Deepfakes: lo que las empresas deben saber para prevenir el fraude con deepfakes

La IA generativa puede utilizarse para crear identidades sintéticas o automatizar ataques de ingeniería social. Esta evolución en la calidad y el alcance de los ataques se ha traducido en un incremento del riesgo para las instituciones financieras.

Comprender cómo los estafadores pueden utilizar la IA generativa es clave para evitar que los deepfakes atraviesen tus medidas de seguridad y para que puedas proteger a tu empresa y a tus clientes. Aunque la tecnología es compleja, el reto fundamental sigue siendo el mismo: conservar la confianza de tus clientes mientras detienes intentos de fraude cada vez más sofisticados.

En un reciente incidente, una empresa de ingeniería británica perdió más de 22 millones de euros debido a un ataque con deepfake generados con IA para hacerse pasar por el CFO de la compañía y solicitar ayuda con una transacción "confidencial" de otra empresa.

La estafa fue tan elaborada que incluyó incluso una videollamada con otros empleados falsificados mediante IA. Este es solo un ejemplo del nivel de sofisticación que ha alcanzado el fraude con deepfakes.

A medida que estas herramientas se vuelven más sofisticadas y accesibles, es posible crear fraudes cada vez más convincentes. Este artículo explora algunas de las últimas tácticas de fraude con IA generativa, cómo afectan a la verificación y autenticación de la identidad, y cómo las organizaciones pueden reforzar sus defensas.

¿Qué son los deepfakes?

Los deepfakes son contenidos multimedia sintéticos generados por IA que replican la apariencia, la voz y el comportamiento humano con una precisión cada vez mayor. Utilizando modelos de aprendizaje conocidos como Redes Generativas Antagónicas (GANs), se pueden crear imitaciones altamente realistas capaces de desafiar sistemas avanzados de verificación.

Tipos de deepfakes

Estos ataques pueden adoptar diversas formas y explotar vulnerabilidades en cada paso del proceso de verificación de la identidad del usuario.

Video deepfakes:

Son una amenaza especialmente para la verificación de la identidad no presencial. Pueden imitar movimientos faciales, expresiones e incluso responder preguntas de seguridad. Al dirigirse a procesos de apertura de cuentas o verificación por video, estos deepfakes pueden burlar los métodos tradicionales de pruebas de vida que no son capaces de identificar contenido generado por IA. Este tipo de ataques puede causar un daño significativo a la reputación y la marca de una empresa.

Deepfakes con imagen

Utilizando GANs, los estafadores pueden generar fotos de identificación sintéticas o modificar documentos existentes, creando documentos de identidad falsos que pueden superar las verificaciones automatizadas de documentos.

Síntesis de voz

Los atacantes pueden clonar voces disponiendo de tan solo unos minutos de audio de muestra. Después pueden emplear esta técnica en ataques de vishing (phishing por voz), suplantando a clientes o directivos de la empresa para autorizar transacciones fraudulentas o acceder a sistemas internos.

Estas técnicas pueden utilizarse para atacar múltiples momentos durante el proceso del cliente, incluyendo el fraude en la apertura de cuentas, en el que los estafadores emplean identidades sintéticas con videos o imágenes deepfake para superar la verificación. También pueden emplearse en la toma de control de cuentas mediante ataques de inyección o sofisticados esquemas de phishing y en la autorización de transacciones fraudulentas mediante la suplantación de clientes o empleados.

El fraude con deepfakes representa una amenaza crítica en múltiples niveles: no solo en la creación y el acceso a cuentas, sino también en la desinformación mediante deepfakes de ejecutivos de empresas o figuras públicas (incluso celebridades). Además, los deepfakes pueden ser utilizados para suplantar empleados o socios comerciales y obtener acceso no autorizado a sistemas internos.

Como puedes comprobar en el siguiente video, es muy sencillo crear deepfakes realistas

Por qué los deepfakes son una amenaza para la seguridad

El impacto financiero del fraude con deepfakes ya es significativo. Un informe reciente del Banco de la Reserva Federal de Boston citó un estudio que estima que el fraude con identidades sintéticas causó pérdidas de 18.200 millones de euros solo en Estados Unidos. Además, el coste medio de un ataque exitoso con deepfake en una empresa supera los 400.000 euros y puede ascender a más de 540.000 euros en el sector financiero (fuente: Deepfake Fraud Costs the Financial Sector an Average of $600,000 for Each Company, Regula’s Survey Reveals | Business Wire), considerando tanto las pérdidas directas como los costes de remediación.

Algunos incidentes recientes destacan la sofisticación de estos ataques. Además del caso de los 22 millones de euros mencionado anteriormente, hay múltiples ejemplos a nivel mundial, como otro caso en Shanxi, China: un empleado financiero transfirió 1,86 millones de yuanes tras una videollamada con un deepfake de su jefe. También se han registrado casos en el sector energético y en la industria de criptomonedas, en la que han sido empleados deepfakes para engañar a inversores y empleados.

La creación de identidades sintéticas mediante deepfakes está permitiendo que los estafadores abran cuentas falsas a gran escala. Esto ha llevado a muchas instituciones financieras a replantear por completo sus procesos de onboarding digital y verificación de identidad.

Las entidades financieras también se enfrentan a problemas legales y normativos, como la necesidad de demostrar la capacidad de detectar y prevenir ataques de medios sintéticos como parte de sus obligaciones de cumplimiento para evitar sanciones normativas y auditorías obligatorias. 

Descargar ebook

Cómo prevenir los deepfakes: herramientas y tecnología

El fraude con deepfakes es una amenaza que evoluciona rápidamente, lo que requiere tecnologías de detección que no solo se mantengan a la par, sino que también aborden los métodos cada vez más sofisticados empleados por los estafadores. Mediante el uso de análisis avanzados de IA, verificaciones multicapa y monitoreo proactivo, las empresas pueden construir sólidas defensas diseñadas para combatir estas amenazas complejas. Sin embargo, estas tecnologías deben trabajar en conjunto para contrarrestar las estrategias altamente adaptables utilizadas por los delincuentes.

Las organizaciones deben desplegar tecnologías de detección que no solo igualen, sino que superen la sofisticación de las herramientas de los estafadores. Es imprescindible encontrar un proveedor fiable con un historial comprobado en tácticas emergentes de fraude y que cuente con el talento, las herramientas y la tecnología adecuados para construir soluciones escalables. La detección actual de deepfakes requiere un enfoque múltiple que combine análisis biométrico, monitoreo impulsado por IA y protocolos de verificación sólidos para crear una defensa integral contra amenazas emergentes.

Soluciones de detección basadas en IA

Los modelos avanzados de IA pueden detectar inconsistencias sutiles que los observadores humanos podrían pasar por alto. Por ejemplo, los estafadores pueden grabar una réplica casi perfecta de la voz de alguien o crear un video con imágenes altamente realistas, engañando incluso a personas entrenadas para detectarlos. Para identificar estos deepfakes, los sistemas de detección emplean múltiples capas de análisis que permiten detectar hasta las más mínimas anomalías y enviar alertas por sospecha de fraude.

• Análisis visual y reconocimiento de patrones: en el análisis visual, sofisticados algoritmos biométricos examinan las imágenes píxel a píxel, buscando indicadores de manipulación. Las redes neuronales entrenadas con extensos conjuntos de datos pueden identificar manipulaciones específicas comunes en contenido generado por GAN, alteraciones visibles o marcas de agua presentes en muchos deepfakes. Los modelos de aprendizaje profundo pueden analizar características faciales para detectar movimientos no naturales, patrones de parpadeo inconsistentes y microexpresiones incorrectas. Además, los algoritmos de visión por computadora pueden identificar inconsistencias en la iluminación, sombras y reflejos en el contenido de video.

• Autenticación de audio: en una forma de autenticación de audio, los sistemas de detección de vida en la voz analizan múltiples aspectos del habla, como el tono y la frecuencia, buscando pistas sutiles que indiquen si el contenido es real o manipulado. Las técnicas avanzadas de análisis forense de audio también pueden analizar la parte no verbal del audio, incluyendo la consistencia del ruido de fondo, la coincidencia del entorno acústico, la alineación temporal entre el audio y el video, y el uso de análisis del espectro de frecuencias para identificar manipulaciones sintéticas.

• Detección de ataques con plantillas: los estafadores están utilizando cada vez más la IA para generar plantillas de documentos de identidad altamente convincentes que replican fielmente documentos legítimos. Estas plantillas incluyen hologramas precisos, fuentes y otras características de seguridad, lo que las hace difíciles de distinguir de los documentos auténticos. Los mecanismos de detección abordan estos desafíos analizando patrones de comportamiento fraudulento. Los sistemas monitorean el uso repetido de información personal idéntica, retratos duplicados y fondos de imágenes consistentes en múltiples intentos. El cruce de rostros con bases de datos conocidas de fraude mejora aún más la capacidad de identificar ataques recurrentes y plantillas emergentes generadas por IA.

• Detección de ataques de inyección: las imágenes o videos deepfake pueden explotar sistemas de verificación de identidad al ser inyectados mediante cámaras virtuales o emuladores. Estos sofisticados ataques imitan la apariencia de una persona en vivo durante el proceso de verificación, engañando a los sistemas para que aprueben identidades fraudulentas. Para contrarrestar estas amenazas, los sistemas de detección analizan tanto el contenido digital como los flujos de datos utilizados durante el proceso de verificación, buscando signos de manipulación o alteración. Técnicas como la detección de cámaras virtuales, la detección de resoluciones sospechosas y la identificación de fotogramas duplicados se implementan para bloquear intentos de inyección fraudulentos, asegurando la integridad y seguridad del sistema.

• Forense digital: la tecnología Digital Fraud Defender emplea técnicas forenses sofisticadas para la detección de deepfakes. Esto incluye análisis de metadatos para identificar firmas de manipulación, análisis de nivel de error (ELA) para detectar composiciones de imágenes, el uso de análisis de patrones de ruido para identificar inconsistencias en la calidad de las imágenes, la detección de artefactos de compresión y anomalías similares, y el análisis de patrones de color e inconsistencias a nivel de píxel.

• Seguridad en la cadena de verificación: para la detección y prevención de ataques en la cadena de verificación, el sistema mantiene la protección contra intentos de manipulación con técnicas como el monitoreo en tiempo real de la integridad de los datos a lo largo de la cadena de verificación, la validación de las fuentes de entrada y el procesamiento a prueba de alteraciones de las solicitudes de verificación.

Verificación ampliada y por capas

Los estafadores a menudo explotan brechas entre diferentes sistemas de verificación, como el uso de identidades sintéticas para superar la verificación de documentos mientras evaden los controles biométricos. Abordar estos desafíos requiere una estrategia por capas que integre múltiples métodos de verificación en un proceso continuo, garantizando que las vulnerabilidades en un método sean contrarrestadas por las fortalezas de otros.

Los líderes en detección reconocen la sofisticación de estas amenazas y combinan diversos métodos y señales de verificación para crear una estrategia integral. Para contrarrestar estas tácticas avanzadas, este enfoque en capas incluye:

• Verificación de documentos e identidad: las técnicas utilizadas para verificar documentos incluyen OCR avanzado y análisis de documentos, como la detección de hologramas y características de seguridad, la capacidad de cruzar datos con bases gubernamentales, el uso de modelos de aprendizaje automático entrenados en millones de documentos legítimos y la detección en tiempo real de alteraciones en documentos.

Otro elemento esencial de la verificación de documentos es la coincidencia biométrica con prueba de vida, para garantizar que la persona que presenta los documentos sea el verdadero titular y esté físicamente presente.

• Autenticación biométrica: esto incluye autenticación biométrica multimodal utilizando detección pasiva de prueba de vida, biometría conductual y monitoreo biométrico continuo durante las sesiones.

• Análisis contextual: estos análisis de comportamiento sofisticados examinan patrones de interacción del usuario en busca de anomalías, patrones de transacción normales, consistencia geográfica y temporal, historial de comportamiento y características del dispositivo y la red. Pueden ser utilizados para la puntuación de riesgos basada en múltiples puntos de datos.

• Monitoreo y respuesta en tiempo real: los sistemas en capas operan continuamente para detectar y dar respuesta a amenazas en tiempo real, incluyendo análisis de patrones en toda la población de usuarios, integración con redes de inteligencia de fraude, medidas de seguridad adaptativas según el nivel de amenaza, puntuación de riesgos automatizada y escalada, y entrenamiento continuo de modelos de IA.

Este conjunto de seguridad integral, capaz de adaptarse a amenazas en evolución, es esencial para combatir eficazmente el fraude con deepfakes. Descubre cómo las soluciones impulsadas por IA de Mitek pueden proteger tu negocio contra el fraude con deepfakes. Examina toda la información, programa una demostración o conecta con nuestros expertos para ver estas herramientas en acción y mantenerte por delante de las amenazas emergentes.

Connecta con un experto en fraude
 

El futuro de la prevención de deepfakes

Mientras la carrera entre la creación y la detección de deepfakes continúa acelerándose, se están produciendo rápidos avances en la verificación de la identidad. La detección de próxima generación, con algoritmos resistentes a la computación cuántica y arquitecturas avanzadas de IA, analiza miles de puntos de datos en milisegundos, midiendo desde patrones de flujo sanguíneo hasta la coherencia de las respuestas neuronales.

Están surgiendo colaboraciones entre instituciones financieras y proveedores de soluciones, con inteligencia compartida sobre amenazas y protocolos de prueba estandarizados, para abordar las amenazas de manera más rápida. Para las empresas, el éxito dependerá de su inversión estratégica en seguridad basada en IA, la formación integral del personal y las evaluaciones de seguridad continuas. También se prevé que el futuro de la verificación de identidad verá una mayor integración de la biometría conductual, implementada de manera fluida y discreta para mantener una experiencia consistente para el cliente.

Las organizaciones que evalúan cómo prevenir ataques con deepfakes no pueden permitirse adoptar un enfoque reactivo y deben enfrentarse a estas sofisticadas y crecientes amenazas de manera directa. No esperes a que un ataque con deepfake exponga vulnerabilidades en tu infraestructura de seguridad. Comienza descargando nuestro Digital Fraud Playbook para desarrollar tu estrategia de prevención y explora las soluciones avanzadas de IA de Mitek . El futuro de la prevención del fraude y la protección de tu empresa y clientes contra los sofisticados ataques con deepfakes comienza hoy.

About Konstantin Simonchik - CSO at Mitek

Konstantin Simonchik is the Chief Science Officer and co-founder at ID R&D, a Mitek company. He brings a wealth of experience not only as the former science head of a large biometric firm in Europe but also as a professor of Speech Information Systems at a leading research university. He has authored more than 30 scientific papers devoted to speaker recognition and anti-spoofing, holds multiple patents, and has received numerous recognitions and awards from organizations including IEEE, ASVspoof, and NIST.