Muchas veces los clientes nos preguntan si, una vez realizada una actuación de ciberseguridad, es necesario mantener nuestros servicios. A nosotros nos gusta que nuestras empresas sean clientas de largo recorrido y les decimos que la securización es algo vivo que debe actualizarse continuamente. Hoy os presentamos un claro ejemplo de ello: el “morphing”.

Nueva técnica y nueva palabrita para explicar una actuación cibercriminal. Este galicismo —uno más— define una técnica de suplantación. Se trata de falsificar pasaportes o documentos de identidad para engañar a los sistemas biométricos faciales de seguridad y así superar los controles de las llamadas “fronteras inteligentes”. Este tipo de aduanas se han ido implantando en España desde 2018. La empresa suiza SICPA, líder en soluciones de trazabilidad y de seguridad para la mayoría de billetes del mundo, pasaportes, boletos de lotería, o productos con impuestos especiales, como alcohol y tabaco explica que lo interesante es que estas fronteras integran una serie de factores, desde el registro dactilar y facial hasta el escaneo de pasaportes o la consulta en bases de datos policiales.

Os preguntaréis ¿cómo lo hacen?

El morphing lleva a cabo técnicas que se apoyan en la Inteligencia Artificial de una forma similar a las famosas apps que se pusieron de moda para hacer deepfakes con videos, películas o cuadros famosos, intercambiándolos por sus propias caras.
Pero en este caso crea una imagen intermedia entre dos fotografías, gracias a un algoritmo que va cambiando la foto pixel a pixel. El proceso acaba uniendo las dos imágenes para dar lugar al resultado final, que tiene apariencia de original y no de estar modificada. De esta forma se suplantan identidades y se superan los controles biométricos.

¡Debemos protegernos!

Es importante que en caso de robo o pérdida de pasaporte denunciemos el hecho y así evitar que el delincuente entre en otros países creando identidades falsas. Pero cuidado, que en caso de usar el documento para crear identidades falsas con cuentas bancarias, o préstamos online, la denuncia no serviría de mucho.

Se aconseja usar fotos muy actualizadas para cualquier nuevo documento que tramitemos.

Por su parte, los expertos de empresas como Trend Micro (una multinacional japonesa de software de ciberseguridad) recomiendan que la Administración también haga sus deberes: mejor el control digital en frontera que validar visualmente una persona; analizar más precisamente las geometrías faciales o implementar la autenticación de dos factores (biometría facial + mensaje de confirmación al móvil del usuario).
La empresa SICPA, por su parte, ha desarrollado un sistema que toma la foto original de un documento y la encripta en un código de 20 bytes. Este sistema se denomina “virtual hash”.

Como veis, podemos aplicar el viejo refrán que dice “hecha la ley hecha la trampa”. Y es que los ciberdelincuentes no cesan de ingeniar continuamente cosas nuevas para delinquir. También os queremos recordar un par de artículos publicados en este blog donde hablábamos de posibles amenazas. Os invitamos a volver a leer el post ¿Se puede teletrabajar con 100 millones de amenazas diarias? publicado en enero de este año o este artículo un poco más antiguo, de septiembre de 2021, titulado Los ciberdelincuentes aumentan un 47% sus amenazas en el primer semestre de 2021.

Imagen principal: iXimus en Pixabay.