Puntos clave que debe recordar
- La amenaza del deepfake es real: 25,5 millones de dólares malversados a través de una videoconferencia falsa, el 70% de las empresas francesas víctimas de fraude en 2022
- El marco jurídico europeo se está reforzando: el eIDAS 2 y la Ley de Inteligencia Artificial proporcionan ahora un marco para las pruebas digitales y el uso de la inteligencia artificial.
- El sellado electrónico de tiempo cualificado se está convirtiendo en algo esencial: certifica la fecha y la hora de los documentos, con una presunción legal de exactitud.
- Firma electrónica certificada y archivo: garantía de autenticidad, integridad y conservación a largo plazo de las pruebas digitales
- Confíe en proveedores de confianza cualificados: actores certificados por las autoridades nacionales europeas de conformidad con el reglamento eIDAS para maximizar el valor probatorio
Deepfakes e IA: la prueba digital frente a la realidad manipulable
El término «deepfake» es una contracción de «deep learning» (aprendizaje profundo) y «fake» (falso). Esta técnica se basa en el análisis por parte de la IA de muchas horas de vídeos o fotos de una persona para recrear con precisión su aspecto, voz y expresiones. El algoritmo puede entonces hacer que esta persona virtual diga o haga cualquier cosa.
La democratización de estas herramientas está revolucionando elecosistema de las pruebas. Ya no es necesario disponer de conocimientos técnicos avanzados ni de un gran presupuesto para falsificar un documento o un vídeo de forma realista. Ahora es posible para la mayoría de los internautas hacerlo desde un simple ordenador personal. Incluso existen aplicaciones para móviles que pueden generar deepfakes en tiempo real.
Entre los sectores más expuestos a este tipo de fraude se encuentran las finanzas, con falsas órdenes de transferencia de voz; el comercio electrónico, con deepfakes utilizados para crear falsos vídeos promocionales en los que aparecen famosos recomendando productos falsificados o de dudosa calidad; y los recursos humanos, conentrevistas telefónicas o por videoconferencia.
Derecho europeo de las pruebas digitales
Ante esta evolución, el marco jurídico europeo intenta adaptarse. El reglamento eIDAS[4], en vigor desde 2016, define los servicios de confianza electrónicos. Su versión revisada, eIDAS 2[5], que entró en vigor en mayo de 2024, refuerza los requisitos de seguridad e introduce nuevos mecanismos europeos de identidad digital.
Esta arquitectura jurídica establece una jerarquía clara entre los diferentes niveles de pruebas electrónicas. Un sello de tiempo electrónico cualificado, emitido por un proveedor de servicios de confianza aprobado por la ANSSI, se presume legalmente exacto. Corresponde a la parte contraria demostrar cualquier inexactitud.
Al mismo tiempo, la Ley de IA[6], que entró en vigor en agosto de 2024, establece un marco para eluso de la inteligencia artificial. Esta normativa impone obligaciones específicas a los sistemas de IA de alto riesgo y prohíbe determinadas prácticas manipuladoras. Crea un marco jurídico para distinguir los contenidos generados artificialmente, en particular con obligaciones de transparencia y trazabilidad.
La ANSSI también desempeña un papel central en esta arquitectura al certificar a los proveedores de servicios de confianza y emitir directrices técnicas. Estas certificaciones permiten a las empresas confiar en soluciones legalmente reconocidas y técnicamente fiables.
Las estrategias probatorias a aplicar en las empresas frente a las amenazas de deepfakes y manipulación por IA
En respuesta a estos retos, las empresas deben replantearse su enfoque de las pruebas digitales. El primer paso consiste en clasificar los documentos críticos en función de su valor probatorio potencial. No todos los documentos digitales son críticos y, por tanto, no requieren el mismo nivel de protección: un contrato comercial estratégico exige mayores garantías que un simple intercambio de correos electrónicos operativos.
El sellado electrónico de tiempo cualificado es el primer reflejo a adoptar. Este servicio permiteasociar de forma fiable una fecha y una hora a un documento digital. Se crea así una prueba de anterioridad que puede utilizarse en procedimientos judiciales. El sellado de tiempo cualificado se integra en el documento desde el momento de su creación, lo que simplifica considerablemente la creación del expediente probatorio.
Para garantizar la autenticidad y la integridad, las firmas electrónicas cualificadas y los sellos electrónicos cualificados son también herramientas esenciales. Estos mecanismos, definidos por el reglamento eIDAS, permitenidentificar formalmente al autor de un documento y detectar cualquier modificación posterior. Su valor jurídico es equivalente al de una firma manuscrita tradicional.
Elarchivo electrónico certificado completa este sistema preservando la integridad de las pruebas a lo largo del tiempo. Un sistema de archivo electrónico que cumpla la norma NF Z42-013 garantiza la inviolabilidad de los documentos, el registro de todas las operaciones y la reversibilidad a largo plazo de los formatos.
Específicamente frente a los deepfakes, se están desarrollando soluciones de autenticación biométrica y de comportamiento . Estas tecnologías analizan metadatos, comparan direcciones IP y detectan incoherencias invisibles a simple vista. Microsoft, Google y otros gigantes tecnológicos están invirtiendo mucho en estas herramientas de detección automatizada.
La trazabilidad de los procesos de recogida de pruebas también se está volviendo crucial. La documentación precisa de quién recogió las pruebas, cuándo, dónde y cómo ayuda a descartar cualquier sospecha de manipulación. Esta documentación meticulosa, que a menudo se pasa por alto, puede marcar la diferencia en un litigio.
Anticipar futuras amenazas a las pruebas digitales
A largo plazo,los ordenadores cuánticos podrían revolucionar todo el ecosistema de las pruebas digitales. Estos superordenadores, que aún se encuentran en fase experimental, podrían poner en entredicho los actuales métodos de encriptación que protegen nuestras comunicaciones y datos.
Esta amenaza, aunque remota, requiere preparación hoy en día. Desde 2016, el NIST estadounidense trabaja en nuevos algoritmos de cifrado «post-cuánticos » capaces de resistir los ataques cuánticos[7]. En Francia, la ANSSI sigue de cerca estos avances y recomienda a las empresas que evalúen su vulnerabilidad ante este desarrollo tecnológico.
Conclusión
Con el desarrollo exponencial de la IA y su utilización con fines fraudulentos, las empresas deben adoptar un enfoque global para garantizar su capacidad de aportar pruebas admisibles y seguras. Este enfoque combina varios elementos:
- evaluación de riesgos específica para cada tipo de documento,
- uso sistemático de proveedores de servicios de confianza cualificados,
- formar a los equipos para hacer frente a las nuevas amenazas
- y la introducción de procesos de verificación mejorados.
Esto hace que trabajar con terceros de confianza sea especialmente estratégico. Estos proveedores de servicios, cualificados por las autoridades competentes de su país (ANSSI en Francia) de conformidad con el reglamento eIDAS, aportan los conocimientos técnicos y las garantías jurídicas necesarias para seguir el ritmo de la evolución tecnológica. Su implicación permite trasladar la carga de la prueba a agentes especializados y certificados.
La adaptación constante de las prácticas también es esencial. El panorama tecnológico cambia rápidamente y las empresas deben permanecer vigilantes ante las nuevas amenazas. Esta vigilancia tecnológica y reglamentaria, integrada en un enfoque de gestión de riesgos, es la clave de una estrategia probatoria sostenible.
Fuentes
[1] Filippone D., Piégé par un deepfake en visio, un employé transfère 24 M€ à des escrocs, Le Monde Informatique, 5 février 2024 : https://www.lemondeinformatique.fr/actualites/lire-piege-par-un-deepfake-en-visio-un-employe-transfere-24-meteuro-a-des-escrocs-92875.html
[2] Europol, EU Serious and Organised Crime Threat Assessment (SOCTA) 2021, A corrupting influence: the infiltration and undermining of Europe’s economy and society by organised crime: https://www.europol.europa.eu/cms/sites/default/files/documents/socta2021_1.pdf
[3] Observatorio de la Industria de la Confianza Digital 2025: https://www.confiance-numerique.fr/wp-content/uploads/2025/06/observatoire-acn-2025-de-la-confiance-numerique.pdf
[4] Reglamento (UE) nº 910/2014, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE (eIDAS): https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=celex%3A32014R0910
[5] Reglamento (UE) nº 2024/1183, de 11 de abril de 2024, por el que se modifica el Reglamento (UE) nº 910/2014 en lo que respecta al establecimiento del marco europeo para una identidad digital (eIDAS 2): https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=OJ:L_202401183
[6] Reglamento (UE) nº 2024/1689 de 13 de junio de 2024 por el que se establecen normas armonizadas sobre la inteligencia artificial: https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=OJ:L_202401689
[7] https://csrc.nist.gov/projects/post-quantum-cryptography
Exención de responsabilidad
Las opiniones, presentaciones, cifras y estimaciones presentadas en el sitio web, incluido el blog, tienen únicamente fines informativos y no deben considerarse asesoramiento jurídico. Para obtener asesoramiento jurídico, debe ponerse en contacto con un profesional del derecho de su jurisdicción.
Queda prohibida la utilización del contenido de esta página web, incluido el blog, con fines comerciales, incluida la reventa, sin el permiso previo de Evidency. La solicitud de permiso debe especificar el propósito y el alcance de la reproducción. Para fines no comerciales, todo el material de esta publicación puede citarse o reimprimirse libremente, pero se requiere un reconocimiento, junto con un enlace a este sitio web.
