La verificación remota de la identidad es uno de los desafíos más apremiantes de nuestra era cada vez más digital. Confirmar la identidad de una persona sin verla físicamente es una necesidad que sigue creciendo tanto en importancia como en dificultad.
Daniel Molina, vicepresidente de iProov para Latinoamérica, destacó la relevancia y complejidad de este problema: Entre las amenazas más insidiosas para la verificación remota de la identidad se encuentra el uso de deepfakes creados por IA generativa.
Los deepfakes no son intrínsecamente dañinos, pero pueden suponer importantes amenazas para la seguridad. “Dado que ahora es imposible distinguir de forma fiable entre las imágenes sintéticas y las imágenes reales con el ojo humano, la biometría impulsada por la IA se ha convertido en la defensa más sólida contra los deepfakes y, por tanto, en el único método fiable de verificación remota de la identidad”, dijo.
De hecho, aseguró Molina, combatirlos requiere una investigación continua y soluciones de misión crítica con una seguridad en evolución. La gente también valora la comodidad de la verificación biométrica facial: el 72% de los consumidores de todo el mundo prefieren la verificación facial por seguridad en línea. Sin embargo, a medida que avanza la tecnología biométrica, los actores maliciosos buscan métodos nuevos y más sofisticados para comprometer estos sistemas. “Es importante recordar que los deepfakes no son sólo una amenaza para la seguridad biométrica, sino para cualquier método de verificación remota de la identidad de un ser humano”, resaltó Molina.
La amenaza de los deepfakes: una mirada al interior del auge de esta tecnología
Según explicó Daniel Molina, al principio, los deepfakes eran solo una diversión inofensiva, con personas que creaban videos e imágenes con fines de entretenimiento. Sin embargo, cuando se combinan con intenciones maliciosas y herramientas de ataque cibernético, se transforman en amenazas siniestras. “Los deepfakes se han convertido rápidamente en una forma muy poderosa de lanzar ataques de ciberseguridad, difundir noticias falsas e influir en la opinión pública. Probablemente ya te hayas encontrado con un deepfake sin siquiera darte cuenta”, sostuvo Molina.
“La tecnología deepfake implica el uso de herramientas como las imágenes generadas por computador y la Inteligencia Artificial para alterar la apariencia y el comportamiento de alguien. Los algoritmos de aprendizaje automático trabajan para generar contenido sintético altamente realista para imitar comportamientos humanos, incluidas las expresiones faciales y el habla. Cuando se usa maliciosamente, esta tecnología se puede emplear para crear identidades falsas, imitar a personas y obtener acceso a ubicaciones seguras, por ejemplo”, señaló Molina.
Daniel Molina enfatizó que, debido a la sofisticación de la tecnología, el contenido deepfake a menudo parece muy realista para los humanos capacitados e incluso para algunas soluciones de verificación de identidad, lo que dificulta distinguir entre lo genuino y lo sintético. La rápida evolución de la IA significa que los deepfakes también evolucionan continuamente: no son una amenaza estática.
Para el vicepresidente de iProov para la Latinoamérica Daniel Molina, la verificación facial biométrica específicamente se ha convertido en el único método confiable de verificación de identidad remota, debido a que:
- Otros métodos biométricos no pueden verificar la identidad. Solo pueden autenticarlo. Esto se debe a que su voz, iris, etc., generalmente no aparecen en ninguno de sus documentos de identidad (a diferencia de su rostro). Por lo tanto, no tiene nada confiable para verificar los datos biométricos, no hay una fuente de verdad. Es posible en casos raros, tal vez una organización tenga acceso a los datos oficiales de huellas dactilares, por ejemplo. Pero no es escalable como lo es la verificación facial. Lo mismo ocurre con los métodos tradicionales, como las contraseñas y las OTPS (siglas en inglés de One-Time Password, conocidas como contraseñas dinámicas) que han fracasado por completo a la hora de mantener a los usuarios seguros en línea. No se puede estar 100% seguro de la identidad de alguien solo porque sabe algo (una contraseña) o posee algo (un teléfono con un código activado).
- La clonación impulsada por IA es una amenaza para todos los métodos biométricos. Una voz, por ejemplo, se considera la biometría más fácil de clonar.
Protección contra ataques de deepfake
Daniel Molina ofrece recomendaciones claves sobre las medidas que se pueden implementar para mitigar los riesgos asociados a los ataques de deepfakes:
- Biometría multimodal: La combinación de múltiples métodos biométricos, como la verificación facial y el escaneo de huellas dactilares, puede mejorar la seguridad al dificultar que los atacantes falsifiquen múltiples modalidades simultáneamente.
- Detección de vida: La implementación de comprobaciones de detección de vida basadas en la ciencia puede ayudar a diferenciar entre los datos biométricos reales y las representaciones sintéticas, como los deepfakes que carecen de signos vitales de vida.
- Monitoreo continuo: Los sistemas biométricos deben incorporar monitoreo continuo y detección de anomalías para identificar patrones inusuales que puedan indicar un ataque de deepfake. Las organizaciones deben adoptar técnicas avanzadas para adaptarse al panorama acelerado de las amenazas cibernéticas (no las que dependen de defensas estáticas: la solución es un servicio en evolución en lugar de un software).
Molina agrega además que las soluciones biométricas técnicas, como la detección de vida basada en la ciencia y la inteligencia activa de amenazas, ocuparán un lugar central en la identificación de medios sintéticos. Sin embargo, la investigación humana y las habilidades de pensamiento crítico siguen siendo esenciales cuando se trata de identificar amenazas potenciales. “La solución definitiva radica en combinar las fortalezas de los humanos y la automatización para crear una solución infalible, como lo hace iProov, utilizando la verificación biométrica de misión crítica con Capacidades iSOC (iProov’s Security Operations Center)”.
La pregunta de “¿Cómo podemos estar seguros de la identidad de alguien en línea?” es un tema extremadamente importante y serio, y no va a desaparecer.