Sin contramedidas, solo se necesitan unas pocas herramientas simples para eludir las funciones de seguridad y registrar una identidad sintética a través de una aplicación móvil.
Esta versión pública de nuestro artículo está parcialmente redactada para evitar educar a los aspirantes a estafadores sobre cómo se pueden crear y utilizar deepfakes para realizar ataques a aplicaciones móviles. La versión completa del artículo y un video explicativo detallado están disponibles a pedido a través de nuestro sitio web. Página web de contacto .
La incorporación digital ha revolucionado la forma en que los clientes se inscriben en nuevos servicios, ya sea abriendo una cuenta bancaria, registrándose en una aplicación de citas o creando un perfil en las redes sociales. Pero el proceso también presenta riesgos de fraude y delito cuando no se puede confiar en la identidad digital de un nuevo cliente.
Una encuesta realizada durante un reciente seminario web sobre investigación y desarrollo de identidades reveló que, si bien el 94 % de los encuestados comparte que las amenazas de la IA generativa están en su radar, solo el 37 % se considera adecuadamente preparado para abordar el fraude de deepfakes. Esto es preocupante porque la proporción de fraudes de identidad cometidos mediante deepfakes se ha duplicado, según estadísticas recientes compartidas por Sumsub. A través de “ataques de inyección”, los actores maliciosos pueden transmitir deepfakes de imágenes faciales para evitar los controles de vida y luego crear y explotar cuentas fraudulentas sin consecuencias. Con la creciente sofisticación de métodos de falsificación utilizando inteligencia artificial, nuestras identidades digitales se han vuelto más difíciles de confiar cuando no existen contramedidas.
Los bancos corren un riesgo especial, ya que esta técnica puede permitir a los estafadores realizar ataques escalables y establecer una cantidad ilimitada de cuentas fraudulentas sin ser detectados. Las aplicaciones de citas y redes sociales enfrentan el peligro de exponer a sus usuarios legítimos a depredadores en línea.
Las herramientas para llevar a cabo un ataque están fácilmente disponibles.
Para llevar a cabo un ataque de inyección con tecnología deepfake, los estafadores solo necesitan un conjunto de herramientas de software básicas que son sorprendentemente accesibles, fáciles de usar y alarmantemente efectivas. [Esta sección está parcialmente redactada. Póngase en contacto con ID RD para obtener más información.]
Armados con estas herramientas, los pasos para registrar una identidad sintética son sencillos:
- Un estafador prepara los datos para una o más identidades sintéticas, completas con imágenes faciales falsas y datos de identidad biográfica.
- Los archivos deepfake se transmiten o presentan desde una cámara virtual, lo que puede hacer que parezca que la imagen está en vivo y proviene de una cámara real.
- La aplicación móvil objetivo del fraude se ejecuta dentro de un programa de software especial que se comparte ampliamente entre las redes fraudulentas.
- Se inicia el proceso de onboarding digital.
- Para la captura de selfies, las imágenes faciales deepfake se transmiten como si fueran en vivo.
Metodologías para la detección de ataques de inyección de vídeo
La detección de ataques de inyección de vídeo implica una serie de pasos complejos, que son cruciales para garantizar la seguridad e integridad de los datos de imágenes y vídeos biométricos. Estos pasos incluyen la creación de un árbol de ataques completo, la implementación de detectores que cubran todos los vectores de ataque, la evaluación de posibles lagunas de seguridad y la configuración de un proceso de mejora continua para el árbol de ataques y las medidas de mitigación asociadas. A continuación, se presentan metodologías para la detección de algunos tipos de ataques de inyección ampliamente utilizados. Para obtener más detalles sobre los ataques de inyección, comuníquese con ID RD .
Detección de inyección de Javascript . Un posible vector de ataque para la inyección de video es el uso de Javascript en el proceso de captura biométrica. Las metodologías de mitigación deben ser integrales y abarcar diferentes navegadores y complementos. Las técnicas incluyen la ofuscación de código para aumentar la dificultad de piratería y el uso de bibliotecas específicas para codificar en binario el código Javascript.
Detección de cámara virtual . Las cámaras virtuales aparecen como cámaras adicionales en el sistema operativo. Pueden proporcionar fondos virtuales, filtros de vídeo y otras manipulaciones que pueden aprovecharse para realizar ataques de inyección de vídeo. Se pueden emplear métodos basados en software e inteligencia artificial para detectar cámaras virtuales. Estas técnicas se basan en la identificación de discrepancias entre la cámara virtual y la física.
Detección de captura de vídeo por hardware . Los capturadores de vídeo por hardware también se pueden utilizar para ataques de inyección de vídeo. Funcionan como cámaras de hardware secundarias en el sistema operativo, lo que permite transmitir un vídeo desde otro dispositivo a través de USB como si fuera una cámara real. También se pueden emplear aquí enfoques similares a los utilizados para la detección de cámaras virtuales.
La detección de ataques de inyección es esencial para detener los ataques deepfake
Aunque muchas aplicaciones móviles incluyen la detección de ataques de presentación (PAD) durante el registro de selfies para evitar que los usuarios presenten copias impresas o repeticiones de pantalla, esto no siempre es suficiente para detener todos los ataques deepfake. La detección de ataques de inyección va más allá de los ataques de presentación para reconocer no solo el contenido deepfake utilizado en este tipo de ataques, sino también el uso de cámaras virtuales y otros vectores de ataque avanzados. La detección de ataques de inyección ayuda a las empresas a mitigar significativamente el riesgo de creación fraudulenta de cuentas, lo que garantiza una incorporación digital segura y una experiencia segura para sus clientes. A medida que la tecnología deepfake se vuelve más sofisticada, la urgencia de implementar tales contramedidas solo aumentará.
Los ataques deepfake representan una nueva amenaza para la incorporación digital, y comprender estos riesgos es el primer paso para mitigarlos. En la carrera armamentista impulsada por la IA entre la seguridad y el fraude, mantenerse alerta y proactivo a la hora de utilizar las medidas de protección más recientes no solo es beneficioso, sino esencial.
Las crecientes capacidades de la inteligencia artificial han reforzado significativamente nuestra capacidad para detectar ataques de inyección más complejos. Los algoritmos basados en IA pueden analizar los artefactos de la señal de video e identificar diferencias sutiles en las rutas de la señal de video dentro del sistema operativo, ya sea que la señal provenga de cámaras virtuales, videos pregrabados inyectados o transmisiones de video de cámaras reales. Se puede lograr una alta precisión en la detección de estas diferencias con un proceso de IA sólido y una gran cantidad de datos etiquetados.