Por: JOSÉ ISRAEL CASTRO M.
En este escrito estaremos analizando como algunas tendencias han impulsado un cambio importante en el panorama de la seguridad en el mundo digital y algunos factores claves para la adopción de solucio- nes que permitan proteger las empresas del incremento en los diferentes tipos de fraudes (autorizados y no autorizados).
En la medida que las organizaciones mueven cada vez más sus negocios a modelos digita- les, los defraudadores van también mejoran- do sus capacidades para explotar y abusar de las facilidades de acceso que proporcionan los canales digitales.
Constantemente vemos crecer los ataques basados en la identidad, dado que los cibera- tacantes se centran en técnicas de ingeniería social que les periten evadir la autenticación multifactorial.
La velocidad y la agresividad de los ataques siguen acelerándose a medida que los ciber atacantes reducen el tiempo y el costo re- querido para suplantar la identidad de una persona, apoyados en el uso de Inteligencia Artificial (IA) y a las capacidades de obtener
Identidades sintéticas de manera fácil y cada vez a mejor costo, lo que facilita el lanzamien- to de ataques más sofisticados y de última ge- neración. Y es que el uso de herramientas le- gítimas para ejecutar un ataque, una técnica cada vez más frecuente, impide la capacidad de muchas organizaciones para diferenciar entre una actividad normal y una vulneración.
Para analizar un poco más el contexto, com- partimos algunos conceptos y cifras que les permitirán ampliar un poco más el nivel de avance y aceleración de estos ataques digitales.
Los deepfakes, un tipo emergente de amena- zas que se enmarca en el paraguas más amplio y generalizado de los medios sintéticos, utili- zan una forma de inteligencia artificial/apren- dizaje automático (IA/ML) para crear videos, imágenes, audio y textos creíbles y realistas de eventos que nunca ocurrieron. Estos han per- mitido el uso o apropiación de datos o infor- mación de otra persona -viva o muerta-, con el objetivo de obtener un lucro indebido.
Los 450 Millones de intentos ciberataques que recibió Tokio durante los juegos olímpi- cos del 2021 –
Se han incrementado 10 veces en las diferen- tes industrias, con el auge de los ataques de deepfakes
Estos Representan El 80 % de los ataques con
– tra identidades digitales.
Los ataques por inyección de videos – se han convertido en una de las mayores preocupaciones de las empresas
El 48% de los minoristas y el 53% de las enti
– dades financieras afirman que el auge de las identidades sintéticas es el mayor desafio para la verificación de identidad en canales digitales.
Estos factores son complementados con el crecimiento explosivo del uso de las Identidades artificiales , que permiten a los atacantes explotar el auge de popularidad de la banca digital y el comercio electrónico, para realizar apertura de cuentas fraudulen- tas usando identidades sintéticas, que combinan información real y ficticia.
Los ataques cibernéticos y de suplantación de identidad representan una grave amena- za para la seguridad de las empresas y los usuarios . Según un informe de Cybersecurity Ventures , se prevé que el costo de los daños por ciberdelitos alcance los $265 billones anuales para el año 2031. En este contexto, es fundamental fortalecer la seguridad en las aplicaciones y plataformas de servicios digi – tales que utilizamos a diario.
Por ello, es importante contar con técnicas y soluciones diseñadas para minimizar los ries- gos financieros, reducir las pérdidas por frau – de y proteger contra el riesgo reputacional , asegurando la integridad de las operaciones comerciales.
ALGUNAs TÉCNICAs AvANZADAs PARA COMBATIR DEEPFAkEs
En el ámbito de la verificación digital de la identidad existen actualmente dos vectores de ataques:
1. Los ataques de presentación o PAD (por sus siglas en inglés)
2. Los ataques de inyección o IAD (por sus siglas en inglés).
En primer lugar, para garantizar que la tecno- logía de detección de ataques de presentación cumple con los estándares tecnológicos de última generación es imprescindible contar con certificaciones como IBeta Nivel 2, o estar bien posicionados en el FATE PAD del NIST.
Face Analisys Technology Evaluation (FATE) o Evaluación de la tecnología de análisis facial, evalua la ejecución de algoritmos pasivos de de- tección de ataques de presentación (PAD por sus siglas en inglés – Presentation Attack Detection), basados en software. Este standard permite cuantificar la precisión de 82 algoritmos pasivos de detección de ataques de presentación basa- dos en software (PAD) que funcionan con imáge- nes 2D convencionales de varios instrumentos usados para ataques de presentación.
Por otra parte, el vector de ataque de los deepfakes es algo más complejo. Para que un ataque de estas características tenga lugar, debe hacerse mediante un ataque de inyec- ción. Actualmente, en el marco del grupo de trabajo CEN TC 224/WG18 “Biometric data injection detection”, se está trabajando en elaborar una norma ISO específica para este tipo de amenazas, dicho vector de ataque no cuenta actualmente con un esquema de cer- tificaciones que pueda tomarse como refe- rencia. Esto es así, debido a que la inyección de imágenes o vídeos afecta tanto al hardwa- re como al software empleado para capturar las evidencias que verifican digitalmente la identidad. Por este motivo, es común obser- var enfoques que atacan el problema desde varias capas de seguridad:
– Técnicas basadas en proteger la segu- ridad e integridad tanto del software como del hardware empleado para la captura y comunicación de evidencias (ciberseguridad).
– Técnicas para evaluar la integridad del dato. Por ejemplo, mediante la imple- mentación de marcas de agua, o median- te el análisis del origen de la muestra biométrica.
– Técnicas de análisis forense de la imagen. Dichas técnicas buscan detectar eviden- cias que sugieran inyección de imagen o vídeo.
– Técnicas basadas en IA para la detección de deepfakes, o para la detección de su- plantación de caras.
1. Biometría del Comportamiento – Mayor utilización de inteligencia de comportamiento para enfrentar el fraude complejo
La biometría de comportamiento se está con- virtiendo en una herramienta esencial para que las empresas y organizaciones desarro- llen confianza con sus clientes y reduzcan el fraude cada vez más sofisticado.
Las empresas con visión a futuro que desean mejorar su estrategia de prevención de frau- de y defenderse de estafas sofisticadas están acogiendo la biometría de comportamiento para conocer mejor a sus clientes y comple- mentar sus procesos de seguridad.
2. Autenticación Multi-Factor – Procesos claves en detección de fraude y protección con- tra la toma de control de cuentas
Las organizaciones deben reforzar la seguri- dad contra el fraude y el phishing, adoptando prácticas de autenticación multifactor (MFA) que siguen los estándares FIDO para prevenir ataques sofisticados y la toma de control de cuentas.
Verificación biométrica reforzada
Autenticación MFA con soporte de llaves de seguridad como YubiKeys o claves de segu- ridad físicas que autentica a los usuarios en servicios en línea, dispositivos y redes, entre ellas biometría conductual para identi- ficar patrones únicos de comportamiento del usuario, resistente a técnicas de phishing y suplantación.
Tecnología anti-phishing
Todos los accesos son verificados online con los principios de Zero Trust, lo que eleva la ba- rrera contra el acceso no autorizado. Nuestros sistemas están diseñados para reconocer y resistir intentos de phishing, protegiendo la identidad de los usuarios en cada punto de acceso.
Cumplimiento y adaptabilidad
Nuestra tecnología no solo cumple con los estándares de seguridad actuales, sino que también se anticipa a las tácticas de fraude y phishing del futuro, asegurando a nuestros clientes la más avanzada protección en la ve- rificación de identidad.
3. Identidades portables y reusables – El futuro de la Seguridad digital
En la gestión de la identidad digital, tanto los usuarios como las empresas se enfrentan a desafíos. Desde la fatiga de las contraseñas hasta las violaciones de datos, la seguridad digital se ve comprometida por los sistemas de autenticación obsoletos. Las identidades portátiles y reutilizables se destacan como soluciones, transformando la ciberseguridad y mejorando la protección de datos.
¿Qué nos ofrecen las identidades portátiles?
Un sistema de identidad digital auto sobe- rano donde las personas tienen control total sobre sus datos, decidiendo qué compartir y con quién.
Con esta tecnología, se elimina la necesidad de múltiples nombres de usuario y contrase- ñas, lo que facilita una experiencia en línea más fluida y segura.
Imagine llevar toda su identidad, desde docu- mentos de identidad emitidos por el gobierno hasta tarjetas bancarias y registros médicos, en una billetera digital segura, accesible des- de su dispositivo.
Beneficios:
• Control centrado en el usuario: Las per- sonas tienen autonomía total sobre sus datos de identidad, decidiendo qué com- partir y con quién.
• Seguridad mejorada: La criptografía y la tec- nología blockchain garantizan la integridad de los datos y evitan el acceso no autorizado.
• Autenticación simplificada: Una identidad digital segura reemplaza numerosas combi- naciones de nombre de usuario y contraseña.
• Fraude reducido: Los métodos de autentica- ción más sólidos hacen que las transacciones e interacciones en línea sean más seguras.
• Mayor comodidad: Los usuarios pue- den acceder a los servicios y comple- tar las transacciones rápidamente y sin complicaciones.
Casos de uso de identidades portátiles y reuti- lizables en diferentes industrias
Las identidades portátiles y reutilizables es- tán transformando varias industrias:
• Servicios Financieros: Acceso seguro y conveniente a la banca en línea, pagos y plataformas de inversión, permitiendo el uso de una sola identidad para el acceso a múltiples servicios e instituciones.
• Salud: Acceso simplificado a registros
médicos, recetas y citas.
• Servicios Gubernamentales: Facilita el acceso a los beneficios gubernamentales, votación y otros servicios esenciales.
• Viajes y Hospitalidad: Procesos rápidos y seguros de Check-in/Check-out, verificación de documentos de viaje y cruces fronterizos.
• Venta minorista y comercio electrónico: Experiencias de compra en línea más con- venientes con opciones de autenticación y pago simplificados.