IEn 2019, un ejecutivo británico hablaba por teléfono con su jefe alemán, quien le pidió que transfiriera unos 243.000 dólares a un proveedor afirmando que la transferencia era urgente. El empleado británico ejecutó obedientemente la transferencia, descubriendo más tarde que había cometido un grave error.
El interlocutor al otro lado de la línea no era su jefe. Se trataba de un programa de inteligencia artificial que imitaba la voz de su supervisor. En aquel momento, el ataque de IA se consideró toda una novedad. Hoy en día, los delincuentes aprovechan la IA con demasiada frecuencia para burlar los sistemas de prevención del fraude y la ciberseguridad.
A medida que sigue el actual auge de la IA, los modelos siguen siendo armas de doble filo. Los delincuentes utilizan hábilmente sistemas como la IA generativa. Al mismo tiempo, muchas empresas recurren a herramientas basadas en IA para reforzar la prevención del fraude y las prácticas de verificación de identidad, con la esperanza de adelantarse a la próxima oleada de ataques.
La IA generativa es cada vez más popular
La IA generativa se equipara con la floreciente industria de los chatbots. ChatGPT, Google Bard y otros similares la aprovechan ya. Se basan en grandes modelos lingüísticos (LLM), algoritmos entrenados en vastas cantidades de datos, como el contenido escrito de Internet. Cuando los humanos les preguntan, los modelos sintetizan patrones únicos basados en sus datos de entrenamiento para producir respuestas.
El resultado de los LLM y la IA generativa son imágenes realistas, vídeos o textos de apariencia humana. La IA generativa y las innovaciones que esta conlleva están transformando numerosos sectores, especialmente el de la verificación y autenticación de identidad.
Informe Gartner: Guía para la verificación de la identidad
Los modelos generativos de IA mejoran el fraude y su detección
La historia del ejecutivo británico fue un primer atisbo de un entorno que la IA ha abierto ahora de par en par a los ciberdelincuentes. Las falsificaciones, ya sean de voz, vídeo, imágenes o incluso documentos, están ganando terreno como herramientas preferidas de los estafadores, que también utilizan la IA para llevar a cabo ataques de ingeniería social, como el phishing.
El mayor impacto de los LLM y la IA generativa puede ser la mejora de la productividad. Los humanos pueden utilizar las herramientas para automatizar la redacción de correos electrónicos y la gestión de calendarios, entre otros, y los hackers se han dado cuenta de esas capacidades. Es cuestión de segundos solicitar a la IA generativa docenas de borradores de correo electrónico o mensajes de texto en redes sociales. Y, como es el objetivo de estos modelos, el contenido generado se lee como si lo hubiera escrito un humano.
El tercer gran campo de fraude en el que prospera la IA generativa es la creación de identidades sintéticas. Para ello, los atacantes encadenan varias piezas de información personal identificable (PII) real en una identidad cohesiva, aunque fraudulenta. Dado que los marcadores identificables, como direcciones o números de teléfono móvil existen realmente, las identidades sintéticas engañan mejor a las medidas antifraude. Y la IA acelera el proceso de recopilación y concatenación de la información.
Para darle la vuelta a la tortilla, las organizaciones pueden erigir sus propios sistemas antifraude basados en la IA.
En esencia, los modelos generativos de IA son máquinas de reconocimiento de patrones. Analizan datos de entrenamiento y comparan patrones de esa información con solicitudes humanas. Pero la incorporación de la IA a las medidas de protección contra el fraude puede ayudar a estas soluciones a identificar mejor los patrones de actividad fraudulenta.
La IA también puede crear rápidamente conjuntos de datos de entrenamiento sintéticos que imiten patrones de ataque. También las empresas pueden entrenar modelos de IA en estos conjuntos de datos sintéticos para identificar ataques antes de que se produzcan. La creación de conjuntos de datos sintéticos también sirve para otro propósito. Antes, las empresas tenían que utilizar conjuntos de datos anónimos de IPI real para entrenar el software antifraude. Ahora pueden desarrollar conjuntos sintéticos que parezcan y actúen como datos reales.
Esta metaaplicación de modelos de IA permite aparentemente una postura antifraude más proactiva. Del mismo modo que los delincuentes pueden generar rápidamente ataques realistas con IA, las soluciones basadas en IA pueden diseñar esos intentos antes de que los atacantes tengan la oportunidad de desencadenarlos.
La IA también puede mejorar la primera línea actual de las medidas de lucha contra el fraude: la verificación de la identidad.
Los algoritmos de inteligencia artificial son fundamentales para la verificación de la identidad actual
La verificación de la identidad sin contraseña se está convirtiendo rápidamente en la medida más popular contra el fraude. Al autenticar quién es un cliente en lugar de autenticar lo que sabe —como una contraseña, un código de autenticación de doble factor o un dato de identificación personal—, verificar la identidad dificulta a los delincuentes el acceso a cuentas e información que no deberían tener.
La autenticación biométrica, por ejemplo, ya sea mediante reconocimiento facial o de voz o detección de vida, ofrece métodos más sólidos, fiables y seguros para verificar la identidad de una persona. Ahora, gracias a la aplicación de tecnologías generativas y otras tecnologías de IA, los métodos de autenticación biométrica han experimentado enormes avances.
Los sistemas de reconocimiento facial pueden aprender de una amplia biblioteca de rasgos y patrones faciales, lo que mejora significativamente su capacidad de reconocimiento. La IA generativa puede ayudar a otros modelos de autenticación biométrica, desde la voz hasta la prueba de vida, a analizar patrones biométricos para identificar con mayor precisión a las personas basándose en firmas biométricas únicas.
La IA generativa también es decisiva en la verificación de documentos y la detección de falsificaciones. Las herramientas automatizadas de verificación de documentos de identidad están ahora equipadas con la capacidad de detectar falsificaciones en documentos como pasaportes y permisos de conducir. Los algoritmos de IA pueden escudriñar detalles minuciosos, identificando anomalías e incoherencias que pueden indicar un documento falsificado. Esta mejora en la verificación automatizada de la identidad aumenta significativamente la precisión y fiabilidad de estos sistemas.
El proceso de verificación de identidad con IA también está afinando en la detección de falsificaciones profundas e identidades sintéticas, lo que refuerza aún más la fiabilidad del proceso de verificación de identidad automatizado. Al hacer que estas experiencias de autenticación sean más inteligentes y precisas, la IA Generativa hace que la verificación de identidad sea menos intrusiva y más eficiente.
El aprendizaje automático ofrece análisis de riesgos en tiempo real para la prevención del fraude
OpenAI, por ejemplo, creó su producto ChatGPT utilizando un modelo de aprendizaje profundo. Esta es una forma de aprendizaje automático diseñada para procesar datos de forma muy similar al cerebro humano. Según AWS, los algoritmos de aprendizaje profundo "reconocen patrones complejos en imágenes, texto, sonidos y otros datos para producir ideas y lograr predicciones precisas".
Las soluciones de prevención del fraude aprovechan los métodos de autenticación basada en el riesgo (RBA, o también conocida como autenticación adaptativa) para determinar si una interacción representa un fraude. Las soluciones asignan una puntuación de riesgo a una transacción, en función de la probabilidad de que el sistema esté comprometido o de que la persona tenga un perfil de riesgo. La autenticación basada en el riesgo calcula una puntuación de riesgo para los intentos de acceso a cuentas o transacciones en tiempo real y, a continuación, ofrece una opción de autenticación acorde con la puntuación.
La RBA puede depender del usuario o de la transacción, y la autenticación se aplica al usuario o a la transacción en cuestión. Los criterios habituales para la evaluación de riesgos incluyen la ubicación y la dirección IP del usuario, el dispositivo de inicio de sesión, el número de intentos de inicio de sesión y factores de comportamiento, como la velocidad a la que teclea y si actúa fuera de lo normal. Por ejemplo, si un usuario accede a su cuenta desde otro país, es posible que se le solicite que complete pasos de seguridad adicionales para iniciar sesión.
Los algoritmos de aprendizaje automático desempeñan un papel fundamental en las plataformas RBA y, en consecuencia, en la prevención del fraude. Al aprender de vastos conjuntos de datos que comprenden datos de comportamiento humano real o sintético, los algoritmos de aprendizaje automático pueden identificar patrones y anomalías que se producen durante el acceso a la cuenta o las transacciones. De este modo, los algoritmos de aprendizaje automático actúan como una sólida herramienta de verificación de identidad y prevención del fraude en tiempo real.
El uso ético de la inteligencia artificial requiere un examen minucioso
Como cualquier tecnología, la IA generativa conlleva consideraciones y retos éticos. Las preocupaciones en torno a la privacidad, la protección de datos y los sesgos inherentes son consideraciones primordiales para una IA ética. Los sistemas de verificación de identidad basados en IA deben cumplir las estrictas leyes de protección de datos para garantizar la privacidad, al tiempo que recopilan y analizan bibliotecas de datos para los procesos de prevención del fraude, lucha contra el blanqueo de capitales y conocimiento del cliente.
Los desarrolladores de algoritmos también deben garantizar la imparcialidad y hacer todo lo posible para evitar sesgos en los sistemas de IA generativa que construyen. Los sesgos incorporados a los conjuntos de datos de entrenamiento y la supervisión humana del entrenamiento de los modelos podrían dar lugar a discriminación en las aplicaciones del mundo real.
Otro reto es superar los ataques a los sistemas basados en IA generativa. Los delincuentes pueden intentar explotar las capacidades de aprendizaje del sistema para manipular la IA y los resultados de la verificación de identidad. Por lo tanto, la vigilancia constante y la mejora continua de las medidas de seguridad son cruciales.
Para que se consolide la prevención del fraude basada en la IA, las organizaciones deben equilibrar estas características de seguridad y privacidad con la experiencia del usuario. Los clientes abandonarán rápidamente los servicios o productos cuando perciban que la experiencia es frustrante, por lo que las organizaciones deben implementar procesos de autenticación que mitiguen la fricción.
El futuro de la prevención del fraude y de la verificación de la identidad está en la inteligencia artificial
Volviendo al caso del ejecutivo británico víctima de la IA, este podría haber evitado el error si su organización hubiera empleado sus propias herramientas antifraude basadas en IA. Una plataforma diseñada para reconocer comportamientos extraños podría haberle alertado de la llamada imprevista de su supervisor o tal vez de que la solicitud de transacción era anómala en relación con las solicitudes típicas.
Ya hay casos reales de éxito de empresas que utilizan la IA para prevenir el fraude. Una empresa de comercio electrónico solía revisar manualmente las transacciones para detectar posibles fraudes. El equipo quería automatizar la detección, pero le preocupaba ser demasiado precavido y cancelar pedidos de clientes con formas de pago legítimas. Gracias a la prevención del fraude basada en IA, la empresa pudo automatizar y mejorar su sistema.
Es probable que muchas empresas de comercio electrónico y de servicios financieros también aprovecharan la IA durante la pandemia, ya que cada vez más usuarios compraban artículos de mayor valor o inusuales en relación con su historial de compras. Una empresa redujo su tasa de devoluciones en un 30% tras implantar la detección de fraudes basada en IA.
Los casos de uso a nivel global dejan claro que la IA generativa tiene un inmenso potencial para el futuro de la verificación de la identidad y la prevención del fraude. OpenAI ya ha mejorado enormemente su modelo con respecto a las primeras iteraciones, lo que indica que los futuros avances en este ámbito podrían dar lugar a prácticas de verificación de identidad aún más seguras y fiables.
A medida que esta tecnología siga evolucionando, podemos esperar que continúe revolucionando la verificación y gestión de la identidad, haciendo que el proceso sea más seguro, eficiente y fácil de usar, al tiempo que se mantiene un paso por delante de las amenazas emergentes.
Informe Gartner: Guía para la verificación de la identidad
Sources:
https://www.wsj.com/articles/china-cracks-down-on-surge-in-ai-driven-fraud-c6c4dca0?page=1
https://openai.com/research/gpt-4
https://aws.amazon.com/what-is/deep-learning/