Gray Nickel es el enemigo cibernético del sector financiero en Asia-Pacífico, Europa, Medio Oriente y Norteamérica, con una actividad intensa desde 2023 a la fecha, centrada en atacar bancos, plataformas de criptomonedas, de pagos digitales y monederos electrónicos.
A través de una operación encubierta, el equipo del Centro de Operaciones de seguridad (iSOC), de iProov, empresa especializada en identificación biométrica, “documentó una escalada sin precedentes de ataques diseñados específicamente para eludir los procesos de Conozca a su Cliente (KYC, por sus siglas en inglés), muy utilizados en los servicios financieros”.
El equipo identificó al grupo delictivo conocido como Grey Nickel, que opera en diversas partes del mundo, con graves repercusiones.
De acuerdo con la Organización de las Naciones Unidas (ONU), tan sólo en el primer trimestre de 2024, los ciberdelitos impulsados por Inteligencia Artificial (IA) que producen deepfakes, se incrementaron en más del 600 por ciento.
En tanto, un informe de Biocatch señala que más de la mitad de las organizaciones encuestadas en distintas partes del mundo, admitieron haber perdido entre 5 y 25 millones de dólares por ataques basados en IA durante 2023 y en 2024 un empleado en Hong Kong de una multinacional británica fue víctima de estafadores de deepfakes por 25 millones 600 mil dólares, cuando los delincuentes se hicieron pasar por ejecutivos de la empresa.
En este panorama, la investigación de iProov demostró que “muchas de las organizaciones atacadas por Grey Nickel habían empleado tecnologías de detección de vida que parecen estar diseñadas para prevenir únicamente ataques de presentación, a diferencia de los ataques inyectados digitalmente con IA”.
Esto significa que existe una brecha de seguridad de identidad entre los resultados que pueden ofrecer tecnologías menos sofisticadas, contra las basadas en Inteligencia Artificial, lo cual “se ha convertido en un punto clave para los ciberdelincuentes”.
Las operaciones sistemáticas de este grupo delictivo, conformado por diversos atacantes, se han presentado al menos desde julio de 2023, con ataques constantes contra sistemas de identificación de identidad, que empezaron en Asia Pacífico, para después extenderse a Europa, Medio Oriente y Norteamérica.
“Este grupo emplea tecnología avanzada de intercambio de rostros, manipulación de metadatos y técnicas de inyección diseñadas específicamente para vulnerar los sistemas de verificación de vida basados en un solo fotograma, muy utilizados por bancos y plataformas de pago”.
Además, otros grupos de dispositivos criminales han desarrollado y distribuido aplicaciones móviles especializadas que permiten eludir el sistema KYC tanto en Android como iOS.
“Estas aplicaciones inyectan transmisiones de video pregrabadas o manipuladas durante la verificación de identidad, y algunas variantes ahora incorporan funciones de sincronización de labios para eludir la seguridad de las pruebas de voz”.
El escenario delictivo se complementa con criminales independientes que ofrecen servicios de creación de deepfakes personalizados y paquetes inteligentes para evadir controles de verificación de identidad, específicamente diseñados para plataformas de intercambio de criptomonedas y de pago digital.
Estas combinan operaciones bases de datos de identidades robadas con medios generados por IA para crear “identidades sintéticas” y facilitar el fraude de identidad a gran escala.
Los foros criminales ahora comparten técnicas efectivas que utilizan plataformas de Inteligencia Artificial disponibles comercialmente para generar videos falsos pero convincentes y diseñados “para eludir las tecnologías primitivas de verificación de vida empleadas por algunas instituciones financieras”.
La ausencia de informes de incidentes consistentes y obligatorios en muchas jurisdicciones, impide a los reguladores evaluar con precisión la magnitud de las actividades ilícitas, lo que dificulta una acción regulatoria eficaz, aunque la Unión Europea impulsa medidas proactivas, con organismos como la Autoridad Bancaria Europea proponiendo la adopción de la Monedero de Identidad Digital de la UE de alta seguridad.
En todo caso, lo importante es incorporar mayor tecnología a los sistemas de verificación de identidad en el sector financiero, para evitar esta clase de incidentes, cuyas consecuencias económicas resultan prácticamente incalculables.
C$T-EVP