Fraude de identidad: la creciente amenaza de la IA

¿Por qué son los deepfakes una amenaza en términos de fraude en línea?

Como consumidores, cada vez más esperamos acceso remoto 24/7 a una amplia gama de negocios. Pero la rápida migración de gran parte de nuestras vidas en línea, impulsada en parte por la pandemia de COVID, ha tenido el efecto no deseado de crear nuevas oportunidades para los estafadores

“Si miramos lo que ha sucedido en los últimos tres a cinco años, hemos visto esta masiva digitalización de servicios que antes eran muy tradicionales, muy de ladrillo y mortero”, dice David. “Lo que eso significa es que de repente tienes un conjunto de actores muy tradicionales, con procesos muy tradicionales y bien establecidos, que tienen que moverse rápidamente al espacio digital.”

Como señala David, a los criminales les encantan los nuevos procesos, ya que su novedad significa que aún no han sido completamente estresados 'en el campo' y, por lo tanto, son más vulnerables a las debilidades. En teoría, muchas de estas debilidades pueden ser 'diseñadas', pero la velocidad de la digitalización significa que esto a menudo no sucede.

Uno de los problemas clave para muchas actividades en línea, desde la banca, pagos, atención médica y servicios gubernamentales hasta el alquiler de autos y juegos, es la necesidad de verificar la identidad del usuario que intenta llevar a cabo una transacción.

“A medida que todos estos servicios se han digitalizado, los estafadores han encontrado que una de las debilidades que pueden explotar es poder manipular o mejorar digitalmente esta parte de verificación de identidad”, dice David.

Nuestra investigación para el Informe de Fraude de Veriff 2024 encontró que casi un tercio de los medios alterados que hemos encontrado en el último año involucraron manipulación digital. Esa es una cifra que solo esperamos que aumente a medida que la tecnología deepfake se vuelva más barata y más accesible.

Maarten coincide en que el uso de deepfakes en el fraude de identidad solo puede crecer.

“El umbral para crearlos será cada vez más bajo a medida que estas tecnologías sean más fáciles de acceder”, comenta. “Así que no solo serán ataques estatales o criminales muy profesionales, sino que serán todos, cada niño script podrá usar esas herramientas muy rápidamente.”

Uso de biometría en un ecosistema integral de prevención de fraudes

La creciente regularidad y escala de las violaciones de datos han resaltado los problemas con los métodos tradicionales de verificación de identidad basados en contraseñas o conocimiento. La búsqueda de mejores medios de autenticación ha llevado a que se promocionen las biometrías como algo casi milagroso. Sin embargo, la creciente calidad de la tecnología deepfake significa que al adoptar biometrías es importante ser consciente de los riesgos y deben usarse con datos adicionales.

“Es una forma obvia de asegurar una cuenta”, comenta David. “Pero a medida que los deepfakes se vuelven cada vez más sofisticados, definitivamente tenemos que pensar en el riesgo que esto representa para asegurar una cuenta con un rostro, o incluso una voz.”

"[...] el desafío para nosotros, como industria, es utilizar las mismas tecnologías, pero de manera un poco más inteligente y un poco más rápida [...] tratando de mantener el ritmo con los malos." agregó Maarten.

Como actores de la industria, particularmente aquellos con una visión global en nuestro campo, podemos identificar no solo organizaciones criminales individuales o tipos de ataques, sino que podemos analizarlos colectivamente. Como resultado, podemos desarrollar herramientas que capitalicen conjuntos de datos amplios que abarquen diversas amenazas.

Los documentos de identidad también podrían ser vulnerables a la manipulación basada en IA

La empresa de Maarten, Inverid, se especializa en el uso de tecnología de comunicación de campo cercano (NFC) para verificar la identidad a través de documentos basados en chips como pasaportes y cédulas. Él dice que, afortunadamente, la IA generativa aún no se ha utilizado en gran medida para falsificar documentos oficiales, pero eso podría cambiar fácilmente

“Hicimos algunas pruebas recientemente y las herramientas aún no están allí. Así que claramente, ya seas humano o un algoritmo, verás que eso es una falsificación, porque creo que ha habido menos atención en eso. Pero el potencial de esa tecnología ciertamente está allí.”

David coincide en que para los documentos falsos generados por IA, no es un cuestión de si, sino de cuándo aparecerán.

“Creo que, absolutamente, habrá redes que se entrenen con imágenes de documentos reales y que sean capaces de reproducirlas con los datos que requieres muy fácilmente”, dice él.

Ataques automatizados y modelos combativos

Si todo esto suena un poco aterrador, la mala noticia es que el fraude de identidad impulsado por IA todavía está en su infancia. A medida que el uso de IA por parte de los criminales evoluciona, los ataques crecerán tanto en escala como en sofisticación

“Una de las predicciones que tengo para el futuro cercano es la combinación de datos (robados) que se pueden comprar y vender en Internet con tecnología de IA para permitir que los estafadores automaticen estos ataques”, dice David. “Así que tienes mil credenciales de identidad. Tienes un generador de selfies y documentos deepfake. Los juntas en la mezcla y los alimentas a través de una API a un objetivo – incluso si solo obtienes un pequeño porcentaje de éxito, es una forma muy barata de atacar a los clientes”

Maarten coincide en que la capacidad de automatización para facilitar ataques es una gran preocupación.

“Creo que especialmente la escalabilidad se vuelve un problema”, dice. “Supongamos que no somos lo suficientemente ágiles, no podemos entrenar nuestras redes lo suficientemente rápido para contrarrestarlos. Entonces, por supuesto, estaremos en grandes problemas.”

Abordar el fraude basado en IA implicará un enfoque por capas

“La cosa que aprendes una y otra vez es que no hay bala de plata, la única pieza de cualquier cosa que pueda detener todos los tipos de fraude”, dice David

En cambio, dice, el mejor enfoque es combinar capas de defensa que juntas creen suficiente fricción para desalentar ataques

“Se trata de reducir el ROI para el estafador poniendo muchas barreras en su camino.”

Accede al Informe de Fraude de Veriff 2024, aquí.