16 de diciembre de 2025

iProov se une a las principales organizaciones de ciberseguridad y tecnología con contribuciones en la lucha contra las amenazas impulsadas por la inteligencia artificial.

 

LONDRES, Reino Unido – 17 de diciembre de 2025 – Hoy, iProov, proveedor líder mundial de soluciones de verificación de identidad biométrica basadas en la ciencia, ha anunciado que el escenario de ataque demostrado por el equipo interno Red Team de iProov ha sido publicado por MITRE ATLAS™, la base de conocimientos global que promueve la seguridad de la IA, la mitigación de amenazas, la solidez y la privacidad. El estudio de caso confirma una vulnerabilidad crítica y de alto riesgo en el proceso de verificación de identidad remota «Conozca a su cliente» (KYC), que expone a los usuarios de todo el mundo. 

La contribución de iProov, que incluye una resumen del procedimiento, demuestra cómo los ataques de inyección de imágenes con intercambio de rostros fácilmente disponibles pueden eludir el KYC móvil . El estudio de caso sitúa a iProov junto a las contribuciones de los principales líderes en ciberseguridad y tecnología, como Microsoft, NVIDIA, IBM, Intel, Cisco, Palo Alto Networks, Kaspersky, CrowdStrike y Trend Micro, que trabajan en colaboración para dar forma a las futuras herramientas y marcos de defensa.

«La fortaleza de MITRE ATLAS reside en la amplitud y la calidad de la comunidad que lo respalda. Las contribuciones de la industria, el mundo académico y el gobierno, que van desde los hallazgos del equipo rojo hasta los conocimientos operativos sobre amenazas, son esenciales para mejorar la precisión y la integridad de la base de conocimientos de MITRE ATLAS. Cuando las organizaciones comparten abiertamente datos y experiencia, mejoramos colectivamente la seguridad y la resiliencia de los sistemas habilitados por IA y de la nación», afirmó Doug Robbins, vicepresidente de MITRE Labs.

«En los últimos 12 meses hemos asistido a una explosión de vectores de ataque relacionados con la verificación de identidad, impulsada en gran medida por los avances en la IA generativa y la amplia disponibilidad de herramientas de bajo coste», afirma Andrew Newell, director científico de iProov. «La publicación de este último estudio de caso de MITRE ATLAS forma parte del proceso fundamental de identificar y documentar dichas metodologías. Es probable que el ritmo de evolución no haga más que aumentar, por lo que es esencial que todas las organizaciones examinen sin demora sus propias defensas contra estas nuevas tácticas».

Este estudio de caso confirma la importancia fundamental de que las organizaciones busquen proveedores que hayan sido sometidos a pruebas conforme a la reciente norma europea CEN 18099, que establece rigurosos protocolos de prueba contra ataques de inyección y representa un avance significativo en las normas de seguridad para la verificación remota de la identidad.

Comprender las vulnerabilidades

Esta validación por parte de MITRE pone de relieve una brecha de seguridad crítica en los sectores de servicios financieros, banca y criptomonedas, donde la verificación remota de la identidad es obligatoria para la incorporación y autenticación de los usuarios.

La investigación demuestra por qué las soluciones de actividad en vivo son especialmente vulnerables:

  • La detección activa de la presencia humana se basa en el análisis de artefactos de imagen y movimientos del usuario, algo que los sofisticados deepfakes generados por IA ahora pueden replicar de forma convincente.
  • Sustituir la cámara de un dispositivo móvil por una aplicación de cámara virtual permite a los atacantes eludir los controles de seguridad a nivel del dispositivo.

Resumen del ataque e impacto en el sector

El ejercicio de seguridad llevado a cabo por el director del equipo rojo de iProov, el Dr. Panos Papadopoulos, se centró específicamente en el crucial proceso de verificación de identidad conocido como «Conozca a su cliente» (KYC, por sus siglas en inglés), que se utiliza habitualmente en aplicaciones móviles de servicios financieros, banca y criptomonedas.

El procedimiento de ataque implicaba varios pasos complejos:

  1. Reconocimiento y desarrollo de recursos: El equipo rojo de iProov recopiló información sobre la identidad de los usuarios e imágenes faciales de alta definición de fuentes en línea. Obtuvieron Faceswap, una aplicación de escritorio que utiliza IA generativa para intercambiar rostros en un vídeo en tiempo real.
  2. Adquisición de herramientas: A continuación, utilizaron Open Broadcaster Software (OBS) para transmitir un vídeo. Lo más importante es que adquirieron Virtual Camera: Live Assist, una aplicación para Android que permite a los usuarios sustituir la imagen predeterminada de la cámara del dispositivo por una transmisión de vídeo, y que funciona correctamente en dispositivos Android originales y sin rootear.
  3. Generación de deepfakes: Utilizando las imágenes recopiladas de las víctimas, el Equipo Rojo utilizó Faceswap para producir vídeos deepfake en directo que imitaban la apariencia de las víctimas.
  4. Acceso inicial y evasión: Durante la fase de verificación de identidad en una aplicación de servicios financieros, el equipo transmitió la señal de vídeo deepfake utilizando OBS y la aplicación Virtual Camera. Este método logró evadir con éxito el sistema de verificación de vida. 
  5. Suplantación de identidad: Esta evasión permitió al Dr. Panos Papadopoulos autenticarse con una identidad ficticia, lo que demuestra que los adversarios podían acceder a los sistemas privilegiados de las víctimas o crear cuentas falsas en aplicaciones bancarias o de criptomonedas, lo que provocaba importantes pérdidas económicas.

La importancia de la verificación continua y las normas avanzadas

 La contribución de iProov, publicada por MITRE ATLAS, proporciona una validación independiente y externa de las vulnerabilidades críticas en los sistemas móviles de verificación de identidad KYC. Esta investigación valida la importancia de ir más allá de la vulnerabilidad que supone la falta de cumplimiento de los requisitos de detección de vida. La reciente norma europea CEN 18099, que establece rigurosos protocolos de prueba para la detección de vida, representa un avance significativo en las normas de seguridad biométrica.

Llamada a la colaboración

El trabajo realizado por el equipo rojo de iProov informa a los analistas de seguridad y a los desarrolladores de IA de todos los sectores sobre las amenazas reales a los sistemas basados en IA, lo que permite realizar evaluaciones de amenazas más fundamentadas y crear equipos rojos internos más eficaces. MITRE fomenta la colaboración entre el gobierno, la industria y el mundo académico para ayudar a configurar el desarrollo futuro de herramientas y marcos en materia de seguridad de la IA, mitigación de amenazas, solidez, privacidad y otros aspectos críticos de la garantía de la IA.

Acerca de MITRE ATLAS™

El marco MITRE ATLAS™ (Adversarial Threat Landscape for AI Systems, Panorama de amenazas adversarias para sistemas de IA) es una base de conocimientos viva y accesible a nivel mundial sobre tácticas y técnicas adversarias basadas en ataques reales, inspirada en el reconocido marco MITRE ATT&CK®. Caso práctico de iProov: «La inyección de deepfakes elude la verificación de autenticidad KYC móvil» y está aprobado para su divulgación pública; distribución ilimitada (número de caso 21-2363). MITRE ATLAS™ y MITRE ATT&CK® son marcas comerciales y marcas registradas de The MITRE Corporation.

20251103 Q4 Amenaza Intel Comunicado de prensa 16x9 v2 2 1
Índice

Seguir leyendo

No se ha encontrado nada