La biometría facial podría dejar de ser confiable como factor de autenticación debido a los 'deepfakes'
Un estudio de Gartner cifra en un 30% las empresas que desecharán esta solución como método aislado de identificación para 2026.
Para 2026, los ataques que utilicen deepfakes generados por inteligencia artificial (IA) en biometría facial supondrán que el 30% de las empresas ya no considerarán que estas soluciones de verificación de identidad sean confiables de manera aislada, según un estudio de Gartner.
"En la última década, se han producido varios puntos de inflexión en los campos de la IA que permiten la creación de imágenes sintéticas. Estas imágenes generadas artificialmente de los rostros de personas reales, conocidas como deepfakes, pueden ser utilizadas por actores maliciosos para socavar la autenticación biométrica o hacerla ineficiente", dice Akif Khan, analista vicepresidente de Gartner. "Como resultado, las organizaciones pueden comenzar a cuestionar la confiabilidad de las soluciones de verificación y autenticación de identidad, ya que no podrán saber si el rostro de la persona que se está verificando es una persona real o un deepfake".
Hoy en día, los procesos de verificación de identidad y autenticación que utilizan la biometría facial se basan en la detección de ataques de presentación (PAD) para evaluar la vida del usuario. "Los estándares actuales y los procesos de prueba para definir y evaluar los mecanismos PAD no cubren los ataques de inyección digital que utilizan los deepfakes generados por IA que se pueden crear hoy en día", asegura Khan.
La investigación de Gartner dijo que los ataques de presentación son el vector de ataque más común, pero los ataques de inyección aumentaron un 200% en 2023. La prevención de estos ataques requerirá una combinación de PAD, detección de ataques por inyección (IAD) e inspección de imágenes.
Combinar IAD y herramientas de inspección de imágenes para mitigar las amenazas de deepfake
Para ayudar a las organizaciones a protegerse contra los deepfakes generados por IA más allá de la biometría facial, los directores de seguridad de la información (CISO) y los líderes de gestión de riesgos deben elegir proveedores que puedan demostrar que tienen las capacidades y un plan que va más allá de los estándares actuales y que están monitoreando, clasificando y cuantificando estos nuevos tipos de ataques.
"Las organizaciones deben comenzar a definir una línea de base mínima de controles trabajando con proveedores que hayan invertido específicamente en la mitigación de las últimas amenazas basadas en deepfakes utilizando IAD junto con la inspección de imágenes", dijo Khan.
Una vez definida la estrategia y establecida la línea de base, los CISO y los líderes de gestión de riesgos deben incluir señales adicionales de riesgo y reconocimiento, como la identificación de dispositivos y el análisis del comportamiento, para aumentar las posibilidades de detectar ataques en sus procesos de verificación de identidad.
Por encima de todo, los líderes de seguridad y gestión de riesgos responsables de la gestión de identidades y accesos deben tomar medidas para mitigar los riesgos de los ataques deepfake impulsados por IA mediante la selección de tecnología que pueda demostrar la presencia humana genuina y la implementación de medidas adicionales para evitar la apropiación de cuentas.
