Expertos de ciberseguridad de ESET advirtieron el 8 de julio que los ciberdelincuentes ahora pueden robar datos de reconocimiento facial y usar inteligencia artificial para crear deepfakes para la autenticación. Por esta razón, ofrecen consejos para proteger el celular de los usuarios de posibles ataques.
Reconocimiento facial… ¿un arma de doble filo?
Empresas como Apple vieron en el reconocimiento facial una herramienta para la autenticación segura de los usuarios. Dicha empresa implementó el Face ID para encriptar los datos faciales de sus consumidores y acceder a sus cuentas.
Sin embargo, mientras las preocupaciones de seguridad disminuyeron por parte del sector financiero al grado de usar esta tecnología como modo de autorización, los cibercriminales aprovecharon para crear imágenes falsas y estafar.
“Estas ‘buenas noticias’ sobre el progreso tecnológico también pueden crear una imagen falsa del reconocimiento biométrico como la herramienta definitiva para la autenticación segura”.
ESET
Los especialistas advierten que el reconocimiento facial no evitará estafas o violaciones en dispositivos móviles, aún cuando suplante el uso de contraseñas vulnerables.
[TE RECOMENDAMOS: ¿Te llegó un mail raro a tu correo corporativo? Cuidado, podría ser un ataque de phishing]
¿Cómo aprovechan los cibercriminales para atacar a los usuarios?
Los investigadores de ESET describen cómo los adversarios utilizan apps falsas para reemplazar sus propios rostros con los de sus víctimas utilizando servicios de intercambio de rostros de IA.
- Los ciberdelincuentes pueden utilizar este método para obtener acceso no autorizado a las cuentas de las víctimas, señaló la empresa de ciberseguridad.
Por otro lado, ciertas aplicaciones financieras requieren que los usuarios graben un breve video de su rostro desde distintos ángulos con la cámara frontal de su celular para autenticar su acceso a la app.
Este es un nuevo vector de ataque para ciberdelincuentes, pues existe un troyano iOS GoldPickaxe.iOS previamente desconocido, una imitación de aplicaciones legítimas del gobierno tailandés.
- Cabe destacar que la autenticación biométrica fue utilizada por el 27 por ciento de los encuestados de ESET entre consumidores de varios países, lo que justifica la preocupación de los especialistas.
¿Cuál es el siguiente paso en los ataques con reconocimiento facial?
Una vez instalado, GoldPickaxe solicita a la víctima que grabe un vídeo como método de confirmación en la aplicación falsa.
El vídeo grabado se utiliza luego como materia prima para la creación de videos deepfake facilitados por servicios de inteligencia artificial de intercambio de rostros.
El malware también solicita los documentos de identificación de la víctima, intercepta SMS y redirige el tráfico a través del servidor proxy.
GoldPickaxe no realiza transacciones no autorizadas directamente desde el teléfono de la víctima. En cambio, recopila toda la información necesaria de la víctima para acceder de forma autónoma a la aplicación bancaria de la víctima.
Los investigadores plantean la hipótesis de que los ciberdelincuentes utilizan sus propios dispositivos para iniciar sesión en cuentas bancarias, una táctica que también fue confirmada por la policía tailandesa.
¡El malware Gold Pickaxe está presente en iOS y Android!
Las apps financieras recopilan documentos de identidad, SMS y datos de reconocimiento facial. Un miembro de la familia del malware está disponible para plataformas iOS y Android.
Group-IB atribuyó la campaña a un grupo de cibercrimen de habla china llamado GoldFactory. Esta familia de malware también es detectada por las soluciones de seguridad de ESET.
- La versión de Android GoldPickaxe se distribuye a través de sitios web que se hacen pasar por la tienda oficial de Google Play.
- Para distribuir la versión de iOS, los actores de amenazas utilizan un esquema de ingeniería social de varias etapas para persuadir a las víctimas a instalar un perfil de administración de dispositivos móviles (MDM), que permite a los atacantes obtener control total sobre el dispositivo iOS de la víctima.
¿Cómo protegerse de los robos a tus datos por reconocimiento facial?
La principal recomendación es usar combinaciones de enfoques de seguridad; por ejemplo, mezclar el reconocimiento facial con la autenticación multifactor (MFA) para evitar ataques antes de que puedan causar algún daño.
Además, como en cualquier otro problema de ciberseguridad, la prevención es la calve para evitar ataques que aprovechan las tecnologías de reconocimiento facial.
“Crear videos falsos utilizando IA para estafas suena aterrador, pero la investigación de ESET muestra claramente que incluso estos ataques elaborados pueden evitarse o detenerse mediante soluciones de ciberseguridad adecuadas”.
ESET
Los expertos e investigadores emiten las siguientes recomendaciones para evitar estafas con suplantación de identidad o datos personales:
- Intenta siempre verificar las afirmaciones sobre la elegibilidad para premios, descuentos o bonificaciones de pensión.
- Si una oferta o promoción parece demasiado bueno para ser verdad, probablemente lo sea.
- Presta atención a los sitios web que distribuyen apps móviles y utiliza únicamente tiendas de aplicaciones oficiales.
- No te dejes engañar por los sitios web de phishing
Fuente: ESET
La empresa también hace un llamado a las compañías, pues hasta ahora, GoldPickaxe sólo se ha dirigido a los consumidores. Sin embargo, amenazas similares pueden usarse potencialmente para atacar a los departamentos financieros de las empresas o a los gerentes comerciales.
