in

Deepfake Offensive Toolkit, o el deepfake como ataque contra bancos

La herramienta para auditar sistemas de identidad ahora es open source

Deepfake Offensive Toolkit

Muchas instituciones financieras con sus correspondientes plataformas están solicitando a los usuarios selfies y vídeos como pruebas de verificación facial o «fe de vida». El problema es que esas verificaciones han demostrado ser muy vulnerables a ataques por deepfake. En otras palabras, un elemento malicioso puede reemplazar su rostro con otro en tiempo real, robando identidades o creando cuentas falsas. La firma de seguridad Sensity evaluó la robustez de esos sistemas con una herramienta llamada Dot o Deepfake Offensive Toolkit, y si tienes algo de experiencia en el tema, puedes descargar una copia de GitHub…


Toma una foto, gira la cabeza hacia un lado, gira hacia el otro, ¡sonríe! Este ritual es obligatorio en muchas aplicaciones móviles y plataformas de citas / cripto / home banking para «conocer al cliente», o KYC como lo llaman al otro lado del charco. Los clientes que poseen conocimientos básicos de seguridad informática inevitablemente se preguntan qué hacen las instituciones con esos datos y cómo los protegen, pero a eso se suma otro problema, y es la integridad general de los sistemas.

La firma de seguridad Sensity tiene como especialidad la generación de ataques usando rostros creados con inteligencia artificial… deepfakes. Esos deepfakes son utilizados para falsificar documentos de identidad, e inyectados en un stream de vídeo con una cámara virtual que supera la verificación facial. Sensity realizó pruebas sobre el Top 10 de proveedores (protegidos por acuerdos de confidencialidad), y sus ataques tuvieron éxito en el 90 por ciento de los casos. La clave detrás de semejante resultado es Dot, Deepfake Offensive Toolkit.


Deepfake Offensive Toolkit: Generador de deepfakes para auditorías de seguridad

Deepfake Offensive Toolkit
El sistema puede derrotar chequeos de documentos y verificaciones faciales

Una de las cosas que sorprendió a la compañía fue la pobre respuesta por parte de los proveedores, probablemente asociada a la dificultad natural de instalar, ejecutar y configurar Dot. Cualquiera que esté buscando una «solución de un solo clic» con una interfaz agradable y fácil de usar quedará muy decepcionado, pero ya hemos visto en el pasado qué pueden hacer algunos expertos con un poco de código. Lo que hoy parece una pesadilla de archivos y dependencias, mañana puede convertirse en una herramienta lista para usar.


Otra demo, ahora con personajes famosos

Ahora, es cierto que no todos los entornos son vulnerables. Cualquier sistema de verificación facial que pueda aprovechar sensores de profundidad (el Face ID de Apple viene a la mente) será inmune a estos ataques, pero ese 90 por ciento de efectividad no deja de ser preocupante. El código de Dot ha sido liberado con objetivos «de demostración e investigación», y todos los detalles técnicos relevantes están publicados en su perfil oficial de GitHub. Para finalizar, recomiendo un poco de paciencia, porque la descarga total es de unos tres gigabytes.


Sitio oficial y descarga: Haz clic aquí

Fuente: The Verge


Reportar

¿Qué te pareció?

Escrito por Lisandro Pardo

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Personalizar cualquier página web

Stylish: Descarga temas para personalizar cualquier página web

la hora de todo el mundo

mclocks: La hora de todo del mundo, en tu escritorio