Mientras la humanidad intenta descubrir cómo recuperar los cientos de miles de millones de dólares invertidos en IA generativa, los ciberdelincuentes ya están adoptando esta tecnología. Por ejemplo, descubrieron que la IA se puede usar para crear mulas de dinero virtuales, que son cuentas falsas que se usan para transferir fondos robados. Los deepfakes permiten a los delincuentes eludir con éxito los procedimientos de verificación de identidad del cliente (KYC, Conoce a tu cliente) que utilizan las instituciones financieras y así eliminar la necesidad de cómplices humanos. Profundicemos en los detalles.
¿Qué es KYC?
El procedimiento KYC es una práctica del sector financiero para verificar la identidad de un cliente que se utiliza para prevenir varias actividades financieras ilegales, incluido el fraude, el blanqueo de dinero, la evasión de impuestos, la financiación del terrorismo y demás.
Más específicamente, KYC a menudo se refiere a sistemas de verificación de la identidad biométrica en servicios completamente remotos, es decir, cuando un cliente se registra en línea sin ningún contacto personal con los empleados de la institución financiera.
Por lo general, este procedimiento requiere que el cliente cargue fotografías de sus documentos y se tome una autofoto, a menudo mientras sostiene los documentos. Recientemente, también se popularizó una medida de seguridad adicional: se le pide al cliente que encienda la cámara de su teléfono inteligente y siga instrucciones que le indican girar la cabeza en diferentes direcciones.
A veces, este método también se usa para verificar transacciones, pero por lo general está diseñado para ofrecer protección contra la autenticación mediante fotografías estáticas que podrían haber sido robadas de alguna manera. El problema es que los delincuentes ya descubrieron cómo eludir esta protección: usan deepfakes.
Herramientas de IA para el fraude
No hace mucho tiempo, los expertos de Sensity, una startup de detección de deepfakes, publicaron un informe anual en el que se describen algunas de las formas más comunes en que los ciberdelincuentes usan el contenido generado mediante IA de forma maliciosa.
En este informe, los expertos publican la cantidad total de herramientas de creación de contenido mediante IA en todo el mundo. Se contaron 10 206 herramientas para la generación de imágenes, 2298 herramientas para el reemplazo de rostros en vídeos y creación de avatares digitales, y 1018 herramientas para la generación o clonación de voces.
En el informe, también se destaca la cantidad de servicios públicos especializados que se diseñaron en específico para eludir KYC: se contaron hasta 47 herramientas de este tipo. Estas herramientas permiten a los ciberdelincuentes crear clones digitales que eluden con éxito la verificación de identidad del cliente. Como resultado, los estafadores pueden abrir cuentas de forma remota en instituciones financieras, como bancos, intercambios de criptomonedas, sistemas de pago y demás.
Estas cuentas se utilizan luego para diversas actividades delictivas, principalmente para el fraude financiero directo, así como también para el blanqueo de ganancias de operaciones ilegales.
Tienda de clones digitales
Hace poco tiempo, 404 Media informó sobre un sitio web clandestino que vendía fotografías y vídeos de personas para eludir KYC. Según los periodistas, los comerciantes de duplicados digitales cuentan con colecciones completas de dicho contenido. Buscan voluntarios en países desfavorecidos y les pagan cantidades relativamente pequeñas (de 5 a 20 USD) por el material.
Luego, el contenido resultante se vende a cualquier persona interesada. Las colecciones son bastante extensas e incluyen personas de diferentes edades, géneros y etnias. Los servicios del sitio son relativamente económicos: por ejemplo, los periodistas adquirieron un conjunto por solo 30 USD. Los conjuntos incluyen fotografías y vídeos con ropa diferente, así como imágenes con una tarjeta y una hoja de papel en blanco en la mano, que se puede reemplazar con una identificación o algún otro documento.
El servicio está muy orientado al cliente. El sitio web incluye reseñas de compradores agradecidos e, incluso, cuenta con una marca especial para aquellas fotografías y vídeos que menos se han comprado. Es más probable que dichos “clones nuevos” eludan con éxito las comprobaciones del sistema antifraude.
Además de las identidades digitales listas para usar, los administradores del sitio ofrecen conjuntos de contenido exclusivos creados de forma individual para el comprador, a demanda y probablemente por una cantidad de dinero más significativa.
Documentos falsos generados mediante IA
Periodistas de los mismos medios también descubrieron un sitio web especializado en la venta de fotografías realistas de documentos falsos creados mediante IA.
Según el experto de una empresa que se ocupa de dicho tipo de fraudes, algunos servicios de este tipo venden conjuntos listos para usar que incluyen documentos falsos, junto con fotografías y vídeos de sus propietarios falsos.
Por lo tanto, las herramientas de IA y dichas recopilaciones de contenido facilitan en gran medida el trabajo de los estafadores. Hace tan solo unos años, las mulas de dinero (personas reales que manipulaban dinero ilícito de forma directa, abrían cuentas y realizaban transferencias o retiros de efectivo) eran el eslabón más débil en las operaciones delictivas.
Ahora, estas mulas “físicas” se están volviendo innecesarias con rapidez. Los delincuentes ya no necesitan interactuar con personas reales poco fiables que son vulnerables a las autoridades. Es solo cuestión de crear una cierta cantidad de clones digitales para los mismos fines y, luego, apuntar a estos servicios financieros que permiten abrir cuentas y realizar transacciones de manera completamente remota.
¿Qué sigue?
En el futuro, es probable que la facilidad de eludir los procedimientos KYC actuales tenga dos consecuencias. Por un lado, las organizaciones financieras presentarán mecanismos adicionales para verificar las fotografías y los vídeos que proporcionan los clientes remotos sobre la base de la detección de signos de falsificaciones mediante IA.
Por otro lado, es probable que los reguladores refuercen los requisitos para las operaciones financieras completamente remotas. Por ello, es muy posible que la simplicidad y la conveniencia de los servicios financieros en línea, a los que ya nos acostumbramos, se vean amenazados por la inteligencia artificial.
Por desgracia, el problema no termina ahí. Como señalaron los expertos, la disponibilidad generalizada de las herramientas de IA para generar contenido de fotografías, vídeo y audio perjudica de forma significativa la confianza en las interacciones digitales entre personas. Cuanto mayor sea la calidad de las creaciones de IA, más difícil será creer lo que vemos en nuestros teléfonos inteligentes y ordenadores.