 10/2010 y métodos de detección 2026.
Resumir este artículo con
ChatGPT
Claude
Perplexity
Gemini
GrokEste artículo es únicamente informativo y no constituye asesoramiento jurídico, financiero ni regulatorio. Las referencias regulatorias son precisas a la fecha de publicación. Consulte con un profesional cualificado para obtener orientación específica para su situación.
Para situar este riesgo en la oferta CheckFile, consulte nuestro enfoque de detección IA y deepfake.
En 2026, los bancos minoristas españoles se enfrentan a una amenaza estructural en el punto de entrada de clientes: los deepfakes de selfie y las identidades sintéticas diseñados específicamente para burlar los controles KYC a distancia. Un defraudador con un presupuesto de 150 euros puede generar un DNI fotorrealista, producir un selfie deepfake que supere la detección básica de vivacidad, y abrir una cuenta con un historial crediticio fabricado, todo sin existir como persona real.
Los ataques de deepfake en verificaciones de identidad han aumentado más del 700% desde 2024, según el informe «The Battle Against AI-Driven Identity Fraud» de Signicat. En España, el marco regulatorio establece obligaciones claras: la Ley 10/2010 de prevención del blanqueo de capitales y su Real Decreto 304/2014 de desarrollo exigen medidas de diligencia debida proporcionales al riesgo, que incluyen la verificación robusta de la identidad del cliente.
El Banco de España y el Servicio Ejecutivo de la Comisión de Prevención del Blanqueo de Capitales (SEPBLAC) han intensificado su supervisión sobre los procesos de onboarding digital. Las entidades que mantienen controles KYC de primera generación —sin actualización desde antes de la proliferación de herramientas generativas de IA— operan con mecanismos diseñados para un entorno de amenazas que ya no existe.
Por qué el onboarding en banca minorista es un objetivo prioritario
El onboarding bancario minorista concentra varios factores que lo convierten en un objetivo privilegiado para las organizaciones criminales. El beneficio financiero es elevado: una cuenta abierta con éxito desbloquea líneas de crédito, descubiertos autorizados y productos financieros adicionales. Los volúmenes son masivos: un banco mediano procesa decenas de miles de nuevas solicitudes mensualmente. La presión comercial empuja a reducir la fricción, lo que a menudo implica aligerar los controles de identidad.
El fraude de identidad sintética es especialmente dañino para la banca minorista por el patrón de «cultivo» de cuentas: el defraudador abre una cuenta con una identidad fabricada, construye un historial crediticio modesto durante seis a dieciocho meses mediante pequeñas transacciones y pagos puntuales, y luego ejecuta un fraude a gran escala —agotando líneas de crédito, realizando transferencias fraudulentas— antes de desaparecer. Para cuando la entidad identifica el fraude, la cuenta ha acumulado un historial limpio que oculta inicialmente la intención criminal.
El entorno digital amplifica la exposición. Una verificación presencial implica contacto humano, documentos físicos y una interacción con señales difíciles de manipular. Una verificación 100% remota —foto del DNI y selfie de control de vivacidad— puede simularse completamente con herramientas accesibles por menos de 100 euros.
Ataques deepfake en los procesos KYC bancarios
Tres vectores de ataque principales en 2026
Inyección de cámara virtual. El atacante sustituye el flujo de vídeo de la cámara física del dispositivo por un vídeo generado o pregrabado inyectado a través de un controlador de software. El vídeo reproduce los movimientos requeridos por los controles de vivacidad —parpadeos, giros de cabeza, sonrisas— necesarios para superar la verificación biométrica. Las herramientas para este ataque se comercializan en mercados clandestinos por menos de 100 euros.
Deepfake en tiempo real. Los modelos de red generativa adversarial (GAN) superponen el rostro de una identidad robada sobre el rostro real del atacante en tiempo real durante una sesión de selfie de vídeo. En 2026, los modelos de producción alcanzan una fidelidad visual suficiente para engañar a los sistemas de detección de vivacidad de primera generación entrenados antes de 2024.
Selfie sintético estático. Para los flujos de verificación por foto simple —habituales en el onboarding móvil—, los atacantes generan una imagen facial sintética calibrada para coincidir con los rasgos del documento de identidad fabricado que acompañan. Ambos archivos se crean juntos mediante el mismo proceso de generación, maximizando la coherencia visual entre ellos.
Por qué la revisión manual y el OCR básico son insuficientes
La Association of Certified Fraud Examiners (ACFE) establece en su informe de 2024 que la tasa de detección manual del fraude en todas las categorías no supera el 37%. Frente a contenido generado por IA —donde los artefactos visuales clásicos de manipulación documental no existen—, esta tasa cae aún más. Un documento de identidad sintético no contiene inconsistencias de fuente, trazas de compresión ni elementos desalineados: fue creado como un todo coherente por el mismo modelo generativo.
La identidad sintética: una amenaza sistémica para la banca minorista
Qué es la identidad sintética en el contexto bancario español
Una identidad sintética combina datos reales fragmentarios con información completamente inventada, creando un perfil imposible de vincular a una persona física existente. A diferencia del robo de identidad clásico —donde una víctima real detecta y denuncia el uso indebido—, el fraude de identidad sintética no genera ninguna señal externa de parte damnificada. La detección depende exclusivamente de los controles internos de la entidad.
El esquema más frecuente: un número de identificación fiscal (NIF) real, obtenido a través de una filtración de datos, asociado a un nombre, fecha de nacimiento y dirección inventados. La identidad se utiliza de forma discreta durante varios meses antes de ejecutar el fraude principal.
La escalada de la amenaza en 2026
Según el Entrust Cybersecurity Institute 2025 Identity Fraud Report, los documentos de identidad generados por IA aumentaron un 281% entre 2024 y 2025. Las falsificaciones digitales representan ahora el 57,46% de todo el fraude documental detectado, superando por primera vez a los fraudes físicos en la historia registrada.
¿Listo para automatizar sus verificaciones?
Piloto gratuito con sus propios documentos. Resultados en 48h.
Solicitar un piloto gratuitoMétodos de detección: comparativa de enfoques
| Método de detección | Eficacia contra deepfakes | Eficacia contra identidad sintética | Complejidad de integración |
|---|---|---|---|
| Revisión visual humana | Baja | Baja | Ninguna |
| OCR + reglas de negocio | Baja | Baja a media | Baja |
| Detección de vivacidad estándar | Media | N/A | Baja |
| Detección de vivacidad IA avanzada | Alta | N/A | Media |
| Análisis forense documental | Alta | Alta | Media |
| Validación cruzada multi-documento | Alta | Muy alta | Alta |
| Verificación contra registros oficiales | Media | Alta | Media |
| Enfoque multicapa combinado | Muy alta | Muy alta | Alta |
La validación cruzada multi-documento ofrece la protección más robusta contra las identidades sintéticas, porque ataca el problema más difícil para los defraudadores: la coherencia interna en todo un expediente. Generar un DNI falso convincente es factible; generar un DNI, una nómina, un justificante de domicilio y un extracto bancario perfectamente coherentes entre sí en decenas de puntos de datos es exponencialmente más difícil.
Marco regulatorio español: SEPBLAC, Banco de España y Ley 10/2010
Obligaciones de diligencia debida bajo la Ley 10/2010
La Ley 10/2010 de prevención del blanqueo de capitales y de la financiación del terrorismo, desarrollada por el Real Decreto 304/2014, impone a las entidades de crédito la obligación de identificar y verificar la identidad de sus clientes con carácter previo al establecimiento de la relación de negocio. El artículo 3 establece que la verificación debe realizarse mediante «documentos fehacientes» y, para las relaciones a distancia, las medidas deben ser «equivalentes» a las de la verificación presencial.
Para los canales de onboarding 100% digitales, el SEPBLAC considera que las medidas equivalentes incluyen la verificación biométrica activa y el análisis forense documental automatizado. Las entidades que mantienen controles exclusivamente manuales para este canal deben documentar medidas compensatorias de riesgo equivalente.
Supervisión del Banco de España sobre los procesos KYC digitales
El Banco de España ejerce la supervisión prudencial de las entidades de crédito españolas. Sus guías de supervisión en materia de prevención del blanqueo de capitales señalan explícitamente el riesgo elevado del onboarding digital y la necesidad de adaptar los controles al perfil de riesgo de cada canal. Las entidades con volúmenes elevados de onboarding digital que no dispongan de controles tecnológicos activos de detección de fraude documental pueden ser objeto de observaciones supervisoras.
La transposición de la AMLD6 y el horizonte 2027
La Directiva (UE) 2024/1640 (AMLD6) debe ser transpuesta por los Estados miembros antes del 10 de julio de 2027. La directiva refuerza las obligaciones de diligencia debida, exigiendo medidas «proporcionales al riesgo» y reconociendo explícitamente el riesgo tecnológico en los procesos de verificación a distancia. Los bancos minoristas españoles tienen interés en anticiparse a esta transposición actualizando sus sistemas durante 2026.
Obligaciones de comunicación al SEPBLAC
Cuando una entidad detecta indicios de uso de identidad sintética o documentación deepfake, está obligada a presentar una comunicación por indicio al SEPBLAC a la mayor brevedad. La documentación de las anomalías detectadas por los sistemas automatizados constituye la base de esta comunicación. La prohibición de revelación se aplica: no debe informarse al cliente de que se ha presentado dicha comunicación.
Enfoque CheckFile: detección multicapa para KYC en banca minorista
CheckFile aplica un enfoque de detección multicapa adaptado a las restricciones del onboarding bancario minorista, donde los plazos son cortos y los volúmenes elevados.
Análisis forense documental. Detección de anomalías en la estructura interna de los archivos —jerarquía de objetos PDF, patrones de integración de fuentes, firmas de compresión de imagen— que distinguen los documentos generados por IA de los auténticos, incluso cuando los metadatos superficiales han sido falsificados.
Validación cruzada entre documentos. Verificación automática de la coherencia entre todos los documentos presentados: concordancia de identidades, coherencia financiera, verificación temporal y coherencia de entidades referenciadas, con decenas de puntos de control simultáneos.
Verificación contra registros oficiales. Contraste de los datos extraídos con registros oficiales —CNAE, CIF, NIF, IBAN, registro mercantil— para validar la existencia real de las entidades y cuentas referenciadas.
La plataforma CheckFile soporta más de 3.200 tipos de documentos para la verificación KYC en el sector bancario, cubriendo 32 jurisdicciones. La solución para banca KYC concentra la revisión humana en los expedientes realmente sospechosos, reduciendo el tiempo de procesamiento del volumen global.
Para una visión completa del fraude de identidad sintética, consulte nuestro análisis del fraude de identidad sintética en KYC con IA, y nuestro artículo sobre detección de vivacidad y prevención de suplantación de identidad.
Explore nuestras opciones de precios o contacte con nuestro equipo para una evaluación de sus controles KYC actuales.
Consulte también nuestra guía de verificación sectorial para una perspectiva más amplia.
Preguntas frecuentes
¿Cuál es la diferencia entre robo de identidad e identidad sintética en la banca?
El robo de identidad utiliza los datos completos de una persona real existente, que sufrirá el perjuicio directamente y lo denunciará en semanas. La identidad sintética combina fragmentos de datos reales con información ficticia, creando un perfil sin contrapartida real. La ausencia de señales externas de perjudicado prolonga considerablemente los plazos de detección y aumenta la exposición de las entidades bancarias.
¿Los sistemas estándar de detección de vivacidad son suficientes para bloquear los deepfakes en 2026?
No. Los sistemas de primera generación basados en instrucciones de movimiento simples son vulnerables a la inyección de cámara virtual y a los deepfakes en tiempo real. Los sistemas avanzados que incorporan análisis del comportamiento, detección de artefactos de generación por IA y verificación criptográfica ofrecen una resistencia notablemente superior. Su eficacia se multiplica cuando se combinan con la validación forense de los documentos presentados.
¿Qué exige la Ley 10/2010 en relación con los canales de onboarding digital?
La Ley 10/2010 requiere que las medidas de verificación para el onboarding a distancia sean «equivalentes» a las presenciales. El SEPBLAC interpreta esto como la necesidad de controles tecnológicos activos: verificación biométrica con detección de vivacidad avanzada y análisis forense documental automatizado. Las entidades que utilizan únicamente revisión manual para este canal deben documentar controles alternativos de riesgo equivalente.
¿Cómo deben documentarse los indicios para una comunicación al SEPBLAC?
La comunicación al SEPBLAC debe detallar los indicadores de sospecha: incoherencias documentales detectadas, anomalías forenses, fallos en la verificación contra registros oficiales y anomalías en la detección de vivacidad durante las comprobaciones biométricas. Los sistemas automatizados como CheckFile generan un informe de análisis estructurado que facilita la redacción de la comunicación por los equipos de cumplimiento normativo.
Manténgase informado
Reciba nuestros análisis de cumplimiento y guías prácticas en su correo.