IDCheck.io, marca del grupo IDnow:
Referencia europea en Verificación de Identidad

Menu

Detección de fraudes: reconocimiento facial al servicio de la lucha contra el robo de identidad

Mientras existan mecanismos de verificación de identidad, los estafadores siempre encontrarán formas de sortear estos obstáculos.
Entre estas técnicas se encuentra el robo de identidad facial (también conocido como "Facial Spoofing" o "Spoofing Attacks"), en el que un estafador intenta eludir un sistema de reconocimiento facial para identificarse erróneamente presentando una cara falsa (por ejemplo, una fotografía, modelos renderizados en 3D, una máscara impresa en 3D).

Los estafadores también pueden usar métodos asistidos por IA como deepfakes, lo cual es un gran desafío para los proveedores de soluciones de reconocimiento facial.

Détection du vivant

Para protegerse contra tales amenazas, los sistemas de verificación de identidad han evolucionado, incluyendo soluciones innovadoras como la detección de organismos vivos. Al analizar la textura de la cara, la densidad de los rasgos y la relación entre las características de esta cara, se puede determinar si esta cara es real o no. Estas tecnologías permiten a  los proveedores de servicios ahorrar tiempo durante el proceso de onboarding y establecer una relación de confianza entre la empresa y su cliente.

A medida que las empresas de la UE y más allá continúan digitalizando y reorientando sus métodos de identificación de clientes hacia procesos remotos, la lucha contra el robo de identidad a través del reconocimiento facial desempeña un papel crucial en el proceso KYC (Know Your Customer). KYC es el nombre dado al proceso por el cual una empresa identifica y verifica la identidad de sus clientes. Este proceso es cada vez más utilizado, o incluso impuesto en una relación con un cliente en ciertos sectores como las finanzas.

Tomemos tres ejemplos para ilustrar la escala del reconocimiento facial:

  • Cada vez más servicios orientados al cliente, como instituciones financieras, sitios de juegos de azar en línea y organismos públicos, han comenzado a utilizar sistemas de reconocimiento facial para verificar la identidad de sus usuarios.
  • Para 2023, el 97% de los aeropuertos planean implementar tecnología de reconocimiento facial. En los Estados Unidos, el 100% de los 20 principales aeropuertos utilizan el reconocimiento facial para identificar a los pasajeros internacionales, incluidos los ciudadanos estadounidenses;
  • Y para 2025, el 72% de los hoteleros podrían usar sistemas de reconocimiento facial para interactuar con sus huéspedes.

Desafortunadamente, el uso generalizado del reconocimiento facial y el hecho de que las empresas sensibles confían cada vez más en la biometría facial para la autenticación de clientes han llevado a un aumento adicional en los ataques de fraude facial que involucran técnicas sofisticadas.

Por lo tanto, es aún más importante comprender cómo operan los estafadores, qué métodos utilizan y cómo los procesos KYC sofisticados y de múltiples capas pueden minimizar los intentos de robo de identidad.

Verificación de identidad biométrica sujeta a fuertes intentos de fraude

Desafortunadamente los mecanismos de protección siempre están destinados a romperse. Los estafadores ahora están buscando formas de rastrear los sistemas de identificación facial falsificando las caras de otras personas. Por ahora, debemos admitir que son talentosos y creativos. Entre ataques estáticos 2D o 3D, deepfakes o ataques asistidos por IA, los mecanismos de verificación de identidad biométrica se dirigen desde todos los lados.

Sin embargo, los proveedores de servicios de identificación también han comenzado a desarrollar contramedidas. Este juego del gato y el ratón ha llevado a una creciente investigación sobre técnicas de aprendizaje automático para combatir los intentos de robo de identidad de manera aún más efectiva.

¿Cuáles son los métodos más comunes de robo de identidad biométrica?

Puede haber diferentes enfoques para los estafadores que buscan engañar a los sistemas de verificación de identidad, tales como :

  1. Acceder a edificios equipados con sistemas de identificación facial, con el fin de robar información sensible de la empresa ubicada en estos locales ;
  2. Crear identidades sintéticas para registrarse en un servicio y cometer otros fraudes (estafas de seguros, fraude de pagos, etc.) ;
  3. Hacerse pasar por una persona (ataques de robo de identidad) ;
  4. Evite la detección y las comprobaciones de KYC o, en general, evite ser reconocido por el sistema (ataques de ofuscación)

Para ir más allá de los mecanismos de reconocimiento facial, los estafadores utilizan la suplantación de rostros, también conocida como ataques de presentación « Presentation Attack », que se pueden llevar a cabo de dos maneras:

  • 2D estático: los atacantes utilizan cualquier objeto con una superficie plana, como una foto o una máscara, para intentar hacerse pasar por un usuario genuino. Aunque el método estático 2D es el más utilizado, también es el menos sofisticado, incluso si demuestra su efectividad a diario contra sistemas de baja calidad. Además, algunos han encontrado una manera de imitar los movimientos en vivo a través de una secuencia de imágenes mostradas a través de teléfonos inteligentes o tabletas, agregando otra capa de sofisticación a este tipo de ataque ;
  • 3D estático: Los ataques con máscaras impresas en 3D, reproducción facial o esculturas también han ayudado a abordar los mecanismos de verificación de identidad biométrica. Algunos métodos son más simples que otros. Por ejemplo, el método más simple es imprimir una fotografía de alguien y luego aplicarla a una estructura deformable. La forma más sofisticada es realizar una captura 3D de la cara de alguien para garantizar el más alto nivel de detalle adquirido en 3D. Sin embargo, tales métodos requieren equipos específicos y son muy difíciles de configurar sobre la marcha.

En ambos casos, los estafadores que llevan a cabo estos ataques suelen utilizar datos biométricos disponibles públicamente, como imágenes de redes sociales. En algunos casos, los datos biométricos se adquieren ilegalmente en los mercados negros.

Sin embargo, existen soluciones para combatir este tipo de fraude y pueden disuadir a la mayoría de los estafadores.

 

¿Qué mecanismos existen para combatir el robo de identidad biométrica?

 

Mientras que los falsificadores están haciendo esfuerzos masivos para ir más allá de los sistemas de verificación de identidad, los proveedores de servicios también han desarrollado una gama de métodos para identificar ataques de presentación.

La solución básica para detectar estos ataques es comparar la cara del usuario con la foto en la identificación que envía. Sin embargo, este mecanismo puede ser fácilmente usurpado y a veces se necesitan soluciones más sofisticadas.

Así, la detección de los vivos proporciona mejores resultados para detectar intentos de fraude. Esta solución permite determinar si el usuario está presente detrás de su teléfono durante la captura y, por lo tanto, dessembricar cualquier presentación de accesorios / video o foto.

¿Qué encontraremos en las soluciones de detección de vida?

  1. Movimiento: Los métodos basados en el movimiento son formas tradicionales de detectar fácilmente los ataques de presentación facial estática y es uno de los métodos más comunes para disuadir los ataques dinámicos.

Se dividen en dos subcategorías :

  • a. No intrusivo: Una técnica eficaz contra el robo de identidad es detectar cualquier signo fisiológico de vida específico de la persona que presenta su identidad. Ya sea que se trate de detección de parpadeo, cambios en la expresión facial o movimientos de la boca, estos elementos dan buenos resultados, especialmente contra ataques estáticos ;
  • b. Intrusivo-interactivo: Un método sencillo de detección de vida es también pedir al usuario que realice una acción y compruebe si se realizó de forma natural y se asemeja a un modelo humano. Este método se basa en el mecanismo desafío-respuesta y es eficaz contra ataques estáticos y dinámicos.
  1. RPPg (PhotoPlethysmoGraphy): Esta metodología difiere de los métodos basados en el movimiento, ya que no busca analizar la expresión facial, sino los cambios en la intensidad de la piel facial. Este método puede determinar si el flujo sanguíneo está presente solo mediante el uso de imágenes RGB remotas. Puede disuadir la mayoría de los ataques, aunque una de sus debilidades son los ataques de video de rejuego de alta calidad, debido a su capacidad para capturar la variación periódica en la absorción de luz de la piel de una cara.

Sin embargo, algunas tecnologías no son infalibles, como lo describen los investigadores de seguridad. Se observaron debilidades durante las comprobaciones de detección de vida, mientras que los estafadores utilizaron monitores de alta resolución para presentar videos a cámaras de baja resolución y así lograron engañar al mecanismo de identificación. Por lo tanto, es importante seleccionar cuidadosamente un proveedor que cumpla con los más altos estándares de seguridad del mercado.

Con esto en mente, los métodos más complejos y robustos fortalecen los sistemas de verificación de identidad.

Los mecanismos basados en modelos de redes neuronales profundas (DNN) permitebnt procesar une imagen y determinar si es real o falsa.

En estudios recientes, los investigadores han comenzado a explorar los transformadores de video (tipo de DNN) para detectar ataques de presentación facial, y han mostrado resultados prometedores. Esta investigación se basa en rastros de usurpación evaluándolos cuantitativamente y reconstruyendo rostros vivos.

Informe Fraude de Identidad

¿Quieres saber más sobre el fraude de identidad?

Eche un vistazo a nuestro nuevo informe de identidad y obtenga más información sobre los últimos patrones y tendencias en fraude de identidad en Europa.

¿Cómo intentan los estafadores engañar a las tecnologías de reconocimiento más robustas?

Si no has oído hablar de los deepfakes, ahora es el momento adecuado.

Los deepfakes se han vuelto cada vez más publicitados a medida que han crecido las preocupaciones sobre su uso para crear noticias falsas. Los deepfakes a menudo se refieren a videos donde la cara de una celebridad se intercambia y se anima en el cuerpo de otra persona.

Ahora están apareciendo en el ámbito de la verificación de identidad con avances en el aprendizaje automático y la disponibilidad de grandes bases de datos faciales. Los proveedores de servicios de identificación se enfrentan constantemente al desafío de desarrollar métodos efectivos y genéricos para contrarrestar los deepfakes, dada su rápida evolución y el creciente nivel de sofisticación todos los días.

La mayoría de los actores del ecosistema están trabajando y desarrollando soluciones para detectar mejor los deepfakes. Ya sea a través de métodos revolucionarios como el del equipo de Facebook-Michigan State, o a través de marcos integrales compuestos por diferentes capas, tecnologías y módulos de seguridad, se pueden evitar los deepfakes.

 

Por qué las soluciones biométricas deben estar certificadas por FIDO

Al probar los sistemas de reconocimiento facial, comúnmente se seleccionan dos protocolos principales: ISO 30107 o FIDO.

Aunque ambos protocolos son estándares de seguridad reconocidos internacionalmente, no realizan sus pruebas de seguridad de la misma manera. Si bien las pruebas de cumplimiento de ISO están ahí para evaluar el sistema biométrico en diferentes contextos y contra diferentes instrumentos de ataque de presentación, las pruebas FIDO probarán los sistemas en el laboratorio, pero también con la población masiva en condiciones reales.

Además, las pruebas según las normas ISO no ofrecen un conjunto de medidas que permitan obtener una «certificación», a diferencia de la certificación de componentes biométricos de la Alianza FIDO. Este último presenta 15 temas al sistema probado, 14 tipos de ataques y un total de 2100 presentaciones.

Como miembro de la Alianza FIDO, el Grupo IDnow ofrece controles biométricos certificados que cumplen con los más altos estándares biométricos del mercado.

 


Lovro Persen

Lovro Persen

Director de Documentos & Fraude

Conéctate con Lovro en LinkedIn

 

¿Quiere Saber Más?

Estaremos encantados de hablar de su proyecto.

Compartir esta publicación

Share on facebook
Share on linkedin
Share on twitter
Share on email

Artículos relacionados

¡Síganos!