Muchas instituciones financieras con sus correspondientes plataformas están solicitando a los usuarios selfies y vídeos como pruebas de verificación facial o «fe de vida». El problema es que esas verificaciones han demostrado ser muy vulnerables a ataques por deepfake. En otras palabras, un elemento malicioso puede reemplazar su rostro con otro en tiempo real, robando identidades o creando cuentas falsas. La firma de seguridad Sensity evaluó la robustez de esos sistemas con una herramienta llamada Dot o Deepfake Offensive Toolkit, y si tienes algo de experiencia en el tema, puedes descargar una copia de GitHub…
Toma una foto, gira la cabeza hacia un lado, gira hacia el otro, ¡sonríe! Este ritual es obligatorio en muchas aplicaciones móviles y plataformas de citas / cripto / home banking para «conocer al cliente», o KYC como lo llaman al otro lado del charco. Los clientes que poseen conocimientos básicos de seguridad informática inevitablemente se preguntan qué hacen las instituciones con esos datos y cómo los protegen, pero a eso se suma otro problema, y es la integridad general de los sistemas.
La firma de seguridad Sensity tiene como especialidad la generación de ataques usando rostros creados con inteligencia artificial… deepfakes. Esos deepfakes son utilizados para falsificar documentos de identidad, e inyectados en un stream de vídeo con una cámara virtual que supera la verificación facial. Sensity realizó pruebas sobre el Top 10 de proveedores (protegidos por acuerdos de confidencialidad), y sus ataques tuvieron éxito en el 90 por ciento de los casos. La clave detrás de semejante resultado es Dot, Deepfake Offensive Toolkit.
Deepfake Offensive Toolkit: Generador de deepfakes para auditorías de seguridad
Una de las cosas que sorprendió a la compañía fue la pobre respuesta por parte de los proveedores, probablemente asociada a la dificultad natural de instalar, ejecutar y configurar Dot. Cualquiera que esté buscando una «solución de un solo clic» con una interfaz agradable y fácil de usar quedará muy decepcionado, pero ya hemos visto en el pasado qué pueden hacer algunos expertos con un poco de código. Lo que hoy parece una pesadilla de archivos y dependencias, mañana puede convertirse en una herramienta lista para usar.
Ahora, es cierto que no todos los entornos son vulnerables. Cualquier sistema de verificación facial que pueda aprovechar sensores de profundidad (el Face ID de Apple viene a la mente) será inmune a estos ataques, pero ese 90 por ciento de efectividad no deja de ser preocupante. El código de Dot ha sido liberado con objetivos «de demostración e investigación», y todos los detalles técnicos relevantes están publicados en su perfil oficial de GitHub. Para finalizar, recomiendo un poco de paciencia, porque la descarga total es de unos tres gigabytes.
Sitio oficial y descarga: Haz clic aquí
Fuente: The Verge