Los deepfakes —medios sintéticos generados por inteligencia artificial que imitan a personas reales— han pasado rápidamente de ser una simple curiosidad en internet a convertirse en una seria amenaza para la seguridad. Cada vez más, los estafadores utilizan deepfakes en procesos sensibles como la verificación de identidad remota, el onboarding digital en banca y otros servicios, lo que convierte las soluciones de detección de deepfakes basadas en IA en una opción evidente.
Un reciente informe del sector reveló que los ataques de identidad basados en deepfakes están avanzando a un ritmo alarmante: en 2024, se ha producido uno cada cinco minutos, de acuerdo con este documento.
Otro estudio reciente sobre enfoques y tipos de detectores de deepfakes comparte las conclusiones de un experimento real en el que se evaluaron avanzados modelos de detección aplicados a datos reales de producción. Los resultados muestran cómo estos ataques se están volviendo cada vez más sofisticados y subrayan la necesidad de una defensa en varias capas.
Entendiendo los deepfakes
Los deepfakes son contenidos digitales (normalmente imágenes, voces clonadas o vídeos) manipulados mediante inteligencia artificial para imitar de forma realista a una persona o crear una figura sintética. Gracias a los avances en modelos generativos, los deepfakes más convincentes son prácticamente indistinguibles de las imágenes reales.
Existen en múltiples formas, desde rostros parcialmente editados hasta identidades completamente ficticias generadas por redes neuronales. Algunos de los tipos más comunes:
-
Morfing parcial del rostro: consiste en fusionar o alterar zonas específicas del rostro de una persona con las de otra. Por ejemplo, un delincuente puede combinar sutilmente su rostro con el de una víctima, creando una imagen compuesta que se parece a ambos. Esta técnica se usa a veces en fraudes con fotos de documentos de identidad, ya que puede superar una verificación superficial.
-
Rostros generados totalmente por IA: es la creación de un rostro completo desde inicio usando inteligencia artificial (por ejemplo, con StyleGANs o modelos de difusión). Estos rostros sintéticos no pertenecen a ninguna persona real y, sin embargo suelen parecer completamente auténticos. Para ejemplificar, se puede visitar el sitio ThisPersonDoesNotExist, que muestran personas que no existen, que han sido generadas íntegramente por IA.
-
Intercambio de rostros (face swapping): sustituye el rostro de una persona por el de otra en una imagen o vídeo. El modelo de deepfake transfiere la cara del “donante” a la cabeza del impostor, haciendo que parezca que el impostor es en realidad el donante. Esta técnica es habitual en vídeos falsos en los que se coloca la cara de, por ejemplo una celebridad, sobre la de otra persona.
-
Reanimación facial / sincronización labial: consiste en alterar las expresiones faciales o los movimientos de la boca de una persona para que coincidan con los de otra voz o acción. En estos deepfakes, el rostro original no se reemplaza, sino que se anima usando otro contenido como referencia (por ejemplo, hacer que una foto estática hable o cambiar lo que parece estar diciendo una persona en un vídeo). Esto permite crear discursos falsos muy creíbles, donde el movimiento de los labios está perfectamente sincronizado con un audio manipulado.
La mayoría de los deepfakes utilizados en fraudes reales se crean con herramientas fácilmente accesibles —normalmente software comercial o aplicaciones móviles por suscripción. Así que la barrera de entrada para generar deepfakes creíbles ha disminuido drásticamente. Ahora existen servicios muy intuitivos que permiten intercambiar caras o generar avatares con solo unos clics. De hecho, muchos de estos servicios incluso ofrecen atención al cliente para asistir a los usuarios en su uso.
En entornos reales de producción, hemos observado tanto deepfakes creados con mínimo esfuerzo y montajes burdos con Photoshop, por ejemplo, una cara pegada toscamente sobre otro cuerpo, como contenidos generados por IA con un realismo tan preciso que no dejan pistas visuales evidentes.
Cómo se introduce un deepfake en un sistema
Para defenderse eficazmente contra ataques con deepfakes en sistemas de verificación de identidad es crucial entender cómo los atacantes introducen estos contenidos falsificados en el proceso. En términos generales, existen dos vectores de ataque principales:
-
Presentación frente a la cámara (“ataques de presentación”): mediante esta vía, el deepfake se coloca físicamente ante la cámara o el sensor como si fuera una persona real. Por ejemplo, un impostor podría sostener un vídeo deepfake o mostrar una cara falsa en una pantalla 4K durante una verificación de identidad mediante selfi. Para evitar este fraude, los sistemas biométricos faciales avanzados implementan medidas de detección de ataques de presentación (Presentation Attack Detection o PAD) para identificar estas situaciones —por ejemplo, detectando señales de reproducción en pantalla o diferenciando una imagen 2D de un rostro 3D real. Sin PAD, un vídeo deepfake o incluso una foto de alta calidad mostrada en la pantalla de un móvil podría ser aceptada erróneamente como una persona real.
-
Inyección directa en el sistema durante la captura (“ataques de inyección”): en este tipo de ataque, la imagen manipulada no se coloca ante una cámara, sino que se introduce digitalmente en el sistema. El atacante evita el proceso normal de captura y envía directamente los datos del deepfake al software o a la red.
Identificar con precisión cómo se lleva a cabo una inyección de deepfakes en entornos de producción es un verdadero reto. No obstante, hemos observado que el contenido manipulado suele introducirse a través de distintos medios, como software de cámara virtual, emuladores que simulan la entrada de una cámara real, e incluso herramientas que alteran el comportamiento de una aplicación en tiempo de ejecución. En algunos casos, se ha detectado la inyección de deepfakes mediante capturas directas desde el hardware de pantalla.
En resumen, los ataques de presentación engañan al sistema mostrando una imagen falsa frente a la cámara, mientras que los ataques de inyección lo hacen introduciendo datos falsos de forma encubierta, sin pasar por la cámara. Ambos métodos están siendo utilizados por estafadores para intentar suplantar identidades en procesos de alta digital y sistemas de inicio de sesión biométrico.
Principales conclusiones tras evaluar modelos de terceros
El equipo especializado en detección de fraude de Mitek ha evaluado varios modelos de detección de deepfakes de última generación disponibles en el mercado, utilizando un conjunto de datos recopilados a partir de datos reales de múltiples entornos de verificación de identidad. Este conjunto incluía tanto usuarios legítimos como intentos confirmados de ataques con deepfakes detectados "en bruto". El objetivo de la evaluación era medir el rendimiento de los detectores de terceros existentes —en su mayoría entrenados con conjuntos de datos académicos— frente a muestras reales. Los resultados fueron reveladores. Los modelos presentaron una tasa de error en la clasificación de presentaciones auténticas (BPCER) superior al 30 %, lo que significa que más del 30 % de las sesiones de usuarios legítimos fueron erróneamente marcadas como deepfakes. Además, la tasa de falsa aceptación (FAR) osciló entre el 60 % y el 90 %, lo que indica que la mayoría de los ataques con deepfakes no fueron detectados y habrían sido aceptados como reales por estos modelos externos. Es decir, estos detectores, o bien reaccionaban de forma exagerada clasificando erróneamente a usuarios reales, o bien fallaban al no detectar gran parte de los deepfakes, un contraste notable frente a la precisión superior al 90 % que suelen mostrar en entornos de laboratorio controlados.
La evaluación también puso en evidencia varios retos clave que afectan a la capacidad de generalización de los detectores. En primer lugar, la diversidad en la distribución de datos entre organizaciones —debido a variaciones en calidad de cámara, iluminación, comportamiento del usuario y demografía— provoca que un modelo ajustado a un entorno concreto no funcione correctamente en otro. En segundo lugar, los métodos de ataque con deepfakes evolucionan constantemente; los atacantes cambian rápidamente de técnica generativa, lo que reduce la efectividad de modelos entrenados para detectar indicadores ya conocidos. Por último, existe una brecha considerable entre los conjuntos de datos académicos públicos (como FaceForensics++ o DFDC) y los ataques reales, que tienden a utilizar software, técnicas de compresión y estrategias de evasión distintas. Esta falta de alineación pone de relieve la dificultad inherente de generalizar la detección de deepfakes a condiciones desconocidas, y reafirma que incluso los modelos más avanzados actuales pueden tener problemas para adaptarse a la variedad y capacidad de adaptación de los ataques reales.
Conclusiones de estudios externos sobre software de detección de deepfakes con IA
Nuestros hallazgos coinciden con investigaciones recientes que analizan por qué la detección de deepfakes mediante inteligencia artificial es frágil y cómo podría mejorarse. Algunos de los aspectos más relevantes:
-
La capacidad de generalización es baja en entornos “zero-shot”: varios estudios académicos han demostrado que los detectores de deepfakes que funcionan bien con un conjunto de datos específico tienden a fallar cuando se prueban con un conjunto nuevo sin ningún tipo de ajuste previo. Esto sugiere que actualmente no existe ningún detector que funcione de forma universal: se requiere cierto grado de reentrenamiento o adaptación al enfrentarse a nuevas variantes de deepfakes. El aprendizaje zero-shot (ZSL) hace referencia a la capacidad de un modelo para reconocer y clasificar imágenes u objetos pertenecientes a clases que nunca ha visto durante su fase de entrenamiento, una tarea que se complica aún más a medida que los deepfakes se vuelven más habituales y sofisticados.
-
Los detectores suelen aprender rastros superficiales en lugar de señales esenciales: se ha observado que muchos detectores de deepfakes tienden a identificar características particulares del método generativo concreto que ha producido el contenido falso, en lugar de aprender diferencias generales entre imágenes auténticas y manipuladas. Por ejemplo, un modelo puede detectar el patrón de ruido que deja una red GAN específica o las ligeras deformaciones de una técnica concreta de intercambio facial. Esto permite identificar bien los deepfakes generados con ese mismo método, pero no se generaliza: si el generador cambia y no produce esos indicios, el detector no cumplirá su función. En la práctica, el detector capta características específicas del proceso de síntesis (las “huellas digitales” del generador), en lugar de indicadores universales de no autenticidad. Esto explica por qué el rendimiento de los modelos disminuye tanto al cambiar de conjunto de datos: los deepfakes de cada uno han sido generados con herramientas distintas, por lo que un detector entrenado con uno suele fallar con otro. En un escenario ideal, los detectores deberían identificar señales más profundas e intrínsecas de manipulación —si es que existen— y no depender de firmas superficiales.
Por qué la detección de deepfakes con IA no es suficiente por sí sola
Existen varias técnicas que deberían implementarse para mejorar la calidad y precisión en la detección de deepfakes. Una estrategia clave es utilizar datos de entrenamiento diversificados. Los detectores deben entrenarse con una mezcla amplia de datos, que no solo incluya deepfakes académicos cuidadosamente seleccionados, sino también ejemplos reales de incidentes en producción y datos sintéticos adicionales diseñados para imitar el comportamiento de los atacantes. Esta variedad, que abarca distintos tipos de deepfakes como intercambios de rostro, morphing, caras generadas completamente por IA y vídeos con sincronización labial, ayuda al modelo a aprender un amplio espectro de ataques y reduce los potenciales puntos ciegos.
Otra técnica destacada es la aumentación y simulación de datos. Al introducir artificialmente condiciones como ruido de cámara, desenfoque por movimiento, resoluciones bajas y rastros de grabaciones de pantalla en las muestras de entrenamiento, el modelo puede manejar mejor las variaciones que se presentan en escenarios reales.
Finalmente, el aprendizaje continuo es esencial. Los sistemas de detección de deepfakes deben actualizarse y adaptarse constantemente incorporando retroalimentación del mundo real y nuevos datos de ataques, asegurando así que el sistema siga siendo efectivo y esté al día frente a las técnicas de deepfake en constante evolución.
Dadas las limitaciones mencionadas, está claro que la detección de deepfakes basada solo en el contenido no puede ser la única línea de defensa. Si una organización se limita a implementar un algoritmo de detección de deepfakes y asume que el problema está resuelto, corre un alto riesgo. Los atacantes pueden y van a encontrar formas de eludir los modelos de detección, ya sea usando nuevos deepfakes que el modelo no reconozca o evitando mostrar deepfakes evidentes. Para proteger de verdad los sistemas biométricos contra impostores generados por IA, es necesario un enfoque por capas. En la práctica, esto significa combinar la detección de deepfakes con otras medidas de protección diseñadas para contrarrestar los vectores de ataque específicos descritos anteriormente. Dos capas críticas son:
-
Detección de ataques de presentación (PAD): es la tecnología utilizada para detectar intentos de suplantación cuando un deepfake se muestra físicamente ante la cámara. El PAD incluye verificaciones de vida y otras señales que aseguran que la persona frente a la cámara del dispositivo es un individuo real y vivo, no un impostor mostrando una imagen o vídeo manipulado. En el contexto de los deepfakes, un buen sistema PAD puede detectar cuando alguien intenta reproducir un vídeo falso o mostrar una máscara estática. Actúa como un guardián que bloquea muchos ataques sencillos de presentación de deepfakes antes incluso de que el contenido sea analizado. Aunque el PAD puede a veces ser burlado por ataques muy sofisticados, eleva significativamente el nivel de dificultad al obligar al atacante a simular una presencia en vivo de manera convincente.
-
Detección de ataques por inyección: para hacer frente a la amenaza más oculta de deepfakes inyectados (cuando la imagen falsa se introduce directamente en el sistema), se requieren mecanismos especializados de detección de ataques por inyección. Estos se centran en verificar la autenticidad de la fuente y del canal de datos. Las técnicas incluyen detectar el uso de cámaras virtuales o emuladores, asegurarse de que los datos provienen del hardware de cámara esperado (y por lo tanto fiable), por ejemplo mediante la firma criptográfica de los fotogramas o el enlace con el hardware, y detectar anomalías en el flujo de datos que indiquen manipulación. La idea es garantizar que el selfie o vídeo que se analiza proviene de una captura en vivo en ese momento, y no de un archivo de deepfake pregrabado. Implementando detección de ataques por inyección, incluso si un atacante crea un deepfake perfecto que engañaría al detector de IA, no podrá introducirlo fácilmente en el proceso sin activar una alarma. Esta capa funciona como un respaldo contra quienes intentan vulnerar la integridad de la cámara o la fuente de datos.
En esencia, la detección de deepfakes con IA analiza el contenido de voz, imagen y vídeo en busca de manipulación artificial, pero debe complementarse con el PAD (que verifica cómo se captura o presenta el contenido) y controles de integridad de datos (que verifican la procedencia del contenido). Este enfoque de defensa en profundidad aborda el problema desde varios ángulos. Incluso si un deepfake pasa desapercibido en una capa, otra puede detectarlo. Esta estrategia multinivel es considerada una buena práctica por muchos expertos en seguridad, especialmente a medida que los generadores de deepfakes se vuelven más sofisticados. Confiar solo en la detección de deepfakes es insuficiente; es como cerrar la puerta principal pero dejar las ventanas abiertas de par en par.
El camino a seguir: mitigar las amenazas de los deepfakes con una seguridad en múltiples capas
La evolución de los deepfakes representa una clara amenaza seria y creciente para los sistemas de seguridad. Como ha demostrado nuestra propia experiencia, incluso los detectores de deepfakes más avanzados pueden ser eludidos por algunos de los variados deepfakes hiperrealistas que se encuentran hoy en día. Y lo que es peor, los atacantes innovan rápidamente, usando nuevas herramientas, probando los modelos de detección y encontrando sus puntos débiles. Limitarse a desplegar un modelo de detección de deepfakes y esperar que sea suficiente no es una estrategia viable.
Una estrategia de seguridad contra el fraude con deepfakes debe estar basada en múltiples capas. Los algoritmos de detección de deepfakes son una pieza importante del puzle, pero deben operar en conjunto con la detección de ataques de presentación y de ataques por inyección. De esta manera, incluso si el contenido del deepfake en sí no activa el detector, la forma en que se introduce puede ser detectada.
De cara al futuro, los expertos tanto de la industria como de la comunidad académica trabajan activamente para mejorar la capacidad de generalización de la detección, explorar nuevas señales de verificación y reforzar los sistemas contra ataques de inyección. También es necesario compartir información sobre amenazas: a medida que surgen nuevos patrones de ataque con deepfakes, aprender colectivamente y actualizar las defensas será clave. Como sector, estamos en una carrera armamentística con los creadores de deepfakes, y para mantener la ventaja, los defensores deben ser tan adaptables y creativos como los atacantes.
En conclusión, los deepfakes han llegado para quedarse y su impacto en la seguridad solo irá en aumento. Pero entendiendo cómo funcionan estos ataques y desplegando una defensa en capas que vaya más allá de la simple detección, podemos mitigar significativamente el riesgo.
Denis Kondranin, Sr. Machine Learning Engineer at Mitek, contributed valuable insights and data from our internal testing that helped shape several key findings in this blog.
Cómo implementar una defensa eficaz contra los deepfakes
About Anastasia Molotkova - Product Manager at Mitek
Anastasia Molotkova is a certified product leader, specializing in AI-driven cybersecurity solutions that address emerging threats like deepfakes and generative AI fraud. She leads the development of innovative biometric technologies, including injection attack detection, deepfake detection and facial liveness detection, helping to set new security standards in digital onboarding and authentication.