Los liveness tests son pruebas usadas por los bancos y otras instituciones para ayudar a verificar la identidad de los usuarios. Sin embargo, de acuerdo con un nuevo informe, estos test pueden ser fácilmente engañados por deepfakes.
Esta vulnerabilidad la conocemos gracias a la empresa de seguridad “Sensity», la cual se especializa en detectar ataques utilizando rostros generados por IA. Para probar la seguridad de estas, la compañía investigó la vulnerabilidad de las pruebas de identidad proporcionadas por 10 de los principales proveedores. ¿Y qué hizo la compañía? Pues “Sensity” usó deepfakes para copiar una cara objetivo en una tarjeta de identificación para escanearla y luego copió esa misma en una transmisión de video de un posible atacante para pasar las pruebas de vida de los proveedores.
Sensity sabe que la mayoría de los liveness tests son fáciles de vulnerar
Los liveness tests suelen solicitar mirar a la cámara del teléfono o computadora portátil. A veces también le pide a los usuarios girar la cabeza o sonreír, pues la idea es que demuestren que son una persona real y comparar su apariencia con su identificación mediante el reconocimiento facial.
De acuerdo con el director de operaciones de “Sensity”, Francesco Cavalli: «Probamos 10 soluciones y descubrimos que nueve de ellas eran extremadamente vulnerables a los ataques deepfake. Hay una nueva generación de poder de IA que puede representar serias amenazas para las empresas. Imagina lo que puedes hacer con cuentas falsas creadas con estas técnicas. Y nadie es capaz de detectarlos”.
Cavalli también comentó que “Sensity” firmó acuerdos de confidencialidad con algunos de los proveedores. Y, en otros casos, teme que haya violado los términos de servicio de las empresas al probar su software de esta manera.
A lo proveedores de seguridad no les importa las vulnerabilidades
Cavalli también señala que estaba decepcionado por la reacción de los proveedores, quienes no parecían tomar en serio los ataques. “Les dijimos ‘mira, eres vulnerable a este tipo de ataque’, y dijeron ‘no nos importa. Decidimos publicarlo porque creemos que, a nivel corporativo y en general, el público debe estar al tanto de estas amenazas”.
Algo curioso, ya que esos mismos proveedores de liveness tests le brindan estos servicios a otras empresas, así que la inseguridad está más cerca de lo que se piensa.
Cavalli comenta que estas suplantaciones de identidad son un peligro para el sistema bancario, ya que facilitan el fraude. También hace énfasis en esto: “Puedo crear una cuenta; Puedo mover dinero ilegal a cuentas bancarias digitales de billeteras criptográficas. O tal vez pueda pedir una hipoteca porque hoy en día las compañías de préstamos en línea compiten entre sí para otorgar préstamos lo más rápido posible”.
Esperamos que estos sistemas sean modificados pronto para brindar mayor seguridad a sus usuarios. Es cierto que no es la primera vez que se identifica una vulnerabilidad de este tipo, pero quizás ya sea hora de que las entidades bancarias se den cuenta de lo siguiente: deben mejorar su seguridad.
