Fraude de KYC mediante AI Deepfake: cómo los estafadores evaden la verificación facial (y cómo protegerse)
El I4C de India ha advertido que los delincuentes están utilizando deepfakes de IA y voces clonadas para burlar las verificaciones faciales y de Video-KYC en las que confían los bancos. Así es como funciona la estafa, las señales de advertencia y los pasos que realmente protegen sus cuentas.
Respuesta rápida: El Indian Cyber Crime Coordination Centre (I4C) de la India, bajo el Ministerio del Interior, ha advertido (aviso TAU/ADV/016, 10 de junio de 2026) que los estafadores están utilizando deepfakes de IA y clonación de voz para eludir la autenticación facial, la verificación de vivacidad y el Video-KYC en bancos y empresas de tecnología financiera. Lo más efectivo que puede hacer hoy es bloquear sus datos biométricos y nunca realizar movimientos faciales ante la cámara para un extraño. Si ya ha sido víctima, denuncie de inmediato en cybercrime.gov.in o llame al 1930.
Qué está sucediendo
La verificación facial y de "vivacidad" se convirtió en la columna vertebral de la banca remota precisamente porque era difícil falsificar un rostro humano en vivo. La IA generativa ha erosionado esa suposición. El aviso del I4C no describe algo hipotético; expone un manual de tácticas activo y repetible dirigido a la infraestructura financiera: procesos de incorporación KYC, recuperación de cuentas y activación de billeteras digitales. El eslabón más débil rara vez es el servidor del banco; es un video grabado de usted, capturado mediante ingeniería social cotidiana.
Cómo funciona la estafa: los 5 pasos que describe el I4C
- Contacto inicial. Los estafadores se comunican a través de redes sociales, aplicaciones de mensajería, portales de empleo, plataformas de citas o llamadas telefónicas, a menudo con un gancho amistoso como "¿tenemos una oportunidad laboral, podemos hacer una videollamada rápida?".
- Recopilación de datos faciales. Obtienen su rostro de perfiles públicos o lo convencen para una "entrevista en video" donde le piden que mire a la pantalla, gire la cabeza, parpadee y hable, los movimientos exactos que busca una verificación de vivacidad. La llamada es grabada en secreto.
- Generación de deepfake mediante IA. El metraje es procesado por herramientas de IA que crean una réplica digital realista capaz de imitar sus expresiones, parpadeos y voz.
- Intento de elusión. Cuando el sistema objetivo no cuenta con detección de deepfakes, el video sintético se reproduce durante el paso de autenticación facial y de vivacidad para suplantar su identidad.
- KYC fraudulento y activación de cuenta. Una vez "superada" la verificación, los delincuentes crean o activan cuentas y billeteras a su nombre, lo que sirve como plataforma de lanzamiento para el fraude financiero.
Cómo protegerse
- Bloquee sus datos biométricos. El I4C considera esto la defensa más sólida contra este tipo de robo de identidad remoto. La mayoría de las aplicaciones bancarias y de identificación nacional le permiten congelar su perfil biométrico para que no pueda usarse en nuevas verificaciones hasta que lo desbloquee. Manténgalo bloqueado de forma predeterminada.
- Sea implacable con las "entrevistas en video" de desconocidos. Trate cualquier solicitud no solicitada para realizar una videollamada en vivo, especialmente una que le pida parpadear, girar la cabeza o leer texto en voz alta, como una señal de alerta. Las ofertas de trabajo, los "asesores" de inversión y los nuevos amigos en línea son coberturas comunes.
- Limite el rostro que hace público. Los videos y fotos claros y frontales en perfiles abiertos son materia prima para estas herramientas. Refuerce la configuración de privacidad en plataformas sociales y de citas.
- Vigile sus notificaciones. Tome en serio cada alerta de "inicio de sesión no autorizado" o "nuevo intento de autenticación"; podría ser su réplica siendo probada contra una cuenta.
- Trate la pérdida repentina de señal móvil como una emergencia. Si su teléfono pierde la red abruptamente, llame a su proveedor de telecomunicaciones de inmediato; puede ser señal de un intercambio de SIM fraudulento utilizado para interceptar sus OTP.
Si cree que ha sido objetivo
La velocidad determina si el dinero es recuperable.
- Denuncie de inmediato en cybercrime.gov.in o llame al 1930. Cuanto más rápido se presente una queja, mayores serán las posibilidades de congelar los fondos desviados antes de que salgan de la red bancaria; aquí se explica exactamente cómo el sistema 1930 / CFCFRMS de la India congela las transferencias fraudulentas.
- Siga el proceso paso a paso en nuestra guía completa sobre cómo denunciar el ciberdelito en la India y recuperar su dinero.
- Entregue la evidencia: el número de contacto del estafador y el enlace a la videollamada que utilizaron.
- Alerte a su banco para congelar cuentas y marcar cualquier actividad de KYC o recuperación de cuenta que usted no haya iniciado. Si no está seguro de qué hacer en la primera hora, comience con qué hacer justo después de una estafa.
El panorama general
Este es el frente del fraude financiero de un problema global: a medida que las herramientas de deepfake se vuelven más baratas y mejores, las comprobaciones de "demuestre que es humano" creadas para la era anterior a la IA están bajo presión en todo el mundo, y los bancos y reguladores de todas partes se apresuran a añadir detección de deepfakes a los procesos de incorporación. El aviso del I4C traslada esa responsabilidad a las empresas de tecnología financiera y a los sistemas de incorporación de clientes, pero hasta que la detección sea universal, la defensa práctica depende de usted: bloquee sus datos biométricos, proteja su rostro y nunca realice movimientos faciales ante la cámara para un extraño.