Esta web utiliza cookies para que podamos ofrecerte la mejor experiencia de usuario posible. La información de las cookies se almacena en tu navegador y realiza funciones tales como reconocerte cuando vuelves a nuestra web o ayudar a nuestro equipo a comprender qué secciones de la web encuentras más interesantes y útiles.
junio 12, 2024 LegalTransformación Digital
¿Cómo aseguramos la identidad en remoto ante el riesgo de deepfakes?
Marketing Councilbox 0 comentarios
Las amenazas en la identificación biométrica remota
El impulso de la digitalización de los procesos implica mejoras de eficiencia para las organizaciones y, si se hace bien, una mejora de la experiencia de los clientes, que cuentan con nuevas formas rápidas y sencillas de llevar a cabo procesos que tradicionalmente han sido engorrosos.
La realización de trámites online, a través de cualquier tipo de dispositivo conectado a Internet, está presente en el día a día de todos, coexistiendo diferentes modelos para realizarlos, tanto de forma desasistida como asistida mediante chatbots, correos electrónicos, atención telefónica o mediante videoconferencia.
La evolución tecnológica ha permitido realizar estos trámites con seguridad, incorporando métodos de identificación y firma seguros que garantizan que quien los realiza sea quien dice ser y quien firma sea la persona que debe hacerlo.
Sin embargo, la propia evolución tecnológica está amenazando la continuidad de esta forma de llevar a cabo trámites.
La IA generativa aplicada de forma maliciosa puede generar deep fakes cada vez más sofisticados que ponen en riesgo los mecanismos de identificación y firma que hasta el momento se han considerado más seguros, como son los métodos biométricos.
Para conocer la magnitud del problema potencial, solo hay que considerar que en 2023 el número de deepfakes detectados en todo el mundo fue 10 veces superior al detectado en 2022. Algunos de ellos, los conocemos todos: suplantación de la voz de políticos, manipulaciones de vídeos de menores, suplantación de la voz de directivos que ha ocasionado la pérdida de grandes sumas de dinero, etc.
No es necesario ser un gran experto para, empleando aplicaciones prácticamente al alcance de todos, generar una imagen o un vídeo que suplante a una persona, al igual que sucede con la voz.
Los proveedores de identificación y firma biométricas, en cualquiera de sus formas, están en continuo desarrollo, puestos a prueba por la capacidad de realizar deep fakes cada vez más sofisticados; hoy en día se pueden imitar expresiones faciales, patrones de parpadeo y sutiles micromovimientos con una precisión elevadísima, confundiendo incluso a los algoritmos de detección más avanzados.
En esta situación, Gartner estima que para 2026, los ataques que utilizan deepfakes generados por IA en la biometría facial harán que el 30% de las empresas ya no consideren fiables estas soluciones de verificación de identidad y autenticación de forma aislada.
¿Qué es la verificación de identidad, cómo se ataca y cómo se protege?
Gartner define la verificación de identidad como la combinación de actividades durante una interacción remota que hace que una reclamación de identidad del mundo real se ajuste a las tolerancias de riesgo de la organización. Las funciones de verificación de la identidad, garantizan que existe una identidad real y que la persona que la reclama es su verdadero propietario y está realmente presente durante una interacción remota.
Los métodos de identificación biométrica se pueden entender como aquellos que emplean características físicas propias de cada persona para asegurar la identidad de la misma. Puede ser el iris, la cara, la huella dactilar, la voz, etc.
De entre los métodos biométricos el más empleado, por su facilidad para llevarlo a cabo desde los dispositivos más comunes, es la biometría facial, en la que normalmente se toman imágenes o vídeos de una persona a través de la cámara de su dispositivo y se compara con la imagen de esa persona en un determinado documento de identidad.
De forma muy simplificada, se pueden identificar dos tipos de ataques distintos para realizar deep fakes de biometría facial:
- Ataques de presentación, en los que el atacante “sustituye” la imagen real capturada por la cámara de la persona conectada por aquella que a él le interesa.
- Ataques de inyección, en los que la imagen fake es inyectada directamente en los sistemas o la API empleada por el proveedor de identificación.
Ante estos ataques, hay dos técnicas básicas para identificarlos y rechazarlos:
- Técnicas activas, en las que el usuario debe realizar alguna acción durante el proceso de identificación. Idealmente, la acción a realizar debería ser aleatoria, para dificultar el aprendizaje de los algoritmos del atacante.
- Técnicas pasivas, en las que la aplicación “busca” signos de vitalidad sin solicitar nada al usuario. Se identifican patrones de reflexión de la luz, análisis de profundidad, etc.
No hay consenso respecto a cuál es la mejor técnica, si bien aunque sea de forma teórica, si la técnica pasiva desarrollada es muy fiable, sobre el papel será más segura, dado que las técnicas activas se basan en movimientos que, a la larga, y con el aprendizaje de los algoritmos de machine learning, pueden ser replicadas en vídeos falsos generados para suplantar al usuario.
En cualquier caso, en lo que sí hay consenso es en que una combinación de técnicas e, incluso, complementar la identificación biométrica con otros mecanismos clásicos como la aportación de una password de un solo uso, van a sumar seguridad al proceso.
Cuantas más capas del escudo se usen, mejor… siempre que la experiencia de cliente no se resienta y supongan tal barrera que hagan “inusable” el proceso.
¿Cómo trabajamos en Councilbox la protección anti deep fakes y el aseguramiento de la identidad de los participantes?
Para Councilbox, como proveedor de seguridad jurídica para la realización remota de trámites, la verificación de identidad es fundamental. De nada serviría asegurar la trazabilidad extrema a extremo o la no manipulación documental, si las personas que realizan los trámites no son quienes dicen ser.
Empleamos la tecnología certificada de Alice Biometrics para llevar a cabo los procesos de verificación de identidad mediante biometría facial, beneficiándonos de la continua innovación de Alice para mantenerse como proveedor de referencia en un sector tan competitivo y sometido a la continua presión de quienes quieren suplantar identidades.
A diferencia de otros productos o procesos, en nuestro caso la biometría puede realizarse tanto de forma desasistida, con el usuario interactuando con la aplicación y el algoritmo tomando la decisión de verificación de identidad, como de forma asistida, durante una videollamada a la que asiste un profesional, que puede desencadenar el proceso de verificación y, con los datos de salida del algoritmo, tomar la decisión sobre la identidad.
No solo confiamos en Alice, sino que, además, tenemos en marcha dos líneas de trabajo permanentes:
- Continua I+D, en colaboración con Gradiant, para desarrollar tecnología propia que evite la manipulación de las imágenes que capturamos en las cámaras de los dispositivos de los participantes que se conectan a las videollamadas. Desarrollamos conjuntamente técnicas pasivas de última generación para identificar videos fake en tiempo real.
- Inclusión en el producto de varios mecanismos de identificación, que pueden emplearse simultáneamente y en diferentes partes del proceso de realización del trámite.
Además de la biometría, con OVAC podemos solicitar una password de un solo uso o un certificado digital homologado a los participantes. Por tanto, la suplantación debería abarcar un conjunto de acciones que van más allá de un deep fake facial.
Incluso, la propia naturaleza de OVAC, en el que normalmente se celebra una videoconferencia donde un profesional asiste para realizar el trámite a los participantes en el mismo, habilita el empleo de otras medidas de seguridad adicionales. Así, algunos de nuestros clientes, una vez identificado el participante antes de acceder a la videollamada, piden en ésta la presentación a cámara del documento de identidad y toman una captura que queda almacenada en Blockchain para evitar la manipulación de la misma.
Todos estos mecanismos de identificación permiten configurar procesos de autenticación extremadamente robustos, de dos y tres factores.
Con estas posibilidades del producto y nuestro esfuerzo continuo en I+D, hoy en día OVAC proporciona a nuestros clientes las necesarias garantías en la identificación de los participantes, como un elemento más de la seguridad jurídica que proporcionamos.
Artículos relacionados
¿Confías en lo que ves? Deepfakes y seguridad jurídica
Las empresas y administraciones hoy en día no usan de forma masiva la tecnología más adecuada para asegurar el no repudio y la validez de los trámites y actos jurídicos que realizan con clientes o ciudadanos, especialmente cuando hay un proceso de atención remota por videoconferencia
Confianza, un factor clave para que los ciudadanos utilicen los servicios digitales de la Administración Pública
La administración pública tiene un gran reto por delante, la transformación digital de la mano del ciudadano, una situación que le brinda la oportunidad de fortalecer la relación con los ciudadanos y ganarse su confianza. Para ello, es esencial utilizar soluciones que permitan una comunicación con el ciudadano eficiente, segura, rápida y sencilla.
Gradiant y Councilbox han creado una nueva unidad mixta (UMI) enfocada en la innovación en Gestión de la identidad y Ciberseguridad.
La finalidad principal de esta Unidad Mixta de Investigación (UMI) es impulsar la I+D en la líneas de investigación de gestión de la identidad y ciberseguridad, de manera que tanto GRADIANT como COUNCILBOX puedan obtener beneficios mutuos de esta colaboración entre organismo de investigación y empresa. GRADIANT además de poner en valor sus capacidades en […]