Los deepfakes, desde 2019, y gracias a los avances en inteligencia artificial y aprendizaje automático (o machine learning), suponen una realidad que se ha colado en nuestros dispositivos móviles y televisiones a través de las redes sociales y otros canales de información.
Sin embargo, su uso no sólo se plantea para emitir bulos por parte de la identidad falsificada de una celebrity o líder de opinión, sino que algunas organizaciones y empresas temen que puedan utilizarse para falsificar y suplantar la identidad de clientes y usuarios para cometer fraudes.
A continuación, trataremos de entender en profundidad el concepto deepfake y ahondaremos en su posible uso para falsificar la identidad así como en las técnicas anti-fraude para evitar que se utilicen como arma delictiva.
Qué es y en qué consiste un Deepfake
Deepfake, en español ultrafalso, se entiende por la propia palabra, formada por los términos fake y deep (deep learning, aprendizaje profundo). Deep learning es una técnica de inteligencia artificial que crea modelos estándares y formatos automatizados desde una fuente ingente de datos.
Se estudian imágenes estáticas y en movimiento de un sujeto para comprender y replicar sus gestos y apariencia, en ocasiones con resultados asombrosamente similares a la persona real. De esta forma, se genera un vídeo que parece ser real, pero que está producido íntegramente por un ordenador (CGI).
Así, podemos ver a Barack Obama haciendo declaraciones sobre ovnis o a Angela Merkel emitiendo información falsa sobre la Covid-19.
Deepfakes y la suplantación de identidad
Muchas organizaciones y empresas se están planteando si este tipo de técnicas suponen o no un riesgo real en sus procesos eKYC. Dado que se crean vídeos de personalidades para emitir bulos informativos, se plantean si se podrían crear vídeos similares para falsificar identidades en procesos habituales de onboarding de clientes..
Aquí entran en juego los procesos biométricos, capaces de verificar la identidad de personas con técnicas avanzadas y modelos matemáticos exactos que responden a criterios de alta seguridad, que entienden si el input que reciben es una persona natural siendo grabada en tiempo real o se trata de un vídeo generado por ordenador siendo reproducido.
Además, los expertos recuerdan que para entrenar los algoritmos que posteriormente generarán un vídeo falso de una persona, se necesitan miles o decenas de miles de muestras de vídeo, foto y audio de la persona con gran calidad y diversidad. Es casi imposible conseguir estas muestras de una persona que no expuesta mediáticamente, y, aún así, en el caso de conseguir datos medianamente significativos de una persona “anónima” , el resultado sería probablemente muy pobre.
Elementos clave en la seguridad anti-deepfakes
El documento de identidad
Si bien, aunque parece que cada vez es más común generar vídeos deepfake creíbles en los que se puede configurar una serie de acciones concretas y lo que esta dice, no es suficiente para que un sistema de alta seguridad de reconocimiento facial biométrico sea “hackeado” o “engañado”.
Aún así, supongamos que hipotéticamente las técnicas deepfake son capaces de saltarse el filtro del reconocimiento biométrico. Sin embargo, antes de mostrar el rostro a cámara y sonreír para realizar el proceso de verificación de identidad no sólo basta con el rostro, si no que es imprescindible mostrar un documento de identidad válido, en vigor, original y que no haya sido alterado o modificado.
Pese a que la falsificación de documentos de identidad viene de lejos, hay dos características que los blindan frente a la falsificación en los procesos online de verificación de identidad:
Los documentos de identidad y pasaportes actuales son cada vez más inviolables e incluyen decenas de elementos “ocultos” que los hacen muy difíciles de falsificar. La característica estrella es el holograma: Aunque no todos los procesos de verificación de identidad online tienen en cuenta este aspecto, la identificación del holograma es clave para verificar la integridad y originalidad del documento de identidad.
El vídeo en streaming
Ya hemos advertido en alguna ocasión sobre ausencia de seguridad en las soluciones de verificación de identidad basadas en selfies, además de no cumplir con las regulaciones estándares sobre identificación digital. A diferencia de la identificación por vídeo en streaming donde las marcas de tiempo y la validez de la identificación se comprueban en tiempo real, otro tipo de soluciones no otorgan el nivel de seguridad necesario para este tipo de procedimientos.
Una falsificación a través de un deepfake sería inviable en un proceso de identificación por vídeo en tiempo real, ya que la inteligencia artificial del proceso reconocería que se está viendo un vídeo grabado. Además, todas las complicaciones derivadas de los tiempos para cada paso del proceso y los checks de cada uno hacen imposible que un vídeo ya generado por ordenador se ajuste al proceso de identificación por vídeo en tiempo real.
Un elemento fundamental en el vídeo es el fondo, y cómo el rostro se relaciona con él. La inteligencia artificial del vídeo en streaming puede evidenciar que el fondo es una imagen estática insertada, algo habitual en los deepfakes. La iluminación es otro aspecto destacado, donde se puede comprobar que una sombra de la estancia no afecta al rostro pero sí al resto de elementos presentes en el vídeo.
En cualquier caso, en procesos de riesgo y que requieren alta seguridad, un equipo de agentes cualificados valida el vídeo en un proceso de back, lo que elimina por completo el riesgo de que un deepfake falsifique una verificación de identidad.
El doble factor de autenticación
Un elemento de seguridad adicional es el comúnmente llamado doble factor, que realmente, en el caso que nos ocupa, sería un cuarto factor, ya que, como hemos visto, hay tres controles previos (documento de identidad, rostro y sonrisa, y sellos en tiempo real).
El conocido como doble factor de autenticación añade un extra de seguridad a través de distintos métodos como pueden ser un código temporal único (OTP, One Time Password) a través de SMS, email u otro canal o, por ejemplo, un PIN personal o la huella dactilar.
En conclusión, el proceso de identificación por vídeo en streaming es un proceso de múltiples factores (AMF, Autenticación en Múltiples Factores) impracticable para los deepfakes.
¿Supone el deepfake un riesgo para los procesos de identificación online?
La respuesta es no. Como hemos visto, los procesos de identificación por vídeo en tiempo real de alta seguridad están provistos de diversos sistemas y técnicas anti-spoofing y aseguran las pruebas de vida para evitar cualquier tipo de fraude y suplantación de identidad derivados de deepfakes o cualquier otro método.
Además, todos aquellos sistemas que cumplen con las regulaciones estándares en materia de identidad digital como AML5 y eIDAS, están protegidos contra el fraude y las intenciones delictivas.
Descarga aquí la guía definitiva sobre las regulaciones que marcan los estándares de seguridad y descubre cómo conseguir clientes en segundos.
¿Y para los procesos de autenticación?
La autenticación es un proceso siempre posterior a la video-identificación. Un usuario no puede autenticarse si no se ha registrado previamente.
Teniendo en cuenta que el proceso de identificación no puede falsearse, y que la autenticación se basa en una identificación previa y validada, la falsificación en una autenticación por parte de un deepfake es inviable.
SmileID, por ejemplo, basa su sistema de autenticación y reconocimiento facial biométrico en los datos obtenidos de la identificación por VideoID, además de integrar todos sus sistemas anti-spoofing.
Solicita ya una demostración gratuita de las soluciones anti-deepfake de eID.