Sustituye las preguntas de seguridad y los códigos SMS de un solo uso por una nueva coincidencia biométrica contra la selfie de registro. Veredicto en menos de 2 segundos, ~$0.15 por recuperación, certificado iBeta Nivel 1.
Robinhood Ventures
Con la confianza de más de 2.000 organizaciones en todo el mundo.
Por qué una verificación facial supera al SMS
El SIM-swapping anula los códigos de un solo uso por SMS. El phishing anula las preguntas de seguridad. Los agentes de soporte se equivocan bajo presión. Una coincidencia facial en vivo contra la selfie de registro derrota a los tres, por $0.15 por recuperación, un veredicto en menos de dos segundos, y 500 gratis cada mes.
Elige las verificaciones que necesites: ID, prueba de vida, coincidencia facial, sanciones, dirección, edad, teléfono, email, preguntas personalizadas. Arrástralas a un flujo en el panel de control, o publica el mismo flujo en nuestra API. Crea ramificaciones según condiciones, haz pruebas A/B, sin necesidad de código.
Intégralo de forma nativa con nuestro SDK para Web, iOS, Android, React Native o Flutter. Redirige a una página alojada. O simplemente envía a tu usuario un enlace, por email, SMS, WhatsApp, donde quieras. Elige lo que mejor se adapte a tu stack.
Didit aloja la cámara, las indicaciones de iluminación, la transferencia móvil y la accesibilidad. Mientras el usuario está en el flujo, puntuamos más de 200 señales de fraude en tiempo real y verificamos cada campo contra fuentes de datos autorizadas. El resultado en menos de dos segundos.
Los webhooks firmados en tiempo real mantienen tu base de datos sincronizada en el momento en que un usuario es aprobado, rechazado o enviado a revisión. Consulta la API bajo demanda. O abre la consola para inspeccionar cada sesión, cada señal y gestionar los casos a tu manera.
Didit · Coincidencia facial 1:1
Registro
Recuperación
Didit · Prueba de vida pasiva
Didit · Política de Step-up
Didit · Fallbacks
Didit · Registro de auditoría
Didit · Política de sesión
$ curl -X POST https://verification.didit.me/v3/session/ \
-H "x-api-key: $DIDIT_API_KEY" \
-H "Content-Type: application/json" \
-d '{
"workflow_id": "wf_account_recovery",
"vendor_data": "user-7382",
"metadata": { "trigger": "forgot_password" },
// base64 enrolment selfie, ≤ 1MB
"portrait_image": "/9j/4AAQSkZJRgABAQE..."
}'status: Approved.docs →// X-Signature-V2 verified upstream
if (payload.status === "Approved") {
sendPasswordResetEmail(payload.vendor_data);
registerNewDevice(payload.metadata);
} else if (payload.status === "Declined") {
security.logRecoveryAttack(payload);
}X-Signature-V2 antes de leer el payload.docs →You are integrating Didit into an account-recovery flow. Replace knowledge-based recovery (security questions, SMS OTP, support-rep verification) with a biometric re-match against the user's enrolment selfie. ONE Didit session, two checks:
- Passive Liveness — make sure the recovery selfie is a real human, not a print / screen / mask / deepfake.
- Face Match 1:1 — match the recovery selfie against the user's enrolment selfie. If similarity is above your threshold, the recovery is approved.
Bundle pricing (verified live, 2026-05-16):
- Passive Liveness: $0.10 per recovery
- Face Match 1:1: $0.05 per recovery
- Total: ~$0.15 per recovery — public price, no minimums
- First 500 verifications free every month, forever
- SMS / WhatsApp One-Time Passcode (OTP) fallback: $0.03 per OTP (when biometric isn't possible)
PRE-REQUISITES
- Production API key from https://business.didit.me (sandbox key in 60s, no card).
- Webhook endpoint with HMAC SHA-256 verification using the X-Signature-V2 header.
- User's enrolment selfie on file — captured during initial KYC via a previous /v3/session/. Stored under your tenant in encrypted form.
- A workflow_id from the Workflow Builder that runs Passive Liveness + Face Match 1:1 against the stored reference.
STEP 1 — Trigger recovery on the right signal
Recovery is gated by your risk policy. Typical triggers:
- User clicks "Forgot password" — always.
- Sign-in from a new device + new IP country at the same time.
- Sign-in after account dormancy (e.g. 180+ days).
- Sensitive action: large withdrawal, payout to a new beneficiary, account-settings change.
Each trigger opens a Didit session.
STEP 2 — Open the recovery session
POST https://verification.didit.me/v3/session/
Headers:
x-api-key: <your api key>
Content-Type: application/json
Body:
{
"workflow_id": "<wf id with Passive Liveness + Face Match against enrolment selfie>",
"vendor_data": "<your user id, max 256 chars>",
"callback": "https://<your-app>/account/recovery/callback",
"metadata": {
"trigger": "forgot_password",
"device_fingerprint": "<your device fingerprint>",
"ip_country": "ES"
},
"portrait_image": "<base64 JPEG of the user's enrolment selfie, ≤ 1 MB — REQUIRED when the workflow has FACE_MATCH active; the recovery flow matches the new live selfie against this stored reference>"
}
Response: 201 Created with a hosted session URL. Redirect the user (web or in-app webview) to the URL. Sub-2-second median verdict on completion.
STEP 3 — Read the signed webhook on the verdict
Didit POSTs to your callback. Session statuses are Title Case With Spaces:
Body (excerpted):
{
"session_id": "<uuid>",
"vendor_data": "<your user id>",
"status": "Approved",
"liveness": { "status": "Approved" },
"face": { "status": "Approved", "similarity_score": 0.94 }
}
Status enum (exact case): Approved | Declined | In Review | Resubmitted | Expired | Not Finished | Kyc Expired | Abandoned.
Verify the X-Signature-V2 header BEFORE reading the body — HMAC SHA-256 of the raw bytes with your webhook secret.
STEP 4 — Branch on the verdict
Approved → unlock recovery: send the password-reset email, register the new device, complete the sensitive action.
In Review → soft-fail the recovery, route to support for human review.
Declined → block the recovery; log the hit. Could be a printed-photo or screen-replay attack — surface to security.
Resubmitted → user retried after a soft rejection — re-read.
Kyc Expired → reference selfie has aged out (per your retention policy) — fall back to documented recovery flow.
STEP 5 — Fallback for users who can't take a selfie
Camera missing, low light, hardware refused permission. Two graceful fallbacks:
- SMS / WhatsApp / Telegram One-Time Passcode (OTP) via Didit Phone Verification, $0.03 per OTP.
- Email magic link via your existing transactional email provider, $0.03 per email.
- Authenticator app — Time-based One-Time Password (TOTP) or FIDO2 hardware key, free.
Configure the fallback chain in the Workflow Builder. Selfie always tried first.
WEBHOOK EVENT NAMES
- Sessions: status changes flow through the standard session webhook.
Verify X-Signature-V2 on every payload.
CONSTRAINTS
- Session statuses use Title Case With Spaces (Approved, In Review). Do not lowercase or snake_case them.
- The recovery similarity threshold is configurable per app — start at 0.85, tune up for high-assurance apps (banks, brokerages) and down for low-friction consumer apps.
- Liveness is a Presentation Attack Detection (PAD) Level 1 model — defeats prints, screens, masks, deepfakes on consumer cameras. Active liveness (head-tilt prompts) is available for higher-friction higher-assurance flows at $0.15.
- The user's enrolment selfie must have been captured by Didit (any prior /v3/session/ with face capture). Bring-your-own enrolment image is roadmap.
- Default audit retention is 5 years configurable in the Business Console.
Read the docs:
- https://docs.didit.me/sessions-api/create-session
- https://docs.didit.me/core-technology/face-match/overview
- https://docs.didit.me/core-technology/liveness/overview
- https://docs.didit.me/integration/webhooks
Start free at https://business.didit.me — sandbox key in 60 seconds, 500 verifications free every month, no credit card.$0 / mes. No se requiere tarjeta de crédito.
Paga solo por lo que usas. Más de 25 módulos. Precios públicos por módulo, sin cuota mínima mensual.
MSA y SLA personalizados. Para grandes volúmenes y programas regulados.
Empieza gratis → paga solo cuando se ejecuta una verificación → desbloquea Enterprise para un contrato personalizado, SLA o residencia de datos.
Didit es la infraestructura para la identidad y el fraude — la plataforma que nos hubiera gustado que existiera cuando nosotros mismos estábamos creando productos: abierta, flexible y amigable para desarrolladores, para que funcione como una parte real de tu stack en lugar de una caja negra que integras a su alrededor.
Una API cubre la verificación de personas (KYC, know your customer), la verificación de empresas (KYB, know your business), el cribado de carteras de criptomonedas (KYT, know your transaction) y la monitorización de transacciones en tiempo real — en un stack diseñado para ser:
La huella subyacente: más de 14.000 tipos de documentos en más de 48 idiomas, más de 1.000 fuentes de datos y más de 200 señales de fraude en cada sesión. La infraestructura de Didit aprende dinámicamente de cada sesión y mejora cada día.
Porque el flujo de recuperación es el lugar más fácil para eludir la autenticación. El usuario ha olvidado la contraseña; por definición, no puedes pedírsela. La mayoría de las aplicaciones recurren a:
Una coincidencia facial en vivo con el selfie de registro derrota las cuatro.
Tres problemas estructurales que no desaparecerán:
El National Institute of Standards and Technology (NIST) de EE. UU. ha recomendado explícitamente no usar SMS para recuperaciones de alta seguridad desde 2017 (SP 800-63B).
El flujo completo normalmente tarda menos de 30 segundos de principio a fin — coger el DNI, escanear el documento, hacer el selfie, listo. Es el más rápido del mercado. Los proveedores de KYC tradicionales suelen tardar más de 90 segundos para el mismo flujo.
En el backend, Didit devuelve el resultado en menos de dos segundos en p99, medido desde el momento en que el usuario termina el selfie hasta que se activa tu webhook. La captura móvil está optimizada para teléfonos lentos y redes lentas: compresión progresiva de imágenes, carga perezosa del kit de desarrollo de software y una transferencia con un solo toque de escritorio a teléfono mediante código QR si el usuario empieza en la web.
Dos escenarios:
/v3/session/ con Verificación de ID + Coincidencia Facial + Prueba de Vida, guarda el selfie verificado en el registro del usuario. Coste: 0,33 $ (paquete KYC completo).La opción de traer tu propia imagen de registro —tu corpus de selfies existente— está en la hoja de ruta.
Cada sesión aterriza en uno de siete estados claros, para que tu código siempre sepa qué hacer:
Approved — todas las comprobaciones superadas. Haz que el usuario avance.Declined — una o más comprobaciones fallaron. Puedes permitir que el usuario vuelva a enviar el paso fallido específico (por ejemplo, volver a hacer el selfie) sin volver a ejecutar todo el flujo.In Review — marcado para revisión de cumplimiento. Abre el caso en la consola, consulta todas las señales, decide aprobar o rechazar.In Progress — el usuario está a mitad del flujo.Not Started — enlace enviado, el usuario aún no lo ha abierto. Envía un recordatorio si tarda demasiado.Abandoned — el usuario abrió el enlace pero no terminó a tiempo. Vuelve a interactuar o expira.Expired — el enlace de la sesión caducó. Crea una nueva sesión.Un webhook firmado se activa con cada cambio de estado, para que tu base de datos siempre esté sincronizada. Las sesiones abandonadas y rechazadas son gratuitas.
Por defecto, los datos de producción se procesan y almacenan en la Unión Europea, en Amazon Web Services. Los contratos empresariales pueden solicitar regiones alternativas para aquellas jurisdicciones que lo requieran.
Cifrado en todas partes. AES-256 en reposo en cada base de datos, almacén de objetos y copia de seguridad. Transport Layer Security 1.3 en tránsito en cada llamada a la API, webhook y sesión de la Business Console. Los datos biométricos se cifran bajo una Customer Master Key independiente.
Tú controlas la retención. La retención por defecto es indefinida (ilimitada), a menos que configures un periodo más corto —entre 30 días y 10 años por aplicación—, y puedes eliminar cualquier sesión individual en cualquier momento desde el panel de control o la API.
Certificaciones: SOC 2 Tipo 1 (auditoría Tipo 2 en curso), ISO/IEC 27001:2022, iBeta Nivel 1 PAD, y una certificación pública del Tesoro / SEPBLAC / CNMV de España que acredita que la verificación de identidad remota de Didit es más segura que verificar a alguien en persona. Informe completo en /security-compliance.
Didit cumple con la normativa por defecto para los reguladores clave en infraestructura de identidad:
Memorándum detallado, cada certificado, cada carta del regulador: /security-compliance.
Tres rutas de integración — elige la que mejor se adapte a tu stack:
Mismo panel de control, misma facturación, mismo precio de pago por éxito para las tres opciones. Guía paso a paso en docs.didit.me/integration/integration-prompt.
La prueba de vida pasiva derrota hoy a los deepfakes de consumo. El modelo de Detección de Ataques de Presentación (PAD) busca:
El modelo PAD de Didit cuenta con la certificación iBeta Nivel 1. La prueba de vida activa ($0.15) añade indicaciones de inclinación de cabeza para una mayor seguridad contra los deepfakes en tiempo real de grado profesional, que son poco comunes.
La defensa contra deepfakes es una carrera armamentística: Didit reentrena el modelo PAD trimestralmente con los últimos corpus de ataque.
Sí, eso es la Autenticación Biométrica, un patrón de reautenticación recurrente. $0.10 por autenticación:
El mismo contrato /v3/session/, diferente workflow_id. Común en exchanges de criptomonedas, apps bancarias y productos de consumo de alta seguridad. Consulta /products/biometric-authentication para el patrón de autenticación recurrente.
Cada intento de recuperación registra:
vendor_data (tu identificador de usuario) y el session_id de Didit.trigger que pasaste en metadata (forgot_password / new_device / dormancy / sensitive_action).Se puede buscar desde la Consola de Negocio, exportar por usuario, con retención configurable de 5 años. Los controles SOC 2 Tipo 1 + ISO 27001 rigen el almacenamiento.
Una API para KYC, KYB, Monitoreo de Transacciones y Detección de Fraude en Wallets. Intégrala en 5 minutos.