La transformación digital ha ampliado significativamente la forma en que las personas interactúan con los bancos y las empresas de servicios financieros. La tecnología ha hecho que la contratación desde el sofá de casa sea tan viable como hacerlo en una sucursal local.
Por un lado, el desarrollo de tecnologías de verificación y autenticación a distancia ha abierto la puerta a la banca en línea y a otras experiencias digitales más sencillas y cómodas para los particulares. Por otro lado, también ha aumentado la responsabilidad por fraude.
Además, la sofisticada tecnología con capacidad para crear identidades sintéticas en línea ha generado nuevos retos. Las falsificaciones profundas, los documentos de identidad sintéticos y los ataques de inyección digital han proporcionado a los ciberdelincuentes las herramientas necesarias para causar estragos a gran escala.
Para hacer frente a los defraudadores, los proveedores de servicios financieros deben reforzar sus flujos de trabajo de incorporación y autenticación con una tecnología de verificación eficaz y precisa.
Las nuevas tecnologías no reguladas introducen riesgos para la identidad sintética
Mientras que el robo de identidad tradicional va en aumento, representa 52.000 millones de dólares en pérdidas y afecta a 42 millones de adultos solo en Estados Unidos en 2021, los bancos también se enfrentan a una amenaza nueva y más complicada: el fraude de identidad sintética (SIF).
Mientras que el fraude de identidad tradicional suele basarse en el uso de información robada, el fraude de identidad sintético implica la creación de una "persona" -una identidad completamente nueva- que no existe mediante la mezcla de información de identificación personal (IIP) robada, ficticia o manipulada.
Cómo se crean las identidades sintéticas:
- Los estafadores crean un documento de identidad falso detallado. Esta información puede ser una mezcla de datos reales, robados y falsos; por ejemplo, un número de la Seguridad Social robado combinado con un nombre totalmente falsificado o una dirección ligeramente modificada.
- A continuación, crean imágenes sintéticas que coinciden con la foto del documento de identidad ilegítimo. Utilizarán esta combinación para intentar eludir el proceso de verificación de identidad de una organización.
Los estafadores suelen acumular algún tipo de historial crediticio o bancario como parte del proceso. Esto puede implicar, por ejemplo, que lleguen al máximo de sus líneas de crédito, lo que hace casi imposible que los bancos o las instituciones financieras sepan si estas personas se enfrentan simplemente a problemas financieros (por ejemplo, pérdida de empleo) o si se trata de un mal actor que está cometiendo actividades ilegales, hasta que es demasiado tarde.
Esta variante emergente del fraude trata específicamente de eludir los documentos de identidad y la tecnología de verificación biométrica -la norma actual para la verificación de la identidad digital- y es casi imposible de detectar únicamente mediante comprobaciones de datos (por ejemplo, verificando la identidad con una oficina de crédito). Combatir este tipo de fraude requiere un "doble golpe": un enfoque de verificación de documentos de identidad y tecnologías biométricas que trabajen conjuntamente para prevenir estos sofisticados tipos de amenaza.
¿Qué son las imágenes sintéticas? Por qué son cada vez más preocupantes las amenazas sintéticas, como la IA generativa y los deepfakes?
Como ya se ha mencionado, un método común para hacer que las identidades sintéticas parezcan reales es utilizar imágenes sintéticas. Los delincuentes pueden utilizar la tecnología para crear fotos o vídeos realistas que han sido manipulados digitalmente para sustituir el parecido de una persona por otra, o incluso para "crear" personas que no existen. La IA generativa y las falsificaciones profundas son herramientas enormemente poderosas para potenciar el éxito del fraude de identidad sintética.
Un deepfake es una grabación de vídeo que se ha distorsionado, manipulado o creado sintéticamente mediante técnicas de aprendizaje profundo para presentar una representación de alguien generada por IA, como una máscara digital. Algunas de las variaciones más sofisticadas de deepfakes son casi indistinguibles de un rostro real, incluido el movimiento natural de los ojos y la boca. El uso de la tecnología deepfake en el fraude de identidad sintética abarca desde los ataques de presentación hasta los ataques de inyección digital, que intentan eludir la verificación facial.
Los bancos de todo el mundo han adoptado rápidamente la verificación facial al considerarla el método más seguro para garantizar la identidad en línea, por encima de otros métodos más básicos, débiles e incómodos, como las contraseñas y las claves de acceso. La verificación facial se ha entrelazado con la experiencia de la banca digital, y según una encuesta de iProovel 64% de los consumidores de todo el mundo que utilizan la banca móvil ya utilizan la verificación facial para acceder a sus cuentas o lo harían si pudieran.
Por eso es esencial que cualquier solución de incorporación digital pueda vincular sólidamente las identidades digitales con las personas del mundo real. La solución Microblink-iProov confirma que una persona real está verificando su documento de identidad de confianza en tiempo real y que el documento no ha sido manipulado. De este modo se frustran las identidades sintéticas durante la incorporación, antes de que entren en el sistema.
Ataques de presentación frente a ataques de inyección digital
Hay una variedad de ataques de presentación que los delincuentes pueden desplegar para tratar de obtener acceso ilegal a la cuenta o los privilegios de un usuario. Además de intentar suplantar físicamente a un usuario real, los ataques de presentación también pueden consistir en acercar un artefacto a una cámara orientada hacia el usuario. Un actor malintencionado también podría crear un deepfake y luego mostrar ese vídeo, a través de otra pantalla, al dispositivo que completa la verificación facial.
Los ataques de inyección digital aprovechan el mismo nivel de tecnología deepfake pero implican que el estafador desvíe la alimentación del vídeo de verificación a una cámara basada en software, inyecte un deepfake en el flujo de datos de la aplicación o incluso aproveche un emulador para imitar un dispositivo de usuario.
El reciente informe de inteligencia sobre amenazas de iProov reveló que los ataques de inyección fueron cinco veces más frecuentes que los de presentación persistente en la web a lo largo de 2022. Es más, la detección de la vitalidad (es decir, las técnicas para determinar si la fuente de una muestra biométrica es un ser humano vivo o una representación falsa) es relativamente fiable a la hora de detectar los ataques de presentación tradicionales, lo que convierte a los ataques de inyección digital en el objetivo de los estafadores más hábiles.
Los deepfakes se vuelven aún más peligrosos cuando se emplean en ataques digitales inyectados, ya que pueden escalarse y automatizarse muy rápidamente para causar daños importantes.
Cómo combatir las imágenes sintéticas y los ataques de inyección digital
Aunque la mayor parte de la tecnología biométrica implica cierto nivel de detección de la vitalidad para verificar la identidad de una persona, la detección de la vitalidad por sí sola no puede detectar un ataque de inyección digital. Para combatir la combinación de falsificaciones profundas y ataques de inyección digital, las instituciones de servicios financieros necesitan un enfoque sólido y polifacético, que aproveche la creación de una biometría de un solo uso.
La solución de incorporación digital de Microblink e iProov utiliza tecnología biométrica de un solo uso para garantizar que cualquier persona que intente verificar su identidad lo hace en tiempo real y no mediante imágenes sintéticas.
¿Cómo? Iluminando el rostro de la persona con una secuencia única de colores que no puede reproducirse ni manipularse sintéticamente. Esto garantiza que el usuario se está autenticando en ese momento: no se trata de un ataque de presentación mediante una foto o una máscara, y tampoco es un ataque inyectado digitalmente mediante una repetición de una autenticación anterior o un vídeo sintético como un deepfake. También analiza información multidimensional derivada de la forma en que se comporta el rostro y cómo se refleja la luz en él, lo que puede descubrir imágenes sintéticas.
Las identificaciones sintéticas añaden complejidad y riesgo
Antes de la explosión de la banca en línea, el fraude de identidad tradicional tenía una escala limitada, con una persona que presentaba una identidad robada cada vez. El proceso era lento y la vigilancia de los empleados internos era clave para combatir el fraude y mitigar los riesgos.
Con las identificaciones sintéticas y el auge de las deepfakes, los defraudadores pueden ampliar el alcance de sus intentos, y hacerlo a un ritmo más rápido que nunca.
Las identificaciones sintéticas son especialmente peligrosas, ya que permiten la producción de innumerables "personas" que un estafador puede suplantar. En un ejemplo del informe de informe de iProovse lanzaron entre 200 y 300 ataques a escala mundial desde la misma ubicación en un periodo de 24 horas, en un intento indiscriminado de eludir los sistemas de seguridad de una organización.
Los ataques de los actores de las amenazas son cada vez más escalables y automatizados, y las imágenes sintéticas utilizadas para reforzar las verificaciones fraudulentas son cada vez más indistinguibles de la realidad para el ojo humano. Por eso las organizaciones necesitan las tecnologías biométricas y de verificación de documentos de identidad más avanzadas para combatir las amenazas.
Combatir las identificaciones sintéticas con un mejor escaneado de documentos de identidad
Ahora que los delincuentes combinan información real y fraudulenta para crear documentos de identidad sintéticos, ya no basta con un simple escaneado.
Ahí es donde puede sobresalir una captura, extracción y verificación de documentos de identidad basada en IA. Un enfoque basado en IA puede comprender el contexto completo del documento de identidad que está escaneando, proporcionando coherencia de datos y comprobaciones de validación en toda la información extraída, y buscando sistemáticamente defectos visuales o anomalías para proporcionar un mayor nivel de garantía.
Al adoptar un enfoque basado en datos que combina la inspección forense y no forense de diversos documentos de identidad, así como la detección de vitalidad que crea una biometría única, su empresa puede estar segura de que los documentos de identidad de los usuarios son auténticos.
Por último, la flexibilidad y el aprendizaje continuo de una solución basada en IA garantizan que pueda extraer y verificar una gran mayoría de tipos de identificación y variedades geográficas, lo que le asegura que no está sacrificando la flexibilidad y la experiencia del usuario final o la facilidad de uso en favor de la seguridad y la confianza.
La reducción de riesgos requiere los socios tecnológicos adecuados
La combinación de identidades sintéticas y sus correspondientes identificaciones, junto con las falsificaciones profundas, están introduciendo más riesgos en los procesos de incorporación digital para organizaciones de todos los tamaños en todos los sectores.
Sin una pila tecnológica que ayude a protegerse contra la sofisticación de estos métodos de fraude nuevos y mejorados, los riesgos para los proveedores de servicios financieros incluyen la pérdida de ingresos, la buena voluntad de los clientes y las sanciones reglamentarias.
Aprovechar las tecnologías de captura, extracción y verificación de documentos de identidad basadas en IA, como las que ofrece Microblink - junto con soluciones de escaneado biométrico único como iProov - permite una experiencia de incorporación digital más segura. La combinación de la seguridad y la flexibilidad de estas tecnologías probadas puede ayudar a combatir el creciente peligro de fraude financiero.
