17 de septiembre de 2025

El equipo de inteligencia sobre amenazas de iProovel proveedor líder mundial de soluciones de verificación de identidad biométrica basadas en la ciencia, ha descubierto una herramienta altamente especializada diseñada para realizar ataques avanzados de inyección de vídeo, lo que supone una escalada significativa en el fraude de identidad digital. La herramienta se despliega a través de dispositivos con jailbreak iOS 15 o posterior y está diseñada para eludir los sistemas de verificación biométrica débiles y, lo que es más importante, para explotar los procesos de verificación de identidad que carecen por completo de salvaguardias biométricas. Esta novedad señala un cambio hacia métodos de ataque más programáticos y escalables.

El descubrimiento es especialmente significativo, dado el presunto origen chino de la herramienta. Surge en medio de las crecientes tensiones geopolíticas en torno a la soberanía tecnológica y la seguridad de las cadenas de suministro digitales. Los gobiernos se centran cada vez más en mitigar los riesgos Los gobiernos se centran cada vez más en mitigar los riesgos que plantea la tecnología de países no aliados, por lo que la aparición de una herramienta de ataque sofisticada como esta es una cuestión de interés para la seguridad nacional.

Los ataques de inyección digital son métodos sofisticados en los que se insertan imágenes maliciosas directamente en el flujo de datos de vídeo en lugar de presentarlas a una cámara. En el caso de esta herramienta concreta, el proceso se desarrolla en varias etapas:

Cómo funciona el ataque de inyección de vídeo de iOS

  1. Requisito previo: El grupo de amenazas afirma que el ataque utiliza un dispositivo iOS 15 o posterior con jailbreak, al que se le han eliminado las restricciones de seguridad nativas de Apple, lo que permite realizar profundas modificaciones en el sistema.
  2. Conexión: El atacante utiliza un servidor de Mecanismo de Transferencia de Presentación Remota (RPTM) para conectar su ordenador al dispositivo iOS comprometido.
  3. Inyección: La herramienta inyecta sofisticados deepfakes -una forma de medios sintéticos creados con IA generativa- desde el ordenador directamente en el flujo de vídeo del dispositivo. Esto puede incluir intercambios de caras, en los que la cara de una víctima se superpone a otro vídeo, o recreaciones de movimiento, en las que una imagen estática se anima utilizando los movimientos de otra persona.
  4. Bypass: Este proceso elude por completo la cámara física, engañando a una aplicación del dispositivo para que crea que el vídeo fraudulento es una transmisión en directo y en tiempo real.
  5. Engaño: El deepfake se inyecta en la aplicación para la verificación de identidad, lo que permite al estafador hacerse pasar potencialmente por un usuario legítimo o crear una identidad sintética

"El descubrimiento de esta herramienta para iOS supone un avance significativo en el fraude de identidad y confirma la tendencia de los ataques industrializados", declaró Andrew Newell, Director Científico de iProov. "El presunto origen de la herramienta es especialmente preocupante y demuestra que es esencial utilizar una capacidad de detección de actividad que pueda adaptarse rápidamente. Para combatir estas amenazas avanzadas, las organizaciones necesitan controles de ciberseguridad multicapa informados por inteligencia de amenazas del mundo real -el tipo analizado por el Centro de Operaciones de Seguridad iProov (iSOC)- combinada con biometría basada en la ciencia y una capacidad de detección de liveness que pueda adaptarse rápidamente para garantizar que un usuario es la persona correcta, una persona real, autenticándose en tiempo real."

Un enfoque defensivo a varios niveles

La aparición de ataques de inyección de vídeo hace que los métodos tradicionales de verificación de identidad sean insuficientes. Para combatir esta amenaza, las organizaciones deben implementar un enfoque de defensa multicapa que confirme simultáneamente:

  • La persona correcta: Cotejar la identidad presentada con documentos oficiales/base de datos para confirmar que el usuario es quien dice ser.
  • Una persona real: Uso de imágenes incrustadas y análisis de metadatos para detectar medios maliciosos y verificar que el usuario es una persona real, no una falsificación física o digital.
  • En tiempo real: Empleando una interacción desafío-respuesta única y pasiva para garantizar que la verificación se está produciendo en directo y no se trata de un ataque de repetición.
  • Detección y respuesta gestionadas: Combinación de tecnologías avanzadas con experiencia humana para la supervisión continua, la respuesta a incidentes y la caza proactiva de amenazas. Esto incluye el aprovechamiento de habilidades especializadas para realizar ingeniería inversa de posibles escenarios de ataque y construir defensas para mitigarlos.

Este enfoque multicapa hace exponencialmente más difícil para los atacantes falsificar con éxito los sistemas de verificación de identidad. Incluso los ataques más avanzados tienen dificultades para derrotar simultáneamente todas estas medidas de seguridad y mantener al mismo tiempo las características naturales de la interacción humana genuina.

20250827 MP 353 Q3 Comunicado de prensa sobre amenazas v2 escalado
Índice

Seguir leyendo

No se ha encontrado nada