Estamos viviendo un cambio de paradigma en la forma en que demostramos que somos quienes decimos ser en línea. En lugar de preguntar ¿Qué sabes? (contraseña, PIN, apellido de soltera de la madre) o ¿Cómo eres? (Face ID, huella digital) la pregunta se ha convertido en ¿Cómo te comportas?
La IA generativa y los avances en la tecnología de malware como los RAT (troyanos de acceso remoto) han permitido a los ciberdelincuentes escalar los ataques e incluso eludir medidas de seguridad como Face ID o MFA, que alguna vez se consideraron a prueba de balas.
El análisis biométrico del comportamiento se está convirtiendo en una práctica estándar en los bancos, que son responsables de cubrir las pérdidas derivadas de los delitos cibernéticos a menos que las medidas de seguridad que implementen cumplan con los desafíos de estas nuevas superficies de ataque.
Teoría del control computacional del motor
Cuando te desplazas por un menú desplegable o arrastras un control deslizante en tu teléfono, tu cerebro ejecuta un intrincado ciclo de retroalimentación, corrigiendo errores imperceptibles en el camino a medida que recorre cada milímetro y milisegundo inconsciente del gesto.
En sus inicios, la biometría del comportamiento buscaba diferenciar el comportamiento humano del comportamiento de los robots. Los investigadores pronto descubrieron que la misma tecnología también podría aplicarse para distinguir el comportamiento de un ser humano del comportamiento de otro.
La teoría del control motor computacional, un campo multidisciplinario que combina la neurociencia con la biomecánica y la informática, proporciona a los investigadores el marco para comprender las características más exigentes del comportamiento humano.
Las investigaciones muestran que lo que consideramos “robótico” (estas correcciones neuronales inconscientes) son en realidad lo que hace que el perfil de comportamiento de una persona sea tan imposible de recrear. Un estudio de 2012 de la Universidad de California en Berkeley llamado Touchalytics, que analizó los patrones de desplazamiento de 41 participantes mientras revisaban texto e imágenes en sus teléfonos inteligentes, demostró que después de solo 11 movimientos de desplazamiento, los modelos de comportamiento podían identificar a un usuario específico del grupo sin error.
Digital dice
El estudio de Berkeley identifica 30 características de comportamiento únicas para los hábitos de desplazamiento de cada usuario, incluida la longitud del trazo, la trayectoria, la velocidad, la dirección, la curvatura, el tiempo entre trazos e incluso se descubrió que el área del dedo que usaba cada participante era única. Por ejemplo, algunos usuarios se detienen por completo al levantar el dedo al final de un trazo de desplazamiento. Otros lo levantan mientras el dedo todavía está en movimiento, en lo que los científicos llaman el desplazamiento “balístico”.
Pero la inteligencia conductual va mucho más allá del desplazamiento. Los ritmos de escritura, la navegación por el campo e incluso los cambios imperceptibles en la forma en que un usuario sostiene su teléfono discriminan a un usuario del siguiente.
La carrera armamentista de la IA
Ciertas señales de comportamiento, tomadas de forma aislada, pueden ayudar a los bancos a detectar fraudes evidentes. Un dispositivo que se encuentra al revés durante una transacción, por ejemplo, es una señal de alerta importante. Las velocidades de escritura sobrehumanas, los movimientos increíblemente rectos del cursor o los dispositivos que inician una transacción mientras están en el modo de pantalla de bloqueo también pueden hacer sonar la alarma.
Sin embargo, los sistemas biométricos del comportamiento son mucho más que sistemas basados en reglas. Utilizando álgebra lineal y estadísticas, los modelos de IA pueden combinar señales de interfaz humano-computadora con muchos matices para crear modelos específicos de usuario que autentican continuamente a un usuario, incluso después de haber pasado por puertas de enlace de un momento determinado, como inicios de sesión o FaceID.
En el Centro AppGate de Excelencia en IA, donde trabajo como ingeniero de aprendizaje automático, entrenamos modelos de comportamiento específicos del usuario basados en datos de sensores de teléfonos móviles. Estos modelos nos permiten proporcionar un análisis en vivo de si los movimientos en su dispositivo, o cualquier dispositivo registrado en su cuenta bancaria, son realmente suyos.
Nuestros modelos de detección de anomalías específicos del usuario, combinados con señales globales basadas en reglas, ayudan a los bancos a protegerse contra ataques de apropiación de cuentas (ATO) y de apropiación de dispositivos (DTO). En muchos casos, los modelos de comportamiento ofrecen una mejor protección que los marcadores biométricos tradicionales, como las huellas dactilares o la tecnología de reconocimiento facial.
Cadena de suministro cibernética
Las personas mayores son, con diferencia, las víctimas más comunes de apropiación de cuentas (ATO) o fraude de identidad. El ataque tradicional suele ser una operación de múltiples pasos y múltiples entidades, que a menudo comienza con una URL de phishing o ingeniería social (manipulación psicológica por teléfono bien investigada) a través de la cual los delincuentes recolectan las credenciales de una víctima y las venden a una u otra organización criminal diferente en vastos mercados de la web oscura, como el notorio Genesis Market, un foro de la web oscura que albergaba más de 80 millones de credenciales robadas a más de 2 millones de personas.
Estas huellas digitales se intercambian en el mercado como un bien común y, a menudo, cambian de manos varias veces antes de llegar al desarrollador o al robot que realmente intenta piratear su cuenta. Esta compleja cadena de suministro hace que sea mucho más difícil para las autoridades atrapar al culpable o culpables una vez que se ha denunciado el fraude.
ATO común significa que los delincuentes evitan la autenticación en un momento determinado (iniciar sesión) desde un dispositivo separado, generalmente desconocido para el banco. Sin embargo, las medidas de ciberseguridad estándar utilizadas por la mayoría de los bancos aprovechan alguna forma de inteligencia de dispositivo, OTP, MFA u otra verificación de dispositivo para detener un ataque. Pero están surgiendo tendencias nuevas y más aterradoras en las que los delincuentes pueden hacer que incluso estos métodos queden obsoletos.
Superficies de ataque emergentes
Hoy en día existe malware que puede interceptar formularios en línea, registrar claves de forma remota a medida que escribe e incluso piratear directamente su teléfono para interceptar MFA en lo que se llama Device Takeover (DTO), el primo aterrador de ATO. Y con el auge de la IA generativa, el temor de que los ciberdelincuentes apenas estén comenzando se está volviendo realidad.
Por ejemplo, una herramienta de deepfake utilizada en el mundo del cibercrimen llamada ProKYC permite a los actores de amenazas superar la autenticación de dos factores, el reconocimiento facial e incluso las verificaciones en vivo utilizando videos deepfake. Un notorio RAT (troyano de acceso remoto) llamado BingoMod, distribuido a través de smishing (URL de phishing por SMS), se hace pasar por una aplicación antivirus legítima en teléfonos Android, aprovechando permisos en el dispositivo que permiten a un actor de amenaza remoto robar silenciosamente información confidencial, como credenciales y mensajes SMS, y ejecutar transferencias de dinero que se originan desde el teléfono infectado.
Una vez que el dispositivo ha sido comprometido, todas las formas tradicionales de verificación del banco están en control total del atacante. Desde la perspectiva del banco, la huella digital del dispositivo es correcta, la dirección IP es correcta, los códigos MFA y las aplicaciones de autenticación están alineados. Debido al auge de la ingeniería social, incluso las preguntas de seguridad, como por ejemplo el apellido de soltera de la madre, ofrecen poco consuelo.
Esto implica que la única salvaguardia contra el cibercrimen es la autenticidad del comportamiento humano de un individuo.
Autenticación continua, menos interrupciones
La creciente sofisticación de los ciberataques y, a su vez, una ciberseguridad más sofisticada, ha dado lugar a un resultado positivo para los clientes de banca en línea: mejores experiencias de usuario.
Dado que los modelos de comportamiento pueden autenticar a los usuarios continuamente, la necesidad de enviar constantemente MFA u OTP disminuye y una sesión bancaria legítima en realidad es mucho más fluida para los clientes.
El producto en el que trabajo actualmente, que se llama 360 Risk Control, fusiona señales de detección de bots, inteligencia de dispositivos, modelos biométricos de comportamiento de escritorio y biométricos de comportamiento de dispositivos móviles en un único análisis continuo de evaluación de riesgos que se ejecuta a lo largo de cada sesión bancaria, mucho después de la autenticación en un momento determinado (por ejemplo, inicio de sesión, FaceID).
Cuando las señales de riesgo aumentan, el sistema puede escalar la autenticación, solicitar verificación adicional o incluso detener la transacción por completo. Pero cuando el comportamiento coincide con el perfil establecido del usuario, la sesión continúa sin problemas.
De esta manera, la biometría del comportamiento representa un cambio radical, de activa (los usuarios deben hacer algo) a pasiva (el comportamiento natural se convierte en la credencial), de la autenticación en un momento dado a la autenticación continua, de las experiencias de usuario fragmentadas a los flujos de trabajo de usuario intrínsecos y seguros.
Lectura adicional:
“Touchalítica” – https://arxiv.org/pdf/1207.6231
“ProKYC” – https://www.catonetworks.com/blog/prokyc-selling-deepfake-tool-for-account-fraud-attacks/
“BingoMod” – https://www.cleafy.com/cleafy-labs/bingomod-the-new-android-rat-that-steals-money-and-wipes-data
Informe del FBI sobre delitos en Internet: https://www.ic3.gov/AnnualReport/Reports/2024_IC3Report.pdf