La adopción de la biometría se ha disparado en Brasil en los últimos años: el 82 % de los brasileños ya utiliza algún tipo de tecnología biométrica para la autenticación, impulsados por la comodidad y la búsqueda de mayor seguridad en los servicios digitales. Ya sea para acceder a los bancos mediante reconocimiento facial o para autorizar pagos con huellas dactilares, la biometría se ha convertido en el «nuevo CPF» en términos de identificación personal, agilizando e intuitivos los procesos..
Sin embargo, una creciente ola de fraude ha puesto de manifiesto los límites de esta solución: solo en enero de 2025, se registraron 1,24 millones de intentos de fraude en Brasil, un aumento del 41,6 % con respecto al año anterior, lo que equivale a un intento de estafa cada 2,2 segundos. Muchos de estos ataques se dirigen a sistemas de autenticación digital. Datos de Serasa Experian muestran que, en 2024, los intentos de fraude contra bancos y tarjetas aumentaron un 10,4 % en comparación con 2023, lo que representa el 53,4 % de todos los fraudes registrados ese año..
De no haberse prevenido, estos fraudes podrían haber causado una pérdida estimada de R$51.600 millones. Este aumento refleja un panorama cambiante: los estafadores están evolucionando sus tácticas más rápido que nunca. Según una encuesta de Serasa, la mitad de los brasileños (50,7%) fueron víctimas de fraude digital en 2024, un aumento de 9 puntos porcentuales en comparación con el año anterior, y el 54,2% de estas víctimas sufrieron pérdidas financieras directas..
Otro análisis apunta a un aumento del 45% en los delitos digitales en Brasil para 2024, con la mitad de las víctimas siendo engañadas por estas estafas. Ante estas cifras, la comunidad de seguridad se pregunta: si la biometría prometía proteger a usuarios e instituciones, ¿por qué los estafadores siempre parecen ir un paso por delante?
Las estafas eluden el reconocimiento facial y digital
Parte de la respuesta reside en la creatividad con la que las bandas digitales evaden los mecanismos biométricos. En los últimos meses, han surgido casos emblemáticos. En Santa Catarina, un grupo fraudulento defraudó al menos a 50 personas obteniendo clandestinamente datos biométricos faciales de los clientes. Un empleado de telecomunicaciones simuló la venta de líneas telefónicas para capturar selfis y documentos de los clientes, y luego utilizó estos datos para abrir cuentas bancarias y solicitar préstamos a nombre de las víctimas..
En Minas Gerais, los delincuentes fueron más allá: se hicieron pasar por repartidores de correo para recopilar huellas dactilares y fotos de los residentes, con el objetivo expreso de burlar la seguridad bancaria. En otras palabras, los estafadores no solo atacan la tecnología en sí, sino que también explotan la ingeniería social, induciendo a las personas a proporcionar sus datos biométricos sin darse cuenta. Los expertos advierten que incluso los sistemas considerados robustos pueden ser engañados..
El problema es que la popularización de la biometría ha creado una falsa sensación de seguridad: los usuarios asumen que, por ser biométrica, la autenticación es infalible..
En instituciones con barreras menos estrictas, los estafadores triunfan utilizando métodos relativamente sencillos, como fotos o moldes para imitar características físicas. La llamada «estafa del dedo de silicona», por ejemplo, se ha vuelto muy conocida: los delincuentes pegan películas transparentes en los lectores de huellas dactilares de los cajeros automáticos para robar la huella del cliente y luego crean un dedo de silicona falso con esa huella, realizando retiros y transferencias no autorizados. Los bancos afirman que ya emplean contramedidas: sensores capaces de detectar el calor, el pulso y otras características de un dedo vivo, inutilizando los moldes artificiales..
Aun así, casos aislados de esta estafa ponen de manifiesto que ninguna barrera biométrica está completamente a salvo de los intentos de eludirla. Otro factor preocupante es el uso de estrategias de ingeniería social para obtener selfis o escaneos faciales de los propios clientes. La Federación Brasileña de Bancos (Febraban) ha alertado sobre un nuevo tipo de fraude en el que los estafadores solicitan «selfis de confirmación» a las víctimas bajo falsas apariencias. Por ejemplo, haciéndose pasar por empleados del banco o del INSS, piden una foto facial «para actualizar el registro» o para liberar un beneficio inexistente; en realidad, utilizan esta selfi para suplantar la identidad del cliente en los sistemas de verificación facial..
Un simple descuido, como tomar una foto mientras se responde a una solicitud de un supuesto repartidor o trabajador de la salud, puede proporcionar a los delincuentes la “clave” biométrica para acceder a las cuentas de otras personas..
Deepfakes e IA: la nueva frontera de los golpes de Estado
Si bien engañar a las personas ya es una estrategia ampliamente utilizada, los delincuentes más avanzados también engañan a las máquinas. Esto incluye los deepfakes (manipulación avanzada de voz e imagen mediante inteligencia artificial) y otras técnicas de suplantación digital que han experimentado un gran avance en sofisticación entre 2023 y 2025..
En mayo pasado, por ejemplo, la Policía Federal lanzó la Operación «Cara a Cara» tras identificar un esquema que defraudó a aproximadamente 3.000 cuentas de Gov.br mediante biometría facial falsa. El grupo criminal empleó técnicas altamente sofisticadas para suplantar la identidad de usuarios legítimos en la plataforma. gobierno.br, que concentra el acceso a miles de servicios públicos digitales.
Los investigadores revelaron que los estafadores utilizaron una combinación de videos manipulados, imágenes alteradas por IA e incluso máscaras 3D hiperrealistas para engañar a los sistemas de reconocimiento facial. En otras palabras, simularon los rasgos faciales de otras personas, incluidas las fallecidas, para asumir identidades y acceder a beneficios financieros vinculados a esas cuentas. Mediante movimientos artificiales perfectamente sincronizados, como parpadear, sonreír o girar la cabeza, incluso lograron eludir la función de detección de vida, desarrollada específicamente para detectar si una persona real estaba frente a la cámara..
El resultado fue el acceso indebido a fondos que solo deberían reclamar los verdaderos beneficiarios, además de la aprobación ilícita de préstamos otorgados a través de la aplicación Meu INSS utilizando identidades falsas. Este caso demostró claramente que sí es posible eludir la biometría facial, incluso en sistemas grandes y teóricamente seguros, con las herramientas adecuadas..
En el sector privado, la situación no es diferente. En octubre de 2024, la Policía Civil del Distrito Federal llevó a cabo la Operación «IA DeGenerativa», desmantelando una banda especializada en el hackeo de cuentas bancarias digitales mediante aplicaciones de inteligencia artificial. Los delincuentes realizaron más de 550 intentos de hackear las cuentas bancarias de los clientes, utilizando datos personales filtrados y técnicas de deepfake para suplantar la identidad de los titulares de las cuentas, validar los procedimientos de apertura de nuevas cuentas a nombre de las víctimas y permitir que los dispositivos móviles aparecieran como propios..
Se estima que el grupo logró mover cerca de R$ 110 millones en cuentas personales y corporativas, lavando dinero de diversas fuentes, antes de que la mayoría de los fraudes fueran detenidos por auditorías internas del banco..
Más allá de la biometría
Para el sector bancario brasileño, el auge de estas estafas tecnológicas es una señal de alerta. Los bancos han invertido considerablemente durante la última década para migrar a sus clientes a canales digitales seguros, adoptando la biometría facial y dactilar como barreras contra el fraude..
Sin embargo, la reciente ola de estafas sugiere que confiar únicamente en la biometría podría no ser suficiente. Los estafadores aprovechan errores humanos y vulnerabilidades tecnológicas para suplantar la identidad de los consumidores, lo que requiere que la seguridad se considere en múltiples capas y factores de autenticación, en lugar de un único factor «mágico».
Ante este complejo escenario, los expertos coinciden en una recomendación: adoptar la autenticación multifactor y enfoques de seguridad multicapa. Esto implica combinar diferentes tecnologías y métodos de verificación para que, si un factor falla o se ve comprometido, otros eviten el fraude. La biometría en sí misma sigue siendo un componente importante; después de todo, cuando se implementa correctamente con la verificación de vida y el cifrado, dificulta significativamente los ataques oportunistas..
Sin embargo, debe funcionar en conjunto con otros controles: contraseñas de un solo uso o PIN enviados al teléfono celular, análisis del comportamiento del usuario (la llamada biometría del comportamiento, que identifica patrones de escritura, uso del dispositivo y puede hacer sonar la alarma cuando nota que un cliente «actúa de manera diferente a lo normal») y monitoreo inteligente de transacciones..
Las herramientas de IA también se están utilizando en beneficio de los bancos, identificando señales sutiles de deepfake en videos o voces; por ejemplo, analizando frecuencias de audio para detectar voces sintéticas o buscando distorsiones visuales en selfies..
En definitiva, el mensaje para los gerentes bancarios y los profesionales de la seguridad de la información es claro: no existe una solución milagrosa. La biometría ha aportado un mayor nivel de seguridad en comparación con las contraseñas tradicionales, tanto que las estafas se han centrado principalmente en engañar a las personas, ya no en romper algoritmos..
Sin embargo, los estafadores están aprovechando cualquier vulnerabilidad, ya sea humana o tecnológica, para frustrar los sistemas biométricos. La respuesta adecuada implica tecnología de vanguardia constantemente actualizada y monitoreo proactivo. Solo quienes puedan mejorar sus defensas a la par que surgen nuevas estafas podrán proteger completamente a sus clientes en la era de la inteligencia artificial maliciosa.
Por Sylvio Sobreira Vieira, CEO y Jefe de Consultoría de SVX Consultoria.
