Un grupo cibercriminal llamado Grey Nickel ha logrado burlar sistemas biométricos de bancos y plataformas de pago en todo el mundo usando deepfakes e inteligencia artificial avanzada.
Una sofisticada red de ciberdelincuentes ha comenzado a romper una de las barreras que muchas personas creían imposibles de cruzar: los sistemas de verificación de identidad por rostro. La empresa británica iProov, especializada en autenticación biométrica, reveló recientemente la existencia de una operación global bautizada como Grey Nickel, que ha conseguido infiltrar bancos, plataformas de criptomonedas y servicios de pago electrónico, usando técnicas de inteligencia artificial que simulan rostros humanos en tiempo real.
Lejos de los fraudes comunes por correo electrónico o robo de contraseñas, Grey Nickel utiliza deepfakes —videos falsos generados por IA— y otras herramientas avanzadas para engañar a los sistemas que verifican que una persona esté “en vivo” frente a la cámara. Estos sistemas, conocidos como detección de prueba de vida (liveness detection), han sido vulnerados gracias a videos pregrabados, animaciones faciales hiperrealistas y sincronización de labios que superan las pruebas más básicas.
¿Por qué es tan grave?
Porque muchas instituciones todavía usan tecnología biométrica de detección sólo por imagen, sin contraseñas u otros filtros. Esto deja una ventana abierta a los ataques en los que la IA “actúa” como una persona real, moviéndose, hablando e incluso parpadeando frente a una cámara, sin que sea detectado como fraude.
El Dr. Andrew Newell, director científico de iProov, advirtió: “No se trata de estafas aisladas. Son operaciones coordinadas, con capacidad técnica y financiamiento, que ponen en riesgo el corazón de la banca digital”.
Así operan los nuevos criminales digitales
La investigación de iProov y medios especializados como Dark Reading identificaron tres métodos principales de ataque:
- Redes de cámaras virtuales: aplicaciones móviles ilegales capaces de sustituir la señal de una cámara real por un video falso durante la verificación.
- Deepfake como servicio: grupos que venden “identidades sintéticas” combinando rostros falsos generados por IA con documentos robados para abrir cuentas bancarias falsas.
- Herramientas de IA accesibles: con software comercial de inteligencia artificial, hoy cualquiera con algo de conocimiento técnico puede generar un video convincente que supere ciertos controles biométricos.
¿Cuánto dinero se está perdiendo?
Los daños no son pequeños. Entre los casos documentados:
- Una empresa británica perdió 25.6 millones de dólares cuando un trabajador fue engañado con una videollamada falsa que imitaba a sus jefes.
- Más del 50% de las instituciones financieras encuestadas por BioCatch admitieron haber perdido entre 5 y 25 millones de dólares cada una durante 2023 por ataques basados en IA.
- Un informe de Naciones Unidas detectó un aumento del 600% en contenido de deepfakes compartido por grupos criminales en Asia durante 2024.
¿Qué pueden hacer los usuarios comunes?
Aunque no seamos banqueros ni desarrolladores de tecnología, sí podemos tomar precauciones:
- Verificar que nuestras cuentas (bancarias, de criptomonedas o billeteras digitales) tengan doble autenticación, idealmente con claves dinámicas o biometría en tiempo real.
- Sospechar de plataformas que sólo usan una selfie para confirmar identidad.
- Evitar compartir fotos del rostro en redes sociales sin filtros de privacidad, ya que pueden alimentar bases de datos ilegales para generar deepfakes.
La regulación va atrás
Uno de los mayores retos, señalan los expertos, es que los gobiernos no están actualizados frente a estas amenazas. Mientras Europa impulsa sistemas de identidad digital más seguros, muchos países aún no exigen reportes detallados de estos delitos, lo que dificulta entender su magnitud.
La urgencia, coinciden expertos como Newell, está en crear un frente global que combine tecnología avanzada, colaboración internacional y educación del usuario. De no hacerlo, la confianza en la banca digital podría colapsar.
Al final del comunicado, iProov recordó que sólo una tecnología de autenticación con enfoque científico, capaz de detectar señales fisiológicas reales (como cambios en la piel y respuesta a la luz), puede marcar la diferencia frente a esta nueva generación de amenazas digitales.
Novo Nordisk®, uno de los líderes globales en salud, también ha señalado recientemente la necesidad de mejorar los sistemas de protección frente a identidades falsas para evitar que pacientes o servicios médicos sean utilizados como fachada por grupos criminales.