- La suplantación biométrica explota debilidades en rostro, voz, huella o iris; la detección de vida y ISO/IEC 30107-3 son esenciales.
- El RGPD (art. 4.14) considera los datos biométricos categoría especial; proportionalidad y privacidad desde el diseño son obligadas.
- Casos como WorldCoin y Clearview evidencian riesgos de privacidad, sesgos y control; la respuesta regulatoria va en aumento.
La suplantación biométrica se ha convertido en un tema candente porque mezcla dos mundos delicados: la identificación de personas y la ciberseguridad. Cuando un sistema confía en tus rasgos físicos o de comportamiento para darte acceso, cualquier intento de engañarlo puede derivar en fraudes serios, daños reputacionales y problemas legales.
No hablamos solo de tecnología futurista; estas técnicas ya están en juego en móviles, banca en línea de forma segura, acceso a instalaciones y procesos de alta seguridad. Entender cómo operan los ataques, qué vulnerabilidades explotan y qué medidas existen (como la detección de vida) es clave para tomar decisiones responsables y cumplir con el RGPD y las guías de la AEPD.
Cómo se orquesta un ataque de spoofing
En el spoofing clásico, el atacante inicia con un anzuelo que parece legítimo: un correo, un SMS o una llamada suplantando a tu banco, tu empresa o un servicio conocido. El objetivo es llevarte a una web falsa o lograr que compartas datos sensibles, que acaban en manos de quien está detrás del engaño.
Ese primer paso funciona porque los sitios fraudulentos copian logos, textos y hasta dominios similares. Si introduces datos de acceso o tarjeta, la información va directa al estafador, que podrá reutilizarla o venderla para otros fraudes.
Por qué el spoofing es especialmente peligroso
El problema no se limita al robo de credenciales: un ataque de este tipo puede abrir puertas en toda una red. Desde ahí es más sencillo desplegar malware, moverse lateralmente y comprometer sistemas enteros, incluyendo infraestructuras críticas si el entorno es corporativo.
Además, la barrera de entrada es baja: con plantillas, herramientas públicas y contenidos generados por IA, la sofisticación de los fraudes aumenta mientras su detección previa se complica. Cuando te das cuenta, a menudo ya es tarde.
Modalidades habituales de suplantación
- Email spoofing: envío de correos desde direcciones falsificadas o dominios muy parecidos al legítimo.
- Smishing: SMS que imitan a bancos, paquetería o administraciones, y te empujan a un enlace malicioso.
- Vishing: llamadas que suplantan números o identidades para obtener datos por voz.
- Web spoofing: páginas clonadas para capturar credenciales o datos de pago.
- IP/DNS/GPS spoofing: técnicas avanzadas que manipulan la red o la geolocalización para desviar tráfico o enmascarar origen.
En los últimos años ha surgido con fuerza la suplantación aplicada a biometría: aprovecha puntos débiles en sistemas que usan rasgos únicos, como rostro, huella, iris o voz, para identificar personas.
Qué entendemos por suplantación biométrica
La biometría está en todas partes: desbloqueas el móvil, te identificas en un portal o pasas un control de acceso. Los atacantes explotan esa adopción masiva intentando “presentar” artefactos o señales falsificadas ante el sensor para hacerse pasar por ti.
Documentos de identidad adulterados
Una vía común es falsificar o manipular documentos de identidad (físicos o digitales) para superar verificaciones superficiales. Se usan desde copias de alta calidad hasta ediciones digitales que imitan elementos de seguridad, con el fin de engañar procesos de onboarding.
Rostro: fotos, vídeos, máscaras y deepfakes
El reconocimiento facial es ubicuo y, por eso, un objetivo recurrente. Los ataques van desde fotos impresas o reproducciones en pantalla hasta máscaras 3D y deepfakes generados por IA. Para defenderse, los sistemas incorporan pruebas de vida que detectan si hay una persona real delante del sensor.
Esas pruebas pueden ser activas (parpadea, gira la cabeza, pronuncia palabras) o pasivas (el sistema analiza textura, profundidad, luz o micromovimientos sin pedirte nada). La modalidad pasiva reduce fricción y hace más difícil que el atacante identifique cuándo se comprueba la vitalidad.
Voz: grabaciones y síntesis
La biometría de voz también se explota con grabaciones y sintetizadores que imitan timbre y entonación. Para mitigar, se analizan características espectrales y patrones temporales que delatan reproducción o manipulación, y se combinan con retos aleatorios.
Huella, iris y otras señales
Otras modalidades no se libran: desde huellas dactilares levantadas en superficies hasta intentos sobre iris y patrones comportamentales. Cada una requiere técnicas de detección específicas y sensores de calidad, además de buenas prácticas de diseño y operación.
Datos biométricos y RGPD: marco y obligaciones
El RGPD, en su artículo 4.14, define los datos biométricos como los obtenidos mediante un tratamiento técnico específico relativos a características físicas, fisiológicas o conductuales que permiten o confirman la identificación única de una persona (por ejemplo, imágenes faciales o datos dactiloscópicos).
La biometría automatiza lo que hacemos de forma natural al reconocer a otros por su aspecto, voz o forma de andar. Su uso ha crecido y, con él, el interés de los ciberdelincuentes por captar, robar o manipular esos datos, que no se pueden “cambiar” como una contraseña.
Si estás evaluando implantar estas tecnologías, la AEPD ha publicado guías clave, como la relativa a sistemas biométricos de control de presencia y la identidad digital. Es importante seguir sus recomendaciones de proporcionalidad, privacidad desde el diseño y evaluación de riesgos antes de su despliegue.
Amenazas frecuentes y vectores de ataque
La pérdida o sustracción de datos biométricos es crítica: a diferencia de un PIN, no puedes renovar tu huella o tu iris si se filtra el patrón. Su uso indebido permite suplantar identidades, eludir controles o abrir puertas a más fraudes.
Entre los ataques destacan los de presentación, que intentan engañar al sensor con artefactos (fotos, vídeos, máscaras). Para acotarlos, los dispositivos limitan intentos y aplican liveness para elevar el coste del ataque y frenar fuerza bruta.
También existen ataques de repetición: capturar una huella de un cristal o pantalla, levantarla con cinta y digitalizarla para desbloquear un dispositivo. Esta técnica de “replay” busca reutilizar señales biométricas reales fuera de contexto.
No todos los sistemas móviles están igual de protegidos. Por ejemplo, hay implementaciones de reconocimiento facial que, sin verificar estado de alerta, pueden desbloquear con los ojos cerrados o mientras duermes. Elegir bien sensores y configuraciones es básico.
La formación del personal y la concienciación marcan la diferencia: si quienes operan y usan los sistemas entienden amenazas y buenas prácticas, se reduce la superficie de ataque y mejora la respuesta ante incidentes.
Sabotaje y fallos de sistemas biométricos
El sabotaje de sensores puede detener autenticaciones o afectar a la fiabilidad global. Proteger físicamente los dispositivos, monitorizar su estado y habilitar detección de intrusiones ayuda a prevenir interrupciones y manipulaciones.
La calidad tecnológica importa, y mucho: sensor, algoritmo de comparación, cifrado de plantillas, interoperabilidad, dataset y documentación. Si cualquiera de estos elementos flojea, aumentan los falsos positivos/negativos y el riesgo de incidentes.
Además, como en cualquier sistema informático, puede haber cortes eléctricos, caídas de comunicaciones o fallos de soporte. Conviene incorporar resiliencia desde el diseño y por defecto (art. 25.1 RGPD), con planes de contingencia y recuperación.
Si la autenticación depende únicamente de la biometría y el sensor no está disponible, el acceso se bloquea. Ofrecer factores alternativos (por ejemplo, PIN o token) evita indisponibilidad no deseada en situaciones urgentes.
Los rasgos cambian con el tiempo (peinado, vello facial, variaciones en la voz, etc.). Esas variaciones no maliciosas pueden afectar a la experiencia del usuario si el sistema no está bien calibrado.
¿Una foto o una máscara pueden suplantarte? Lo que realmente ocurre
Con soluciones serias, la respuesta es que no deberían. La verificación facial moderna no compara “fotos” sin más; genera plantillas matemáticas con medidas y relaciones entre puntos, y almacena esa información cifrada para protegerla.
Reconstruir una cara a partir de una plantilla cifrada no es viable en la práctica sin un esfuerzo computacional descomunal. Además, el software comprueba que la señal provenga de una persona viva y no de una imagen, un vídeo o una máscara hiperrealista.
Hay dos grandes enfoques de prueba de vida. El activo pide acciones (parpadear, girar, repetir palabras), pero añade fricción y puede elevar el abandono. El pasivo trabaja en segundo plano analizando textura, reflejos, profundidad o micromovimientos para que el usuario casi ni lo note.
La comunidad técnica viene consolidando criterios desde 2017, cuando el NIST publicó lineamientos sobre vitalidad y evaluación. Estas referencias impulsan que las soluciones pasen pruebas y generen alertas ante intentos repetidos, acotando la ventana de ataque incluso en campañas prolongadas.
Estándares, métodos PAD y cómo comparar soluciones
La referencia clave para evaluar detección de ataques de presentación (PAD) es ISO/IEC 30107-3. Este estándar define cómo probar y reportar resultados de EAP para comparar proveedores en igualdad de condiciones.
En el terreno práctico verás técnicas como análisis de textura y reflectancia (la piel real no se comporta como una pantalla o un papel), micromovimientos temporales (parpadeos involuntarios o PPG remoto), señales de profundidad/IR y desafíos aleatorios.
Muchos despliegues combinan enfoques en flujos adaptativos al riesgo: empezar por pasivo, elevar a activo o añadir multimodalidad (rostro + voz + señales del dispositivo) si detectan indicadores sospechosos como uso de TOR o emulación.
Para entrenar y validar modelos de PAD hacen falta datos variados y de origen ético. El mercado ofrece conjuntos anti‑spoofing con miles de clips (por ejemplo, máscaras 3D, maquillaje y repeticiones), grabados a resoluciones estables y diversidad demográfica, destinados a mejorar robustez y reducir sesgos.
Existen incluso proyectos que entregan decenas de miles de vídeos (uno real y uno reproducido por participante) con metadatos estructurados. Este tipo de datasets permite medir KPIs con realismo y mantener la eficacia frente a ataques emergentes.
Casos reales y debate social: WorldCoin, Clearview y la respuesta regulatoria
El caso WorldCoin popularizó un intercambio controvertido: ofrecer cripto a cambio de escanear el iris con un dispositivo (Orb) para construir una identidad digital universal. El volumen masivo de datos y la falta de claridad sobre usos y tiempos de retención encendieron alarmas.
Varias autoridades frenaron o examinaron la iniciativa: en España, la AEPD prohibió recolectar esos datos bajo amenaza de sanciones de alto importe; en países como Kenia o India también se pidieron explicaciones o suspensión por riesgos de privacidad y seguridad.
Otro episodio fue Clearview AI, que recolectó miles de millones de rostros desde redes y webs públicas sin consentimiento. El reconocimiento facial a gran escala plantea sesgos, vigilancia masiva y daños potenciales a colectivos vulnerables, además de problemas legales.
Estos casos subrayan algo básico: los datos biométricos son únicos e inmutables. Una vez expuestos, pueden facilitar fraude financiero, votaciones irregulares o accesos físicos a áreas restringidas si se combinan con otras brechas.
A ello se suman preocupaciones de exclusión digital (dependencia de dispositivos o conectividad), pérdida de control por parte del usuario y dilemas éticos sobre bases de datos globales. La adopción responsable, selectiva e informada debe ser el punto de partida en cualquier estrategia biométrica.
Biometría en el control de jornada: riesgos y alternativas
El registro diario de jornada mediante huella dactilar implica tratar datos biométricos de categoría especial. Su carácter personal y único convierte cualquier pérdida en un riesgo serio de suplantación, sin posibilidad de “cambiar” la huella como harías con una contraseña.
Antes de implantar una medida así, conviene un análisis de proporcionalidad: ¿es estrictamente necesario para la finalidad?, ¿será realmente eficaz? ¿La pérdida de intimidad compensa los beneficios? ¿Existe otra opción menos invasiva que logre el mismo fin?
También hay que valorar amenazas: robo de datos biométricos, suplantación, sabotaje de sensores y un posible incumplimiento de normativa. Hoy existen apps y sistemas de fichaje que no requieren datos especialmente protegidos y resultan más prácticos en el día a día, como alternativas no intrusivas (por ejemplo, soluciones tipo miregistrolaboral.es).
Dónde pedir ayuda y cómo reforzar tu postura
Si tienes dudas sobre biometría, fraude o ciberseguridad, puedes recurrir a la Línea de Ayuda en Ciberseguridad de INCIBE (017), a sus canales de WhatsApp (900 116 117), Telegram (@INCIBE017) o al formulario para empresas. Profesionales especializados pueden guiarte en prevención y respuesta.
El spoofing avanza desde el phishing clásico a las trampas biométricas, pero contamos con estándares (ISO/IEC 30107‑3), pruebas de vida activas y pasivas, sensores más robustos y operadores mejor formados; la clave está en aplicar proporcionalidad, privacidad desde el diseño y evaluación continua de riesgos, reforzando tecnología, procesos y personas a la vez.
