Las pruebas de vida utilizadas por los bancos para verificar la identificación son «extremadamente vulnerables» a los ataques de deepfake

Las «pruebas de vida» automatizadas utilizadas por los bancos y otras instituciones para ayudar a verificar la identidad de los usuarios pueden ser fácilmente engañadas por deepfakes, demuestra un nuevo informe.

La empresa de seguridad Sensity, que se especializa en detectar ataques utilizando rostros generados por IA, investigó la vulnerabilidad de las pruebas de identidad proporcionadas por 10 de los principales proveedores. Sensity usó deepfakes para copiar una cara objetivo en una tarjeta de identificación para escanearla y luego copió esa misma cara en una transmisión de video de un posible atacante para pasar las pruebas de vida de los proveedores.

Las pruebas de vida generalmente le piden a alguien que mire a la cámara de su teléfono o computadora portátil, a veces girando la cabeza o sonriendo, para demostrar que es una persona real y comparar su apariencia con su identificación mediante el reconocimiento facial. En el mundo financiero, estos controles a menudo se conocen como KYC, o pruebas de «conozca a su cliente», y pueden formar parte de un proceso de verificación más amplio que incluye controles de documentos y facturas.

«Probamos 10 soluciones y descubrimos que nueve de ellas eran extremadamente vulnerables a los ataques deepfake», dijo el director de operaciones de Sensity, Francesco Cavalli. el borde.

“Hay una nueva generación de poder de IA que puede representar serias amenazas para las empresas”, dice Cavalli. “Imagina lo que puedes hacer con cuentas falsas creadas con estas técnicas. Y nadie es capaz de detectarlos”.

Sensity compartió la identidad de los proveedores empresariales con los que probó el borde, pero solicitó que los nombres no se publiquen por razones legales. Cavalli dice que Sensity firmó acuerdos de confidencialidad con algunos de los proveedores y, en otros casos, teme que haya violado los términos de servicio de las empresas al probar su software de esta manera.

Cavalli también dice que estaba decepcionado por la reacción de los proveedores, quienes no parecían considerar significativos los ataques. “Les dijimos ‘mira, eres vulnerable a este tipo de ataque’, y dijeron ‘no nos importa’”, dice. “Decidimos publicarlo porque creemos que, a nivel corporativo y en general, el público debe estar al tanto de estas amenazas”.

Los proveedores probados por Sensity venden estos cheques de vida a una variedad de clientes, incluidos bancos, aplicaciones de citas y nuevas empresas de criptomonedas. Incluso se utilizó un proveedor para verificar la identidad de los votantes en una elección nacional reciente en África. (Aunque no hay ninguna sugerencia en el informe de Sensity de que este proceso se haya visto comprometido por falsificaciones profundas).

Cavalli dice que tales suplantaciones de identidad profundamente falsas son principalmente un peligro para el sistema bancario, donde pueden usarse para facilitar el fraude. “Puedo crear una cuenta; Puedo mover dinero ilegal a cuentas bancarias digitales de billeteras criptográficas”, dice Cavalli. “O tal vez pueda pedir una hipoteca porque hoy en día las compañías de préstamos en línea compiten entre sí para otorgar préstamos lo más rápido posible”.

Esta no es la primera vez que se identifica a los deepfakes como un peligro para los sistemas de reconocimiento facial. Son principalmente una amenaza cuando el atacante puede secuestrar la transmisión de video de un teléfono o una cámara, una tarea relativamente simple. Sin embargo, los sistemas de reconocimiento facial que utilizan sensores de profundidad, como Face ID de Apple, no pueden dejarse engañar por este tipo de ataques, ya que verifican la identidad no solo en función de la apariencia visual, sino también de la forma física del rostro de una persona.