Una herramienta de deepfake con IA pone en riesgo las verificaciones de identidad en criptomonedas

Una herramienta de deepfake con IA recién identificada está captando la seria atención de investigadores de seguridad tras conocerse informes de que puede eludir los sistemas de verificación de identidad utilizados por los principales intercambios de criptomonedas. El software, conocido como JINKUSU CAM, supuestamente es capaz de saltarse las verificaciones de Conoce a Tu Cliente (KYC) en plataformas como Binance, Coinbase, Kraken y OKX. Mediante la manipulación facial y de voz en tiempo real, la herramienta puede presentar una identidad fabricada durante sesiones de verificación de vídeo en directo, engañando potencialmente a los sistemas en los que millones de usuarios confían para mantener sus cuentas seguras.

Los sistemas KYC existen por una buena razón. Los intercambios de criptomonedas están obligados por los reguladores en muchas jurisdicciones a verificar que los usuarios son quienes afirman ser. Estas comprobaciones ayudan a prevenir el fraude, el blanqueo de dinero y el uso de identidades robadas para acceder a servicios financieros. Si una herramienta como JINKUSU CAM puede eludir esas comprobaciones de forma fiable, las implicaciones van mucho más allá de los intercambios individuales.

Cómo funciona JINKUSU CAM

Según los investigadores de seguridad, JINKUSU CAM es un conjunto completo de deepfake en tiempo real diseñado específicamente para eludir los flujos de trabajo de verificación de identidad. Su capacidad principal es el intercambio de rostros acelerado por GPU, impulsado por marcos como InsightFace, que produce movimientos faciales fluidos y realistas durante las sesiones en directo. El software también incluye un modificador de voz con ajustes de tono variables y perfiles preestablecidos, lo que permite a los atacantes hacer coincidir el audio con la identidad visual que se está presentando.

La herramienta admite la salida de cámara virtual a través de software como OBS, lo que significa que la transmisión de vídeo manipulada puede inyectarse directamente en navegadores y aplicaciones de verificación como si fuera una señal de cámara real. También funciona dentro de emuladores de Android, lo que amplía su alcance potencial a los flujos de verificación basados en dispositivos móviles. Herramientas adicionales de IA, como GFPGAN y el seguimiento de malla facial, se utilizan para un mapeo preciso de expresiones, haciendo que la identidad generada parezca más convincente durante los pasos de detección de vida.

La detección de vida, una medida de seguridad habitual en los sistemas KYC modernos, está diseñada para confirmar que una persona real está presente durante la verificación, en lugar de una imagen estática o un vídeo pregrabado. La combinación de funciones de JINKUSU CAM parece estar diseñada específicamente para eludir este tipo de comprobación.

El riesgo de fraude va más allá de la apropiación de cuentas

Los analistas de seguridad advierten que herramientas como JINKUSU CAM podrían posibilitar el fraude a gran escala, no solo incidentes aislados. Una de las preocupaciones está relacionada con el uso de imágenes robadas en filtraciones de datos anteriores. Los atacantes podrían usar fotografías personales filtradas para construir identidades digitales realistas capaces de superar las verificaciones y obtener acceso a cuentas financieras.

También existe preocupación por el fraude de identidad sintética, un método que combina datos reales y fabricados para construir identidades completamente nuevas. Estos perfiles sintéticos pueden utilizarse para el blanqueo de dinero, estafas de creación de cuentas y una amplia variedad de otros delitos financieros. Dado que la identidad subyacente no pertenece a una persona real, puede ser difícil rastrearla o marcarla mediante métodos convencionales.

Más allá del riesgo inmediato de fraude, la existencia de herramientas como esta crea un problema de credibilidad más amplio para los sistemas KYC. Los intercambios y plataformas financieras invierten considerablemente en infraestructura de cumplimiento normativo. Si esa infraestructura puede ser vulnerada con software de IA disponible comercialmente, es posible que los reguladores e instituciones necesiten replantearse por completo el enfoque actual de la verificación remota de identidad.

Qué significa esto para usted

Para los usuarios habituales de criptomonedas, la aparición de este tipo de herramienta es un recordatorio de que la seguridad de una plataforma es tan sólida como su punto de verificación más débil. Si los actores maliciosos pueden crear cuentas verificadas usando identidades fabricadas, los usuarios legítimos podrían estar más expuestos a estafas, fraude y un deterioro de la integridad de la plataforma.

Esta situación también pone de relieve la importancia de elegir bien las plataformas que se utilizan. Los intercambios que invierten en seguridad por capas, incluyendo una detección de fraude más avanzada que vaya más allá de las simples comprobaciones de vida, están mejor preparados para responder a amenazas como esta.

A continuación se presentan algunos pasos prácticos que puede seguir para protegerse:

  • Active la autenticación multifactor (MFA) en todas sus cuentas de criptomonedas, utilizando una aplicación de autenticación en lugar de SMS siempre que sea posible.
  • Supervise sus cuentas regularmente para detectar actividad no autorizada o intentos de inicio de sesión desconocidos.
  • Sea cauteloso con los lugares donde se almacenan sus datos personales y considere verificar si su información ha aparecido en filtraciones de datos conocidas.
  • Use contraseñas únicas y seguras para cada intercambio o plataforma financiera que utilice.
  • Manténgase informado sobre las prácticas de seguridad de las plataformas en las que confía sus activos.

El problema central aquí no es que el KYC esté fallando como concepto, sino que la tecnología utilizada para vulnerarlo está avanzando más rápido de lo que muchas plataformas anticipan actualmente. Los intercambios son conscientes de estos riesgos y los equipos de seguridad están trabajando para responder, pero los usuarios no deben asumir que una sola capa de verificación hace que una cuenta esté completamente protegida. Tomarse en serio la propia seguridad sigue siendo una de las defensas más eficaces disponibles.