La verificación remota de la identidad es uno de los retos más acuciantes de nuestra era cada vez más digital. Confirmar la identidad de una persona sin verla físicamente, en persona, es una necesidad que sigue creciendo tanto en importancia como en dificultad.
Una de las amenazas más insidiosas para la verificación remota de la identidad es el uso de deepfakes creados por IA generativa. Los deepfakes no son intrínsecamente dañinos, pero pueden plantear importantes amenazas a la seguridad. Como ahora es imposible distinguir de forma fiable entre imágenes sintéticas e imágenes reales con el ojo humano, la biometría basada en IA ha surgido como la defensa más sólida contra los deepfakes y, por tanto, el único método fiable de verificación de identidad a distancia. De hecho, combatirlos requiere una investigación continua y soluciones de misión crítica con seguridad evolutiva. La gente también valora la comodidad de la verificación biométrica facial: el 72 % de los consumidores de todo el mundo prefiere la verificación facial para la seguridad en línea.
Sin embargo, a medida que avanza la tecnología biométrica, los actores maliciosos buscan métodos nuevos y más sofisticados para comprometer estos sistemas. No obstante, es importante recordar que las falsificaciones no son una amenaza para la seguridad biométrica , sino para cualquier método de verificación de la identidad humana a distancia.
La amenaza Deepfake: Un vistazo al auge de la tecnología Deepfake
Al principio, los deepfakes no eran más que una diversión inofensiva, en la que la gente creaba vídeos e imágenes con fines de entretenimiento. Sin embargo, cuando se combinan con intenciones maliciosas y herramientas de ciberataque, se transforman rápidamente en siniestras amenazas. Los deepfakes se han convertido rápidamente en una forma muy poderosa de lanzar ataques de ciberseguridad, difundir noticias falsas e influir en la opinión pública. Probablemente ya te hayas topado con un deepfake sin darte cuenta.
La tecnología deepfake implica el uso de herramientas como las imágenes generadas por ordenador (CGI) y la inteligencia artificial para alterar la apariencia y el comportamiento de alguien. Los algoritmos de aprendizaje automático trabajan para generar contenido sintético de gran realismo que imite comportamientos humanos, incluidas las expresiones faciales y el habla. Cuando se utiliza de forma malintencionada, esta tecnología puede emplearse para crear identidades falsas, imitar a personas y obtener acceso a lugares seguros, por ejemplo.
Debido a la sofisticación de la tecnología, el contenido deepfake a menudo parece muy realista para los humanos entrenados e incluso para algunas soluciones de verificación de identidad, lo que hace difícil discernir lo genuino de lo sintético. El rápido ritmo de evolución de la IA significa que los deepfakes también evolucionan continuamente: no son una amenaza estática.
Detección de Deepfakes: Las pruebas demuestran que los humanos no pueden detectar con fiabilidad los deepfakes
Hemos recopilado una lista de estudios que ponen de manifiesto que los humanos no son un indicador fiable para detectar deepfakes:
- Un estudio de 2021 titulado "Deepfake detection by human crowds, machines, and machine-informed crowds" descubrió que las personas por sí solas son mucho peores que los algoritmos de detección. Los algoritmos de detección incluso superaron a los examinadores forenses, que son mucho más hábiles en la tarea que una persona normal. El estudio tampoco encontró pruebas de que la educación/formación mejore el rendimiento.
- Otro estudio de 2021 titulado "Fooled twice: People cannot detect deepfakes but think they can" ("Engañados dos veces: la gente no puede detectar deepfakes pero cree que puede") descubrió que las personas son menos capaces de identificar deepfakes de lo que creen; que las personas no son fiables a la hora de detectar contenidos de vídeo manipulados; que la formación y los incentivos no aumentan la capacidad; que las personas tienen un sesgo hacia un Índice de Rechazo Falso; y, por último, que las personas son especialmente susceptibles de ser influenciadas por contenidos deepfake.
- En 2022, un grupo de investigadores de seguridad descubrió que la verificación de videollamadas de persona a persona podía superarse fácilmente con software de SO y acuarela (es decir, manipulación de arte digital). Esto demuestra que los sistemas de identificación por vídeo de operadores humanos se superan fácilmente con enfoques cotidianos básicos y muy poca habilidad; a veces ni siquiera se necesitan deepfakes para engañar a los humanos.
A ver si eres capaz de detectar un deepfake en nuestro test interactivo¡!
Cómo los deepfakes amenazan toda verificación de identidad en línea
Para verificar de forma fiable la identidad a distancia, tendrá que ver a la persona y su documento de identidad. La verificación por videollamada -a veces conocida como videoidentificación- consiste en hablar con una persona en directo a través de un programa de videollamada para demostrar quién eres. Pero es una opción poco recomendable, entre otras cosas porque es incómoda, laboriosa y costosa, y no puede automatizarse (por lo que es más difícil de ampliar).
De todos modos, las falsificaciones profundas pueden introducirse en una secuencia de vídeo en directo, por lo que suponen una amenaza aún más grave para la verificación por vídeo. Como hemos establecido, los humanos son menos fiables para detectar deepfakes que la biometría. Por eso advertimos a las organizaciones que recuerden que las falsificaciones profundas y otras formas de IA generativa no son un "problema biométrico"; son un problema de verificación de identidad remota.
La verificación remota de la identidad es fundamental para la mayoría de las organizaciones que realizan negocios en línea. En muchos casos no es negociable. Frente a la amenaza de las falsificaciones profundas, las organizaciones deben utilizar la IA por el bien de la ciberseguridad (es decir, la biometría impulsada por IA).
¿No se puede verificar a los usuarios con otro método biométrico para evitar las falsificaciones?
A continuación podría preguntarse: "¿por qué otros métodos biométricos no son una alternativa adecuada para la verificación de la identidad? ¿No se puede utilizar la autenticación por iris o por voz para no tener que lidiar con los deepfakes?".
En concreto, la verificación biométrica facial se ha erigido como el único método fiable de verificación de identidad a distancia porque:
- Otros métodos biométricos no pueden verificar la identidad. Sólo pueden autenticarla. Esto se debe a que la voz, el iris, etc. no suelen figurar en ningún documento de identidad (a diferencia de la cara). Por lo tanto, no hay nada fiable con lo que verificar los datos biométricos, ninguna fuente de verdad. Es posible en casos excepcionales: quizá una organización tenga acceso a los datos oficiales de una huella dactilar, por ejemplo. Pero no es escalable como la verificación facial. Lo mismo ocurre con los métodos tradicionales, como las contraseñas y los OTP, que han fracasado por completo a la hora de mantener la seguridad de los usuarios en Internet. No se puede estar seguro al 100% de la identidad de alguien sólo porque sepa algo (una contraseña) o posea algo (un teléfono con un código).
- La clonación impulsada por la IA es una amenaza para todos los métodos biométricos. La voz, por ejemplo, se considera el dato biométrico más fácil de clonar. Puedes leer más sobre la amenaza de la clonación de la voz en este artículo y sobre las desventajas de la biometría de voz aquí.
Protección contra los ataques Deepfake
Cuando hablamos de la amenaza de las falsificaciones profundas, lo hacemos para subrayar la importancia de contar con una solución sólida de verificación facial para defenderse de ellas y para informar a las organizaciones de las diferencias que existen entre las soluciones disponibles.
Como se indica en la Guía de mercado de Gartner para 2023, "los responsables de la seguridad y la gestión de riesgos deben hacer de la detección de falsificaciones profundas un requisito clave, y deben desconfiar de cualquier proveedor que no hable proactivamente de sus capacidades".
Para mitigar los riesgos asociados a los ataques deepfake contra los sistemas biométricos, pueden aplicarse varias medidas:
- Biometría multimodal: La combinación de varios métodos biométricos, como la verificación facial y el escaneo de huellas dactilares, puede mejorar la seguridad al dificultar a los atacantes la falsificación simultánea de varias modalidades.
- Detección de vitalidad: Implementar comprobaciones de detección de liveness basadas en la ciencia puede ayudar a diferenciar entre datos biométricos reales y representaciones sintéticas, como deepfakes que carecen de signos vitales de vida. Más información sobre la tecnología de liveness aquí.
- Monitorización continua: Los sistemas biométricos deben incorporar la supervisión continua y la detección de anomalías para identificar patrones o comportamientos inusuales que puedan indicar un ataque deepfake. Las organizaciones deben adoptar técnicas avanzadas que puedan adaptarse a la rápida aceleración del panorama de las ciberamenazas (no las que se basan en defensas estáticas: la solución es un servicio en evolución más que un software).
Las soluciones biométricas técnicas, como la detección de la vitalidad basada en la ciencia y la inteligencia activa sobre amenazas, ocuparán un lugar central en la identificación de medios sintéticos. Sin embargo, la investigación humana y la capacidad de pensamiento crítico siguen siendo esenciales a la hora de identificar posibles amenazas. La solución definitiva consiste en combinar los puntos fuertes de los humanos y la automatización para crear una solución infalible, como hace iProov, utilizando nuestra verificación biométrica de misión crítica con nuestras capacidades iSOC.
La pregunta "¿cómo podemos estar seguros de la identidad de alguien en Internet?" es un tema muy importante y serio, y no va a desaparecer.
Obtenga más información sobre cómo iProov defiende específicamente contra deepfakes en esta entrada de blog y lea nuestro informe, Deepfakes: La nueva frontera de la delincuencia en línea.
