7 min de lectura Tanja

Candidatos deepfake: 1 de cada 3 recruiters ya ha entrevistado uno

Búsqueda de Empleo
Responsable de RRHH frente a dos pantallas: una entrevista de vídeo legítima a la izquierda y un candidato con artefactos deepfake visibles a la derecha

1 de cada 3 responsables de selección ya ha entrevistado a un candidato deepfake. Eso es lo que revela la encuesta de Greenhouse (2025) sobre 4.136 profesionales de RRHH. No se trata de una amenaza futura: si tienes equipo de selección, ya ha ocurrido o ocurrirá pronto.

Respuesta directa: un candidato deepfake es una persona que utiliza tecnología de síntesis de vídeo y voz en tiempo real para suplantar una identidad durante un proceso de selección. El objetivo varía: desde obtener un empleo para el que no está cualificada hasta infiltrarse en sistemas corporativos con intenciones maliciosas. Esta guía explica cómo detectarlos y qué pasos dar antes de que accedan a tu organización.

Por qué esto es un problema de seguridad, no solo de RRHH

El FBI emitió una alerta formal en 2024-2025 sobre operativos norcoreanos que infiltraron empresas tecnológicas estadounidenses mediante identidades sintéticas. Los impostores superaron entrevistas técnicas completas, firmaron contratos y obtuvieron acceso a repositorios de código y sistemas internos antes de ser detectados.

En España el panorama es igualmente preocupante. ESET documentó en 2025 campañas activas de infiltración de falsos candidatos en empresas de tecnología y finanzas españolas. Palo Alto Networks confirmó casos en los que los impostores accedieron a sistemas corporativos como contratistas remotos. El INCIBE registra un aumento sostenido de fraudes de identidad en procesos de selección durante 2025.

Las cifras globales son contundentes. Según Security Magazine (2025), el 41 % de las organizaciones ha contratado sin saberlo a un candidato falso. Gartner (2024) estima que en 2028, 1 de cada 4 candidatos en el mundo será ficticio o generado por IA. Y Pindrop (2025) registró un aumento del 1.300 % en intentos de fraude con deepfake durante 2024.

El daño no es solo económico. Un impostor con acceso a datos de clientes puede desencadenar una brecha notificable a la AEPD en 72 horas y sanciones bajo el RGPD. En sectores regulados, puede equivaler a espionaje industrial.

5 señales de alerta en la entrevista de vídeo

Las herramientas de deepfake en tiempo real han mejorado mucho, pero siguen fallando en situaciones concretas. Estas son las pruebas más efectivas:

  1. Rotación brusca de cabeza. Pide al candidato que gire la cabeza hacia un lado o mire hacia arriba de forma repentina. La mayoría de los modelos generativos pierden coherencia facial con movimientos rápidos o ángulos de perfil. Busca pixelación, bordes difusos o un ligero “desfase” entre el movimiento y la imagen renderizada.

  2. Sincronía labial. Un retraso entre voz e imagen superior a 200 milisegundos es difícil de percibir conscientemente pero crea una sensación de artificialidad. Graba la entrevista y revisa fragmentos en slow motion si tienes dudas.

  3. Pixelación en zonas de transición. La línea del cabello, las orejas y el cuello son los puntos donde el modelo deepfake “pega” la cara generada al fondo real. Con buena iluminación, estos bordes se vuelven visibles.

  4. Parpadeos y micromovimientos. Los parpadeos anómalos (demasiado regulares, demasiado lentos o ausentes) y la falta de micromovimientos naturales en la zona de ojos y mejillas son indicadores clásicos.

  5. Entorno sospechosamente perfecto. Un fondo neutro o desenfocado de forma uniforme puede indicar una pantalla virtual usada para ocultar el entorno real. Pide al candidato que mueva el portátil para ver si el fondo responde de forma coherente.

CV generados por IA: los patrones que debes conocer

Un candidato deepfake rara vez actúa solo: el CV también es fabricado. Algunos patrones recurrentes:

  • Progresión laboral demasiado lineal. Ascensos perfectos cada dos años, sin lateralizaciones ni pausas. Las carreras reales tienen irregularidades.
  • Empresas reales, datos inventados. El impostor trabaja en una empresa conocida (IBM, Accenture, Telefónica) pero en una división o proyecto que no es verificable externamente.
  • Habilidades exactamente alineadas con la oferta. Una coincidencia del 95 % entre los requisitos del puesto y las competencias declaradas sugiere que el CV fue generado o ajustado con IA para superar el ATS.
  • Referencias que no responden o responden con retraso excesivo. Las referencias fabricadas a menudo son números de VoIP o cuentas de correo creadas para la ocasión.

El proceso de verificación en 5 pasos

Un protocolo claro reduce el riesgo sin penalizar la experiencia del candidato legítimo:

  1. Verificación de vida (liveness check) antes de la oferta. Herramientas como Veriff, Onfido o Jumio realizan una prueba biométrica en vivo que confirma que la persona frente a la cámara es quien dice ser. Es conforme con el RGPD si se informa al candidato y se limita al mínimo necesario.

  2. Sesión presencial o híbrida para puestos sensibles. Para roles con acceso a sistemas críticos, datos personales o información confidencial, incluye al menos una etapa presencial. No es discriminatorio ni desproporcionado: es diligencia debida.

  3. Verificación de referencias mediante llamada directa al conmutador corporativo. No uses el número que facilita el candidato. Busca el número oficial de la empresa en su web y pide que te transfieran al responsable indicado.

  4. Revisión cruzada de perfil digital. Contrasta el LinkedIn del candidato con su GitHub, publicaciones en foros especializados y presencia en eventos del sector. Los impostores crean perfiles creíbles pero con poca historia real: pocos comentarios, conexiones recientes, sin publicaciones originales anteriores a la candidatura.

  5. Solicitud de prueba técnica en condiciones controladas. Para perfiles técnicos, una prueba en vivo con cámara activa y uso compartido de pantalla revela si las habilidades declaradas son reales.

1 de cada 3 responsables de selección ya lo ha vivido

La encuesta de Greenhouse (2025) sobre 4.136 profesionales de selección confirma que 1 de cada 3 responsables de selección ha entrevistado ya a un candidato deepfake sospechoso o confirmado. No es un problema de empresas tecnológicas de Silicon Valley: afecta a consultoras, fintech, empresas industriales con procesos de selección remotos y organismos públicos que incorporan contratistas.

La barrera de entrada para crear un deepfake convincente ha caído drásticamente. En 2022 requería conocimientos técnicos avanzados. En 2025 existen servicios SaaS que permiten sustituir la cara en una videollamada en tiempo real por una suscripción mensual económica. Eso explica el aumento del 1.300 % en intentos de fraude registrado por Pindrop (2025) durante 2024.

Lo más preocupante no es la tecnología: es que la mayoría de los procesos de selección no están diseñados para detectarla.

La Agencia Española de Protección de Datos (AEPD) ha publicado guías específicas sobre el uso de datos biométricos en selección. Los puntos clave:

  • La verificación biométrica (liveness check) requiere consentimiento explícito del candidato y una base legal clara. En el contexto de selección, la base habitual es el interés legítimo del empleador, pero debe documentarse y comunicarse en la política de privacidad del proceso.
  • Pedir el DNI o pasaporte está permitido una vez existe una oferta en firme, no durante las fases previas de criba. Solicitarlo antes puede considerarse recogida excesiva de datos.
  • Las pruebas técnicas con supervisión remota (cámara activa, grabación de pantalla) son admisibles si el candidato ha sido informado previamente y ha dado su consentimiento.
  • Cualquier brecha de datos provocada por un impostor que accedió como empleado debe notificarse a la AEPD en un plazo máximo de 72 horas.

El equilibrio práctico: aplica verificación de vida para puestos con acceso a datos sensibles, informa siempre al candidato en la política de privacidad del proceso, y documenta el protocolo por escrito para poder demostrar diligencia debida ante una inspección.

Cómo ResuFit puede ayudarte a identificar candidatos auténticos

Cuando un candidato utiliza ResuFit para preparar su candidatura, el CV resultante tiene una coherencia interna verificable: las competencias, el historial y el tono son consistentes porque reflejan una experiencia real, no un perfil generado para superar un ATS concreto. No es una garantía absoluta, pero un CV bien construido y coherente con la entrevista es siempre una señal positiva en el proceso de verificación.

Si eres candidato y quieres entender cómo los reclutadores falsos también usan la IA para engañar a quienes buscan trabajo, lee nuestra guía desde la otra perspectiva: Reclutador falso: cómo detectar estafas de empleo con IA.

¿Listo para crear un CV ganador?

Crea tu CV gratis
#candidato deepfake #seguridad RRHH #fraude selección #candidatos falsos #contratación remota #IA fraude #INCIBE
← Volver al blog

Mantente al día

Recibe los últimos consejos sobre redacción de CV y carrera profesional.

Preguntas frecuentes

¿Cómo detecto un candidato deepfake en una entrevista de vídeo?

Pide al candidato que gire la cabeza bruscamente hacia un lado — la mayoría de las herramientas deepfake fallan con los perfiles y los movimientos rápidos. Otros indicadores: desfase entre labios y voz superior a 200 ms, pixelación alrededor de la línea del cabello y las orejas, parpadeos anormales y un fondo sospechosamente limpio para supuestamente estar en casa.

¿Son frecuentes los candidatos deepfake en España?

Sí, y van en aumento. El INCIBE documentó un aumento sostenido de fraudes de identidad en procesos de selección en 2025. Casos confirmados en España incluyen candidatos falsos que accedieron a sistemas corporativos como contratistas remotos en empresas de tecnología y finanzas (Palo Alto Networks, ESET 2025).

¿Qué riesgos legales enfrenta mi empresa si contratamos un candidato falso?

Más allá del daño económico y reputacional, existe riesgo de sanción bajo el RGPD si el falso empleado accede a datos personales de clientes o empleados. Las empresas tienen 72 horas para notificar a la AEPD una violación de datos. Para sectores críticos, puede tratarse de espionaje industrial con implicaciones penales.

¿Puedo pedir un documento de identidad a un candidato antes de hacer una oferta?

Con cautela. La AEPD limita la recogida de datos personales en selección al mínimo necesario. Alternativas conformes: verificación de vida (liveness check) mediante proveedor tercero, sesión presencial para puestos sensibles, o confirmación indirecta mediante LinkedIn y directorio corporativo del supuesto empleador anterior.

¿InfoJobs o LinkedIn son vectores de entrada para candidatos deepfake?

Los candidatos deepfake se postulan a través de todos los canales. El riesgo es mayor en procesos 100 % remotos sin ninguna etapa presencial. Los operativos mejor organizados crean perfiles de LinkedIn creíbles, perfiles de GitHub con código, y referencias fabricadas que superan la criba inicial.

Usamos cookies para analizar el tráfico del sitio web y mejorar tu experiencia. Puedes cambiar tus preferencias en cualquier momento. Cookie Policy