14 de diciembre de 2022
Un video deepfake de FTX ex CEO Sam Bankman-Fried (SBF) ha circulado en Twitter - estafadores que buscan robar fondos de los usuarios. de la bolsa de criptomonedas colapsadaatraía a los espectadores a un sitio web en el que supuestamente podían ser compensados por sus pérdidas enviando criptofichas y recibiendo el doble a cambio.
Los estafadores, tomando viejas grabaciones de entrevistas de Bankman-Fried, utilizaron un emulador de voz para capturar su parecido. Esta no es la primera vez que se utiliza un deepfake para estafar a la industria de las criptomonedas. En julio de 2022, una sofisticada estafa con tecnología deepfake consiguió drenar liquidez de la criptobolsa brasileña BlueBenx, haciéndose pasar por el director de operaciones de Binance.
El reciente deepfake de alto perfil de SBF es la punta del iceberg. Los delincuentes tienen ahora acceso a la tecnología y los medios para crear deepfakes increíblemente realistas y convincentes. Y están utilizando estos deepfakes para lanzar ataques a gran escala contra organizaciones y sus usuarios en todo el mundo.
Este artículo lo hará:
- Mira cómo los delincuentes están utilizando deepfakes para atacar a las organizaciones
- Examinar si los humanos pueden detectar con éxito los deepfakes
- Recomendar los pasos que pueden dar las organizaciones para defenderse de la creciente amenaza deepfake.
¿Cómo se utilizan los deepfakes para atacar a las organizaciones?
Videoconferencias
La pandemia mundial aceleró la transición de las actividades presenciales a las remotas. Gracias a ello, el mercado de la videoconferencia ha auge y se espera que siga creciendo. Ahora que muchas organizaciones se comunican con colegas, usuarios y candidatos a puestos de trabajo a distancia, los delincuentes utilizan deepfakes para explotar este canal.
Lo hacen de varias maneras. Por un lado, se están utilizando deepfakes para mejorar el tradicional BEC (Business Email Compromise), también conocido como fraude al CEO. El BEC es un ataque de ingeniería social muy selectivo en el que los delincuentes se hacen pasar por el líder de una organización para convencer al personal de que ejecute acciones, como realizar pagos, cambiar la nómina y divulgar información confidencial. Al imitar los rostros y las voces de las personas durante las videollamadas, los deepfakes pueden hacer que las estafas BEC sean mucho más convincentes.
Pero eso no es todo. En 2022, el FBI advirtió de que los deepfakes también se están utilizando para solicitudes de empleo fraudulentas para puestos tecnológicos remotos. Lea más sobre cómo se utilizan las deepfakes en las estafas de trabajo a distancia aquí.
Verificación facial
La verificación facial biométrica permite a los usuarios verificar su identidad y acceder a un servicio en línea escaneando un documento de identidad oficial y su rostro. A continuación, pueden utilizar su rostro cada vez que deseen autenticarse y volver al servicio.
La verificación facial automatizada es un medio altamente seguro y utilizable de verificación de identidad para la incorporación. Otros métodos remotos, como las videollamadas de personal a usuario, requieren recursos costosos y corren el riesgo de cometer errores humanos. Asimismo, como método de autenticación, la verificación facial ofrece a las organizaciones la oportunidad de ir sin contraseña y resuelve los problemas de seguridad y usabilidad que conlleva Autenticación OTP.
Sin embargo, como el ha aumentado el uso de la verificación facialSin embargo, los malos actores han ideado nuevas formas de burlar estos sistemas para obtener acceso no autorizado a los servicios en línea. Uno de estos métodos es la creación y el uso de deepfakes. A continuación, exploraremos las formas en que los delincuentes intentan conseguirlo.
¿Cómo utilizan los delincuentes las falsificaciones para aprovecharse de la verificación facial?
Presentación Ataques
Un ataque de presentación consiste en mostrar un artefacto a la cámara que mira hacia el usuario para hacerse pasar por un cliente legítimo del banco e intentar falsificar la secuencia de autenticación facial. Estos artefactos pueden adoptar la forma de imágenes estáticas, vídeos (por ejemplo, repeticiones de intentos de autenticación anteriores) y máscaras de alta calidad. Un vídeo deepfake reproducido en un dispositivo y sostenido delante de la cámara es otro ejemplo de ataque de presentación.
Los deepfakes presentados pueden ser realistas y convincentes. Una pantalla no reflectante en una pantalla retina hace que las imágenes parezcan extremadamente nítidas, de modo que los píxeles no son visibles a simple vista o a distancia. Para defenderse de los ataques de presentación, incluidas las falsificaciones profundas presentadas, los sistemas biométricos de verificación facial deben incorporar la detección de vitalidad, que analizaremos más adelante.
Ataques de inyección digital
Las imágenes inyectadas digitalmente permiten a los delincuentes inyectar deepfakes, ya sean de individuos sintéticos o auténticos, directamente en el flujo de datos o en el proceso de autenticación.
Ataques de inyección digital son la forma más peligrosa de amenaza porque son más difíciles de detectar que los ataques de presentación y pueden reproducirse rápidamente. No llevan ninguna de las pistas que llevan los artefactos cuando se presentan a la cámara, lo que hace que los ataques más sofisticados sean difíciles de distinguir para los sistemas y casi imposibles para los humanos.
Estos ataques también son mucho más escalables. El proceso de crear un deepfake y presentarlo a una cámara puede ser eficaz, pero tiene un alcance limitado. El delincuente solo puede hacerlo de uno en uno.
Los ataques de inyección digital, en cambio, pueden ejecutarse desde el ordenador de un atacante. O pueden realizarse utilizando mil dispositivos clonados en un centro de datos operado por una red criminal.
¿Se puede confiar en los humanos para detectar las falsificaciones?
El deepfake de SBF fue objeto de burlas por su mala calidad. Algunos usuarios de Twitter se dieron cuenta de que no era un vídeo real. Sea como fuere, la investigación ha demostrado que los humanos son totalmente ineptos para detectar deepfakes, especialmente cuando son de cierta calidad.
En un estudio realizado por la Instituto de Investigación IDIAPSe mostró a los participantes deepfakes cada vez más convincentes intercalados con vídeos reales y se les preguntó si la cara de la persona del vídeo era real o falsa. Sólo el 24% de los participantes detectó correctamente una deepfake "bien hecha".
A pesar de que las investigaciones demuestran lo contrario, los humanos confían injustificadamente en su capacidad para detectar con éxito las deepfakes. En una encuesta reciente realizada por iProov, el 57 % de los consumidores confiaba en poder distinguir entre un vídeo real y una imagen sintética.
La incapacidad humana para distinguir entre una persona real y una deepfake plantea un problema a las organizaciones que realizan verificación de identidad por videoconferencia. Se trata de una confianza equivocada, ya que el ojo humano puede ser falsificado fácilmente. Las organizaciones tienen pocas garantías de que los usuarios a los que conceden acceso a un servicio en línea por videoconferencia sean realmente reales y no una falsificación. Se necesita software especializado para ofrecer este nivel de seguridad.
¿Cómo pueden las organizaciones defenderse de la amenaza Deepfake?
Detección de actividad
La detección de la vitalidad se incorpora a los sistemas de verificación facial y autenticación para distinguir si el individuo que afirma su identidad es una persona de la vida real y no un artefacto presentado.
Un sistema de verificación facial puede conseguirlo de varias maneras. Una es pedir al usuario que realice acciones, como leer una secuencia de caracteres en voz alta o parpadear o mover la cabeza. Sin embargo, los deepfakes pueden codificarse para hacer estas cosas igual de bien. También plantea algunos problemas cuestiones relativas a la accesibilidad y la inclusión.
Otro enfoque consiste en detectar la liveness de forma pasiva: es decir, sin dar instrucciones al usuario para que realice acciones y utilizando en su lugar pistas de las imágenes para distinguir entre lo real y lo falso. De este modo, la tecnología hace el trabajo por el usuario de forma intuitiva.
Por tanto, la tecnología de detección de actividad puede detectar una deepfake si se utiliza como parte de un ataque de presentación. Pero, como ya se ha mencionado, los delincuentes tienen ahora la capacidad de inyectar deepfakes directamente en el flujo de datos, eludiendo por completo el sistema de autenticación.
Biometría única
Para los casos de alto riesgo, como la apertura de una nueva cuenta o la transferencia de una gran suma de dinero, la mayor parte de la tecnología de detección de liveness no ofrece un nivel de seguridad suficientemente alto. Las falsificaciones profundas pueden emular a una persona que se verifica a sí misma, algo que algunas tecnologías de detección de liveness no pueden detectar. Se necesitan métodos avanzados para protegerse contra los tipos de amenazas avanzadas.
Una biometría única que garantice tanto la vitalidad como que el usuario es una persona real, verificada en tiempo real, es esencial en la estrategia de defensa de una organización contra las falsificaciones profundas.
Una biometría de un solo uso es un método de autenticación que tiene lugar en tiempo real para garantizar que un usuario está "vivo" y realmente presente. Una biometría de un solo uso no se repite nunca en la vida de un usuario y tiene una duración limitada, que no puede reutilizarse ni recrearse y carece de valor en caso de robo.
Una forma de conseguirlo con un dispositivo estándar es utilizar la pantalla para proyectar una iluminación controlada sobre la cara del usuario y crear un único dato biométrico. Una vez utilizada, no puede ser reproducida por una persona que intente utilizar una autenticación anterior para falsear el sistema.
Otra ventaja es que si te lo roban, no vale para nada porque es único y queda obsoleto en cuanto se usa.
Solicite una demostración aquí para descubrir cómo iProov utiliza la detección de actividad y la biometría de un solo uso para garantizar que un usuario es la persona correcta, una persona real y que está realmente presente en el momento de la autenticación.