Durante décadas, el sector financiero y otras industrias han dependido de un mecanismo de autenticación denominado “conozca a su cliente” (KYC), un proceso que confirma la identidad de una persona al abrir una cuenta y luego confirma periódicamente esa identidad con el tiempo. KYC normalmente implica que un cliente potencial proporcione una variedad de documentos para demostrar que es quien dice ser, aunque también podría aplicarse para autenticar a otras personas, como los empleados. Con la capacidad de la inteligencia artificial (IA) generativa que utiliza grandes modelos de lenguaje (LLM) para crear réplicas de documentos altamente persuasivas, muchos ejecutivos de seguridad están reconsiderando cómo debería verse KYC en un mundo de IA generativa.
Cómo la IA generativa utiliza los LLM para permitir el fraude KYC
Considere a alguien que entra a un banco en Florida para abrir una cuenta. El cliente potencial dice que acaba de mudarse de Utah y que es ciudadano de Portugal. Presentan una licencia de conducir de Utah, una factura de dos empresas de servicios públicos de Utah y un pasaporte portugués. El problema va más allá de la probabilidad de que el empleado del banco no sepa cómo es una licencia de conducir de Utah o un pasaporte portugués. Las réplicas generadas por IA se verán exactamente como las reales. La única forma de autenticarse es conectarse a bases de datos de Utah y Portugal (o hacer una llamada telefónica) no solo para verificar que estos documentos existen en los sistemas oficiales sino que la imagen en los sistemas oficiales coincide con la foto de los documentos que se examinan. .
Una amenaza de seguridad aún mayor es la capacidad de la IA generativa de crear documentos falsos rápidamente y a gran escala. A los ladrones cibernéticos les encanta la escala y la eficiencia. «Esto es lo que viene: intentos ilimitados de configuración de cuentas falsas e intentos de recuperación de cuentas», dice Kevin Alan Tussy, director ejecutivo de FaceTec, un proveedor de software de combinación y realce de rostros en 3D.
Los historiales personales falsos generados por IA podrían validar documentos KYC falsos generados por IA
Lee Mallon, director de tecnología del proveedor de inteligencia artificial Humanity.run, ve una amenaza de ciberseguridad de LLM que va mucho más allá de la rápida creación de documentos falsos. Le preocupa que los ladrones puedan utilizar los LLM para crear historias profundas de sus fraudes en caso de que alguien a nivel bancario o gubernamental revise las publicaciones en las redes sociales y los sitios web para ver si una persona realmente existe.
“¿Podrían las plataformas de redes sociales estar sembradas ahora mismo con historias de vida e imágenes generadas por IA, sentando las bases para elaborados fraudes KYC en los años venideros? Un estafador podría crear un historial en línea «creíble», completo con fotografías realistas y acontecimientos de la vida, para eludir los controles tradicionales de KYC. Los datos, aunque generados artificialmente, parecerían perfectamente plausibles para cualquiera que realice una verificación superficial de antecedentes en las redes sociales”, dice Mallon. “Éste no es un plan que requiera un pago rápido. Al introducir lentamente datos artificiales en las plataformas de redes sociales durante un período de años, un estafador podría crear una personalidad que resista incluso el escrutinio más exhaustivo. Cuando deciden utilizar esta identidad fabricada para obtener ganancias financieras, rastrear los orígenes del fraude se convierte en una tarea inmensamente compleja”.
Alexandre Cagnoni, director de autenticación de WatchGuard Technologies, está de acuerdo en que las amenazas a la seguridad KYC de los LLM son aterradoras. “Creo que las técnicas KYC deberán incorporar procesos de verificación de identidad más sofisticados que seguramente requerirán validaciones basadas en inteligencia artificial, utilizando sistemas de detección de deepfake. De la misma manera que la MFA y luego la firma de transacciones se convirtieron en un requisito para las instituciones financieras en la década de 2000 debido a los nuevos ataques MitB, ahora tendrán que lidiar con el crecimiento de esas identidades falsas”, afirma. «Va a ser un desafío porque no existen muchas (buenas) tecnologías de detección de deepfake y tendrá que ser bastante buena para evitar tareas que consumen mucho tiempo, falsos positivos o la creación de más fricción y frustración para los usuarios».