Incidentes Asociados
Los investigadores de seguridad de Cato CTRL descubrieron recientemente un actor de amenazas, ProKYC, que vende una herramienta deepfake en el submundo cibercriminal que ayuda a los actores de amenazas a superar la autenticación de dos factores (2FA) para realizar ataques de fraude de cuentas.
La herramienta que se vende está personalizada para apuntar a los intercambios de criptomonedas, específicamente aquellos que autentican a los nuevos usuarios aprovechando un documento emitido por el gobierno y habilitando la cámara de la computadora para realizar reconocimiento facial. Es una herramienta que ha recibido comentarios positivos de los cibercriminales.
Al superar estos desafíos de autenticación, los actores de amenazas pueden crear nuevas cuentas en estos intercambios. Esto se conoce como Fraude de Nueva Cuenta (NAF). La creación de cuentas verificadas pero sintéticas permite operaciones de lavado de dinero, cuentas mula y otras formas de fraude. Según AARP, el fraude de cuentas nuevas representó más de $5.3 mil millones en pérdidas en 2023 (frente a los $3.9 mil millones en 2022).
ProKYC es un actor de amenazas que representa un nuevo nivel de sofisticación, especialmente aquellos que apuntan a instituciones financieras. Este blog incluye una demostración de la herramienta deepfake de ProKYC y describe posibles técnicas de detección, mitigación y prevención de ataques de fraude de cuentas.
Con la autenticación multifactor (MFA), el enfoque generalmente se centra en las contraseñas de un solo uso (OTP). Sin embargo, la MFA consta de tres factores: algo que sabes (como una contraseña), algo que tienes (como una tarjeta inteligente) y algo que eres (como una huella digital). Nos encontramos con la 2FA casi a diario, y no necesariamente en forma de OTP.
Un ejemplo de ello es cuando retiras dinero de un cajero automático. Estás realizando 2FA: insertas tu tarjeta de cajero automático (algo que tienes) e ingresas un código PIN (algo que sabes). Lo mismo ocurre cuando pasas por la inspección fronteriza: proporcionas tu pasaporte (algo que tienes) y el oficial te mira y verifica que eres tú en la foto (algo que eres). La lista continúa.
Los cibercriminales han intentado burlar la 2FA durante décadas utilizando documentos y credenciales falsificados. Sin embargo, las herramientas impulsadas por IA ahora llevan estos esfuerzos a un nuevo nivel.
En el pasado, los estafadores han comprado documentos falsificados en la red oscura. Estos generalmente tenían la forma de un documento escaneado y la calidad variaba según el vendedor.
Si bien algunos de estos productos todavía se ofrecen, es posible que no pasen las pruebas de autenticación actuales. Además, no ofrecen ninguna solución en caso de que el autenticador le solicite que realice una prueba de reconocimiento facial. Entra en escena la herramienta deepfake de ProKYC.
La herramienta deepfake de ProKYC se vende en el mundo cibercriminal clandestino como un medio para superar estos obstáculos. Utiliza tecnologías deepfake para crear documentos falsos, así como para crear videos de las personas falsas en estos documentos que pasarían con éxito un desafío de reconocimiento facial. En un video proporcionado por ProKYC, los compradores potenciales pueden ver una demostración de cómo funciona la herramienta contra ByBit (un intercambio de criptomonedas).
-
El actor de amenazas crea credenciales falsas y una imagen falsa de una persona. La creación de rostros generados por IA es ahora un producto básico, con sitios como thispersondoesnotexist.com que muestran esta capacidad.
-
El actor de amenazas aplica estas credenciales a lo que parecería un documento emitido por el gobierno. En este caso, un pasaporte australiano. El resultado es una falsificación de alta calidad que se creó en segundos (a diferencia de pedir documentos falsificados a los cibercriminales en la red oscura). La herramienta presta atención a pequeños detalles, como que aparezcan los sellos "oficiales" sobre la imagen, como ocurre con un pasaporte australiano real.
-
El actor de la amenaza crea un video usando la imagen falsa. El video está diseñado para cumplir con las instrucciones de los sistemas de reconocimiento facial: mover la cabeza de la persona de izquierda a derecha. Si prestas mucha atención al video, notarás algunas imperfecciones (como el ojo) y una pequeña falla de video al final del video. Sin embargo, es probable que los sistemas de reconocimiento facial los ignoren. No quieres sistemas que sean demasiado estrictos y que puedan crear múltiples alertas de falsos positivos debido a una conexión a Internet lenta, por ejemplo.
-
El actor de la amenaza inicia un ataque de fraude de cuenta. Se conecta a un intercambio de criptomonedas (ByBit, en este ejemplo). Procede a cargar el pasaporte australiano falsificado. Luego se le pide que abra la cámara de su computadora para realizar el reconocimiento facial. En lugar de eso, la herramienta le permite conectar el video que creó como si fuera la entrada de la cámara.
-
Siguiendo todos estos pasos, y después de esperar un par de minutos para que se analicen tanto el pasaporte como el video, el atacante recibe la notificación de que la cuenta ha sido verificada.
A nivel tecnológico, la detección de ataques de fraude de cuentas es complicada. Como se mencionó anteriormente, la creación de sistemas de autenticación biométrica que sean súper restrictivos puede resultar en muchas alertas de falsos positivos. Por otro lado, los controles laxos pueden resultar en fraude.
Hay diferentes señales reveladoras de que un documento, una imagen o un video son falsos. Un ejemplo es la calidad de la imagen. Una imagen, y especialmente un video, que es de muy alta calidad (como el de la demostración) son indicativos de un archivo falsificado digitalmente. Otro ejemplo son los fallos en las partes faciales y la inconsistencia en el movimiento de los ojos y los labios durante la autenticación biométrica. Deben tratarse como sospechosos y verificarse manualmente por un humano.
La IA ha recibido mucha atención en los medios, pero los actores de amenazas han estado perfeccionando el uso de tecnologías deepfake durante bastante tiempo.
¿Qué pueden hacer las organizaciones para defenderse de las amenazas de la IA? Cato CTRL recomienda recopilar información sobre amenazas (ya sea de inteligencia humana (HUMINT), inteligencia de código abierto (OSINT) u otros medios) y mantenerse al día con las últimas tendencias en materia de ciberdelito.
Los actores de amenazas seguirán evolucionando y encontrarán formas de emplear nuevas tecnologías y software deepfake para su beneficio. Cato CTRL seguirá compartiendo estos hallazgos para ayudar a las organizaciones a estar al tanto de las últimas amenazas.