Tecnología biométrica: cómo combatir el uso de 'deepfakes' en la suplantación de identidades
Los avances en inteligencia artificial (IA) y ‘machine learning’, como ChatGPT, están revolucionando la generación automática de contenidos. Uno de sus usos más llamativos son los ‘deepfakes’, creaciones audiovisuales que pueden simular actos y declaraciones de personas reales. Esta tecnología puede servir tanto para mejorar las herramientas de detección de enfermedades como para fomentar la desinformación mediante ‘fake news’. Pero, ¿permitirá que los criminales suplanten más fácilmente a una persona para acceder a su cuenta bancaria o hacer compras con su tarjeta de crédito? ¿Cómo se blindan los sistemas de autenticación de identidad ante estas simulaciones?
El año 2022 ha visto una explosión de inteligencias artificiales generativas que, empleando ‘machine learning’ y tras un entrenamiento, aprenden a generar de manera autónoma imágenes con gran riqueza de detalles, canciones de todos los estilos musicales y ‘chatbots’ como ChatGPT, que ante cualquier pregunta ofrecen una respuesta enriquecida, compleja y coherente. César De Pablo, experto en ciencia de datos en BBVA AI Factory, apunta que, “aunque se trata de herramientas que reproducen y ‘recombinan’ información aportada durante su entrenamiento, el volumen masivo de datos utilizados y la coherencia en los resultados hacen posible creaciones sintéticas cada vez más realistas o, en función de la necesidad, similares a una creación humana. Esto abre la puerta a nuevas aplicaciones”.
Una de estas aplicaciones, de la que se ven ejemplos cada vez más sofisticados, son los vídeos ‘deepfakes’. Un ‘deepfake’ es “una técnica basada en IA que (...) utiliza la superposición de características humanas en el cuerpo de otra persona, y/o la manipulación de sonidos, para generar una experiencia humana realista”, según la Organización Mundial de la Propiedad Intelectual (WIPO, por sus siglas en inglés).
Sus aplicaciones más beneficiosas abarcan desde la creación de vídeos divulgativos para exposiciones artísticas, hasta la protección de la identidad de personas en situación de persecución o el entrenamiento de algoritmos con imágenes médicas ficticias, para detectar enfermedades raras preservando la privacidad de los pacientes. Pero los usos más llamativos y ‘viralizables’ de esta técnica son los que simulan actos y declaraciones de personas reales. Por ejemplo, un anuncio publicitario que utilizaba la figura y la voz de la fallecida cantante Lola Flores; una campaña de concienciación contra el uso indiscriminado de armas en Estados Unidos que empleaba el cuerpo, gestos y voz de la víctima de un tiroteo masivo; una campaña sobre la malaria en la que David Beckham articulaba su mensaje en nueve idiomas; pero también una simulación donde un falso presidente de Ucrania se ‘rendía’ ante Rusia, lo que pone sobre la mesa los usos de la tecnología para tergiversar la realidad y fomentar la desinformación a través de ‘fake news’.
Por ello, ante estos avances surge la pregunta de cómo de seguras están las identidades personales a partir de ahora. ¿Les será más fácil a los criminales suplantar a una persona para poder acceder a su cuenta bancaria, comprar en un ‘ecommerce’, reservar un hotel con su tarjeta de crédito o manipular una votación ‘online’?
Ataques de presentación
Intentar puentear un acceso a un servicio dando una prueba de vida falsa no es algo nuevo. A estas acciones se les conoce con el nombre de ‘ataques de presentación’ y son tan antiguas como los propios sistemas de verificación de identidad. “Pueden ser muy sencillas, como presentar ante la cámara o el sistema de verificación un vídeo reproducido en un teléfono móvil, o incluso una fotografía fotocopiada en papel”, explica Mikel Sánchez, director de Innovación e Inteligencia de Negocio de Veridas, empresa de biometría creada por BBVA y das-Nano que ha desarrollado sistemas de identificación para el banco. “O puede ser más sofisticadas, como ponerse una máscara que reproduce los rasgos de la persona a la que se quiere suplantar”.
Los sistemas de Veridas están certificados en la norma ISO 30107, que establece su grado de robustez ante estos ataques. De esta forma, sus algoritmos pueden distinguir si están ante un cliente genuino o un atacante, analizando determinados elementos de la imagen que reciben para evaluar si se trata de una imagen real o de un intento de fraude (la llamada ‘prueba de vida’). Basándose en esa puntuación, autorizan o rechazan el acceso de esa persona.
La aparición de los ‘deepfakes’ añade una capa de complejidad al reto. Pero los sistemas de identificación por biometría están diseñados para constituir una doble barrera.
Control de captura y análisis de calidad
La primera barrera es el funcionamiento del sistema de verificación y el control del proceso de captura. “Pensemos que introducir una imagen o vídeo falso en un sistema de verificación no es tan sencillo como subirlos a una red social o cualquier otro lugar que permita pulsar un botón y adjuntar un archivo”, recuerda Mikel Sánchez. Los sistemas de biometría desarrollados por Veridas para BBVA, como la apertura de cuenta con un ‘selfie’ o los pagos con reconocimiento facial, exigen que el cliente lleve a cabo la prueba de vida en la propia ‘app’. El sistema requiere que la persona capture desde la aplicación una foto ‘selfie’ y, en ciertos procesos como el alta, las dos caras de su documento de identidad.
La segunda barrera la constituye la propia plataforma de BBVA, que está diseñada con los más altos estándares de calidad para detectar el posible uso de ‘deepfakes’ para suplantación de clientes en todas las interacciones que estos tienen con las aplicaciones del banco. BBVA monitoriza las nuevas tipologías de ataques, define medidas en cuanto se producen e incorpora la última tecnología para hacerles frente.
El análisis de calidad de las imágenes que el sistema recibe debe ser extremadamente preciso, para que los clientes confíen en la seguridad de las operaciones. Juan Aranda, manager de Diseño del programa Modelos de Relación en BBVA, afirma que “nuestros sistemas de verificación no solo deben garantizar que las operaciones digitales salvaguardan la seguridad de los clientes, sino que deben dejarle claro al usuario que existe esta seguridad. El reto, desde el punto de vista del diseño, es que los procesos de verificación sean lo más fluidos posible, y que cualquier fricción que pueda haber sea percibida por el usuario como necesaria para su seguridad”.
Con respecto a los ‘deepfakes’, Mikel Sánchez concluye que, “hasta ahora no se ha producido ningún caso de fraude de identidad con esta tecnología”. No obstante, la empresa trabaja en seguir desarrollando nuevas tecnologías capaces de detectar los ataques más sofisticados, tanto en los relativos a la biometría como en lo que respecta a la verificación de documentos de identidad.