En síntesis: Los deepfakes —rostros sintéticos generados con IA— ya vencen las verificaciones por selfie y los controles de vida más débiles. La defensa no es "tener biometría", sino tener detección de ataques de presentación certificada (ISO/IEC 30107-3, nivel 2 de iBeta —que prueba contra deepfakes—), comparación facial y cifrado de extremo a extremo que no acumule datos sensibles. La SBS no exige una tecnología puntual, pero sí verificar identidad con seguridad proporcional al riesgo; y la Ley 29733, con su nuevo reglamento, convierte la biometría en un dato sensible con obligaciones estrictas.
El fraude de identidad dejó de depender de un documento robado o una foto impresa. Hoy, con herramientas de inteligencia artificial accesibles, un atacante puede generar un deepfake —un rostro o video sintético que imita a una persona real— y presentarlo ante el control de una app bancaria. Para la banca y las fintech peruanas que apuestan por el onboarding digital, esto plantea una pregunta incómoda en 2026: ¿el sistema que verifica a tus clientes distingue a una persona viva de una falsificación generada por IA?
Este artículo explica cómo opera esta nueva ola de fraude, por qué el mercado peruano es un blanco atractivo, qué defensa técnica funciona de verdad y qué exige —y qué no— el marco regulatorio local.
El salto del fraude: cómo los deepfakes rompen el selfie y el liveness débil
La verificación de identidad digital suele apoyarse en dos pasos: cotejar el documento del usuario y confirmar que quien está del otro lado es una persona viva mediante un selfie o un breve video. Ese segundo paso se llama detección de vida o liveness (prueba de vida), y durante años bastó para frenar el fraude más burdo: una foto impresa, una pantalla con una imagen estática.
El problema es que los deepfakes cambiaron la escala del ataque. Ya no se trata de sostener una foto frente a la cámara, sino de inyectar un video sintético que parpadea, gira la cabeza y responde a las instrucciones del control como lo haría una persona real. Los controles de liveness más básicos —los que solo piden "sonríe" o "mueve la cabeza"— pueden ser superados por estos ataques de presentación sofisticados.
La evidencia del sector es concreta. Las baterías de certificación de liveness de nivel avanzado conforme a ISO/IEC 30107-3 prueban contra ataques de presentación cada vez más sofisticados —máscaras 3D impresas, de látex y de silicona, y ataques dinámicos en 2D con el rostro de una persona específica— (iBeta — ISO 30107-3 PAD). Y en paralelo ya circulan herramientas de deepfake en vivo, diseñadas específicamente para vencer la verificación de identidad y los controles de liveness en el onboarding bancario (Biometric Update, abril 2026). Que los deepfakes se hayan vuelto un vector de producción —y no un experimento de laboratorio— es justamente lo que obliga a subir el estándar de defensa.
Por qué la banca y las fintech peruanas son blanco en 2026
Tres factores se combinan en el mercado local:
La apertura de cuentas se volvió digital. Cuando todo el onboarding ocurre por una app, sin presencia física, la verificación de identidad remota es la única puerta. Si esa puerta se puede forzar con un rostro sintético, el costo de un fraude exitoso cae drásticamente para el atacante.
El regulador subió la vara de la autenticación. La SBS reforzó las exigencias de seguridad: la Resolución SBS N° 2286-2024 obliga a que las tarjetas de crédito y débito operen con doble factor de autenticación, con un plazo de implementación extendido hasta el 1 de abril de 2026. Es una señal de dirección: la identidad y la autenticación dejaron de ser opcionales.
La protección de datos endureció las reglas. El nuevo reglamento de la Ley de Protección de Datos Personales convirtió la biometría en un dato sensible con obligaciones reforzadas. Eso significa que la misma tecnología que te defiende del fraude, mal implementada, puede transformarse en un pasivo regulatorio.
El resultado: las instituciones financieras peruanas necesitan verificar identidad de forma más robusta y, al mismo tiempo, manejar datos biométricos con más cuidado que nunca.
La defensa real: liveness con estándar, comparación facial y cifrado de extremo a extremo
Frente a un atacante que usa IA, la defensa también tiene que subir de nivel. No alcanza con "pedir un selfie". Tres capas marcan la diferencia.
1. Detección de ataques de presentación (PAD) certificada. La pregunta correcta no es "¿tiene liveness?", sino "¿contra qué ataques fue probado y con qué resultado?". Aquí entra el estándar internacional ISO/IEC 30107-3.
Qué mide ISO/IEC 30107-3 y por qué el nivel 2 de iBeta es el piso
ISO/IEC 30107-3 es la norma internacional que define cómo evaluar la detección de ataques de presentación (PAD) en sistemas biométricos. El laboratorio iBeta organiza esa evaluación en niveles. El nivel 2 es el relevante para banca: prueba contra ataques sofisticados —máscaras 3D de resina, látex y silicona, ataques dinámicos en 2D y, cada vez más, deepfakes de IA— con un umbral de aprobación exigente: tasa de aceptación de ataques por debajo del 1% (Biometric Update — ROC AI, nivel 2 iBeta). En la práctica, el nivel 2 se ha vuelto el estándar de facto para el onboarding bancario serio. Si un proveedor no puede mostrar esa certificación, no está probado contra el tipo de ataque que importa hoy.
Nivel 1 vs nivel 2: la diferencia concreta
El nivel 1 cubre ataques triviales —fotos impresas, máscaras de papel— con artefactos de bajo costo. El nivel 2 cubre ataques sofisticados incluyendo deepfakes generados por IA, el escenario de fraude profesional relevante para banca y fintech en LATAM. Por debajo de nivel 2, el sistema es vulnerable a deepfakes commodity.
2. Comparación facial 1:1. Verificar que el rostro presentado corresponde al titular legítimo —no solo que "hay una cara viva"— cierra el círculo de la identidad. La comparación facial confirma el vínculo entre la persona y la cuenta o el documento que intenta abrir.
3. Cifrado de extremo a extremo, sin acumular el dato sensible. Aquí está el matiz que casi nadie discute: una defensa robusta no debería convertirse en un depósito de rostros que mañana es objetivo de una brecha. El enfoque que combina comparación facial con cifrado de extremo a extremo (E2E) sin almacenar información personal identificable (PII) permite verificar sin custodiar.
Profundizamos en el funcionamiento del control de vida en nuestro artículo ¿Qué es liveness detection?, y en el panorama biométrico del sector financiero peruano en Biometría facial en fintech del Perú.
Qué exige (y qué no exige) el regulador peruano
Conviene ser precisos, porque circula mucha confusión.
La SBS no exige una tecnología puntual de biometría facial. Lo que exige es verificar la identidad del usuario con un nivel de seguridad proporcional al riesgo de la operación. Para un onboarding 100% digital, la biometría facial con liveness se ha vuelto el método que el mercado y el regulador asumen como estándar, pero la norma está redactada en términos de resultado, no de marca o tecnología. La Resolución SBS N° 2286-2024 sí es concreta en el frente de autenticación: doble factor para operaciones con tarjeta, exigible desde el 1 de abril de 2026.
La Ley 29733 convierte la biometría en un dato sensible. La Ley N° 29733 de Protección de Datos Personales clasifica como dato sensible a los datos biométricos que por sí solos pueden identificar al titular. Y su nuevo reglamento, aprobado por el Decreto Supremo N° 016-2024-JUS —publicado el 30 de noviembre de 2024 y vigente desde el 30 de marzo de 2025—, refuerza las obligaciones:
- Notificación de brechas a la Autoridad Nacional de Protección de Datos Personales (ANPD) dentro de las 48 horas.
- Designación de un Oficial de Datos Personales (rol análogo al Data Protection Officer) para quienes traten datos sensibles a gran escala.
- Medidas de seguridad reforzadas alineadas con estándares internacionales.
La consecuencia estratégica es directa: cuanto más biometría almacenes, mayor es tu superficie de riesgo regulatorio. Defenderte del fraude y minimizar el dato que custodias no son objetivos opuestos —son la misma decisión de arquitectura. Lo desarrollamos en detalle en nuestro artículo sobre el nuevo reglamento de datos personales (DS 016-2024-JUS).
"Defenderte del fraude y minimizar el dato que custodias no son objetivos opuestos — son la misma decisión de arquitectura."
Conclusión: la identidad es el nuevo perímetro
En 2026, el fraude de identidad con IA no es una hipótesis: es un vector probado que las propias certificaciones de seguridad ya incorporan. Para la banca y las fintech peruanas, la defensa pasa por tres decisiones concretas: exigir detección de ataques de presentación certificada (ISO/IEC 30107-3, nivel 2 de iBeta), sumar comparación facial que confirme el vínculo con el titular, y elegir una arquitectura que verifique sin acumular datos sensibles. Esa última pieza es la que cumple, a la vez, con la defensa antifraude y con la exigencia de la Ley 29733.
Preguntas frecuentes sobre deepfakes y fraude de identidad en banca
¿Qué es un deepfake en el contexto del onboarding bancario?
Es un rostro o video sintético generado con inteligencia artificial que imita a una persona real y se presenta ante el control de verificación de identidad para suplantarla. A diferencia de una foto impresa o una pantalla estática, un deepfake puede parpadear, girar la cabeza y responder a instrucciones del control como lo haría una persona viva, lo que vence los controles de liveness más básicos.
¿El liveness común detecta deepfakes?
Los controles de vida más básicos pueden ser vencidos por ataques sofisticados con deepfakes. La detección efectiva requiere certificación de detección de ataques de presentación (PAD) bajo ISO/IEC 30107-3 en nivel 2 de iBeta, estándar que incluye deepfakes generados por IA en la batería de ataques de prueba y exige una tasa de aceptación de falsos por debajo del 1%.
¿La SBS obliga a usar biometría facial?
La SBS no exige una tecnología puntual. Exige verificar la identidad con seguridad proporcional al riesgo de la operación; para onboarding digital, la biometría con liveness es el estándar de facto del mercado. La Resolución SBS N° 2286-2024 sí obliga doble factor de autenticación en tarjetas de crédito y débito desde el 1 de abril de 2026.
¿Es legal almacenar datos biométricos en Perú?
Es legal, pero la Ley 29733 los clasifica como dato sensible y el Decreto Supremo 016-2024-JUS (vigente desde el 30 de marzo de 2025) exige medidas de seguridad reforzadas, notificación de brechas a la ANPD en 48 horas y designación de un Oficial de Datos Personales para quienes traten datos sensibles a gran escala. Por eso conviene minimizar la custodia: almacenar el resultado de la comparación y un hash, no la imagen original.
¿Se puede verificar identidad sin almacenar la biometría?
Sí. Arquitecturas que combinan comparación facial con cifrado de extremo a extremo permiten verificar sin retener información personal identificable. Este enfoque reduce a la vez el riesgo de fraude y el pasivo regulatorio derivado de la Ley 29733 y el DS 016-2024-JUS, ya que la organización no custodia el dato sensible que un atacante podría buscar en una brecha.
Fuentes
- Ley N° 29733 — Ley de Protección de Datos Personales (Congreso de la República)
- Decreto Supremo N° 016-2024-JUS (El Peruano)
- Nuevo reglamento de protección de datos personales en Perú (IAPP)
- SBS — Resolución SBS N° 2286-2024: refuerzo de seguridad en operaciones con tarjetas
- El Comercio — SBS refuerza seguridad en tarjetas (doble factor)
- iBeta — ISO 30107-3 Presentation Attack Detection (metodología y tipos de ataque)
- Biometric Update — Nivel 2 de iBeta (ISO 30107-3): ataques sofisticados y umbral del 1%
- Biometric Update — Herramientas de deepfake en vivo contra la verificación facial en banca
