Gartner predice que el 30% de las empresas considerarán que las soluciones de autenticación y verificación de identidad no son fiables de forma aislada debido a las falsificaciones profundas generadas por IA en 2026
Para 2026, los ataques que utilizan deepfakes generados por IA en biometría facial harán que el 30% de las empresas ya no consideren fiables de forma aislada estas soluciones de verificación de identidad y autenticación, según Gartner, Inc.
«En la última década, se han producido varios puntos de inflexión en campos de la IA que permiten la creación de imágenes sintéticas. Estas imágenes generadas artificialmente de rostros de personas reales, conocidas como deepfakes, pueden ser utilizadas por actores maliciosos para socavar la autenticación biométrica o hacerla ineficiente», dijo Akif Khan, VP Analyst de Gartner. «Como resultado, las organizaciones pueden empezar a cuestionar la fiabilidad de las soluciones de verificación de identidad y autenticación, ya que no podrán saber si la cara de la persona que se está verificando es una persona viva o una deepfake.»
Los procesos de verificación de identidad y autenticación que utilizan biometría facial se basan hoy en día en la detección de ataques de presentación (PAD) para evaluar la viveza del usuario. «Las normas y los procesos de prueba actuales para definir y evaluar los mecanismos PAD no cubren los ataques de inyección digital mediante deepfakes generados por IA que pueden crearse hoy en día», afirma Khan.
La investigación de Gartner dijo que los ataques de presentación son el vector de ataque más común, pero los ataques de inyección aumentaron un 200% en 2023. Prevenir estos ataques requerirá una combinación de PAD, detección de ataques de inyección (IAD) e inspección de imágenes.
Combinar herramientas de IAD e inspección de imágenes para mitigar las amenazas de Deepfake
Para ayudar a las organizaciones a protegerse contra los deepfakes generados por IA más allá de la biometría facial, los directores de seguridad de la información (CISO) y los líderes de gestión de riesgos deben elegir proveedores que puedan demostrar que tienen las capacidades y un plan que va más allá de los estándares actuales y que están monitoreando, clasificando y cuantificando estos nuevos tipos de ataques.
«Las organizaciones deben empezar a definir una base mínima de controles trabajando con proveedores que hayan invertido específicamente en la mitigación de las últimas amenazas basadas en deepfakes utilizando IAD junto con la inspección de imágenes», afirma Khan.
Una vez definida la estrategia y fijada la línea de base, los CISO y los responsables de la gestión de riesgos deben incluir señales adicionales de riesgo y reconocimiento, como la identificación de dispositivos y el análisis del comportamiento, para aumentar las posibilidades de detectar ataques a sus procesos de verificación de identidad.
Por encima de todo, los líderes de seguridad y gestión de riesgos responsables de la gestión de identidades y accesos deben tomar medidas para mitigar los riesgos de los ataques de deepfake impulsados por IA seleccionando tecnología que pueda demostrar la presencia humana genuina e implementando medidas adicionales para evitar la toma de control de cuentas.
Fuente: Gartner