Nueva herramienta IA usa deepfakes para burlar controles KYC en cripto y bancos: informe

Un nuevo paquete de ciberdelito presuntamente vendido en la darknet enciende las alarmas en el sector financiero. La herramienta combina deepfakes, intercambio facial en tiempo real y modulación de voz para engañar sistemas KYC de bancos y plataformas de criptomonedas, en un contexto donde el fraude digital se vuelve más accesible y sofisticado.
***

• Un actor identificado como “Jinkusu” estaría ofreciendo un kit para evadir verificaciones KYC con deepfakes y alteración de voz en tiempo real.
• Expertos del sector advierten que la IA está reduciendo las barreras para el fraude de identidad sintética, incluso con una sola foto de la víctima.
• El caso se suma al auge del modelo scam-as-a-service, mientras persisten amenazas como pig butchering, phishing y malware para drenar wallets.

La evolución de la inteligencia artificial no solo está transformando industrias productivas y servicios digitales. También está ampliando el alcance de actores maliciosos que buscan automatizar fraudes, abaratar costos operativos y escalar ataques contra usuarios y plataformas financieras.

En ese contexto, un nuevo paquete de ciberdelito presuntamente ofrecido en la darknet ha encendido las alertas en el ecosistema cripto y bancario. La herramienta, atribuida a un actor conocido como “Jinkusu”, estaría diseñada para eludir los controles de Know Your Customer, o KYC, mediante deepfakes generados por IA y manipulación de voz en tiempo real.

Los sistemas KYC son mecanismos usados por bancos, exchanges y otras empresas financieras para verificar la identidad de sus clientes. Su objetivo es reducir el fraude, prevenir el lavado de dinero y cumplir exigencias regulatorias. Sin embargo, el avance de la IA está poniendo a prueba la eficacia de varios de esos controles.

De acuerdo con un reporte de Cointelegraph, el rastreador de ciberdelito Dark Web Informer señaló en una publicación del domingo en X que la herramienta usa deepfakes y alteración de voz para engañar sistemas de verificación de identidad en plataformas financieras. La firma de ciberseguridad Vecert Analyzer añadió que Jinkusu emplea IA para intercambios faciales en tiempo real mediante InsightFace, lo que permite “transferencias fluidas de gestos”, junto con modulación de voz para evadir la biometría.

Una amenaza directa contra la verificación de identidad

La combinación de rostro sintético y voz modificada apunta a uno de los puntos más sensibles del sistema financiero digital: la autenticación remota. Muchos servicios exigen selfies en video, movimientos faciales o pruebas de vida para validar que una persona coincide con su documento de identidad. El nuevo kit buscaría precisamente vulnerar ese proceso.

Para Deddy Lavid, CEO de la plataforma de seguridad blockchain Cyvers, la aparición de herramientas de deepfake representa una llamada de atención para la industria. En declaraciones citadas por la fuente, el ejecutivo sostuvo que esta tendencia deja en evidencia las deficiencias de los sistemas de verificación KYC.

Lavid afirmó que, a medida que la IA reduce las barreras para el fraude de identidad sintética, la puerta de entrada seguirá siendo vulnerable. Por ello, instó a las plataformas a adoptar un enfoque de seguridad por capas que combine verificación de identidad con monitoreo de IA en tiempo real.

La preocupación no es menor. En la práctica, un sistema KYC comprometido puede convertirse en la puerta de acceso para abrir cuentas fraudulentas, ejecutar estafas, mover fondos ilícitos o crear estructuras de suplantación con apariencia legítima dentro de plataformas reguladas.

El problema también tiene una dimensión reputacional y regulatoria. Si bancos o exchanges no pueden distinguir con suficiente precisión entre una persona real y un deepfake convincente, podrían aumentar tanto los riesgos operativos como la presión de supervisores y autoridades de cumplimiento.

La advertencia previa sobre una sola foto

La amenaza de los deepfakes contra los procesos de identidad no es nueva, pero sí parece estar entrando en una fase más práctica y comercial. Jimmy Su, director de seguridad de Binance, ya había advertido en mayo de 2023 sobre el crecimiento de esta tecnología y su potencial para vulnerar sistemas KYC.

Su señaló entonces que la mejora de los algoritmos de IA podría permitir romper estos sistemas utilizando una sola foto de la víctima. Esa advertencia cobra ahora más peso, dado que las nuevas herramientas ya no se limitan a generar imágenes falsas estáticas, sino que incorporan movimientos faciales y manipulación de voz en tiempo real.

Ese salto técnico es relevante porque muchos controles modernos dependen justamente de señales dinámicas. El usuario debe parpadear, girar el rostro, repetir una frase o sostener una conversación breve para superar una validación biométrica. Si esos patrones pueden falsificarse de forma convincente, la confianza en el proceso se debilita.

Además, el abaratamiento del acceso a estas herramientas reduce la barrera de entrada para delincuentes con menos experiencia. Ya no sería indispensable desarrollar software propio o contar con conocimientos avanzados de edición y biometría. Bastaría con adquirir un kit empaquetado y seguir instrucciones.

Ese aspecto conecta con una tendencia más amplia: la industrialización del fraude digital. Al igual que ocurrió con el phishing-as-a-service y con ciertos mercados de malware, la IA está empezando a presentarse como un servicio listo para usar dentro de economías criminales en línea.

De los deepfakes al pig butchering

Según el reporte, el nuevo paquete de fraude también permite ejecutar estafas románticas, incluida la modalidad conocida como “pig butchering”, sin necesidad de conocimientos técnicos. Este tipo de fraude suele comenzar con un vínculo emocional o de confianza construido durante semanas o meses, para luego dirigir a la víctima hacia falsas inversiones o transferencias de fondos.

Las cifras asociadas a este esquema muestran la magnitud del problema. Los inversionistas en criptomonedas perdieron USD $5.500 millones en 200.000 casos señalados de pig butchering en 2024. La posibilidad de incorporar deepfakes y voz sintética podría volver aún más persuasivas esas operaciones de ingeniería social.

En este punto, la IA no solo sirve para burlar un control técnico. También potencia el componente psicológico del engaño. Una videollamada aparentemente auténtica, un rostro coherente con un perfil falso y una voz natural pueden hacer que la víctima baje la guardia con mayor rapidez.

Para el ecosistema cripto, esto implica un doble desafío. Por un lado, debe reforzar la seguridad de acceso y la detección de identidades sintéticas. Por otro, necesita mejorar la educación del usuario frente a estafas cada vez más creíbles, personalizadas y difíciles de detectar a simple vista.

El trasfondo del modelo scam-as-a-service

La presunta participación de Jinkusu también llama la atención por su historial. Se sospecha que este mismo actor fue responsable del lanzamiento del kit de phishing Starkiller en febrero de 2026, una herramienta que ya mostraba un enfoque más sofisticado que las campañas tradicionales.

La plataforma de ciberseguridad Abnormal explicó en un informe del 19 de febrero que, a diferencia de los kits de phishing basados en HTML, Starkiller crea un proxy inverso en tiempo real. Lo hace al generar un navegador Chrome sin interfaz dentro de un contenedor Docker, cargar la página de inicio de sesión genuina de la marca objetivo y retransmitir toda la entrada del usuario, incluidos nombre de usuario y contraseñas, al actor malicioso.

Ese método permite que la experiencia para la víctima sea muy similar a la real, lo que incrementa la eficacia del engaño. También ilustra cómo los operadores criminales están combinando automatización, infraestructura flexible y suplantación avanzada para atacar servicios legítimos con mayor precisión.

El fenómeno se enmarca en el crecimiento del scam-as-a-service, un modelo en el que desarrolladores, operadores e intermediarios ofrecen herramientas ilícitas listas para desplegar a cambio de pagos, comisiones o suscripciones. Así, la capacidad ofensiva de una red criminal ya no depende únicamente del talento técnico de cada miembro.

Incluso en un escenario donde algunas métricas parecen mejorar, la amenaza sigue mutando. Scam Sniffer indicó en un informe de enero que las pérdidas por ataques de phishing cripto cayeron 83% en 2025. Aun así, los scripts maliciosos de drenadores de wallets siguieron activos y continuó apareciendo nuevo malware.

En otras palabras, una caída en pérdidas registradas no necesariamente implica una reducción estructural del riesgo. Puede reflejar cambios en tácticas, mejor detección en ciertos vectores o desplazamiento hacia formas de fraude más complejas, como las que ahora integran IA, biometría falsa y acceso en tiempo real.

Para bancos, exchanges y proveedores de servicios financieros, el mensaje es claro. La verificación de identidad ya no puede depender solo de una selfie, un video corto o una coincidencia biométrica básica. El surgimiento de estas herramientas obliga a revisar procesos, sumar análisis conductual y fortalecer la supervisión continua.

Para los usuarios, la lección también es importante. En un entorno donde una imagen, una voz o una videollamada pueden ser sintéticas, la confianza digital requiere más validaciones y más cautela. La IA está elevando la sofisticación del fraude, y el sector financiero tendrá que responder con defensas igual de dinámicas.

Imagen original de DiarioBitcoin, creada con inteligencia artificial, de uso libre, licenciada bajo Dominio Público

Este artículo fue escrito por un redactor de contenido de IA

ADVERTENCIA: DiarioBitcoin ofrece contenido informativo y educativo sobre diversos temas, incluyendo criptomonedas, IA, tecnología y regulaciones. No brindamos asesoramiento financiero. Las inversiones en criptoactivos son de alto riesgo y pueden no ser adecuadas para todos. Investigue, consulte a un experto y verifique la legislación aplicable antes de invertir. Podría perder todo su capital.

Suscríbete a nuestro boletín