¿Qué es la prueba de vida (liveness) y por qué tu onboarding la necesita contra deepfakes?

¿Qué es la prueba de vida (liveness) y por qué tu onboarding la necesita contra deepfakes?
Respuesta rápida: La prueba de vida (liveness detection) es el mecanismo que verifica que la persona que está completando un proceso de identificación digital es un ser humano real y presente, no una foto, un video grabado, una máscara o un deepfake generado por inteligencia artificial. Para una financiera mexicana, no es una opción tecnológica sino una obligación regulatoria: las circulares de la CNBV y la Ley Fintech exigen captura biométrica facial con prueba de vida conforme al estándar ISO 29794-5 en todo proceso de contratación remota. El error más común es asumir que cualquier prueba de vida es suficiente: la liveness detection clásica detecta fotos y videos, pero los ataques de inyección modernos la evaden completamente. Un onboarding robusto necesita ambas capas.
¿Qué es la prueba de vida (liveness detection)?
La prueba de vida es una capa de seguridad biométrica que confirma que el rostro capturado durante un proceso de verificación de identidad pertenece a una persona real, viva y presente en el momento de la captura, y no a una representación artificial de esa persona.
Sin prueba de vida, un proceso de identificación biométrica puede engañarse con algo tan simple como una foto de la identificación oficial del cliente sostenida frente a la cámara. Con prueba de vida básica, ese ataque falla. Pero los ataques modernos, especialmente los deepfakes generados por inteligencia artificial, han evolucionado más rápido que muchas implementaciones de liveness, lo que ha creado una brecha de seguridad que el regulador mexicano ya está cerrando con requisitos específicos.
¿Qué tipos de ataques previene?
Los ataques contra sistemas de verificación biométrica se dividen en dos categorías principales:
Ataques de presentación (spoofing): el atacante presenta una representación falsa del rostro frente a la cámara real del dispositivo.
Foto estática: imprimir o mostrar en pantalla la foto de la identificación oficial.
Video replay: reproducir un video pregrabado del cliente legítimo.
Máscara 2D o 3D: usar una máscara impresa o modelada con el rostro de la víctima.
Deepfake en tiempo real: usar un modelo de inteligencia artificial que sustituye el rostro del atacante por el de la víctima en la transmisión de video.
Ataques de inyección: el atacante no presenta nada frente a la cámara real. En su lugar, intercepta el flujo de video entre la cámara y la aplicación, e inyecta directamente un video sintético o un deepfake en la tubería de datos. La cámara del dispositivo nunca es usada.
Este segundo tipo es el más peligroso y el más frecuentemente ignorado. El error más común en financieras que ya tienen liveness detection es asumir que eso es suficiente, cuando en realidad la liveness detection clásica no cubre el espectro completo de ataques de inyección. Un sistema puede detectar perfectamente que el video viene de una persona "viva" y aun así estar procesando un deepfake inyectado.
¿Qué exige la regulación mexicana?
La regulación mexicana no usa el término "prueba de vida" de forma explícita en todos los textos, pero los requisitos que establece hacen que sea inevitable en la práctica:
Circulares CNBV (Circular Única de Bancos, artículos 51 Bis 6 al 51 Bis 9): para la identificación no presencial, exige verificación biométrica con una coincidencia mínima del 98% contra registros oficiales, y mecanismos capaces de detectar deepfakes y ataques de inyección. El proceso debe poder acreditar que la persona que se identificó estaba presente en el momento de la captura.
Ley Fintech y sus disposiciones: la contratación remota bajo la Ley Fintech y las circulares CNBV exige captura biométrica facial con prueba de vida conforme al estándar ISO 29794-5. Este estándar internacional define los niveles de conformidad que debe cumplir un sistema de prueba de vida para considerarse robusto.
LFPIORPI y disposiciones de la CNBV para SOFOMes ENR: aunque el texto no menciona explícitamente el liveness, la obligación de verificar la identidad del cliente con "certeza razonable" en procesos remotos, combinada con la exigencia de un expediente auditable, hace que la prueba de vida sea el único mecanismo que puede satisfacer ese estándar sin presencia física.
Reforma al CURP biométrico (operativa desde febrero 2026): la integración de identificación biométrica nacional contra RENAPO con huella, rostro e iris como fuente oficial de verificación eleva el estándar técnico para todos los procesos de onboarding digital.
¿Por qué el liveness solo no es suficiente?
Esta es la pregunta que más frecuentemente sorprende a los equipos técnicos de financieras que ya implementaron biometría. La respuesta está en los ataques de inyección.
Un sistema de liveness detection evalúa el video que recibe para determinar si viene de una persona real. Pero si el atacante no usa la cámara del dispositivo sino que inyecta directamente un video sintético en la tubería de datos de la aplicación, el sistema de liveness evalúa ese video sintético, lo procesa como entrada, y puede concluir que "es una persona real" porque el video fue generado específicamente para pasar esa prueba.
Los ataques de inyección representaron una fracción pequeña del fraude en onboarding hace tres años. En 2026, con herramientas de IA generativa accesibles y comunidades criminales especializadas, son una de las principales formas de fraude de identidad en procesos digitales financieros. Por eso la CNBV exige explícitamente mecanismos que detecten tanto deepfakes como ataques de inyección, no solo prueba de vida convencional.
Los cuatro tipos de ataques que tu onboarding debe detectar
Tipo de ataque | Descripción | ¿Liveness básico lo detecta? |
|---|---|---|
Foto estática | Mostrar foto impresa o en pantalla | Sí |
Video replay | Reproducir video pregrabado | Sí |
Máscara 2D/3D | Usar máscara del rostro de la víctima | Parcialmente |
Deepfake en tiempo real | IA que sustituye el rostro en video | Parcialmente |
Ataque de inyección | Video sintético inyectado en la tubería de datos | No (requiere control adicional) |
Un onboarding que solo tiene liveness detection básico está protegido contra los ataques más simples pero expuesto a los más sofisticados, que son los que los defraudadores profesionales usan actualmente.
¿Cómo se implementa correctamente en el onboarding de una financiera?
Una implementación robusta de prueba de vida para onboarding financiero en México debe cubrir:
1. Liveness detection activo o pasivo certificado. El activo pide al usuario realizar una acción (parpadear, girar la cabeza). El pasivo analiza el video sin pedir acciones adicionales. Ambos son válidos si están certificados bajo estándares reconocidos como ISO 30107-3 o el nivel iBeta Level 2.
2. Detección de ataques de inyección. Mecanismos que verifican la integridad del flujo de video y detectan señales de manipulación en la tubería de datos, independientemente de lo que muestre el video.
3. Cotejo biométrico contra fuente oficial. El resultado de la captura biométrica debe cotejarse contra los registros del INE o RENAPO, con una coincidencia mínima del 98% como exige la CNBV. La prueba de vida sola confirma que la persona es real; el cotejo contra fuente oficial confirma que es quien dice ser.
4. Evidencia auditable del proceso. El resultado de la prueba de vida, la puntuación de confianza del sistema y cualquier señal de alerta detectada deben quedar registrados en el expediente del cliente. Sin esa evidencia, el proceso no es auditable ante la CNBV.
5. Integración en el flujo de onboarding. La prueba de vida no puede ser un paso separado que el cliente completa fuera del flujo principal. Debe estar integrada en el mismo proceso donde se captura la identificación, se validan los datos y se firma el contrato, para que la evidencia forme parte del expediente único.
¿Qué pasa si tu onboarding no tiene prueba de vida robusta?
Las consecuencias son de dos tipos: regulatorias y operativas.
Regulatorias: un proceso de identificación remota sin prueba de vida certificada y con detección de ataques de inyección no cumple con los requisitos de la CNBV para la identificación no presencial. En una inspección, el expediente de un cliente dado de alta sin esa capa puede ser objetado, y la institución queda expuesta a observaciones, planes de corrección y, en casos graves, sanciones.
Operativas: sin prueba de vida robusta, la financiera es vulnerable al fraude de identidad en su proceso de alta. Un defraudador que obtiene la identificación oficial de una persona puede abrir una cuenta o tramitar un crédito a su nombre sin que el sistema lo detecte. El costo del fraude, el costo de la cobranza fallida y el costo reputacional son significativamente mayores que el de implementar una prueba de vida certificada desde el inicio.
Cómo DIGID integra la prueba de vida en el onboarding
En DIGID la prueba de vida con detección de deepfakes y ataques de inyección está integrada dentro del flujo de onboarding no presencial y de originación de crédito de punta a punta. El resultado del proceso biométrico, incluyendo la puntuación de confianza y las señales de detección, queda registrado en el expediente de identificación del cliente junto con la verificación contra fuentes oficiales y el cotejo de listas, formando un expediente único auditable y listo para una inspección de la CNBV. Si quieres ver cómo se integra en tu operación, escríbenos.
Preguntas frecuentes
¿Qué es la prueba de vida en el contexto de verificación de identidad digital? Es el mecanismo que verifica que la persona en un proceso de identificación remota es real y está presente en el momento de la captura, no una foto, video, máscara o deepfake.
¿La CNBV exige prueba de vida en el onboarding digital? Sí. Las disposiciones de la CNBV para identificación no presencial exigen verificación biométrica con mecanismos capaces de detectar deepfakes y ataques de inyección. La Ley Fintech y sus disposiciones exigen captura biométrica conforme al estándar ISO 29794-5.
¿Qué diferencia hay entre liveness detection y detección de deepfakes? La liveness detection básica detecta que el video viene de una persona real frente a la cámara. La detección de deepfakes y ataques de inyección va más allá: verifica la integridad del flujo de video y detecta manipulaciones en la tubería de datos, incluso cuando el video parece ser de una persona real.
¿Un ataque de inyección puede engañar a un sistema de liveness? Sí. En un ataque de inyección, el defraudador no usa la cámara del dispositivo sino que inyecta directamente un video sintético en la aplicación. El sistema de liveness evalúa ese video y puede concluir que es una persona real. Por eso se necesita un control adicional específico para ataques de inyección.
¿Qué estándar internacional regula la prueba de vida? El principal es ISO 30107-3, que define los niveles de conformidad para sistemas de detección de ataques de presentación. Para el contexto de la regulación mexicana, la CNBV hace referencia al estándar ISO 29794-5 para la captura biométrica facial.
¿La prueba de vida afecta la tasa de conversión del onboarding? Depende de la implementación. Los sistemas de liveness pasivo no piden ninguna acción al usuario y tienen tasas de abandono muy bajas. Los activos pueden generar algo más de fricción pero siguen siendo significativamente menos que un proceso presencial.
Última actualización: julio de 2026. Fuentes: Disposiciones de carácter general aplicables a las instituciones de crédito (artículos 51 Bis 6 al 51 Bis 9), Ley para Regular las Instituciones de Tecnología Financiera (LRITF) y sus disposiciones complementarias, estándares ISO 30107-3 e ISO 29794-5, y reforma al CURP biométrico operativa desde febrero de 2026.
