“Deepfakes”: La nueva frontera del delito financiero y cómo los bancos pueden protegerse

Latinoamérica -incluido Chile- vive un incremento de usuarios bancarios sin precedentes, fenómeno impulsado por la pandemia, y este avance ha llamado la atención de los estafadores. Incluso se estima que la quinta parte de los ingresos en línea en la región se pierden debido al fraude. La amenaza no consiste solo en hackeos masivos a algunos bancos -como ha ocurrido en Chile en varias ocasiones- sino que también a usuarios particulares.

En ese contexto, ha germinado con fuerza una nueva práctica, conocida como “deepfake”. Se trata de un registro de video, visual o de audio que ha sido distorsionado, manipulado o creado sintéticamente utilizando técnicas de aprendizaje profundo para representar a un individuo diciendo o haciendo algo que no dijo o hizo.

La inyección digital de medios sintéticos, como los deepfakes, es uno de los últimos métodos de ataque que utilizan los delincuentes para aprovechar la verificación facial del usuario y obtener acceso no autorizado a las aplicaciones bancarias.

iProov, en su reciente estudio sobre este tema, logró varios hallazgos significativos respecto de cómo operan estos ilícitos:

1. Los ataques de inyección digital son difíciles de detectar y altamente escalables, lo que los hace atractivos para los estafadores. Además, están siendo compartidos y probados desde varias partes del mundo, ya sea por la propia organización criminal o a través de una economía de delincuencia como servicio.
2. Todas las tecnologías de prueba de vida no son iguales. De hecho, muchas de estas soluciones no ofrecen defensa contra los ataques deepfake inyectados digitalmente. Una biometría única que asegure tanto la prueba de vida como que el usuario es una persona real, verificada en tiempo real, es esencial en la estrategia de defensa de los bancos contra las falsificaciones profundas.
3. Los humanos son ineficaces para detectar falsificaciones profundas. Aunque el 57% de los usuarios en el mundo cree que puede detectar con éxito un deepfake, la investigación de iProov muestra que solo el 24% lo hace de manera efectiva.

Por ejemplo, el delincuente usa una cámara basada en software para eludir la cámara de su propio dispositivo e inyecta una falsificación profunda de un usuario legítimo. La aplicación del banco en el dispositivo del delincuente cree que está recibiendo imágenes legítimas del dispositivo de la cámara. O cuando el delincuente manipula la aplicación en el dispositivo de un usuario. Puede hacerlo mediante el uso de malware o si el usuario desprevenido ha descargado una copia de la aplicación bancaria que parece genuina. El banco cree que está recibiendo imágenes del dispositivo del usuario, pero en cambio recibe imágenes sintéticas de la aplicación. Afortunadamente, estos ilícitos pueden ser detectados con tecnología.

Daniel Molina, Vicepresidente de iProov para América Latina, afirma que “la mayoría de la tecnología biométrica facial incorpora algún tipo de prueba de vida para verificar y autenticar a los clientes y determinar si el individuo que se presenta es un ser humano real y no un artefacto presentado. Por lo tanto, esta tecnología puede detectar un deepfake si se reprodujo en un dispositivo y se presentó a la cámara”.

El método más eficaz para defenderse de los ataques de inyección digital es crear un biométrico único con iProov Genuine Presence Assurance, con lo cual es posible identificar si un usuario es la persona correcta (no un impostor), una persona real (no un artefacto presentado) y genuinamente presente en el punto de autenticación (no un medio sintético inyectado digitalmente, por ejemplo, un deepfake).

Organizaciones líderes en todo el mundo utilizan iProov para reducir el riesgo de fraude de identidad, incluidos UBS, ING, Rabobank y Knab en el sector financiero y el Departamento de Seguridad Nacional de EE. UU., el Ministerio del Interior del Reino Unido, el Servicio Nacional de Salud y GovTech en Singapur en el sector gubernamental.