Resumen ejecutivo

El fraude de identidad impulsado por deepfakes se ha convertido rápidamente en una de las amenazas más graves para la confianza digital en el sudeste asiático, con Indonesia y Vietnam como epicentro de esta evolución. Impulsados por los avances en la inteligencia artificial generativa, los estafadores ahora son capaces de replicar de forma convincente rostros, voces e identidades humanas a gran escala, lo que socava los sistemas tradicionales de incorporación digital, autenticación biométrica y verificación remota en la banca, la tecnología financiera, las telecomunicaciones y los servicios digitales. Fraude de identidad con deepfakes.

La región ha experimentado un aumento sin precedentes de los fraudes basados en la inteligencia artificial, con un incremento de más del 1500 % en los incidentes de deepfakes en Asia-Pacífico en un solo año. Los casos de gran repercusión, desde la suplantación de identidad de ejecutivos mediante videoconferencias deepfake hasta las estafas con voces clonadas por IA y la creación de identidades sintéticas a gran escala, demuestran que estas amenazas ya no son teóricas. Son operativas, causan daños económicos y son cada vez más difíciles de detectar con los controles tradicionales.

Indonesia y Vietnam están especialmente expuestos debido a la rápida digitalización, la adopción masiva de la banca móvil y los servicios fintech, el uso cada vez mayor de la identificación electrónica biométrica (eKYC) y la disponibilidad de datos de identidad comprometidos. Si bien las iniciativas nacionales de identificación digital y los mandatos biométricos tienen como objetivo reforzar la seguridad, al mismo tiempo han aumentado los riesgos: la biometría facial se ha convertido en una superficie de ataque principal para el deepfake y el fraude basado en inyección.

Los bancos, las empresas fintech, las plataformas criptográficas y los operadores de telecomunicaciones se enfrentan ahora a un mayor riesgo regulatorio, financiero y reputacional. Los reguladores de toda la ASEAN han respondido con un eKYC más estricto, mandatos de verificación biométrica, reformas en el registro de tarjetas SIM y requisitos AML más estrictos, lo que indica un claro cambio hacia marcos de identidad digital de mayor seguridad. Sin embargo, la regulación por sí sola es insuficiente contra los adversarios que aprovechan la IA a escala industrial.

El artículo concluye que defender la confianza digital en el sudeste asiático requerirá unaestrategia de IA contra IA, que combine la detección avanzada de vitalidad, la detección de ataques de inyección, la investigación forense biométrica, el análisis del comportamiento y marcos de gobernanza sólidos. Los proveedores de tecnología, los reguladores y las empresas deben colaborar estrechamente para cerrar las brechas sistémicas, armonizar las normas y garantizar que la transformación digital avance sin erosionar la confianza.

En última instancia, el sudeste asiático se encuentra en un momento crucial: las mismas tecnologías que impulsan la inclusión y el crecimiento pueden facilitar el fraude a gran escala o, si se implementan de manera responsable e inteligente, sentar las bases de una economía digital más segura y resiliente.

Introducción

El sudeste asiático se enfrenta a un aumento de los fraudes de identidad de alta tecnología impulsados por deepfakes, imágenes sintéticas generadas por IA, vídeos o audios que suplantan la identidad de personas reales. Las tendencias recientes muestran un alarmante aumento de este tipo de fraudes en toda la región. La región de Asia-Pacífico experimentó un aumento del 1530 % en los casos de deepfakes entre 2022 y 2023, el segundo mayor aumento a nivel mundial. Cabe destacar que Vietnam ha experimentado el mayor aumento de la región en incidentes de fraude relacionados con deepfakes (25,3 %), lo que pone de relieve la gravedad con la que esta amenaza está afectando a determinados mercados. Estas estafas impulsadas por deepfakes socavan la seguridad digital al suplantar identidades y engañar tanto a las personas como a los sistemas de verificación.

Desde cuentas bancarias abiertas con identidades falsas hasta llamadas fraudulentas con voces clonadas mediante inteligencia artificial, la integridad de la identidad en las transacciones digitales está siendo atacada. Esta creciente amenaza llega en un momento en el que los países del sudeste asiático se están digitalizando rápidamente. Millones de consumidores de Indonesia, Vietnam y países vecinos están adoptando la banca en línea, las aplicaciones fintech y los servicios digitales, a menudo por primera vez. Este auge digital aporta comodidad e inclusión financiera, pero también crea un terreno fértil para los estafadores. Los ciberdelincuentes están aprovechando la IA avanzada para crear «falsificaciones perfectas» de identidades, engañar a los sistemas de inicio de sesión por reconocimiento facial, suplantar a funcionarios en videollamadas y difundir información errónea.

El resultado es un nuevo tipo de fraude más difícil de detectar y potencialmente mucho más perjudicial que el robo de identidad tradicional. En este artículo, examinamos casos reales de deepfake y fraude de identidad en el sudeste asiático, analizamos por qué mercados como Indonesia y Vietnam son especialmente vulnerables, y revisamos cómo los reguladores y los proveedores de tecnología están respondiendo con soluciones para proteger a las empresas y al público.

Casos reales que ponen de relieve la amenaza

Los incidentes reales ocurridos en Asia ilustran cómo los deepfakes y el fraude de identidad ya no son algo teórico, sino que se utilizan activamente en estafas hoy en día. A finales de 2023, se difundieron vídeos del primer ministro de Singapur, Lee Hsien Loong, y del viceprimer ministro, Lawrence Wong, promocionando una inversión en criptomonedas, que posteriormente se revelaron como deepfakes. Estos clips manipulados con IA robaban la imagen de figuras públicas para dar credibilidad a una estafa, engañando a los espectadores que confiaban en la fuente.

Otro ejemplo inquietante ocurrió en Hong Kong, donde la sucursal local de una empresa multinacional fue estafada por valor de 200 millones de dólares hongkoneses (25,6 millones de dólares estadounidenses) después de que el personal fuera engañado mediante una videoconferencia deepfake. En ese caso de 2024, el primero de este tipo en Hong Kong, los estafadores crearon avatares de vídeo realistas del director financiero de la empresa y otros ejecutivos y, a continuación, en una llamada de Zoom con varias personas, «ordenaron» una transferencia urgente de fondos. Los empleados vieron lo que parecía y sonaba como su director financiero dándoles instrucciones, y obedecieron, solo para descubrir más tarde que todas las personas que participaban en la llamada (excepto las propias víctimas) eran impostores generados por IA.

Estos incidentes no son aislados. Delincuentes expertos en tecnología de Tailandia han utilizado vídeos deepfake para suplantar a agentes de policía en videollamadas en directo, extorsionando a las víctimas al hacerles creer que un funcionario les está exigiendo dinero. En una estafa, los defraudadores tomaron imágenes de dominio público de un agente de policía real (por ejemplo, de una rueda de prensa) y las insertaron digitalmente en videollamadas, de modo que el rostro del agente parecía pronunciar las palabras del estafador. La policía tailandesa emitió advertencias en 2022 sobre esta táctica de estafa de los centros de llamadas, advirtiendo que las personas podrían ser fácilmente engañadas si no examinan la imagen con detenimiento. Mientras tanto, en Vietnam, las autoridades han advertido del aumento de las llamadas fraudulentas deepfake dirigidas a clientes bancarios y ciudadanos.

Se han recibido denuncias de estafadores que utilizan la IA para imitar la voz y el rostro de familiares o funcionarios en vídeos, con el fin de engañar a las víctimas para que realicen transferencias urgentes de dinero. Esta tendencia ha llevado al Ministerio de Información y Comunicaciones de Vietnam a alertar al público sobre sofisticados ataques de suplantación de identidad mediante deepfakes, clonación de voz y otras tecnologías de IA.

Más allá de los deepfakes, también proliferan los fraudes de identidad más convencionales. El robo de identidad y las identidades sintéticas (identidades falsas creadas a partir de datos reales y ficticios) han afectado a las empresas del sudeste asiático, lo que ha permitido delitos que van desde el fraude con tarjetas de crédito hasta la concesión de préstamos indebidos.

Por ejemplo, Indonesia, Hong Kong y Camboya registraron tasas de fraude de identidad que se duplicaron con creces entre 2021 y 2023, según un estudio global sobre el fraude. En un caso global que pone de relieve la magnitud de la amenaza, los investigadores descubrieron que un solo algoritmo de deepfake había generado más de 400 «clientes» fraudulentos en videollamadas KYC para un banco, lo que supone, en esencia, una cadena de montaje de identidades falsas para abrir cuentas. Aunque ese caso se produjo fuera de la región, pone de relieve el tipo de métodos de fraude industrializados que están surgiendo actualmente. En conjunto, estos ejemplos muestran que los estafadores del sudeste asiático están innovando rápidamente. Están utilizando la IA como arma para suplantar voces y rostros de confianza, eludiendo las comprobaciones de identidad a distancia y manipulando a las víctimas, a menudo con consecuencias devastadoras.

Por qué Indonesia y Vietnam se enfrentan a un riesgo creciente

Entre los países del sudeste asiático, Indonesia y Vietnam destacan por ser especialmente vulnerables al fraude basado en la suplantación de identidad y las falsificaciones profundas, debido a una confluencia de factores. Ambos países tienen poblaciones jóvenes y numerosas que están adoptando con entusiasmo los servicios digitales: la población «nativa digital» de Vietnam y su floreciente economía digital lo convierten en un objetivo especialmente atractivo para los estafadores. Millones de vietnamitas e indonesios se han conectado a Internet en los últimos años a través de la banca móvil, los monederos electrónicos, el comercio de criptomonedas y el comercio electrónico. Esta adopción digital, aunque positiva, amplía la superficie de ataque para los estafadores, muchos de los cuales operan a nivel transnacional.

Al mismo tiempo, estos mercados están experimentando transiciones en sus sistemas de identificación e infraestructura financiera que los delincuentes más avispados tratan de explotar. Vietnam, por ejemplo, está impulsando un ambicioso programa de identificación digital (VNeID) y pagos sin efectivo, y sus bancos han dependido históricamente de la verificación presencial. El rápido cambio a la incorporación en línea durante la pandemia abrió nuevas puertas al fraude. En Indonesia, el Gobierno ha emitido más de 200 millones de tarjetas de identificación nacional biométricas (e-KTP), y los bancos y las empresas de tecnología financiera acceden a una base de datos central de identificación para el e-KYC, pero se han producido violaciones de datos y fugas de números de identificación (NIK), lo que ha alimentado el mercado clandestino de datos de identidad. Las redes de fraude recopilan datos personales robados y utilizan herramientas de «intercambio de caras» o síntesis de voz basadas en IA para crear identidades falsas creíbles, sabiendo que los controles de verificación de muchas empresas pueden no detectar una selfie generada por IA.

Las estadísticas confirman el aumento del riesgo.Vietnam se encuentra ahora entre los países con mayor prevalencia de fraudes deepfake del mundo, junto con Japón, tecnológicamente avanzado. E Indonesia se ha enfrentado a una ola de fraudes de identidad, con incidentes que se han más que duplicado en los últimos años. Las actividades fraudulentas van desde solicitar préstamos o tarjetas de crédito en línea con la identidad de otra persona, hasta estafas de registro de tarjetas SIM, pasando por campañas masivas de phishing aumentadas con audio deepfake. Cabe destacar queel fraude impulsado por la IA se ha convertido en el mayor desafío en todos los sectores a nivel mundial, y en2023 el «fraude impulsado por la IA» (incluidos los deepfakes) superó a las identificaciones falsas tradicionales y a las apropiaciones de cuentas como la principal amenaza para la identidad. Lamentablemente, las dinámicas economías del sudeste asiático ofrecen muchos incentivos y oportunidades para estas nuevas estafas: una enorme base de usuarios nuevos en las finanzas digitales, diferentes niveles de madurez en materia de seguridad entre las empresas y una concienciación irregular entre el público. Todos estos factoreshacen que Indonesia, Vietnam y sus vecinos sean un terreno fértil para los estafadores que prueban las últimas técnicas de engaño basadas en la IA.

Impacto en la banca y la tecnología financiera

El sector bancario y fintech está a la vanguardia de esta batalla. Los bancos, los prestamistas digitales y las plataformas de pago del sudeste asiático han adoptado la incorporación digital, lo que permite a los clientes abrir cuentas o pedir préstamos simplemente enviando selfies y fotos de su documento de identidad a través de una aplicación. Sin embargo, esta comodidad conlleva un reto evidente: ¿cómo se sabe que la persona al otro lado de la pantalla es real? La tecnología deepfake está atacando directamente la seguridad biométrica en la que se basan los bancos.

En Vietnam, por ejemplo, el banco central ahora exige la autenticación facial para muchas transacciones bancarias y con tarjetas en línea, lo que refleja lo importante que se ha vuelto la biometría facial para la seguridad. Sin embargo, los delincuentes están respondiendo con ataques de suplantación de identidad y deepfakes que pueden engañar a los sistemas básicos de reconocimiento facial. Ha habido casos (y muchos más intentos) en los que los estafadores presentan un vídeo de un rostro, ya sea una edición del rostro de la víctima o un rostro generado íntegramente por IA, para engañar a la verificación por «selfie» del banco. Si el sistema del banco carece de una detección de vida sólida, puede aceptar el rostro falso y crear una cuenta para el estafador. Las consecuencias son graves: esa cuenta puede utilizarse para blanquear dinero, realizar transferencias ilícitas o defraudar a prestamistas y clientes.

Los reguladores financieros están cada vez más alerta ante estos riesgos.El Banco Estatal de Vietnam ha ido endureciendo las normas de eKYC año tras año, exigiendo una verificación más rigurosa para reforzar la confianza. Desde 2024, los bancos vietnamitas deben implementar una verificación biométrica de extremo a extremo para las transacciones online importantes. Y a partir de enero de 2026,Vietnam hará obligatorias las comprobaciones de identidad biométricas para abrir cualquier nueva cuenta bancaria o tarjeta de pago: los bancos tendrán que verificar el rostro del cliente en persona o a través de una base de datos biométrica fiable antes de activar los servicios. Estas medidas se tomaron tras una serie de incidentes de fraude y demuestran que los reguladores consideran que la autenticación biométrica es necesaria y debe mejorarse. Los bancos de Vietnam ya han dado un paso adelante: por ejemplo, Cake Digital Bank se convirtió en el primer banco exclusivamente digital del sudeste asiático en superar las rigurosas pruebas iBeta de nivel 2 para la detección de suplantación de identidad mediante biometría facial. El sistema «Face Authen», desarrollado internamente por Cake, utiliza ahora la detección pasiva de vitalidad en millones de usuarios para garantizar la presencia de una persona real, cumpliendo así los estrictos requisitos de seguridad del Banco Estatal de Vietnam. Este tipo de inversión es fundamental para frustrar los intentos de deepfake.

Las startups fintech y las plataformas criptográficas, que suelen tener menos infraestructura heredada, también se encuentran en el punto de mira. Las plataformas de intercambio de criptomonedas han sido uno de los principales objetivos del fraude de identidad mediante deepfakes, representando el 88 % de todos los casos de deepfakes detectados en 2023. Los estafadores utilizan documentos de identidad robados y rostros sintetizados para eludir el KYC de las plataformas de intercambio y luego negociar con fondos ilícitos.

El dinámico panorama fintech del sudeste asiático (desde monederos electrónicos hasta prestamistas P2P) también se enfrenta a constantes intentos de suplantación de identidad. Algunos han comenzado a añadir capas de defensa adicionales; por ejemplo, se está explorando la biometría conductual (que monitoriza las pulsaciones únicas del usuario o sus patrones de uso) para detectar a los impostores que podrían superar la identificación facial pero que se comportan de forma diferente. Como señaló Feedzai, los bancos vietnamitas que solo se basan en el reconocimiento facial deberían considerar la biometría conductual como medida de seguridad, precisamente porque los deepfakes y las credenciales robadas pueden burlar los controles faciales únicos. En resumen, los bancos y las fintech están aprendiendo que el fraude basado en la IA es un adversario en constante evolución. El coste del fracaso es elevado, desde pérdidas monetarias directas hasta daños a la reputación y sanciones reglamentarias, por lo que este sector se ha convertido tanto en un objetivo como en un campo de pruebas para las innovaciones antifraude en la era de los deepfakes.

Amenazas en el sector de las telecomunicaciones

Aunque las finanzas suelen acaparar los titulares, el sector de las telecomunicaciones en el sudeste asiático es otro ámbito crítico para el fraude de identidad, que cada vez se entrecruza más con las preocupaciones relacionadas con los deepfakes. Las modestas tarjetas SIM y las cuentas móviles tienen una importancia desmesurada: los estafadores suelen obtener tarjetas SIM con identidades falsas para cometer fraudes (por ejemplo, para recibir códigos OTP bancarios o realizar llamadas fraudulentas de forma anónima). En Indonesia, este problema alcanzó un punto crítico cuando los delincuentes aprovecharon las lagunas del sistema de registro de tarjetas SIM utilizando números de identificación robados, lo que permitía a una sola persona registrar docenas de tarjetas SIM de prepago para usos ilícitos. En respuesta a ello, el Gobierno indonesio está tomando medidas para endurecer drásticamente los controles de identidad en las telecomunicaciones.

En octubre de 2025, Indonesia comenzó a probar el reconocimiento facial para el registro de tarjetas SIM en colaboración con su mayor operador de telefonía móvil, Telkomsel. En el marco de este programa piloto, los nuevos abonados a la telefonía móvil deben someterse a un escaneo facial in situ con un paso de detección de vida (que cumple con las normas ISO 30107 contra la suplantación de identidad) para demostrar que están físicamente presentes y vivos. A continuación, el sistema compara el rostro en vivo con la base de datos nacional de identificación en tiempo real. Si el Gobierno implanta este sistema en todo el país, significará «una persona, una tarjeta SIM», lo que reducirá en gran medida la capacidad de las redes de fraude para utilizar identidades falsas o múltiples en el ecosistema móvil. Los reguladores señalaron que esto podría reducir drásticamente las estafas relacionadas con las tarjetas SIM (como el phishing por SMS y las llamadas spam), mejorar el cumplimiento de la normativa y fomentar la confianza del público en la seguridad de las telecomunicaciones. La iniciativa de Indonesia refleja un requisito similar en Tailandia, que ya exige escáneres faciales para activar nuevas tarjetas SIM como medida de prevención del fraude.

Otra cuestión emergente es cómo los deepfakes se entrecruzan con las estafas facilitadas por las telecomunicaciones. Muchos fraudes clásicos se llevan a cabo a través de llamadas telefónicas o videoconferencias, y en este caso, el audio y el vídeo deepfake pueden potenciar el engaño.

Como se ha mencionado, la policía tailandesa se ha encontrado con estafadores que realizan videollamadas por WhatsApp/LINE con vídeos deepfake de agentes. Del mismo modo, en toda la región existe la preocupación de que las estafas de «vishing» (phishing por voz) empleen voces generadas por IA para suplantar a funcionarios bancarios o familiares en apuros. Una víctima que cree reconocer la voz de la persona que llama es mucho más propensa a seguir las instrucciones. Las redes de telecomunicaciones, por lo tanto, transmiten inadvertidamente estos intentos de estafa deepfake. El Gobierno de Vietnam, por ejemplo, está buscando soluciones más amplias: las autoridades han considerado la posibilidad de exigir que las redes sociales y las cuentas en línea estén vinculadas a identidades reales verificadas, posiblemente mediante controles biométricos, para disuadir el abuso anónimo y la desinformación deepfake.

Esta propuesta, presentada por el Ministerio de Comunicación y Asuntos Digitales de Indonesia, utilizaría la verificación facial para garantizar que cada cuenta de redes sociales corresponda a una persona real. Si bien plantea cuestiones relacionadas con la privacidad, subraya la seriedad con la que los gobiernos se toman la amenaza de la difusión de deepfakes a través de las plataformas de telecomunicaciones e Internet.

Por último, las propias empresas de telecomunicaciones están reforzando la seguridad en las interacciones con los clientes. Algunos operadores están explorando la verificación biométrica por voz para las llamadas al servicio de atención al cliente con el fin de evitar la suplantación de identidad. A medida que mejoran las herramientas de detección de deepfakes, los centros de llamadas pueden implementar inteligencia artificial que señale si la voz o el vídeo de la persona que llama son probablemente sintéticos. En resumen, las telecomunicaciones en el sudeste asiático son tanto un objetivo del fraude de identidad (a través de SIM/cuentas fraudulentas) como un conducto para las estafas con deepfakes. La respuesta del sector, desde el registro biométrico de SIM en Indonesia hasta los debates regionales sobre el uso de Internet vinculado a la identidad, desempeñará un papel clave en la reducción del alcance de estos fraudes.

Respuestas normativas en el sudeste asiático

En todo el sudeste asiático, los reguladores se enfrentan cada vez más a la realidad de que el fraude de identidad ha entrado en una nueva fase. El auge de los deepfakes y las identidades generadas por IA ha puesto de manifiesto las debilidades estructurales de los modelos de incorporación digital, que fueron diseñados para un panorama de amenazas muy diferente. Como resultado, las respuestas normativas en toda la región han comenzado a pasar de centrarse principalmente en el acceso y la inclusión a reforzar la confianza, la garantía y la responsabilidad en los sistemas de identidad digital.

Aunque el ritmo y la forma de las medidas reguladoras varían según el país, se está perfilando una tendencia común. Las autoridades están endureciendo los requisitos electrónicos de KYC, elevando las expectativas en torno a la verificación biométrica y reevaluando la idoneidad de las comprobaciones de identidad a distancia que se basan en documentos estáticos o en la comparación facial básica.

EnMalasia, este cambio es visible en la evolución del marco eKYC del Banco Negara Malaysia. El regulador ha dejado claro que la incorporación remota debe estar respaldada por múltiples capas de verificación, incluidas comprobaciones de integridad de documentos, coincidencia biométrica y controles de vitalidad eficaces. Es importante destacar que la responsabilidad de estos marcos se traslada al nivel del consejo de administración, lo que indica que el riesgo de la identidad digital ya no se considera una cuestión puramente operativa, sino que tiene implicaciones en materia de gobernanza y supervisión.

Tailandiaha adoptado un enfoque igualmente pragmático. Los reguladores permiten la incorporación remota, pero exigen medidas de seguridad adicionales cuando no hay presencia física. La verificación biométrica se complementa con una validación de documentos más rigurosa y una diligencia debida reforzada, especialmente para los clientes de mayor riesgo. Estas medidas reflejan el reconocimiento de que la garantía de identidad debe aumentar a medida que la incorporación se vuelve más digital y menos personal. 

EnIndonesia, la respuesta regulatoria ha estado determinada tanto por la escala como por la complejidad. Con una de las poblaciones más grandes del mundo y una economía digital en rápida expansión, los reguladores han tratado de reforzar la verificación de la identidad sin dejar de tener en cuenta la privacidad y la proporcionalidad. Se espera que las instituciones financieras integren los procesos electrónicos de KYC con la base de datos nacional de población, al tiempo que mantengan un sistema de supervisión de las transacciones capaz de detectar el uso indebido de la identidad y las actividades de los muleros. 

Al mismo tiempo, la Ley de Protección de Datos Personales de Indonesia ha introducido restricciones claras en torno a la recopilación y el uso de datos biométricos, clasificándolos como información personal sensible. Esto ha influido en la forma en que los reguladores abordan iniciativas como el registro biométrico de tarjetas SIM o la verificación facial para los servicios digitales. La postura reguladora no es contraria a la biometría, sino cautelosa: se fomenta un control más estricto de la identidad, siempre que tenga base legal, sea transparente y esté sujeto a las garantías adecuadas.

Vietnamdestaca por la firmeza de sus recientes medidas reguladoras. Ante el fuerte aumento de los fraudes relacionados con la identidad, las autoridades vietnamitas han integrado la verificación biométrica de forma más profunda en el marco regulador. Las modificaciones de las leyes contra el blanqueo de capitales y bancarias han reforzado las obligaciones de diligencia debida con respecto a los clientes, mientras que el banco central ha tomado medidas para exigir la autenticación biométrica en determinadas transacciones digitales. 

En particular, Vietnam ha anunciado que la verificación de identidad biométrica será obligatoria para todas las aperturas de cuentas bancarias y tarjetas de pago a partir de 2026. Esto supone una clara decisión política: el crecimiento de la banca digital debe basarse en una verificación de identidad más segura, a menudo vinculada a la infraestructura de identidad nacional. Aunque Vietnam aún no cuenta con una legislación específica sobre los deepfakes, los reguladores se han mostrado dispuestos a utilizar las leyes vigentes en materia de fraude, ciberseguridad y protección de datos para hacer frente a los abusos propiciados por la IA, con el apoyo de iniciativas de sensibilización pública.

Más allá de las jurisdicciones individuales, los reguladores de todo el sudeste asiático son cada vez más conscientes de que el fraude de identidad no respeta las fronteras sectoriales o nacionales. La banca, la tecnología financiera, las telecomunicaciones y las plataformas digitales forman ahora parte del mismo ecosistema de riesgos. El fraude que se bloquea en un canal a menudo se desplaza a otro. Esto ha suscitado una mayor atención a la coordinación intersectorial y al intercambio de información, especialmente en los casos en que se cruzan el uso indebido de tarjetas SIM, la ingeniería social y los pagos digitales.

También existe un creciente interés por la evolución de la normativa internacional. Las autoridades de la región observan con atención las medidas introducidas en otros lugares, como los requisitos de etiquetar el contenido generado por IA, la tipificación explícita como delito del uso malicioso de deepfakes y las directrices de supervisión centradas en proteger los canales digitales de los ataques de identidad sintética. En algunos mercados, los reguladores ya han comenzado a emitir avisos específicos a las instituciones financieras, instándolas a aumentar el escrutinio de los fallos de autenticación biométrica y a reforzar los procesos de escalado para los eventos de identidad sospechosos.

En conjunto, estos avances apuntan a una clara dirección normativa. Se espera que los sistemas de identidad digital ofrezcan una mayor garantía, no solo una mayor comodidad. La verificación biométrica se considera cada vez más como un control básico, pero que debe estar respaldado por la detección de vida, comprobaciones ambientales y de dispositivos, y una supervisión continua. Al mismo tiempo, los reguladores siguen siendo conscientes de la privacidad, la protección de datos y la proporcionalidad, y tratan de garantizar que los controles más estrictos no socaven la confianza del público.

Los reguladores del sudeste asiático están recalibrando activamente sus marcos normativos para reflejar la realidad del fraude de identidad facilitado por la IA. El énfasis ya no se centra en si se puede confiar en la identidad digital, sino en cómo se gana, se mantiene y se hace cumplir esa confianza a medida que las economías digitales siguen creciendo.

Soluciones tecnológicas y el camino a seguir

A medida que los estafadores se arman con IA, las empresas y los proveedores de soluciones están respondiendo de la misma manera, implementando tecnologías avanzadas para detectar falsificaciones y verificar identidades con mayor seguridad.

Una defensa clave es la detección de vitalidad: técnicas para confirmar que hay una persona real y viva frente a la cámara durante una verificación biométrica, y no un deepfake o una grabación. Empresas como Oz Forensics han sido pioneras en soluciones de detección de autenticidad y deepfakes basadas en IA, que pueden integrarse en los flujos de trabajo de incorporación de bancos y empresas fintech. Por ejemplo, «Oz Liveness» de Oz Forensics utiliza algoritmos sofisticados para detectar signos de suplantación en una transmisión de vídeo, desde patrones de parpadeo poco naturales hasta discrepancias en el reflejo de la luz en la piel, todo ello en cuestión de segundos durante la captura de una selfie. A principios de 2025, Oz Forensics incluso lanzó su detección de autenticidad como un servicio SaaS basado en la nube en Indonesia, lo que pone de relieve la demanda de las empresas indonesias de reforzar rápidamente sus defensas contra los deepfakes y los ataques de presentación.

Con este servicio, una aplicación fintech en Yakarta puede, por ejemplo, verificar que la selfie de un nuevo usuario es realmente «real» (no una foto robada o un avatar de IA) simplemente llamando a la API de Oz, sin necesidad de hardware complejo, ya que aprovecha las cámaras estándar de los teléfonos inteligentes y la IA en la nube.

Otro avance importante es la detección de ataques por inyección (IAD), que básicamente consiste en detectar cuando un estafador intenta «inyectar» un vídeo o una imagen falsos en el sistema de verificación. En lugar de fijarse únicamente en los rasgos biométricos, las técnicas de IAD supervisan el entorno del software y el hardware: ¿el vídeo procede de una cámara real o de un controlador de cámara virtual? ¿Es posible que el dispositivo esté rooteado o ejecutando un emulador para introducir medios sintéticos? Estos son signos reveladores de intentos de deepfake o impulsados por bots.

Pruebas independientes han demostrado la eficacia de la tecnología IAD de Oz Forensics en este ámbito. En 2025, BixeLab (un prestigioso laboratorio de pruebas biométricas) evaluó el sistema de Oz Forensics mediante una serie de simulaciones de ataques, desde fotos estáticas y máscaras hasta vídeos pregrabados y vídeos deepfake generados por IA, y descubrió que la solución de Oz bloqueaba el 100 % de los ataques de inyección, con una tasa de falsos positivos del 0 %. En otras palabras, ninguna de las fuentes falsas, incluidos los deepfakes e incluso las ingeniosas imágenes de «transformación facial», engañó al sistema. Este nivel de rendimiento, confirmado según las nuevas normas ISO para la lucha contra la suplantación biométrica, da una idea de cómo la tecnología puede ir un paso por delante. Al detectar el método de entrega de una falsificación (por ejemplo, una cámara virtual o una fuente de red anómala), el IAD actúa como un potente complemento del análisis visual. Esto significa que, incluso si un rostro generado por IA parece increíblemente real, el acto de inyectarlo en una sesión de verificación puede ser detectado y detenido.

Más allá de la verificación en vivo y el IAD, un arsenal antifraude completo incluye el análisis forense de documentos (para detectar tarjetas de identidad y pasaportes falsificados o manipulados) y verificaciones cruzadas de bases de datos. Por ejemplo, la selfie de un usuario puede compararse no solo con la foto de su documento de identidad, sino también, cuando sea posible, con una fuente gubernamental fiable. Muchos servicios indonesios consultan ahora la Dukcapil (base de datos de población) para verificar que el rostro y el número de identificación coinciden con los de un ciudadano real. Oz Forensics y otros proveedores similares ofrecen una verificación automatizada de documentos de identidad que puede detectar si un documento ha sido manipulado (por ejemplo, si se ha editado el texto o se ha sustituido la foto).

También proporcionan comparación biométrica facial a gran escala (1:1 para confirmar la identidad de una persona, o 1:N para garantizar que la misma cara no reutiliza múltiples identidades). Estas tecnologías ayudan a combatir el fraude de identidad sintética, en el que se combinan datos reales y falsos, un problema creciente que también se ha señalado en informes recientes sobre fraude.

Es fundamental no olvidar el factor humano. La formación y la concienciación son elementos clave de la solución. Las empresas están formando a sus equipos de cumplimiento normativo para que reconozcan los indicios de contenido deepfake (por ejemplo, movimientos faciales extraños o distorsiones cuando cambia la calidad del vídeo) y realicen revisiones manuales de los casos sospechosos. Los gobiernos y los bancos de la región también han llevado a cabo campañas de concienciación pública. La policía tailandesa ha explicado públicamente en qué consisten las estafas telefónicas deepfake para advertir a los ciudadanos, y los bancos de Vietnam envían regularmente avisos a sus clientes para que verifiquen cualquier llamada extraña que supuestamente provenga del banco. El objetivo es vacunar al público contra la ingeniería social, de modo que, incluso si un estafador utiliza un deepfake convincente, la víctima sepa que debe verificar la información a través de los canales oficiales.

De cara al futuro, la lucha contra el fraude de identidad en el sudeste asiático probablemente se convertirá en una contienda de alto riesgo entre «IA contra IA». Por un lado, los delincuentes utilizarán una IA generativa cada vez más avanzada para crear identidades falsas; por otro, las instituciones financieras y los proveedores de tecnología desplegarán la IA para detectar anomalías y verificar la legitimidad. La colaboración será fundamental. Los actores del sector, como Oz Forensics, las empresas internacionales de ciberseguridad y los reguladores locales, deben compartir información sobre los últimos métodos de ataque y establecer normas de forma conjunta. De hecho, como señalan los expertos, es fundamental contar con «normativas y directrices políticas sólidas» en torno al uso de la IA.

Estos marcos garantizarían un uso responsable de la IA y establecerían consecuencias legales para el uso malintencionado de deepfakes. Es alentador observar que existe un mayor diálogo entre las empresas y los reguladores de la ASEAN sobre esta cuestión, con el objetivo de armonizar la innovación con el cumplimiento normativo.

Las economías digitales del sudeste asiático se encuentran en una encrucijada. Las mismas tecnologías que prometen eficiencia e inclusión —identificaciones digitales, biometría facial, automatización mediante inteligencia artificial— están siendo utilizadas por personas malintencionadas para cometer fraudes a una escala sin precedentes. Sin embargo, como hemos visto, la región no se queda de brazos cruzados ante este desafío. Indonesia, Vietnam y sus vecinos están reforzando activamente sus defensas mediante regulaciones más estrictas y soluciones tecnológicas de vanguardia.

Al invertir en herramientas probadas, como la detección de autenticidad contra el deepfake, aplicar leyes más estrictas de verificación de identidad y fomentar la concienciación pública, están empezando a cambiar el rumbo. La batalla no es nada fácil, ya que las técnicas de deepfake y fraude de identidad siguen evolucionando. Sin embargo, con vigilancia e innovación, el sudeste asiático puede lograr un equilibrio en el que la confianza y la seguridad digitales crezcan al mismo ritmo que la transformación digital. La lección para el mundo también es clara: ante la amenaza del fraude impulsado por el deepfake, las medidas proactivas como las que se están aplicando actualmente en los sectores bancario, fintech y de telecomunicaciones del sudeste asiático serán esenciales para proteger a los consumidores y la integridad de nuestra economía conectada.

Referencias

1. Natnicha Surasit. «Réplicas fraudulentas: explotación delictiva de deepfakes en el sudeste asiático». Global Initiative, 29 de febrero de 2024.

2. Harvey Kong. «"Todo el mundo parecía real": la oficina de Hong Kong de una multinacional pierde 200 millones de dólares hongkoneses tras una reunión virtual falsa organizada por estafadores». South China Morning Post, 4 de febrero de 2024.

3. Siriwat Deephor. Advertencia de la policía tailandesa sobre las videollamadas deepfake, publicado en The Nation Thailand, 29 de abril de 2022.

4. Equipo Feedzai. «Más allá del rostro: por qué los bancos de Vietnam necesitan la biometría conductual para combatir la creciente ola de fraudes». Blog de Feedzai, 2 de agosto de 2024.

5. Sumsub. «Informe sobre fraude de identidad 2023: los incidentes de deepfakes en la región APAC aumentan un 1530 %». Comunicado de prensa a través de PR Newswire, 28 de noviembre de 2023.

6. Lu-Hai Liang. «Oz Forensics lanza su detección de vida SaaS en Indonesia». Biometric Update, 8 de enero de 2025.

7. Chris Burt. «La prueba de BixeLab demuestra que el IAD biométrico de Oz Forensics protege contra el fraude deepfake». Biometric Update, 23 de septiembre de 2025.

8. Bureau.id. «Navegando por el complejo mundo del KYC en 2025: Sudeste Asiático». Blog de Bureau, 2025.

9. Cass Kennedy. «El Gobierno indonesio estudia el uso del escaneo facial para verificar a los usuarios de redes sociales». ID Tech, 19 de septiembre de 2025.

10. Equipo editorial de ID Tech. «Indonesia prueba el reconocimiento facial para el registro de tarjetas SIM con el fin de frenar las estafas». ID Tech, 14 de octubre de 2025.

11. BiometricUpdate.com. «Vietnam tiene grandes ambiciones en materia de digitalización y biometría para 2026». Biometric Update, 12 de diciembre de 2025. 

Bibliografía

· Réplicas fraudulentas: explotación delictiva de deepfakes en el sudeste asiático | Global Initiative (https://globalinitiative.net/analysis/deepfakes-ai-cyber-scam-south-east-asia-organized-crime/)

· «Todo el mundo parecía real»: la oficina de Hong Kong de una empresa multinacional pierde 200 millones de dólares hongkoneses tras una reunión virtual falsa organizada por estafadores | South China Morning Post ( https://www.scmp.com/news/hong-kong/law-and-crime/article/3250851/everyone-looked-real-multinational-firms-hong-kong-office-loses-hk200-million-after-scammers-stage?campaign=3250851&module=perpetual_scroll_0&pgtype=article )

· No caiga en la trampa de las videollamadas «deepfake» de los estafadores: policía ( https://www.nationthailand.com/in-focus/40015069)

· Por qué los bancos vietnamitas necesitan la biometría conductual | Feedzai (https://www.feedzai.com/blog/beyond-the-face-why-vietnams-banks-need-behavioral-biometrics-to-fight-the-rising-tide-of-fraud/)

· Los incidentes de deepfakes en Asia-Pacífico aumentaron un 1530 % en el último año en medio de un panorama global de fraude en constante evolución (https://www.prnewswire.com/apac/news-releases/apac-deepfake-incidents-surge-1530-in-the-past-year-amidst-evolving-global-fraud-landscape-301999070.html)