Candidatos Deepfake: Cómo la IA Impulsa una Nueva Ola de Fraude en la Contratación (ES)

Se necesitan 70 minutos. Ese es el tiempo que tarda alguien sin experiencia técnica en crear un candidato deepfake convincente, completo con una cara sintética, una voz clonada y un historial profesional fabricado. Según HR Dive, todo el proceso, desde descargar herramientas de código abierto hasta ejecutar un intercambio facial en tiempo real en una videollamada, se puede completar en poco más de una hora.

Esta no es una amenaza teórica. Está sucediendo ahora mismo, a gran escala, y la mayoría de los equipos de contratación no están preparados para detectarlo.

La magnitud del problema

Las cifras pintan un panorama alarmante. El 50% de las empresas informa haber encontrado ya fraudes deepfake impulsados por IA, según CBS News. Por parte de los candidatos, el 39% de los solicitantes de empleo utilizó IA durante su proceso de solicitud en 2024 (Gartner 4T24) y el 28% de los candidatos admiten haber utilizado IA para crear muestras de trabajo falsas (Informe sobre fraude de candidatos de Greenhouse 2025).

Pero usar ChatGPT para pulir una carta de presentación es una cosa. Presentarse a una entrevista por video como una persona completamente diferente, con una cara sintética superpuesta a la suya en tiempo real, es algo totalmente distinto. Ese es el límite que hemos cruzado.

Quizás lo más revelador: el 62% de los profesionales de contratación cree ahora que los solicitantes de empleo son mejores falsificando competencia con IA que los equipos de RR. HH. para detectarlo. La asimetría es el problema. Las herramientas deepfake están mejorando más rápido de lo que el ojo humano puede seguir el ritmo.

Cómo funciona la tecnología deepfake en el fraude de contratación

El manual de juego de contratación deepfake suele implicar tres capas de engaño, cada una impulsada por herramientas de IA cada vez más accesibles.

Construcción de identidad sintética

El primer paso es crear un candidato que no existe. Las redes generativas adversarias (GAN) producen fotos de cabeza fotorrealistas que superan las búsquedas inversas de imágenes. Los modelos de lenguaje grandes generan currículums, cartas de presentación e incluso portafolios de código pulidos adaptados a descripciones de trabajo específicas. Los perfiles de LinkedIn se fabrican con redes de conexiones sintéticas. El "candidato" tiene una huella digital que parece legítima a una inspección casual.

Intercambio facial en tiempo real en videollamadas

Aquí es donde la tecnología se vuelve peligrosa. Herramientas como DeepFaceLive, FaceFusion y alternativas patentadas pueden superponer una cara sintética a una transmisión de video en vivo en tiempo real. La latencia es lo suficientemente baja como para que la salida parezca natural en plataformas como Zoom, Google Meet y Microsoft Teams.

En junio de 2025, Pindrop demostró exactamente lo fácil que es esto. Durante una demostración en vivo para periodistas, su equipo transformó la cara de un periodista en tiempo real durante una llamada de Zoom; el intercambio fue lo suficientemente fluido como para pasar desapercibido en una configuración de entrevista típica. Las expresiones, los movimientos de cabeza y la sincronización labial del periodista se asignaron de manera convincente a la cara sintética.

La técnica subyacente se basa en la detección de puntos de referencia faciales, el mapeo de mallas y el renderizado neuronal. Una cara de origen se descompone en un conjunto de puntos clave (ojos, nariz, boca, mandíbula) y una textura de cara de destino se renderiza sobre esos puntos de referencia fotograma por fotograma. Las implementaciones modernas funcionan a 30+ fotogramas por segundo en GPU de nivel de consumidor.

Clonación de voz y síntesis de voz

Unos pocos segundos de audio son suficientes. Los modelos de clonación de voz como los de ElevenLabs, Resemble AI y alternativas de código abierto pueden producir un habla sintética que coincide con el tono, el ritmo y el acento de una voz de destino. Combinado con el intercambio facial en tiempo real, esto permite una "entrevista por proxy" donde la persona que responde a las preguntas no es la persona que solicitó el trabajo.

La voz ni siquiera necesita ser clonada de la persona real. Los estafadores pueden generar voces completamente sintéticas que simplemente suenen profesionales y consistentes. El objetivo no es una replicación perfecta, sino una negación plausible.

El problema de la entrevista por proxy, amplificado

Las entrevistas por proxy no son nuevas. Los candidatos han estado pagando a otros para que entrevisten en su nombre durante años, especialmente en roles técnicos donde los exámenes de codificación pueden ser completados por un sustituto más capacitado. Lo que la IA ha cambiado es la barrera de entrada y la sofisticación del engaño.

Antes de los deepfakes, las entrevistas por proxy requerían que el sustituto se pareciera físicamente al candidato o que explotara llamadas solo con audio. Ahora, el sustituto puede parecer y sonar como cualquiera. Un solo "entrenador de entrevistas" puede atender a docenas de candidatos falsos simultáneamente, intercambiando caras sobre la marcha.

La economía es sencilla. Un servicio de proxy cobra unos pocos miles de dólares. Si el candidato falso consigue un puesto remoto de seis cifras y cobra su sueldo durante unos meses antes de ser detectado, el ROI es enorme, para el estafador.

El caso de KnowBe4: Cuando un Estado-nación juega el juego

El ejemplo más escalofriante hasta la fecha involucra a KnowBe4, la empresa de capacitación en concienciación sobre ciberseguridad. En 2024, KnowBe4 contrató a lo que creía que era un ingeniero de software legítimo. El candidato aprobó múltiples entrevistas por video, verificaciones de antecedentes y referencias.

El "candidato" era en realidad un operativo norcoreano. Había utilizado una foto de stock mejorada con IA superpuesta con características faciales reales para aprobar el cribado de video. La identidad fabricada incluía información personal robada de un ciudadano estadounidense real, combinada con la capa visual sintética.

KnowBe4 solo descubrió el fraude cuando la computadora portátil de la empresa recién emitida intentó instalar malware en la red corporativa. El operativo nunca tuvo la intención de hacer el trabajo; el objetivo era la infiltración de la red.

Lo que hace que este caso sea crítico es que KnowBe4 es una empresa de seguridad. Se dedican a detectar la ingeniería social. Si su proceso de contratación fue engañado, todas las empresas deberían suponer que la suya es vulnerable.

El incidente de KnowBe4 no fue una operación aislada de un Estado-nación. Representa un manual de juego que ahora está disponible para cualquiera con conocimientos técnicos básicos y las herramientas de código abierto adecuadas.

Por qué los métodos de detección tradicionales fallan

Los equipos de contratación han intentado varias contramedidas y la mayoría están fallando.

El ojo humano no es suficiente

El 51% de los gerentes de contratación está de acuerdo en que la IA ha dificultado la confianza en las entrevistas virtuales. Los artefactos visuales que hacían que los deepfakes tempranos fueran detectables (texturas de piel inquietantes del valle inquietante, parpadeos alrededor de los bordes del cabello, iluminación desalineada) se han eliminado en gran medida en las herramientas de última generación. A la resolución y compresión típicas de las videollamadas (720p, velocidad de bits variable), los artefactos deepfake a menudo son indistinguibles del ruido de compresión de video normal.

Las verificaciones de antecedentes no detectan identidades sintéticas

Las verificaciones de antecedentes tradicionales verifican que una persona real existe con el nombre, la dirección y el historial laboral declarados. No verifican que la persona en la videollamada sea esa persona. Una identidad sintética construida con PII robada pasará una verificación de antecedentes sin problemas, exactamente como lo hizo en el caso de KnowBe4.

Las comprobaciones de referencias se manipulan fácilmente

Las referencias pueden ser fabricadas, subcontratadas a cómplices o incluso generadas por agentes de voz de IA que responden al teléfono y brindan testimonios preescritos. Todo el proceso de verificación de referencias asume una participación de buena fe, lo cual es precisamente lo que explotan las operaciones fraudulentas.

Las evaluaciones técnicas no verifican la identidad

Los desafíos de codificación, las tareas para llevar a casa y las pruebas técnicas en vivo verifican que alguien puede hacer el trabajo. No verifican que la persona que hace el trabajo sea la persona que aparecerá el primer día. En el modelo de entrevista por proxy, la evaluación técnica la completa el sustituto capacitado y el "empleado" real se basa en guiones preconstruidos y asistentes de IA.

El regreso a la oficina para las entrevistas

Ante el problema de los deepfakes, algunas de las empresas más grandes del mundo han adoptado el enfoque más directo posible: exigir que los candidatos se presenten en persona.

A mediados de 2025, tanto Google como McKinsey reintrodujeron las entrevistas en persona obligatorias para puestos clave, según el Wall Street Journal. No están solos: el 72% de las empresas informa que está luchando contra el fraude de candidatos impulsado por IA al exigir entrevistas en persona en alguna etapa del proceso de contratación.

La lógica es simple. Es muy difícil hacer un deepfake de alguien cuando está sentado frente a usted. La presencia física es la comprobación de vividez definitiva.

Por qué en persona no es una solución escalable

Pero este enfoque tiene limitaciones importantes.

Exclusión geográfica. Exigir que los candidatos vuelen a una oficina para una entrevista restringe inmediatamente el grupo de talento. Las empresas que han construido su marca de empleador sobre la contratación remota primero están diciendo ahora a los candidatos que deben presentarse en persona, a veces a través de zonas horarias o fronteras internacionales. Esto excluye de manera desproporcionada a los candidatos de los mercados emergentes, los candidatos con discapacidades y aquellos que no pueden pagar los viajes por especulación.

Costo y velocidad. Las entrevistas en persona añaden días o semanas al cronograma de contratación y miles de dólares en reembolso de viaje por candidato. Para los roles de alto volumen, las matemáticas no funcionan.

Solo resuelve un paso. Incluso si la entrevista es en persona, el onboarding, la autenticación continua y la verificación del trabajo diario siguen siendo remotos. Un estafador decidido podría enviar a una persona real a la entrevista en persona y luego sustituir a un proxy por el trabajo remoto real.

El mandato en persona es un instrumento contundente. Aborda el síntoma: las videollamadas deepfake: sin resolver el problema subyacente: no existe un vínculo criptográfico entre la persona que entrevista y la persona que trabaja.

Cómo la detección de vividez biométrica derrota los deepfakes

La contra-tecnología a los candidatos deepfake no es obligar a todos a una sala de conferencias. Es la detección de vividez biométrica, la misma tecnología utilizada en los servicios financieros para prevenir el fraude de identidad a escala.

Análisis de vividez pasiva

La detección de vividez moderna no requiere que el usuario realice ninguna acción específica. Los sistemas de vividez pasiva analizan señales biológicas involuntarias que los deepfakes no pueden replicar: patrones naturales de parpadeo, microexpresiones, textura de la piel a nivel subpíxel, patrones de flujo sanguíneo visibles a través de cambios en el color de la piel (fotopletismografía remota) y el perfil de profundidad 3D de una cara real versus un renderizado plano.

Estas señales son analizadas por redes neuronales entrenadas en millones de muestras de caras reales y sintéticas. Los sistemas actuales, como los certificados con los estándares iBeta Level 1, logran una precisión del 99,9% en la distinción entre caras reales y deepfakes, fotografías impresas, repeticiones de pantalla y máscaras 3D.

La ventaja crítica es que la vividez pasiva es invisible para el usuario. No hay nada que manipular porque el candidato no sabe exactamente lo que se está midiendo.

Vividez activa con desafíos aleatorios

Para escenarios de mayor seguridad, la vividez activa añade acciones aleatorias del usuario: gire la cabeza hacia la izquierda, parpadee dos veces, sonría. Debido a que los desafíos se generan aleatoriamente en el momento de la comprobación, los ataques pregrabados fallan. Un deepfake en funcionamiento en tiempo real tendría que traducir la instrucción aleatoria al movimiento facial correcto con latencia cero y fidelidad perfecta, un desafío que los modelos de intercambio facial actuales no pueden cumplir de manera confiable.

Coincidencia facial 1:1 con el documento de identidad gubernamental

La aplicación más potente para la contratación es Face Match: comparar los datos biométricos de la persona en la videollamada con un documento de identidad gubernamental verificado. El sistema extrae una incrustación facial, una representación matemática de 512 dimensiones de la geometría facial, tanto de la captura en vivo como de la foto del documento de identidad, y luego calcula una puntuación de similitud.

Esto crea el vínculo criptográfico que falta en la contratación tradicional. La persona que verifica su identidad es, de manera comprobable, la misma persona que aparece en la entrevista y, lo que es más importante, la misma persona que inicia sesión el primer día.

Por qué los deepfakes no pueden vencer la detección de vividez biométrica

Los intercambios de cara deepfake operan a nivel de píxel: manipulan la apariencia visual de una cara. La vividez biométrica opera a nivel de señal: analiza la profundidad, la textura, el movimiento y las respuestas biológicas involuntarias que existen debajo de la superficie de los píxeles.

Un deepfake puede parecer una cara real. No puede replicar el patrón de flujo sanguíneo subcutáneo de una cara real. No puede generar el perfil de reflectancia infrarroja correcto. No puede generar los patrones de temblor micro de los músculos faciales reales. Estas son las señales que captura la detección de vividez y representan una capa diferente de realidad a la que los modelos deepfake están entrenados para reproducir.

Construyendo un proceso de contratación a prueba de deepfakes

La solución no es una sola herramienta, es una arquitectura de verificación en capas que hace que el fraude deepfake no sea económicamente viable.

Paso 1: Verificación de identidad en la solicitud

Antes de que un candidato entre en la línea de entrevistas, verifique su identidad con un documento de identidad gubernamental con vividez biométrica. Esto establece un ancla de identidad verificada. Plataformas como Didit ofrecen esto a $0.20 por verificación de vividez con coincidencia facial, una fracción de los $30-100 que cobran los proveedores de verificación de antecedentes tradicionales por una verificación mucho menos concluyente.

Paso 2: Re-verificación biométrica en la entrevista

Al comienzo de cada entrevista por video, el candidato realiza una breve verificación de vividez que se compara con su identidad verificada del Paso 1. Esto confirma que la persona en la llamada es la persona que fue verificada. Si alguien ha sustituido un proxy con una superposición deepfake, la falta de coincidencia biométrica se marcará inmediatamente.

Paso 3: Autenticación continua durante el onboarding

El primer día, el nuevo empleado realiza otra verificación biométrica. Su incrustación facial se compara con la misma ancla de identidad verificada. Esto cierra el ciclo que las entrevistas en persona no pueden: garantizar la continuidad de la identidad desde la solicitud hasta el empleo.

Paso 4: Escalada basada en el riesgo

No todos los roles requieren el mismo nivel de seguridad. Un representante de servicio al cliente en un entorno monitoreado conlleva un riesgo diferente al de un ingeniero de software remoto con acceso a sistemas de producción. La intensidad de la verificación debe escalarse con el perfil de riesgo: vividez pasiva para roles estándar, vividez activa con verificación de documentos para posiciones de alta confianza.

La economía de la prevención

El cálculo económico es claro. Una contratación fraudulenta en un puesto técnico puede causar cientos de miles de dólares en daños, a través del robo directo de salarios, la exposición de la propiedad intelectual, el compromiso de la red (como en el caso de KnowBe4) o simplemente el costo de la recontratación después de que se descubre el fraude.

La verificación de identidad biométrica en el punto de contratación cuesta una fracción de dólar por candidato. El retorno de la inversión no se mide en ganancias de eficiencia: se mide en pérdidas catastróficas evitadas.

Las empresas que están retrocediendo a las entrevistas en persona obligatorias están gastando miles de dólares por candidato para resolver un problema que la tecnología biométrica puede abordar por menos de un dólar. La brecha entre esos dos enfoques solo se ampliará a medida que la herramienta deepfake continúe mejorando y el volumen de solicitudes fraudulentas aumente.

Qué sigue

El problema de los candidatos deepfake empeorará antes de mejorar. Las herramientas son cada vez más accesibles, la calidad de la salida está mejorando con cada generación de modelos y los incentivos financieros para el fraude están creciendo a medida que aumentan las compensaciones laborales remotas.

La industria de contratación tiene una ventana estrecha para adoptar la verificación biométrica antes de que el fraude habilitado para deepfake se convierta en el valor predeterminado en lugar de la excepción. La tecnología para derrotar a los candidatos deepfake existe hoy: vividez pasiva, desafíos activos, coincidencia facial con documentos verificados, incrustaciones faciales de 512 dimensiones que ningún deepfake puede replicar.

La pregunta no es si las empresas adoptarán la verificación de identidad biométrica en su proceso de contratación. Es si lo harán antes o después de su propio momento KnowBe4.