Los estafadores utilizan clones digitales generados por inteligencia artificial para eludir los procedimientos de conocimiento del cliente y abrir cuentas de blanqueo de capitales.
Mientras la humanidad intenta averiguar cómo recuperar los cientos de miles de millones de dólares invertidos en IA generativa, los ciberdelincuentes ya están adoptando esta tecnología. Por ejemplo, han descubierto que la IA puede utilizarse para crear mulas de dinero virtuales, cuentas ficticias utilizadas para transferir fondos robados. Las falsificaciones profundas permiten a los delincuentes eludir con éxito los procedimientos de verificación de la identidad del cliente (KYC, Know Your Customer) utilizados por las instituciones financieras, eliminando así la necesidad de cómplices vivos. Profundicemos en los detalles.
¿Qué es KYC?
El procedimiento KYC (Know Your Customer) (En castellano «Conozca a su cliente» CSC) es una práctica del sector financiero para verificar la identidad de un cliente que se utiliza para combatir diversas actividades financieras ilegales, como el fraude, el blanqueo de dinero, la evasión fiscal, la financiación del terrorismo, etc.
Más concretamente, KYC suele referirse a los sistemas de verificación de identidad biométrica en servicios totalmente remotos, es decir, cuando un cliente se registra en línea sin ningún contacto personal con empleados de la entidad financiera.
Normalmente, este procedimiento requiere que el cliente cargue fotos de sus documentos y se haga un selfie, a menudo sujetando los documentos. También se ha popularizado recientemente una medida de seguridad adicional: se pide al cliente que encienda la cámara de su smartphone y gire la cabeza en distintas direcciones, siguiendo instrucciones.
Este método también se utiliza a veces para verificar transacciones, pero en general está pensado para protegerse de la autenticación mediante fotos estáticas que podrían haber sido robadas de algún modo. El problema es que los delincuentes ya han descubierto cómo saltarse esta protección: utilizan deepfakes.
Herramientas de IA para el fraude
Estas son algunas de las formas más comunes en que los ciberdelincuentes utilizan maliciosamente contenidos generados por IA.
En la actualidad, el número total de herramientas de creación de contenidos mediante IA en todo el mundo se cuenta por miles. Existen 10.206 herramientas para la generación de imágenes, 2.298 herramientas para sustituir caras en vídeos y crear avatares digitales, y 1.018 herramientas para generar o clonar voces.
10.206 herramientas para la generación de imágenes.
2.298 herramientas para sustituir caras en vídeos y crear avatares digitales
1.018 herramientas para generar o clonar voces.
El número de utilidades especializadas diseñadas específicamente para eludir el CSC: más de 47 herramientas de este tipo. Estas herramientas permiten a los ciberdelincuentes crear clones digitales que superan con éxito la verificación de la identidad del cliente. Como resultado, los estafadores pueden abrir cuentas a distancia en instituciones financieras: bancos, bolsas de criptomonedas, sistemas de pago, etc.
Estas cuentas se utilizan posteriormente para diversas actividades delictivas, principalmente para el fraude financiero directo, así como para blanquear los beneficios de operaciones ilegales.
Existen tiendas online de clones
digitales hay sitios web clandestinos que venden fotos y vídeos de personas para eludir el control de identidad. Los comerciantes de duplicados digitales tienen colecciones enteras de estos contenidos. Encuentran voluntarios en países desfavorecidos y les pagan cantidades relativamente pequeñas (5-20 euros) por las imágenes.
El contenido resultante se vende a quien esté interesado. Las colecciones son bastante extensas e incluyen a personas de diferentes edades, géneros y etnias. Los servicios del sitio son bastante baratos: por ejemplo, se puede comprar un set por sólo 30 euros. Los conjuntos incluyen fotos y vídeos con distintas prendas de vestir, así como imágenes con una tarjeta blanca y una hoja de papel en blanco en la mano, que puede sustituirse por un documento de identidad o cualquier otro documento.
El servicio está muy orientado al cliente. El sitio web tiene reseñas de compradores agradecidos, e incluso cuenta con una marca especial para aquellas fotos y vídeos que han sido comprados el menor número de veces. Estos «clones frescos» tienen más probabilidades de superar con éxito los controles del sistema antifraude.
Además de identidades digitales ya creadas, los administradores del sitio ofrecen conjuntos de contenidos exclusivos creados individualmente para el comprador, bajo demanda y probablemente por un precio más elevado.
Documentos falsos generados por IA
IA Incluso existe un sitio web especializado en la venta de fotos realistas de documentos falsos creados mediante IA.
Según nuestra experiencia en este tipo de fraudes, algunos servicios de este tipo venden conjuntos listos para usar que incluyen tanto documentos falsos como fotos y vídeos de sus falsos propietarios.
De este modo, las herramientas de IA y este tipo de colecciones de contenidos facilitan enormemente el trabajo de los estafadores. Hace apenas unos años, las mulas de dinero -personas reales que manejaban directamente el dinero negro, abrían cuentas y realizaban transferencias o retiradas de efectivo- eran el eslabón más débil de las operaciones delictivas.
Ahora, esas mulas «físicas» se están volviendo rápidamente prescindibles. Los delincuentes ya no necesitan interactuar con «bolsas de carne y hueso» poco fiables y vulnerables a las fuerzas de seguridad. Sólo es cuestión de crear un cierto número de clones digitales con los mismos fines y luego dirigirse a aquellos servicios financieros que permiten abrir cuentas y realizar transacciones de forma totalmente remota.
¿Y ahora qué?
En el futuro, la facilidad para eludir los procedimientos actuales de CSC tendrá probablemente dos consecuencias. Por un lado, las entidades financieras introducirán mecanismos adicionales para verificar las fotos y vídeos facilitados por clientes remotos, basados en la detección de indicios de falsificación por IA.
Por otro, es probable que los reguladores endurezcan los requisitos para las operaciones financieras totalmente remotas. Así que es muy posible que la sencillez y comodidad de los servicios financieros en línea, a los que ya nos hemos acostumbrado, se vean amenazados por la inteligencia artificial.
Por desgracia, el problema no acaba ahí. La disponibilidad generalizada de herramientas de IA para generar contenidos de foto, vídeo y audio mina fundamentalmente la confianza en las interacciones digitales entre las personas. Cuanto mayor sea la calidad de las creaciones de IA, más difícil será creer lo que vemos en nuestros smartphones y ordenadores.
