Los controles habituales para combatir el fraude financiero -medidas contra el blanqueo de capitales (AML) y requisitos de conocimiento del cliente (KYC)- pueden haber encontrado su rival en la IA.
Un servicio clandestino llamado OnlyFake utiliza «redes neuronales» para crear documentos de identidad falsos de alta calidad y, según un informe de 404 Media, cualquiera puede obtener al instante documentos de identidad falsos con un realismo asombroso por solo 15 dólares, lo que podría facilitar una serie de actividades ilícitas.
La cuenta de Telegram original de OnlyFake, su principal plataforma de cara al cliente, fue cerrada. Pero su nueva cuenta declara el fin de la era Photoshop, presumiendo de su capacidad para producir documentos en masa utilizando «generadores» avanzados.
El propietario del sitio, que se hace llamar John Wick, afirma que el servicio puede generar cientos de documentos por lotes a partir de un conjunto de datos de Excel.
Las imágenes son tan buenas que 404 Media fue capaz de superar las medidas KYC de OKX, un exchange de criptomonedas que utiliza el servicio de verificación de terceros Jumio para verificar los documentos de sus clientes. Un investigador de ciberseguridad dijo al medio de noticias que los usuarios estaban enviando identificaciones OnlyFake para abrir cuentas bancarias y conseguir que sus cuentas de criptomonedas fueran desbloqueadas.
Cómo se hace
El servicio OnlyFake utiliza en gran medida tecnología básica de IA, aunque con gran sofisticación.
Mediante el uso de redes generativas adversariales (GAN), una forma de IA, los desarrolladores pueden diseñar una red neuronal optimizada para engañar a otra creada para detectar generaciones falsas. Sin embargo, con cada interacción, ambas redes evolucionan y mejoran en la creación y detección de falsificaciones.
Otro enfoque consiste en entrenar un modelo basado en la difusión con un conjunto de datos masivo y bien conservado de identificaciones reales. Estos modelos son expertos en sintetizar imágenes extremadamente realistas mediante el entrenamiento con grandes conjuntos de datos de artículos específicos. Aprenden a reproducir detalles minúsculos que hacen que las falsificaciones sean casi indistinguibles de los documentos auténticos, burlando los métodos tradicionales de detección de falsificaciones.
¿Debería arriesgarse?
Para quienes quieren evitar tener que usar su identidad real, OnlyFake es probablemente tentador. Pero utilizar este servicio plantea cuestiones éticas y jurídicas. Bajo el barniz del anonimato y el atractivo del fácil acceso, estas operaciones se asientan sobre un terreno muy inestable.
Dado que distribuye documentos de identidad falsos de muchos países -entre ellos Estados Unidos, Italia, China, Rusia, Argentina, la República Checa y Canadá-, la empresa abiertamente delictiva ha llamado sin duda la atención de las fuerzas de seguridad de todo el mundo.
En otras palabras, es posible que el Gran Hermano ya esté vigilando.
Los riesgos van más allá. John Wick, por ejemplo, podría estar guardando una lista de clientes, lo que sería catastrófico para OnlyFake y sus usuarios. Además, el nuevo grupo de Telegram de OnlyFake tiene más de 600 miembros, la mayoría de los cuales podrían ser rastreados hasta sus números de teléfono vinculados.
Y aunque es obvio, no está de más mencionar que pagar a OnlyFake con métodos de pago digitales tradicionales es un gran obstáculo.
Aunque los pagos con criptomonedas proporcionan una capa de privacidad, tampoco son completamente seguros frente a la exposición de la identidad. Innumerables servicios afirman ser capaces de rastrear las transacciones criptográficas, por lo que las monedas digitales están empezando a perder el anonimato asociado a ellas.
Y no, OnlyFake no acepta el token de privacidad cripto Monero.
Y lo que es más importante, la compra de un documento de identidad falso está en contradicción directa con las políticas AML y KYC, que están al menos ostensiblemente en vigor para combatir la financiación del terrorismo y otras actividades delictivas.
Puede que el negocio esté en auge, pero ¿merecen la pena las posibles ramificaciones por la comodidad rápida y asequible?
Reglamentos en evolución
Los organismos reguladores ya están intentando hacer frente a esta nueva amenaza. El 29 de enero, el Departamento de Comercio de EE.UU. propuso una serie de normas tituladas «Adopción de medidas adicionales para hacer frente a la emergencia nacional con respecto a actividades cibernéticas maliciosas significativas».
El departamento quiere exigir a los proveedores de infraestructuras que informen sobre personas extranjeras que intenten entrenar grandes modelos de IA independientemente del motivo, pero sin duda los casos en los que los deepfakes podrían utilizarse en fraude o espionaje son el centro de atención.
Estas medidas pueden no ser suficientes.
«La caída de KYC era inevitable ahora que la IA está creando documentos de identidad falsos que superan con facilidad las verificaciones», dijo Torsten Stüber, director de tecnología de Satoshi Pay, en Twitter. «Es hora de cambiar: Si la regulación rigurosa es una necesidad, los gobiernos deben abandonar la burocracia obsoleta por la tecnología criptográfica, permitiendo la verificación de identidad segura y de terceros».
Por supuesto, el uso de la IA en el engaño va más allá de los documentos de identidad falsos. Los bots de Telegram ofrecen ahora servicios que van desde los vídeos personalizados deepfake, en los que las caras de las personas se superponen a secuencias existentes, hasta la creación de imágenes de personas desnudas inexistentes, conocidas como deepnudes.
A diferencia de los servicios anteriores, estos no requieren grandes conocimientos ni siquiera un hardware potente, por lo que la tecnología está ampliamente disponible sin ni siquiera tener que descargar herramientas gratuitas de edición de imágenes.
