“Bastante seguro” no es lo suficientemente bueno. Por qué la detección de Deepfake debe ser más profunda

Steve Kelley

June 2, 2026

“Bastante seguro” no es lo suficientemente bueno. Por qué la detección de Deepfake debe ser más profunda

Recientemente, escuché a un director de seguridad de la información (CISO) decirlo sin rodeos: “Los malos están adoptando la IA más rápido que todos los demás”. Yo estaba en una sala de 22 Chief Information Officers (CIO) del gobierno. Nadie discutió. Y en ninguna parte es más visible la explotación generalizada de la IA que en la explosión de deepfakes.

Una de las mayores amenazas existenciales para todos nosotros es la facilidad, eficacia y rapidez con que alguien puede crear una imagen, video o voz falsos por menos de $10 al mes. Ya no es suficiente usar “lo que ves” como prueba de que algo sucedió o existe.

Para las agencias federales (y las agencias estatales y locales que están detrás de ellas), esto no es solo un problema de desinformación, es un problema de verificación de identidad y control de acceso. Cuando la misión incluye proteger sistemas y beneficios, “bastante seguro” simplemente no es lo suficientemente bueno.

Crear un Deepfake Convenciente es más fácil de lo que piensas

Los deepfakes son fácilmente el tema más candente durante la clase de educación comunitaria que imparto.

En algún momento del semestre, tiendo a demostrar para la clase lo fácil que es manipular una imagen creando un deepfake de mí mismo siendo arrestado en las noticias en vivo. Sin falta, la mitad de la habitación alcanza inmediatamente su teléfono—no para grabarlo, sino para probarlo ellos mismos. Ese momento te lo dice todo.

No estamos hablando de horas de trabajo por parte de un editor experto. Estamos hablando de minutos. Con herramientas gratuitas o baratas, cualquiera puede generar una imagen falsa convincente, cambiar una cara en un video o clonar la voz de alguien a partir de solo unos segundos de audio. Se ha ido la barrera de entrada.

Cómo detectar Deepfakes mientras se desplaza en las redes sociales

En mi clase, les recuerdo a los estudiantes que es importante usar el sentido común mientras se desplazan por las redes sociales, por ejemplo, hacer una pausa cuando se notan las pistas visuales que se sienten mal. Algunos regalos comunes para deepfakes incluyen:

  • Iluminación demasiado uniforme
  • Demasiada simetría facial
  • Fondos borrosos
  • Piel que se ve demasiado suave
  • Bordes extraños alrededor del cabello y las orejas

Estas sendas visuales son absolutamente dignas de conocerlas. Te ayudarán a pensarlo dos veces antes de reenviar un video viral o confiar en una captura de pantalla. Para situaciones de bajo riesgo, en las redes sociales, un ojo entrenado todavía tiene valor.

Pero aquí está la verdad honesta: los signos revelador se están desvaneciendo. Las herramientas de IA están mejorando más rápido de lo que la percepción humana puede mantenerse al día. Lo que puedes atrapar hoy puede ser completamente indetectable mañana.

Y esa brecha importa enormemente porque no todas las amenazas deepfake son iguales. Desliguarse más allá de una publicación sospechosa es una cosa. Pero, ¿qué pasa con una agencia federal que verifica la identidad de alguien antes de otorgar acceso a sistemas sensibles? ¿Una agencia estatal que está encargándose de un beneficiario de beneficios? ¿Un empleado del gobierno local aprovisionar acceso a aplicaciones internas?

En esos escenarios, no hay espacio para una señal perdida. No puedes abrirte camino a través de una decisión de identidad de alto riesgo. Ese es un problema completamente diferente, y requiere una solución completamente diferente.

Cómo Incode revoluciona la detección de Deepfake

En Incode, adoptamos un enfoque mucho más holístico de la verificación: no confíes en la imagen; interroga el momento. Cualquier deepfake sofisticado puede engañar a una cámara. Lo que no puede fingir fácilmente es el contexto de una interacción humana real y viva.

Esa es exactamente la razón por la que construimos Visión profunda.

Cuando alguien presenta su cara para la verificación de identidad, Visión profunda no se limita a analizar píxeles. Lee los sensores de movimiento en el dispositivo para detectar ataques de reproducción de pantalla (en los que un mal actor sostiene una pantalla o proyector a la cámara en lugar de una cara real). Comprueba si la cámara ha sido secuestrada o el dispositivo jailbroken, ambos vectores comunes para inyectar video sintético en el flujo de verificación. Utiliza la detección activa de la viveza para confirmar que una persona real y presente está generando lo biométrico en tiempo real, no una foto, ni un video en bucle, ni una cara generada por IA.

El ojo humano busca artefactos. Incode busca la verdad. Esa distinción importa cuando el costo de equivocarse no es un retweet equivocado; es el acceso no autorizado a un sistema federal sensible o una apertura de cuenta fraudulenta.

No son solo fotos falsas; es todo falso

Aquí está la parte en la que la mayoría de la gente no piensa: los deepfakes no se tratan solo de crear una foto o video falso de alguien. Los estafadores y los hackers están utilizando las mismas herramientas de IA para forjar convincentemente documentos de identidad, arma las interacciones con los agentes, e incluso crear sitios web falsos que parezcan idénticos a los legítimos.

En el contexto de sitios web sensibles donde los usuarios ingresan sus números de Seguro Social (SSN), información fiscal y datos personales, esa capacidad final es especialmente preocupante. Prestar atención a algo tan simple como un dominio.gov puede protegerlo de estos sitios falsos. Pero verificar la identidad ya no es tan simple como verificar la tripa del escaneo biométrico de un usuario o la licencia de conducir.

La IA está facilitando la falsificación de cualquier cosa. La única respuesta es la verificación de identidad (IDV) construida para un mundo donde ver ya no es creer.

Preguntas frecuentes sobre Deepfakes, verificación de identidad y seguridad gubernamental

¿Por qué los deepfakes son una preocupación federal de ciberseguridad?

Deepfakes se puede utilizar para el fraude de identidad, la adquisición de cuentas y la ingeniería social, incluidos los intentos de obtener acceso a sistemas federales, portales de contratistas y flujos de trabajo confidenciales donde la verificación de identidad y la autenticación son importantes.

¿Cómo puede una agencia gubernamental verificar la identidad cuando las fotos y el video pueden ser fingido?

Para escenarios de mayor seguridad, las agencias necesitan algo más que una inspección visual. El objetivo es validar a una persona real y presente a través de señales de interacción en vivo (vivencia) además de comprobaciones adicionales que reduzcan el riesgo de repetición o inyección sintética. Esto se puede lograr trabajando con un proveedor de IDV de terceros como Incode.

¿Cuál es la diferencia entre “detectar” un deepfake y prevenir el fraude de identidad habilitado por deepfake?

Spotting se centra en artefactos percibidos por humanos en los medios. La prevención del fraude se centra en controles de verificación de identidad de alta seguridad que funcionan incluso cuando los medios se ven perfectos.

¿Qué es la detección de la vida y por qué es importante para las agencias federales y estatales?

La detección de vivedades ayuda a confirmar que una persona real está presente durante la verificación, en lugar de una foto, un video reproducido o una cara sintética. Es especialmente importante para los casos de uso del gobierno donde la prueba de identidad remota está vinculada al acceso, los beneficios o el cumplimiento de normas.

¿Cómo impactan los deepfakes los servicios del gobierno estatal y local?

Las agencias estatales y locales enfrentan muchos de los mismos riesgos: fraude de beneficios, suplantación de identidad de empleados o residentes, y creación fraudulenta de cuentas para servicios en línea. Los Deepfakes aumentan las apuestas porque reducen el costo y la habilidad necesarios para intentar el fraude de identidad a escala.

¿Cuáles son los métodos comunes de ataque deepfake durante la verificación remota?

Los ejemplos incluyen ataques de reproducción de pantalla (presentación de una pantalla a la cámara), transmisiones de cámara inyectadas o secuestradas, y medios sintéticos presentados como video “en vivo”.

¿Cómo ayuda Incode a proteger los flujos de trabajo de verificación de identidad de deepfakes?

Incode se enfoca en validar el momento, combinando enfoques activos de viveness con señales de dispositivo y sesión para detectar intentos de repetición y manipulación que una simple comprobación visual puede pasar por alto.

¿Qué deben priorizar primero las agencias y los integradores para reducir el riesgo de deepfake?

Comience identificando los flujos de trabajo de mayor riesgo (acceso privilegiado, incorporación y beneficios), luego alinee los controles de verificación con el nivel de garantía requerido, especialmente para la prueba de identidad remota.

Incode fue nombrado Líder en el Cuadrante Mágico de Gartner® 2025™ para la Verificación de Identidad. Descargar el informe para saber más.

Steve Kelley
Steve Kelley is a Senior Director of Federal Sales at Incode, leading the company’s strategy across U.S. government agencies. He focuses on deploying biometric identity verification and AI fraud prevention to help agencies establish trust in the AI era.
Linkedin
Chapters