¿Qué es un deepfake?

Los deepfakes son videos o imágenes altamente realistas, manipulados digitalmente, donde la apariencia, voz o acciones de una persona son creadas o alteradas artificialmente utilizando técnicas de aprendizaje profundo, especialmente redes neuronales. Estas herramientas pueden generar contenido multimedia muy convincente que parece real, pero, en realidad, es sintético. Los deepfakes suelen emplear técnicas como las redes generativas adversarias (GANs) para combinar y mapear las expresiones faciales o la voz de una persona en otra, creando la ilusión de que el sujeto está diciendo o haciendo cosas que nunca hizo.

De acuerdo con Jumio el 60% de los consumidores cree que podría detectar un deepfake, un aumento del 52% respecto a 2023. Por su parte, Regula asegura que el 53% de las empresas de criptomonedas se han enfrentado a fraudes con deepfakes en video y según Gartner los ataques de presentación son los más comunes, pero los ataques por inyección aumentaron un 200% en 2023.

Tácticas emergentes de deepfakes y las herramientas que utilizan los estafadores

Los videos deepfake se crean de dos maneras principales. Los estafadores pueden utilizar un video original de la víctima, haciendo que la persona diga o haga cosas que nunca hizo, o pueden intercambiar el rostro de la persona con el de otra en un video, también conocido como un intercambio de rostros. Los tipos de deepfakes usados para engañar en procesos KYC:

• Morfos faciales: Esta técnica combina dos (o más) rostros diferentes en uno nuevo, conservando características biométricas de ambos.
• Rostro sintético: La tecnología de síntesis facial es capaz de modelar un rostro falso e inexistente desde cero utilizando GANs (que aprovechan dos redes neuronales en competencia) y otras herramientas digitales especializadas.
• Manipulación facial: Este método implica la manipulación de atributos faciales (por ejemplo, cabello, color de ojos, textura de la piel). Esta técnica se utiliza para manipular tanto fotos como videos y a menudo se usa con el intercambio de rostros.
• Clonación de voz: Los ciberdelincuentes clonan el audio de la voz de una persona, crean un modelo basado en los patrones vocales y utilizan ese modelo de IA para hacer que la voz diga cualquier cosa que el creador desee.
• Documento de identidad sintético: La tecnología deepfake también se utiliza para crear documentos de identidad falsos convincentes, como licencias de conducir o pasaportes. Aunque estos documentos no son necesariamente deepfakes en sí mismos, los estafadores utilizan las mismas tecnologías de deepfake para modificar la imagen facial en el documento.

Además, en 2023, hubo un aumento significativo en la creación de herramientas de deepfake que utilizan IA, con más del 60% siendo de nuevo desarrollo y el 80% de las empresas carecen de herramientas para detectar deepfakes en la actualidad.

Herramientas utilizadas para crear deepfakes

• Redes neuronales generativas adversarias (GAN): Esta tecnología utiliza algoritmos generadores y discriminadores para desarrollar todo tipo de contenido deepfake.
• Procesamiento del lenguaje natural (NLP): Se utiliza para crear audio deepfake. Los algoritmos de NLP analizan los atributos del habla de un objetivo y luego generan texto original utilizando esos atributos.
• Redes neuronales convolucionales (CNN): Analizan patrones en datos visuales. Las CNN se utilizan para el reconocimiento facial y el seguimiento de movimientos.
• Computación de alto rendimiento: La computación de alto rendimiento es un tipo de computación que proporciona la potencia de cálculo significativa necesaria para crear deepfakes.
• Autocodificadores: Identifican los atributos relevantes de un objetivo, como expresiones faciales y movimientos corporales, y luego imponen estos atributos en el video fuente.
• Software de edición de video: Aunque no siempre está basado en IA, a menudo integra tecnologías de IA para refinar los resultados y mejorar el realismo.

Cómo funciona la inyección de video

¿Qué es la inyección de video?

La inyección de video es un tipo de ataque digital donde se introducen datos falsos, como documentos generados por IA, fotos o imágenes biométricas, en la transmisión de datos de una plataforma de verificación de identidad. Esta técnica evita el uso de una cámara física al utilizar emuladores para simular una cámara de hardware. Como resultado, puede eludir la capacidad de la plataforma para verificar la presencia de un usuario real frente a la cámara.

¿Cómo los ataques de inyección afectan la verificación de identidad?

• Pueden eludir el reconocimiento facial o la detección de vitalidad al imitar a un usuario legítimo.
• Pueden engañar a sistemas menos sofisticados que no pueden distinguir entre una entrada en vivo real y un video inyectado.
• Los atacantes pueden suplantar la identidad de usuarios legítimos para abrir cuentas o autorizar transacciones financieras.
• Los ataques exitosos erosionan la confianza en el sistema, lo que lleva a la insatisfacción del cliente e incluso a posibles multas regulatorias.

El impacto de los deepfakes en la verificación de identidad

Los deepfakes pueden permitir a los criminales eludir con éxito los procedimientos de verificación de identidad del cliente utilizados por las instituciones financieras, eliminando así la necesidad de cómplices humanos.

Estas cuentas se utilizan posteriormente para diversas actividades criminales, principalmente para el fraude financiero directo, así como para el lavado de dinero procedente de operaciones ilegales. Los reguladores probablemente endurecerán los requisitos para las operaciones financieras totalmente remotas. Es posible que la simplicidad y conveniencia de los servicios financieros en línea, a los que ya nos hemos acostumbrado, se vean amenazadas por la IA.

El atídoto: La prueba de vida

¿Qué es la prueba de vida?

La prueba de vida es una técnica que utilizan los proveedores de soluciones de verificación de identidad para asegurarse de que la muestra biométrica (como una huella digital, rostro o voz) que se presenta pertenece a una persona viva y no a una imagen estática, un video u otro método de falsificación (por ejemplo, un deepfake). Es una característica de seguridad crucial en las soluciones de verificación y autenticación en línea para prevenir ataques de suplantación, donde alguien podría intentar crear una cuenta en línea u obtener acceso no autorizado presentando una foto, una máscara u otra representación falsa del rasgo biométrico de una persona.

Prueba de vida activa: El usuario es incitado a realizar una acción específica, como parpadear, asentir o sonreír. Este método hace que replicar a una persona viva con una imagen estática o máscara sea difícil. Sin embargo, este proceso puede introducir fricciones innecesarias y disminuir las conversiones generales.

Prueba de vida pasiva: Este método analiza características sutiles de biometrías vivas, como patrones de flujo sanguíneo en huellas dactilares, información de profundidad en escaneos faciales o movimientos musculares durante el reconocimiento de voz. Los métodos pasivos son a menudo más fluidos para el usuario, pero pueden requerir algoritmos más sofisticados.

Prueba de vida semi-pasiva: Este método puede no solicitar un movimiento específico del usuario. Aun así, puede proyectar luces parpadeantes o colores aleatorios en el rostro de un usuario o hacer un acercamiento con una cámara para detectar información de profundidad.

Análisis de textura: Este método es ampliamente utilizado en sistemas de prueba de vida facial porque puede diferenciar entre muestras faciales vivas y falsificadas.

Análisis de movimiento: Este método evalúa los movimientos del sujeto para determinar si es una persona viva. Busca movimientos naturales y patrones de comportamiento que produciría un humano.

Biometría multimodal: Este método combina biometría de voz y facial, así como prueba de vida de voz y facial. Descubre más aquí.

Casos de uso de la prueba de vida

Servicios financieros:

• Prevención de la apertura de cuentas forzadas
• Prevención de la toma de control de cuentas
• Transacciones no autorizadas de alto riesgo

Gaming:

• Prevención de la creación de cuentas falsas o duplicadas
• Restricciones de edad
• Prevención del abuso de bonus

Tecnología compartida:

• Protección de pasajeros y huéspedes
• Protección de conductores y anfitriones
• Prevención de la toma de control de cuentas

Estándares de seguridad y prueba de vida

Debido a la rápida evolución de los deepfakes, no existen muchas formas de certificar la eficacia de una solución de verificación de identidad a la hora de detectar este tipo de ataques. A continuación, se presenta una breve descripción de lo que está disponible actualmente en cuanto a organismos de certificación.

ISO/IEC 30107-3: Es un estándar internacional que proporciona pautas para probar e informar sobre la prueba de vida en sistemas biométricos. Este estándar está diseñado para ayudar a garantizar que los sistemas biométricos puedan prevenir y detectar actividades fraudulentas, como cuando alguien intenta eludir el sistema utilizando muestras biométricas falsas. Sin embargo, es importante destacar que este estándar se centra principalmente en ataques de presentación en lugar de la detección específica de deepfakes.

iBeta: iBeta es una compañía de pruebas de seguridad biométrica que ofrece servicios de detección de ataques de presentación (PAD) de acuerdo con el estándar ISO/IEC 30107-3 y en línea con el marco ISO/IEC 30107-1.

Este estándar es reconocido a nivel mundial, especialmente por su aplicación en soluciones de autenticación biométrica y verificación de identidad. Garantiza que la tecnología sea resistente a la suplantación, esté alineada con los requisitos de privacidad de datos y sea capaz de proporcionar una verificación de identidad segura y en tiempo real. NOTA: iBeta no evalúa si una solución de verificación de identidad puede detectar deepfakes; solo cuenta con estándares de prueba para la detección de ataques de presentación.

El programa nacional de acreditación voluntaria de laboratorios (NVLAP): Proporciona acreditación de terceros a laboratorios de pruebas y calibración en respuesta a acciones legislativas o solicitudes de agencias gubernamentales u organizaciones del sector privado. Los laboratorios acreditados por NVLAP son evaluados en función de los requisitos de gestión y técnicos publicados en la Norma Internacional ISO/IEC 17025:2017.

Cómo Jumio puede ayudar

Tecnología impulsada por IA: Que analiza el comportamiento del usuario en tiempo real para prevenir deepfakes, máscaras e intentos de suplantación.

Cumple con la norma ISO/IEC 30107-3: Cumpliendo con los rigurosos estándares de la industria para la seguridad biométrica y la prevención del fraude.

Conforme a los estándares de prueba NIST/NVLAP: Garantizando la máxima precisión y fiabilidad.

Detecta fraudes sofisticados: Manteniendo el cumplimiento normativo y ofreciendo una experiencia de cliente segura y sin fricciones.