Blog
Tecnología financiera
Verificación de identidad

La IA generativa y la intensificación del fraude de identidad

Las falsificaciones generadas por IA desafían el KYC, ya que los sistemas de verificación de identidad deben analizar los metadatos del dispositivo, el contexto del comportamiento y la calidad de la presentación para distinguir lo real de lo sintético.
March 20, 2024
7 minutos
Keqiang Xu, Yuqi Chen

En febrero, OpenAI lanzó su primer modelo de IA de conversión de texto a vídeo, Sora, que atrajo la atención del público como un avance revolucionario en la IA y la producción de vídeo. Si bien la capacidad de generar movimientos y escenas sofisticados abre nuevas oportunidades en todos los sectores, también presenta desafíos sin precedentes para las empresas, en particular en forma de amenazas cada vez más intensas de tipo deepfake. El rápido desarrollo de la inteligencia artificial ha complicado considerablemente la verificación de las identidades de los usuarios, lo que brinda a los estafadores amplias oportunidades para aprovechar las vulnerabilidades.

«La policía de Hong Kong reveló recientemente un caso importante de fraude con inteligencia artificial en el que un estafador engañó a un empleado financiero de una corporación multinacional utilizando tecnología de intercambio facial de inteligencia artificial para hacerse pasar por el director financiero de la empresa. A pesar de las sospechas iniciales, el empleado se tranquilizó cuando otros compañeros se unieron a la videollamada, lo que supuso la transferencia de 200 millones de dólares hongkoneses a una cuenta desconocida».

Este caso ejemplifica el importante desarrollo del uso indebido de la IA en el ámbito del fraude en las telecomunicaciones. En este artículo, reconstruiremos el proceso del fraude de identidad relacionado con la inteligencia artificial, así como las medidas preventivas para abordar estos desafíos.

El proceso de ataque inicial

El proceso inicial de ataque fraudulento se puede dividir en los siguientes pasos: ganarse la confianza de la víctima mediante tácticas de ingeniería social, obtener el control de sus dispositivos móviles, robar cuentas, transferir fondos o consumir límites de crédito. Además, una vez que han conseguido la identidad del usuario, los estafadores lanzan ataques de suplantación de identidad, como los ataques con IA de intercambio de rostros, presentaciones o inyecciones, que eluden la detección de personas vivas y transfieren fondos, solicitan préstamos o consumen límites de crédito.

💡 En el contexto de la seguridad de la información, la ingeniería social es la táctica de manipular, influir o engañar a una víctima para obtener el control de un sistema informático o robar información personal y financiera. Utiliza la manipulación psicológica para engañar a los usuarios para que cometan errores de seguridad o revelen información confidencial.

Preparación

  • Creación de sitios web de suplantación de identidad que se hacen pasar por agencias gubernamentales como el ministerio de seguridad pública, el departamento de finanzas y la oficina de impuestos.
  • Diseñar interfaces de usuario que se parezcan a Google Play, TestFlight y otras para atraer a los usuarios a descargar malware.

Ganar confianza

El objetivo de este paso es instalar malware en el dispositivo móvil de la víctima para obtener el control de acceso.

  • Iniciar el contacto mediante llamadas telefónicas o mensajes de texto, ordenando a las víctimas que se comuniquen a través de aplicaciones de mensajería instantánea.
  • Notificar a las víctimas que instalen el «software» ellas mismas o para sus familiares, supuestamente para solicitar pensiones digitales, reembolsos de impuestos o solicitar préstamos a bajo interés.
  • Persuadir a las víctimas para que descarguen malware a través de plataformas que se asemejan mucho a Google Play y TestFlight, al mismo tiempo que manipulan los dispositivos Apple mediante la administración de dispositivos móviles (MDM).

Dispositivo de control

Estas acciones hacen que las medidas de seguridad típicas, como el cambio de dispositivo, la detección de IP y la autenticación de dos factores, sean ineficaces.

  • Controlar de forma remota el dispositivo móvil anfitrión.
  • Usar el dispositivo infectado como proxy para el tráfico.
  • Instalación de un complemento de filtro de SMS para redirigir todos los mensajes a un servidor externo.
  • Recuperar imágenes de la galería de la víctima y capturar datos de reconocimiento facial.

Robar una cuenta

Este paso crítico recupera casi todo el conjunto de información personal del dispositivo de la víctima.

  • Abusar del AccessibilityService para leer la interfaz de usuario (UI) y las pulsaciones de teclas, a fin de recuperar las contraseñas.
  • Dirigir a los usuarios a sitios web de suplantación de identidad para obtener información personal: nombre, correo electrónico, cuenta bancaria, número de teléfono, dirección, fotos de identificación, datos de reconocimiento facial, etc.

Sacando provecho

En esta etapa, el estafador ya ha obtenido el control total del dispositivo. La víctima no puede recibir ninguna notificación relevante ya que los mensajes son interceptados.

  • Lanzar ataques masivos y usar repetidamente la información de las víctimas para confiscar activos.

La aparición de estas tácticas se remonta a la renovación de la política de privacidad de Google Store a finales de 2023, cuando se endurecieron los permisos relacionados con la recuperación de ubicaciones, las listas de aplicaciones, los registros de llamadas y SMS y las cámaras. Además, amplía la clasificación de las aplicaciones con permisos y códigos malintencionados similares como software basura.

En este contexto, los ataques de suplantación de identidad multiplataforma son cada vez más populares. Por lo general, los estafadores tienen un conocimiento profundo de las funcionalidades y los requisitos de auditoría en dominios específicos. Investigarán las medidas de seguridad en plataformas similares y, posteriormente, iniciarán ataques masivos.

Actualmente, el equipo de inteligencia de TrustDecision ha monitoreado este tipo de ataques en países como Tailandia, Filipinas, Vietnam, Indonesia, Perú, etc.

El proceso de ataque derivado: uso de AIGC

  • Investigar la categoría de la aplicación y los SDK comunes.
  • Instalación de la aplicación de destino.
  • Registro de cuentas en las plataformas de destino.
  • Usar la identidad robada para adquirir más datos.
  • Uso de la IA para generar vídeos: intercambio de rostros, generación de vídeos para presentaciones o ataques de inyección.
  • Completar la verificación de identidad.
  • Retirar dinero o consumir límites de crédito.

En este escenario, la verificación de identidad se vuelve complicada, ya que todos los «solicitantes» envían información de usuario auténtica, lo que representa un desafío para las herramientas KYC convencionales a la hora de detectar el fraude de identidad. Además, los estafadores están bien informados sobre la solvencia del propietario de los datos, lo que garantiza que cumple con los requisitos de control de riesgos de la plataforma.

💡 Actualmente, la mayoría de las soluciones de reconocimiento facial utilizan la detección de ataques de presentación (PAD) para determinar si la identidad es auténtica.

💡 Un ataque de presentación ocurre cuando un atacante usa datos biométricos falsos o simulados, como máscaras o fotos, para engañar a un sistema de autenticación biométrica, como el reconocimiento facial. El objetivo del PAD es distinguir entre rostros humanos vivos y esas imitaciones. Se usa principalmente para defenderse de los ataques de presentación. Sin embargo, cada vez son más los estafadores que recurren a la tecnología deepfake para realizar ataques por inyección, que permiten eludir las cámaras físicas y utilizar herramientas como las cámaras virtuales para introducir imágenes directamente en el flujo de datos del sistema.

Casos

Teniendo en cuenta la disponibilidad de los datos, el coste del ataque y la complejidad del cifrado de la plataforma, los estafadores pueden iniciar diversas formas de ataques, que incluyen, entre otros, la presentación de fotografías manipuladas, modelos de cabezas, fotografías impresas, filmaciones de pantallas y ataques por inyección, etc.

Caso 1

Planteamiento: Photoshop para reemplazar el retrato de la tarjeta de identificación, filmar la pantalla y sujetar un modelo de cabeza en 3D para pasar la detección de vida.

Características de los datos: datos demográficos similares o casi idénticos agregados, rasgos faciales muy idénticos agregados

Etiqueta de riesgo: photoshop, borde anormal de la imagen, cara falsa

Objetivo: Para detectar la línea base de las capacidades de control de riesgos de las plataformas

Caso 2

Planteamiento: Cambia el nombre de la identificación, usa materiales impresos o graba la pantalla

Características de los datos: datos demográficos similares o casi idénticos agregados, rasgos faciales muy idénticos agregados

Etiqueta de riesgo: photoshop, reflexión, efecto moire

Objetivo: Para falsificar la identidad, omita la detección de vivacidad y las posteriores comparaciones de retratos

Caso 3

Planteamiento: Produce vídeos en masa después de descubrir el algoritmo de detección de vida de la plataforma

Características de los datos: Tasa de aprobación de detección con precisión extremadamente alta, fondo de vídeo y vestimenta del solicitante muy similares

Etiqueta de riesgo: AIGC, ataque por inyección

Objetivo: Para falsificar la identidad, omita la detección de vivacidad y las posteriores comparaciones de retratos

Surge la pregunta crítica..

¿Cómo prepararse para este tipo de ataques?

Los riesgos anteriores se derivan de una combinación de tecnologías y tácticas que incluyen la ingeniería social, el malware, el control remoto y el AIGC, etc. Para abordarlos, las plataformas deben mejorar la educación de los usuarios en términos de vigilancia contra los fraudes, fortalecer la seguridad de las aplicaciones con firewalls y herramientas de detección y eliminación de malware, y desarrollar mecanismos de monitoreo efectivos. Además, deben mejorar las estrategias para hacer frente a las aplicaciones maliciosas del AIGC y actualizar continuamente los algoritmos antifraude para detectar y responder a las conductas de riesgo con prontitud.

En términos de implementación, implica el diseño de la lógica empresarial, la reconstrucción de herramientas y técnicas, el monitoreo y el análisis del proceso y los resultados de la verificación de identidad, el análisis del comportamiento de verificación, la neutralización del modelo de CV, el empoderamiento de los modelos de IA para la toma de decisiones y el complemento de la recuperación fuera de línea, etc.

TrustDecision sugiere:

  • Establezca una base de datos completa de perfiles de riesgo que incluya el dispositivo del usuario, la IP, la información de la cuenta, etc.
  • Realice escaneos ambientales para garantizar la seguridad operativa y de la red. Un entorno vulnerable es el caldo de cultivo de los ataques por inyección.
  • Detecta anomalías en la agregación de datos. Por ejemplo, la agregación anormal de la información del dispositivo, los rasgos faciales, la información de la cuenta y los datos demográficos.
  • Verifique la licencia. Esto sirve para proteger los activos clave, como los resultados de la validación, contra los ataques de repetición y las llamadas maliciosas a la API.
  • Detecta los materiales de verificación de identidad enviados. Verifique los rasgos faciales para evitar anomalías y falsificaciones falsas.
  • Configure alertas para el monitoreo de anomalías en los sitios y países correspondientes.
  • Educa a tus usuarios.
    • No haga clic en enlaces sospechosos, ya que el malware móvil a menudo se propaga a través de enlaces maliciosos en correos electrónicos, mensajes de texto y publicaciones en redes sociales.
    • Informe a los usuarios que solo descarguen aplicaciones de plataformas oficiales como Google Play Store y Apple App Store.
    • Al instalar aplicaciones nuevas, revise cuidadosamente los permisos solicitados y manténgase muy alerta cuando las aplicaciones soliciten servicios de accesibilidad.
    • Publique el número de teléfono oficial de la plataforma para evitar que los atacantes se hagan pasar por el servicio de atención al cliente de la plataforma.
    • Recuerde a los usuarios que revisen manualmente su bandeja de entrada de SMS para ver si hay mensajes de verificación de plataformas desconocidas.

Acerca de TrustDecision

Para mitigar eficazmente los riesgos que representan los ataques deepfake impulsados por la IA, es crucial introducir tecnologías de verificación de identidad eficaces y sólidas. Esto incluye la implementación de medidas preventivas en relación con la ATO y otras aplicaciones fraudulentas.

TrustDecision ofrece soluciones integrales contra el fraude en aplicaciones mediante la integración de capacidades de reconocimiento de riesgos de terminales, algoritmos de detección de actividad y capacidades de detección de anomalías en las imágenes. Nuestra suite de soluciones, que incluye KYC++ y la detección de fraudes en aplicaciones, está diseñada para combatir los riesgos de fraude de identidad derivados de las técnicas avanzadas de IA generativa, como los ataques de presentación y los ataques de inyección. Al aprovechar estas herramientas innovadoras, las empresas pueden mitigar el riesgo de que se intensifiquen las pérdidas por fraude y proteger sus operaciones y activos.

Now available on
Watch on YouTube
Listen on Spotify
Download the White Paper
Tabla de contenido

Publicaciones relacionadas

Ver todos
See All
See All
See All
Blog
Verificación de identidad

Guía eKYC: tipos, nuevos métodos y cómo la IA mejora la verificación más inteligente

October 22, 2025
5 minutos
Blog
Verificación de identidad

Cuando el crimen se une al código: cómo Deepfake está redefiniendo los riesgos de fraude

May 20, 2025
5 minutos
Blog
Tecnología financiera
Verificación de identidad

La seguridad financiera en la era de la IA: la batalla entre los deepfakes y la verificación de identidad

November 12, 2024
8 minutos
Blog
Verificación de identidad

Los 6 principales proveedores de eKYC de 2024: una comparación exhaustiva

August 27, 2024
6 minutos
Blog
Verificación de identidad

KYC en criptomonedas: garantizar el cumplimiento y la seguridad

August 5, 2024
8 minutos
Política de privacidad
Derechos de autor © 2026 TrustDecision. Todos los derechos reservados
Volver al principio