Incidentes Asociados
OnlyFake.org causó revuelo entre los proveedores de verificación de identidad digital y las empresas que dependen de la biometría para incorporar clientes cuando se reveló que era una herramienta para intentar cometer fraude a gran escala.
El sitio web desapareció de Internet después de la protesta, pero no para siempre.
Los investigadores de prevención de fraude de Au10tix descubrieron el sitio, que renació con una nueva URL que se puede encontrar a través de los mismos canales de contacto, según le dice el director de desarrollo comercial de Au10tix, Ofer Friedman, a Biometric Update en un correo electrónico. El generador de documentos de identidad sintéticos ha añadido más avisos legales que demuestran su conocimiento de cómo los clientes pueden cometer fraude con los productos que vende.
Una advertencia en el nuevo sitio les dice a los clientes: "¡No utilice las imágenes ilegalmente!" El sitio web ofrece compras al por mayor de mil documentos de identidad falsos por $1500 y anuncia pasaportes y licencias de conducir estadounidenses falsos. El sitio también incluye una "Negación de responsabilidad", que tiene la etiqueta "Aviso legal de OnlyFake".
El aviso legal sugiere que las plantillas de identificación falsas "solo se pueden usar en películas, programas de televisión, ilustraciones web (verificación de cuenta en línea)".
"Comprar y poseer una plantilla PSD de este sitio no es ilegal, pero hacer una licencia/tarjeta/identificación de PVC falsa para uso físico es ilegal y un delito grave", dice el aviso legal. "Por lo tanto, el uso con fines fraudulentos está estrictamente prohibido. Configuramos nuestra plantilla de tal manera que la gente no pueda usarla físicamente (haciendo una licencia/tarjeta/documento de identidad falso con PVC). Si va a utilizar nuestra plantilla de licencia/tarjeta/documento de identidad falso de PVC, salga de nuestro sitio inmediatamente".
"También están anunciando la incorporación de nuevas plantillas de documentos de identidad cada semana y han agregado herramientas de apoyo como la generación de firmas manuscritas", dice Friedman. "Al mismo tiempo, varios canales ofrecen identificaciones falsificadas en masa listas para usar para la venta a quienes quieran la forma fácil".
*Biometric Update no está compartiendo la nueva URL, para evitar publicitar la herramienta de fraude.
Incluso las falsificaciones de mala calidad superan las defensas débiles
Friedman dice que los investigadores de Au10tix se sorprendieron de que las falsificaciones vendidas por OnlyFake y su nueva encarnación pudieran vencer a varias plataformas de verificación automatizada de documentos de identidad, y señala: "La publicidad es mayor que la calidad de los resultados".
"Hemos ejecutado un par de sus falsificaciones en nuestro sistema de defensa de doble capa, y la primera capa fue suficiente para detectarlas en cuatro problemas diferentes", explica. "Sabemos que otros sistemas 'automatizados' en realidad están respaldados por humanos. Como sabes, los humanos solo pueden detectar lo que los humanos pueden ver, y la tecnología deepfake es lo suficientemente buena como para producir falsificaciones no visibles que solo una automatización adecuada puede detectar. Por lo tanto, en este punto, no, es una manipulación bastante básica de Gen-IA. Hemos visto mucho más fraude profesional generado por IA, y los estafadores mejoran rápidamente".
Las empresas preocupadas por la amenaza de las falsificaciones generadas por IA deben tener en cuenta que los sistemas de protección contra el fraude varían significativamente en calidad, aconseja Friedman, y asegurarse de tener una defensa de varias capas. "A nivel de caso y de comportamiento, y asegurarse de contar cuántos 'tipos de verificación' se realizan", especifica. "Los sistemas estándar tendrían entre 40 y 60 verificaciones, y los sistemas fuertes tendrían entre 120 y 180 verificaciones".
Friedman señala que las tecnologías de biometría y protección contra el fraude de Au10tix se desarrollaron para aplicaciones de control de fronteras y aeropuertos en las que se debe asumir que los intentos de fraude pueden pasar desapercibidos a simple vista.
Los gobiernos reconocen la magnitud de la amenaza de los documentos de identidad falsos generados por IA, según Friedman, pero están un tanto limitados por la naturaleza de la regulación.
"El problema es que los estafadores, especialmente los estafadores profesionales, en realidad no siguen esas reglas", dice. Sin embargo, ofrece una sugerencia para los responsables de las políticas: "Lo que puede ser una buena idea es que los reguladores acrediten las soluciones en función del nivel de defensa que ofrecen. Lo hacen con los hoteles; ¿por qué no con la lucha contra el fraude?"