El mundo se digitaliza a un ritmo increíble y los métodos tradicionales de autenticación, como las contraseñas de un solo uso, no consiguen mantener la seguridad de las organizaciones.
A medida que las tecnologías y metodologías de fraude crecen en sofisticación y escala, la verificación biométrica facial ha surgido como uno de los métodos más seguros y convenientes para que las organizaciones verifiquen la identidad del usuario en línea.
Sin embargo, las compañías deben comprender que no todas las tecnologías biométricas faciales han seguido el ritmo de los rápidos cambios en el panorama de las amenazas. No todas tienen el mismo nivel de seguridad, resistencia o adaptabilidad a las nuevas amenazas.
Implantar una solución de verificación biométrica facial sin tener visibilidad sobre las amenazas y su evolución es como construir una casa sin los materiales adecuados para soportar los elementos.
Para ser eficaces, las soluciones deben ser resistentes al panorama de amenazas en constante evolución y utilizar la inteligencia sobre amenazas para garantizar que pueden proporcionar el nivel esperado de garantía de identidad.
América Latina: laboratorio de fraude digital
En opinión de Andrew Bud, CEO de Iproov, América Latina es un territorio absolutamente líder en fraude digital y la región está 3 años por delante del resto del mundo en términos de ataques biométricos. Ocurren ataques en América Latina que no se ven en ningún otro lugar del mundo.
De acuerdo con técnicos de iProov, en febrero de este año, un banco latinoamericano fue atacado 100,000 veces en un mes por deepfakes, para configurar una cuenta. Es decir, ciberdelincuentes tratando de penetrar en cuentas de usuarios del banco para cometer su crimen. ‘Nunca hemos visto cien mil ataques en un mes contra ninguna institución financiera privada del mundo’, recalcó Bud.
‘El auge de la IA generativa ha amplificado las vulnerabilidades existentes del conocimiento heredado y los factores de posesión. Los malos actores han utilizado la tecnología como arma para mejorar el relleno de credenciales y las campañas de phishing para maximizar la eficacia de la apropiación de cuentas’, agrega Daniel Molina, VP de iProov para América Latina.
Comprender las tendencias en los tipos de ataques biométricos
A principios de 2024, iProov publicó un informe sobre amenazas biométricas, el primero del sector, en el que se analizan las amenazas a la tecnología biométrica en producción durante el último año.
Entre los principales hallazgos de este informe, destaca un fuerte aumento de los fraudes por intercambio de caras (face swap) y ataques de inyección digital en 2023 de 704% en el segundo semestre de 2023, en comparación con el primer semestre del mismo año.
Los ataques de inyección están evolucionando rápidamente con nuevas amenazas significativas para las plataformas móviles. Observamos un aumento del 255% en los ataques de inyección contra la web móvil en el segundo semestre con respecto a los primero seis meses de 2023.
Nadie está a salvo: los ataques ocurren en masa e indiscriminadamente, y no discriminaron ni la industria ni la geografía, lo que sugiere que ninguna organización está a salvo. Los sistemas de verificación basados en movimientos, que utilizan movimientos activos como sonreír, asentir y parpadear, fueron frecuentemente atacados.
Diferencias entre ataques de inyección digital, intercambios de caras y ataques de presentación
Los ataques de presentación consisten en mostrar un artefacto -como una foto impresa, una máscara de silicona o un video deepfake en una pantalla- a un teléfono móvil o una computadora, para hacer emular el rostro de una persona.
Los ataques de inyección digital, por otro lado, son ciberataques sofisticados, altamente escalables y replicables que eluden la cámara de un dispositivo (o se inyectan en un flujo de datos). Son mucho más escalables que los ataques de presentación y no requieren la creación manual de un artefacto físico ni ninguna presentación física. Esta escalabilidad impulsa la mayor frecuencia y peligrosidad de los ataques de inyección digital.
Los intercambios de rostros son un tipo de medios sintéticos creados a partir de dos entradas que, en última instancia, superponen otra identidad a la entrada original, ‘intercambiando’ dos rostros en tiempo real. Los intercambios de caras derivados de la IA generativa son la principal preocupación debido a su capacidad para manipular rasgos clave de imágenes o vídeos.
Muchas soluciones biométricas no están preparadas para defenderse de amenazas cambiantes y sin cartografiar, como los intercambios de rostros y las inyecciones digitales. En respuesta a la amenaza en constante evolución de los ataques sistematizados y escalables, la seguridad debe ser resistente y adaptable, en lugar de simplemente resistente a las falsificaciones establecidas y conocidas.
¿Por qué es importante la seguridad biométrica?
La necesidad de una verificación de identidad segura y remota es mayor que nunca. Las organizaciones necesitan saber que sus usuarios nuevos y recurrentes son realmente quienes dicen ser.
La verificación manual de la identidad a distancia ha demostrado ser ineficaz, y el panorama de las amenazas está evolucionando. Delincuentes digitales innovadores están utilizando herramientas avanzadas para crear vectores de amenaza nuevos y ampliamente desconocidos.
Todos los métodos de verificación a distancia son vulnerables a herramientas de medios sintéticos como el intercambio de rostros, ya sean videollamadas totalmente humanas, procesos híbridos con comprobaciones biométricas faciales y supervisión humana, o totalmente automatizados.
En última instancia, los que aprovechan la tecnología de verificación biométrica están en una posición más fuerte para detectar y defenderse de los ataques. Pero hay que elegir la solución biométrica adecuada.
Dada la naturaleza siempre transformadora de la IA generativa y la escalabilidad de los ataques de inyección digital, es imperativo que la seguridad biométrica se gestione de forma activa y adaptable.
