En tiempos donde parecería que ningún sistema o infraestructura gubernamental es infranqueable y segura, hemos perdido la capacidad de asombro ante noticias de Hackeos y Fugas, pero no dimensionamos aún el riesgo potencial que esto implica, especialmente en la era de las IA generativas.
Podemos enumerar en la última semana tres fugas que por reiterativas nos parecen ya comunes: 160 mil fotografías en HD con su respectiva identidad desde el sitio de RENAPER (Argentina), en otro incidente, mas de 14GB de información correspondientes al 80% de la poblacion (5M de sus 6.3M habitantes) con fotografías y datos de contacto completos, del Gobierno de El Salvador, y el anuncio de un actor de amenazas sobre la disponibilidad de un repositorio con casi 40 Millones de datos de españoles nacidos entre 1926 y 2004.
Parecería que la GPRD no cuenta para ellos pero si los 10.000 euros de su oferta.
Para los actores de amenazas no existen las clasificaciones de Primer o Tercer Mundo, ya que todos los dataset encuentran en el mercado negro mas de un buen postor.
La tormenta perfecta
La era de las IA nos ha explotado en las manos. Desde Chat-GPT a Dalle, pasando por cientos de plataformas específicas de generación de textos, imágenes o videos, nos ha sorprendido y dejado sin palabras.
Por otro lado, el boom Fintech también nos ha pasado por encima, con un alud de billeteras virtuales, sea en pesos, dólares o Cripto, de pago, de inversión, e incluso crediticias al alcance de un clic en nuestro dispositivo móvil.
El proceso de Onboarding de las billeteras, totalmente digital, automático e impersonalizado, utiliza una serie de patrones biométricos para confirmar identidad, sumado a la verificación de una imagen en una posición determinada (sonriente, guiño de ojos, de perfil, etc) solicitada al azar, que da la sensación de que no puede estar preparada, pero en el “todo” es estadísticamente previsible. Dado que el dispositivo no dispone de sensores térmicos o infrarrojos, especialmente en equipos de gama baja, todo se reduce a comprarar una fotografía, una imagen 2D.
Estas tecnologías que para algunos parecen casi "mágicas" y facilitadoras del uso diario, para los ciberdelincuentes son el insumo perfecto para combinar ambos mundos.
Ahí es donde entran en juego las IA de imágenes.
En la cabeza del atacante
Pensemos en este escenario, que es más real que imaginario, y podría ser utilizado por un ciberdelincuente. (Explicación con fines educativos, por favor no lo haga en casa)
Se utiliza una foto de estas fugas y se alimenta una IA, que a pedido del prompt ingresado podría generar un set de imágenes Fake sin alterar los patrones biométricos esenciales, con fondo claro y en posiciones de perfil, sonriente, guiñando un ojo o el otro, etc.
Luego con un celular, en alguna de las app's de pago, se carga frente y dorso del DNI filtrado por RENAPER y disponibles en la Deep Web de la fuga anterior, se asocian los datos válidos y se confirma la prueba de vida con algunas imágenes de este set de fotos generadas por IA. Si todo termina según lo previsto, hemos logrado suplantar la identidad de la víctima.
A partir de allí, lo imaginable, desde lavado de dinero atomizando transferencias desde cuentas robadas a toma de créditos en nombre de la víctima.
Tranquilos, que aún puede ser peor. A ese escenario sumemos la innumerable cantidad de veces que en los comercios o trámites online se nos ha solicitado una foto de nuestro DNI y la cantidad de fotos en diversas posiciones y situaciones que vamos dejando en nuestras redes sociales y que podrían ser utilizadas como fuente. Una situación que debería al menos comenzar a preocuparnos.
Epitafio
La practicidad le ha ganado la batalla a la seguridad, y solo queda que la víctima en su defensa se enfrente a un Sistema Burocrático parecido a la Máquina de Impedir, que seguramente lo dejará a su suerte frente a entidades financieras desreguladas y un Estado pasado por la motosierra
Por el lado de los gobiernos (no solo de este país), han demostrado en sucesivas oportunidades que no invierten lo suficiente para la protección de los datos del ciudadano, y por otro lado, dejar en manos de las Empresas la protección, muchas de las cuales siguen viendo la ciberseguridad como un gasto y no como una inversión es un combo sumamente explosivo. Lamentablemente solo me queda desearles “Buena Suerte”...
Fuentes:
Incidente RENAPER (Argentina) https://www.infobae.com/politica/2024/04/03/volvieron-a-publicar-mas-de-116-mil-fotos-y-numeros-de-dni-y-pasaporte-de-argentinos-robados-al-renaper/
Incidente El Salvador: https://breachforums.cx/Thread-DATABASE-Database-of-5-Million-faces-and-full-data-of-Salvadoran-citizens
Incidente España: https://x.com/elhackernet/status/1777621976724460024