Deepfakes en verificación de identidad: Lo que las empresas deben saber

Los deepfakes son un tipo de contenido sintético creado o modificado mediante inteligencia artificial (IA), especialmente a través de técnicas de aprendizaje automático (AA).

A nivel técnico, la generación de deepfakes se basa en métodos de aprendizaje profundo (deep learning), una rama del aprendizaje automático que utiliza redes neuronales que imitan la estructura lógica del cerebro humano. Estas redes se entrenan en grandes volúmenes de datos para realizar tareas como el análisis sintáctico, la clasificación y la generación de contenido. Dichos conjuntos de datos pueden incluir imágenes, vídeos, audios y textos.

En la práctica, los deepfakes utilizan y manipulan muestras reales de imágenes, vídeos y audios, para crear contenido que parece auténtico, pero no lo es.

Desde esta perspectiva, quienes utilizan ChatGPT como «colaborador» para generar textos o imágenes también están creando un tipo de deepfake. Esto se aplica a los creadores de perfiles de cliente que a menudo utilizan fotos de personas inexistentes como imágenes compuestas para diferentes públicos objetivos.

Por esta razón, muchos generadores de deepfakes incluyen advertencias que recalcan la responsabilidad del creador sobre el contenido que produce.

Lamentablemente, esta tecnología también es ampliamente explotada por estafadores que muestran poco respeto por la ética.

En pocas palabras, los delincuentes utilizan tres tipos principales de deepfakes para eludir la verificación de identidad:

Sin embargo, existe una clasificación más compleja basada en cómo se crean los deepfakes. Los métodos más comunes incluyen:

• Intercambio de rostros (Face swap): Este “simple” deepfake coloca el rostro o la cabeza de una persona sobre el cuerpo de otra. Es un filtro muy popular en redes sociales como TikTok o Snapchat y puede aplicarse tanto en imágenes como en vídeos. 

• Sincronización labial (Lip syncing): Una grabación de voz tomada de un contexto se sincroniza con un video distinto, haciendo que la persona parezca decir algo nuevo, pero falso. Se utiliza frecuentemente en entretenimiento y desinformación política.

• Deepfakes tipo marioneta (Puppet deepfakes): Utilizan Redes Generativas Antagónicas (GAN, por sus siglas en inglés), en las que una red («generadora») genera contenido falso y otra («adversaria») detecta fallas en los resultados. Mediante múltiples iteraciones, la GAN produce una «marioneta» realista que imita los movimientos faciales o corporales del objetivo.

Ahora veamos cómo se utiliza este contenido sintético para cometer el fraude.

Al ser un recurso totalmente digital, los deepfakes atacan principalmente a las empresas donde la interacción con el cliente, incluyendo el proceso de onboarding, se realiza en línea. El problema se agrava a medida que más organizaciones migran hacia plataformas digitales, lo que hace que la amenaza de deepfakes ea cada vez más generalizada y perjudicial.

En 2024, casi la mitad de las empresas de los sectores bancario, fintech, cripto, tecnología, telecomunicaciones, aviación, salud y fuerzas de seguridad encuestadas por Regula reportaron haber enfrentado deepfakes tanto de audio como de vídeo.

Es importante destacar que la idea de que los estafadores están creando técnicas innovadoras de engaño con esta herramienta es incorrecta. Lo más preciso sería decir que la aparición de los deepfakes — junto con formas cada vez más accesibles y económicas de generarlos — ha facilitado que los criminales perfeccionen métodos “antiguos”.

Este tipo de ataque consiste en engañar sistemas biométricos de autenticación facial o en crear cuentas fraudulentas utilizando fotografías falsas. En ambos casos, los deepfakes pueden imitar a una persona real o representar a un individuo inexistente.

Estos deepfakes pueden mostrarse como videos o imágenes impresas o en pantalla durante el proceso de onboarding o en la re-verificación del cliente.

Se trata de una versión más sofisticada de un ataque de presentación, en la que los estafadores introducen directamente datos biométricos falsos en el proceso de IDV, sin utilizar una cámara o micrófono físicos. Este método les permite eludir los sistemas de reconocimiento facial o de voz. Los deepfakes se utilizan para imitar a un usuario real mediante vídeos realistas y huellas de voz sintéticas.

El aprendizaje profundo ha sido adoptado por servicios clandestinos como OnlyFake, que puede generar imágenes realistas de pasaportes, permisos de conducir y otros documentos de identidad. Estas imágenes resultan altamente creíbles, imitando elementos de seguridad y fondos, como moquetas o superficies de mármol, como si un usuario real se hiciera la foto en la habitación de un hotel o cocina. Estos documentos falsos pueden utilizarse para pasar controles de verificación de identidad.

Ante el auge de los deepfakes, las empresas deben actualizar sus sistemas de IDV adoptando tecnologías avanzadas y añadiendo más capas de seguridad. Los estafadores no descansan en su intento de engañar a las organizaciones, y muchas veces adoptan nuevas tecnologías más rápido que ellas.

Las empresas que contribuyen al desarrollo de un sistema de detección y prevención del fraude de identidad pueden ajustar sus procesos de IDV en consecuencia. Este sistema incluye múltiples componentes: un equipo especializado de gestores de riesgo y fraude, oficiales de cumplimiento, capacitados para detectar anomalías y reconocer deepfakes, y una solución de IDV robusta basada en tecnología avanzada y respaldada por una completa base de datos de plantillas de documentos de identidad.

La prueba de vida es otro elemento imprescindible para IDV. Tanto la prueba de vida pasiva como la activa permiten confirmar que hay una persona real al otro lado, detectando atributos falsos como tonos artificiales de la piel, efecto moiré y sombras antinaturales. Este método también se aplica a documentos de identidad, ya que verifica la presencia de elementos de seguridad dinámicos, como hologramas.

Además, las empresas pueden monitorear otras señales de fraude al verificar nuevos clientes o autenticar a usuarios existentes. Por ejemplo, muchas empresas realizan comprobaciones de IP para detectar incoherencias en los patrones de comportamiento de los usuarios.

Este enfoque holístico de la IDV permite crear un sistema de defensa de varios niveles que abarca todos los aspectos de la verificación del cliente y contempla los riesgos clave. La supervisión constante y las actualizaciones periódicas también son cruciales en esta estrategia.

Es importante señalar que la amenaza de los deepfakes va más allá del mundo empresarial, afectando también a sectores como los medios de comunicación, las redes sociales, las fuerzas de seguridad y el gobierno. Con la introducción de marcos regulatorios sobre inteligencia artificial, como la Ley de IA de la Unión Europea y las normativas antideepfake en China, se anticipa un cambio global en los requisitos de cumplimiento.

Trabajar con proveedores que ofrezcan soluciones integrales de verificación de identidad es clave para mantener procesos seguros y eficaces. Regula ofrece un conjunto de tecnologías avanzadas que incluyen:

• Reconocimiento y comparación facial

• Prueba de vida y document liveness

• Verificaciones de autenticidad ampliadas

• Verificación digital de pasaportes, permisos de conducir, visados, permisos de residencia, tarjetas de votación y otros documentos de identidad de 251 países y territorios

• Soluciones totalmente personalizables y 100% locales (on-premise)

Conversemos sobre sus necesidades, expectativas y desafíos para encontrar la solución ideal para su organización.