Saltar al contenido principal
Didit recauda $2M y se une a Y Combinator (W26)
Didit
Protección contra la toma de control de cuentas

Detenga la toma de control de cuentas con una verificación facial. Aumente la seguridad en el momento en que el riesgo se dispare.

Una autenticación biométrica escalonada en los momentos exactos en que los atacantes atacan: transferencias, restablecimiento de contraseñas, inicios de sesión en nuevos dispositivos. Veredicto en menos de dos segundos, alrededor de $0.13 por evento. 500 verificaciones gratuitas cada mes.

Empezar gratisLeer la documentación
Respaldado por
Y Combinator
GBTC Finance
Bondex
Crnogorski Telekom
UCSF Neuroscape
Shiply
Adelantos

Con la confianza de más de 2.000 organizaciones en todo el mundo.

Una pila abstracta oscura de toma de control de cuentas: cuatro paneles translúcidos flotantes de vidrio oscuro en perspectiva 3D sobre negro puro, atravesados por una línea vertical luminosa Didit Blue y enmarcados por cuatro soportes de escáner brillantes. Cada panel lleva un pequeño motivo abstracto de color blanco pálido de la receta de autenticación escalonada.

Cómo atacan los atacantes

Contraseñas robadas. Sesiones robadas. Elija una cara en su lugar.

Los ataques de relleno de credenciales, intercambio de SIM y cookies de sesión robadas pasan por alto contraseñas y códigos de un solo uso. Cámbielos por una autenticación escalonada de Didit en el momento de la acción: $0.10 por llamada, veredicto en menos de dos segundos, 500 gratis cada mes.

Cómo funciona

Desde el registro hasta el usuario verificado en cuatro pasos.

  1. Paso 01

    Crear el flujo de trabajo

    Elija las verificaciones que desee: identificación, prueba de vida, coincidencia facial, sanciones, dirección, edad, teléfono, correo electrónico, preguntas personalizadas. Arrástrelas a un flujo en el panel de control, o publique el mismo flujo en nuestra API. Ramifique según las condiciones, ejecute pruebas A/B, no se requiere código.

  2. Paso 02

    Integrar

    Incorpore de forma nativa con nuestro SDK para Web, iOS, Android, React Native o Flutter. Redirija a una página alojada. O simplemente envíe a su usuario un enlace, por correo electrónico, SMS, WhatsApp, en cualquier lugar. Elija lo que se adapte a su pila.

  3. Paso 03

    El usuario pasa por el flujo

    Didit aloja la cámara, las señales de iluminación, la transferencia móvil y la accesibilidad. Mientras el usuario está en el flujo, puntuamos más de 200 señales de fraude en tiempo real y verificamos cada campo con fuentes de datos autorizadas. Resultado en menos de dos segundos.

  4. Paso 04

    Usted recibe los resultados

    Los webhooks firmados en tiempo real mantienen su base de datos sincronizada en el momento en que un usuario es aprobado, rechazado o enviado a revisión. Consulte la API bajo demanda. O abra la consola para inspeccionar cada sesión, cada señal y gestionar los casos a su manera.

Construido para la receta · Con precio de infraestructura

Seis capacidades. Un paso adicional. ~$0.13 por evento.

La defensa ATO es una composición, no una única verificación. Active cada capacidad por flujo de trabajo en el Creador de flujos de trabajo, o compóngalas en línea a través de la API.
Leer la documentaciónObtener una clave API
01 · Activador de paso adicional

Usted elige el momento. Didit realiza la verificación.

La política de paso adicional reside en el Creador de Flujos de Trabajo — transferencia de alto valor, restablecimiento de contraseña, pago a un nuevo destino, inicio de sesión en un nuevo dispositivo, anomalía geográfica. Pre-filtre con Análisis de Dispositivo e IP si solo desea la verificación facial cuando las señales de red parezcan riesgosas. No es necesario volver a implementar para cambiar las reglas.
Módulo de Orquestador de Flujos de Trabajo
02 · Paso adicional biométrico

Un paso adicional. Veredicto en menos de dos segundos.

El mismo motor biométrico que el usuario pasó al registrarse — Detección de Ataques de Presentación (PAD) iBeta Nivel 1 más coincidencia facial 1:1 con el retrato almacenado. $0.10 por sesión. Resistente al phishing y al intercambio de SIM. Menos de dos segundos de extremo a extremo en Android de nivel básico.
Módulo de Autenticación Biométrica
03 · Coincidencia facial 1:1 vs registro

El objetivo de comparación es el retrato almacenado del usuario.

La Coincidencia Facial 1:1 compara cada selfie de paso adicional con el retrato de registro almacenado del usuario. Devuelve una puntuación de similitud de 0 a 1.0 más advertencias; el umbral es ajustable por flujo de trabajo. Una selfie robada no puede pasar — el objetivo está bloqueado al registro original, no a una imagen recién capturada.
Módulo de Coincidencia Facial 1:1
04 · Defensa contra deepfakes

Impresión. Reproducción. Máscara. Deepfake. Todo bloqueado.

Probado independientemente en iBeta y certificado en Nivel 1 PAD contra el catálogo completo ISO/IEC 30107-3. Bloquea fotos impresas, reproducciones de pantalla, máscaras de papel/silicona/látex, ataques de morphing y deepfakes generados por IA del propietario de la cuenta. Re-evaluado cada año.
Módulo de Prueba de Vida
05 · Pre-verificación de IP + dispositivo

VPN, centro de datos, Tor — señalados antes de la verificación facial.

Puntúe la dirección IP (Protocolo de Internet) del usuario y la huella digital del dispositivo antes de que se active el paso adicional. Devuelve una puntuación de riesgo de 0 a 100 más indicadores de VPN, proxy, Tor, centro de datos, país y ASN. $0.03 por verificación, en menos de 100 ms. Omita el paso adicional en dispositivos de confianza + red de bajo riesgo.
Módulo de Análisis de Dispositivo e IP
06 · Decisión de webhook

Un webhook. Tres ramas. Hecho.

Un webhook firmado llega con el veredicto — Aprobado, Rechazado, En Revisión, No Terminado. Verifique X-Signature-V2 con HMAC SHA-256 antes de leer el cuerpo. Misma carga útil en cada paso adicional; ramifique la acción original en consecuencia. Más de 200 señales de fraude sin costo adicional.
Referencia de webhook
Integrar

Una sesión. Un webhook firmado. Tres ramas.

Abra la autenticación escalonada contra el flujo de trabajo biométrico. Lea el veredicto firmado. Ramifique la acción.
POST /v3/session/Paso adicional
$ curl -X POST https://verification.didit.me/v3/session/ \
  -H "x-api-key: $DIDIT_API_KEY" \
  -H "Content-Type: application/json" \
  -d '{
    "workflow_id": "wf_ato_step_up",
    "vendor_data": "user-42",
    "metadata": { "trigger": "high_value_transfer" },
    // base64 KYC enrolment selfie, ≤ 1MB
    "portrait_image": "/9j/4AAQSkZJRgABAQE..."
  }'
201Creado{ "session_url": "verify.didit.me/..." }
Bloquee la acción hasta que el webhook devuelva status: Approved.documentos →
POST /webhooks/diditVeredicto
// X-Signature-V2 verified upstream
if (carga útil.status === "Aprobado") {
  desbloquearAcción(carga útil.datos_proveedor);
} sino si (carga útil.status === "Rechazado") {
  registrarAdvertencias(carga útil.liveness.advertencias);
  bloquearYAlertar(carga útil.datos_proveedor);
}
200OKestado Aprobado · Rechazado · En revisión · No finalizado
Verifique X-Signature-V2 antes de leer la carga útil.documentos →
Integración lista para el agente

Implemente la defensa contra la toma de cuentas en una sola instrucción.

Pegue en Claude Code, Cursor, Codex, Devin, Aider o Replit Agent. Rellene su pila. El agente conecta el disparador, abre la sesión de elevación, verifica el webhook y ramifica la acción original.
didit-integration-prompt.md
You are integrating Didit account-takeover defence into an application that already has the user signed in. Your job: when a sensitive action fires (large transfer, password reset, payout to a new destination, new-device login, geo anomaly), gate it on a Didit biometric step-up. One API call. One signed webhook. Three branches.

WHY THIS SHAPE
  - Credential stuffing, SIM-swap, and stolen-session-cookie attacks all walk past passwords and SMS one-time codes. A face check at the moment of the sensitive action does not.
  - Didit runs Passive Liveness (the user is alive, present, not a deepfake) plus 1:1 Face Match against the portrait captured at sign-up. A stolen selfie cannot pass — the comparison target is locked to the original enrollment.
  - $0.10 per step-up (Biometric Authentication module) + $0.03 IP pre-check (optional) = around $0.13 per event. Sub-two-second verdict on entry-level Android. 500 verifications free every month.

PRE-REQUISITES
  - Production API key from https://business.didit.me (sandbox key in 60 seconds, no credit card).
  - A webhook endpoint with HMAC SHA-256 verification of the X-Signature-V2 header using your webhook secret.
 HMAC-SHA256 verification MUST run against the raw body bytes (the raw payload as Didit sent it) BEFORE any JSON parsing — re-serialising the parsed body changes whitespace and key order, which invalidates the signature.  - A Workflow Builder workflow that bundles Passive Liveness + Face Match 1:1 (with the user's stored sign-up portrait as the comparison target). Optionally compose Device & IP Analysis ahead of the step-up to pre-gate the check.
  - Persist the user's sign-up portrait — either base64 on your side, or rely on Didit's stored enrollment via vendor_data lookup.

STEP 1 — Decide WHEN to step up (your code, not Didit's)
  Run your usual fraud signals. Common triggers worth a biometric step-up:
    - Wire / crypto transfer above the user's daily limit
    - Password / email reset on a session less than 24h old
    - Payout to a bank account or wallet seen for the first time
    - Login from a new device or new country
    - Velocity anomaly — N actions of type T within window W

  Cheap pre-check (optional, ~100ms, $0.03):
    - Score the user's IP via Device & IP Analysis. If the IP is a residential trusted address with a low risk score AND the device fingerprint matches the user's trusted device, skip the step-up. Otherwise run Step 2.

STEP 2 — Create a biometric step-up session
  POST https://verification.didit.me/v3/session/
  Headers:
    x-api-key: <your api key>
    Content-Type: application/json
  Body:
    {
      "workflow_id": "<wf id bundling Passive Liveness + Face Match 1:1>",
      "vendor_data": "<your user id, max 256 chars>",
      "callback": "https://<your-app>/ato/step-up/callback",
      "metadata": {
        "trigger": "high_value_transfer",
        "action_id": "<your internal action reference>"
      },
      "portrait_image": "<base64 JPEG of the user's stored sign-up portrait, ≤ 1 MB — REQUIRED when the workflow has FACE_MATCH active; the step-up matches the new live selfie against this stored reference>"
    }

  Response: 201 Created with a hosted session URL. Redirect the user there inline (or open it in a webview / Didit mobile SDK). The action stays BLOCKED on your side until the signed webhook lands.

STEP 3 — Read the signed webhook on completion
  Didit POSTs the decision to your callback. Verify X-Signature-V2 (HMAC SHA-256 of the raw request body using your webhook secret) BEFORE reading the JSON.

  Payload (excerpted):
    {
      "session_id": "<uuid>",
      "vendor_data": "<your user id>",
      "status": "Approved",
      "liveness": { "status": "Approved" },
      "face":     { "status": "Approved", "similarity_score": 0.94 },
      "ip_analysis": { "status": "Approved", "score": 11 }
    }

  Session status enum (exact case, Title Case With Spaces): Approved | Declined | In Review | Resubmitted | Expired | Not Finished | Kyc Expired | Abandoned.

STEP 4 — Branch the original action on status
  Approved      → unblock the sensitive action. Log session_id + similarity score on the audit trail.
  In Review     → hold the action, route to a human review queue.
  Declined      → block the action, log liveness warnings (mask / deepfake / replay / morph), alert the user.
  Not Finished  → invite the user to retry with a fresh session URL.
  Expired       → resend the link; the original session has timed out.
  Abandoned     → the user closed the flow before completing; resend the link.

STEP 5 — (Optional) Pull the full decision payload
  GET https://verification.didit.me/v3/session/{session_id}/decision/
  Headers:
    x-api-key: <your api key>
  Returns the same payload as the webhook plus the structured signals (liveness warnings, face-match similarity, IP / device flags). Use for analyst review.

WEBHOOK EVENT NAMES
  - Sessions: standard session webhook (one endpoint, status field tells you where in the lifecycle).
  - Verify X-Signature-V2 (HMAC SHA-256) on every payload.

CONSTRAINTS
  - Session statuses use Title Case With Spaces (Approved, In Review). Never use UPPER_SNAKE_CASE for session verdicts — that's the Transactions API and lives in a different surface.
  - 1:1 face match's comparison target is the user's STORED sign-up portrait, not a freshly captured one. A stolen selfie cannot pass.
  - iBeta Level 1 Presentation Attack Detection (PAD) certified against the full ISO/IEC 30107-3 catalogue — print, replay, paper / silicone / latex mask, deepfake, morph.
  - The Workflow Builder is where you choose the modules in the step-up — change them in the console without redeploying.
  - 200+ fraud signals are surfaced on every session at no extra cost — read them off the decision payload, don't re-query.

Read the docs:
  - https://docs.didit.me/sessions-api/create-session
  - https://docs.didit.me/core-technology/biometric-auth/overview
  - https://docs.didit.me/core-technology/ip-analysis/overview
  - https://docs.didit.me/integration/webhooks

Start free at https://business.didit.me — sandbox key in 60 seconds, 500 verifications free every month, no credit card.
¿Necesita más contexto? Consulte la documentación completa del módulo.docs.didit.me →
Cumplimiento por diseño

Abre un nuevo país con un clic. Nosotros hacemos el trabajo duro.

Abrimos las filiales locales, aseguramos las licencias, realizamos las pruebas de penetración, obtenemos las certificaciones y nos alineamos con cada nueva regulación. Para enviar verificaciones en un nuevo país, activa un interruptor. Más de 220 países en vivo, auditados y probados trimestralmente — el único proveedor de identidad que un gobierno de un estado miembro de la UE ha calificado formalmente como más seguro que la verificación en persona.
Leer el dossier de seguridad y cumplimiento
Sandbox financiero de la UE
Tesoro · SEPBLAC · BdE
ISO/IEC 27001
Seguridad de la información · 2026
SOC 2 · Type I
AICPA · 2026
iBeta Level 1 PAD
NIST / NIAP · 2026
GDPR
EU 2016/679
DORA
EU 2022/2554
MiCA
EU 2023/1114
AMLD6 · eIDAS 2.0
Alineado con la UE por diseño

Números de prueba

Números de prueba
  • iBeta L1
    Detección de ataques de presentación certificada de forma independiente — reevaluada cada año.
  • <0s
    Veredicto de elevación de extremo a extremo en Android de nivel básico.
  • ~$0.13
    Por evento — $0.10 de elevación biométrica más $0.03 de pre-verificación de IP opcional.
  • 0
    Verificaciones gratuitas cada mes, en cada cuenta.
Tres niveles, una lista de precios

Empiece gratis. Pague por uso. Escale a Enterprise.

500 verificaciones gratuitas cada mes, para siempre. Pago por uso para producción. Contratos personalizados, residencia de datos y SLAs (Acuerdos de Nivel de Servicio) en Enterprise.
Gratis

Gratis

$0 / mes. No se requiere tarjeta de crédito.

  • Paquete KYC gratuito (Verificación de ID + Prueba de vida pasiva + Coincidencia facial + Análisis de dispositivo e IP) — 500 / mes, cada mes
  • Usuarios en lista negra
  • Detección de duplicados
  • Más de 200 señales de fraude en cada sesión
  • KYC reutilizable en la red Didit
  • Plataforma de gestión de casos
  • Constructor de flujos de trabajo
  • Documentos públicos, sandbox, SDKs, servidor MCP (Model Context Protocol)
  • Soporte comunitario
Empiece gratis
Más popular
Pago por uso

Basado en el uso

Pague solo por lo que usa. Más de 25 módulos. Precios públicos por módulo, sin tarifa mínima mensual.

  • KYC completo por $0.33 (ID + Biométrico + IP / Dispositivo)
  • Más de 10,000 conjuntos de datos AML — sanciones, PEPs, medios adversos
  • Más de 1,000 fuentes de datos gubernamentales para la Validación de Bases de Datos
  • Monitoreo de Transacciones por $0.02 por transacción
  • KYB en vivo por $2.00 por negocio
  • Análisis de Billetera por $0.15 por verificación
  • Flujo de verificación de marca blanca — su marca, nuestra infraestructura
Ver lista completa de preciosEmpezar gratis
Empresarial

Empresarial

MSA y SLA personalizados. Para grandes volúmenes y programas regulados.

  • Contratos anuales
  • MSA, DPA y SLA personalizados
  • Canal dedicado de Slack y WhatsApp
  • Revisores manuales bajo demanda
  • Términos de revendedor y marca blanca
  • Funciones exclusivas e integraciones con socios
  • CSM asignado, revisión de seguridad, soporte de cumplimiento
Hable con nosotros

Empiece gratis → pague solo cuando se ejecute una verificación → desbloquee Enterprise para un contrato personalizado, SLA o residencia de datos.

FAQ

Preguntas frecuentes

Relacionado

Módulos + flujos de trabajo relacionados

Infraestructura para la identidad y el fraude.

Una API para KYC, KYB, monitoreo de transacciones y detección de billeteras. Intégrelo en 5 minutos.

Empieza gratisHabla con nosotros
Pide a una IA que resuma esta página