Un mercado clandestino está atacando uno de los mecanismos de confianza centrales de las finanzas digitales

MIT Technology Review informa que los estafadores están usando herramientas ilícitas vendidas en Telegram para eludir los controles de identidad usados por bancos y plataformas de criptomonedas, en especial los escaneos faciales de “Conozca a su cliente” o KYC. En su investigación, la publicación identificó 22 canales y grupos públicos de Telegram en chino, vietnamita e inglés que anuncian kits de evasión y datos biométricos robados. Las herramientas se presentan como formas de sortear sistemas de cumplimiento que se supone deben confirmar tanto que una cuenta pertenece a una persona real como que el rostro del usuario coincide con los documentos de identidad enviados originalmente.

Las implicaciones son graves porque los controles KYC son fundamentales para la forma en que las finanzas digitales filtran el fraude, las cuentas mula y el lavado de dinero. Si esos controles pueden convertirse en un producto básico vendido abiertamente a través de canales de mensajería, entonces lo que parece una capa de seguridad puede pasar cada vez más a funcionar como una oportunidad de mercado para especialistas delictivos. La historia no trata solo de un exploit ingenioso. Trata de una cadena de suministro para evadir la identidad.

La cobertura fundamenta esa preocupación con un ejemplo muy claro. Un estafador que opera desde un centro de lavado de dinero en Camboya demuestra una aplicación bancaria vietnamita que pide una foto vinculada a la cuenta y luego una verificación de vitalidad en video. En lugar de usar una transmisión legítima de cámara en vivo, el estafador usa una imagen que no coincide y aun así pasa la verificación. Según la investigación, esto es posible porque muchos kits de evasión sustituyen la transmisión esperada de la cámara en vivo por otros videos o imágenes mediante una técnica de cámara virtual.

La debilidad está en cómo la “vitalidad” puede falsificarse a nivel del dispositivo

El punto técnico clave del texto proporcionado es que estas herramientas normalmente no derrotan a los sistemas biométricos imitando perfectamente a un usuario real en el nivel de la plataforma. En cambio, comprometen el sistema operativo del teléfono o el entorno de la aplicación para que la señal de la cámara pueda ser reemplazada. Una vez que un control de vitalidad acepta una entrada falsa como si fuera un video en tiempo real, el resto del proceso de seguridad puede colapsar.

Eso importa porque muchos usuarios asumen que los controles faciales son intrínsecamente más fuertes que las contraseñas o las cargas básicas de documentos. En principio, muchas veces lo son. Pero la cobertura de MIT Technology Review muestra cómo su eficacia depende en gran medida de la integridad del dispositivo y de la cadena de la aplicación. Si los estafadores pueden controlar lo que ve la app, entonces el control facial puede convertirse menos en una salvaguarda biométrica y más en una prueba de presentación vulnerable a herramientas y servicios de fraude.

La investigación dice que estos kits afirman apuntar a instituciones que van desde grandes exchanges de criptomonedas como Binance hasta bancos, incluido BBVA de España. Algunos canales tenían miles de miembros o suscriptores. Incluso si no todas las afirmaciones de esos canales son válidas, la escala de la publicidad descrita en el material fuente sugiere un mercado lo suficientemente maduro como para merecer preocupación.

Wind turbines off the coast of Shanghai, China
More in Innovation

China pone en marcha un centro de datos submarino alimentado por energía eólica marina

Un centro de datos bajo el agua frente a Shanghái ya está operativo con energía eólica marina y refrigeración basada en agua de mar, una combinación que, según sus promotores, reduce el uso de suelo y la demanda de enfriamiento.

Read article

El delito financiero se está volviendo más orientado a servicios

Una característica llamativa del ecosistema de Telegram descrito es lo explícitamente que se comercializa. La historia describe canales que anuncian “todo tipo de servicios de verificación KYC” y se presentan como seguros y profesionales. Ese lenguaje es revelador. Sugiere una economía criminal que cada vez imita más a las empresas legítimas de software y subcontratación. En lugar de exigir que cada red de fraude invente sus propios métodos, los especialistas pueden vender capacidades de evasión llave en mano a una red ilícita más amplia.

Este modelo de servicio aumenta el riesgo sistémico. Cuando las técnicas de fraude se convierten en productos estandarizados, se difunden más rápido, llegan a actores menos sofisticados técnicamente y son más difíciles de contener mediante contramedidas puntuales. Los bancos y los exchanges pueden mejorar una capa de defensa y luego descubrir que un nuevo paquete ya está a la venta enseñando a los operadores a rodearlo.

La investigación también apunta a la dinámica de gato y ratón ya conocida en la seguridad financiera. A medida que las instituciones despliegan pasos más avanzados de alta y verificación, los delincuentes se adaptan. Lo que hace más consecuente esta ronda es que la adaptación apunta directamente a los sistemas de confianza biométrica que muchas empresas han tratado como una vía de mejora.

Por qué esto importa más allá de las criptomonedas o de una región

Aunque la cobertura incluye ejemplos vinculados a Camboya, aplicaciones bancarias vietnamitas y exchanges globales de criptomonedas, el problema central no es geográficamente limitado. Cualquier institución que dependa en gran medida de la verificación de identidad por teléfono debería prestar atención. Si grupos públicos pueden comercializar abiertamente herramientas para eludir controles biométricos, entonces la amenaza es más amplia que cualquier aplicación o país.

La importancia también va más allá de las pérdidas inmediatas por fraude. Los sistemas KYC sostienen el cumplimiento contra el lavado de dinero, la integridad de las cuentas y la capacidad de vincular la actividad digital con personas reales. Debilitar esos sistemas significa facilitar la apertura de cuentas mula, mover fondos ilícitos y crear nuevas capas de distancia entre los organizadores criminales y el dinero mismo.

La cobertura de MIT Technology Review no implica que KYC sea inútil. Sí muestra que las tecnologías de cumplimiento son tan fuertes como los controles del dispositivo, la detección de fraude y el escepticismo operativo que las respaldan. Las instituciones financieras quizá deban tratar el alta biométrica menos como un problema resuelto y más como un componente dentro de un entorno de seguridad en disputa constante.

La lección más importante es que la verificación de identidad es ahora un campo de batalla activo con herramientas de ataque comercializadas. Eso desplaza la pregunta de si los malos actores pueden eludir KYC a cuán barato, cuán abiertamente y cuán a menudo pueden hacerlo. Con las pruebas presentadas aquí, la respuesta es lo bastante preocupante como para obligar a replantearlo.

Este artículo se basa en la cobertura de MIT Technology Review. Leer el artículo original.

Indonesia’s Vanishing Glaciers Get First 3D Mapping Before Complete Disappearance - EnviroLink Network (via envirolink.org)
More in Innovation

El modelado 3D captura un glaciar tropical de Indonesia antes de que desaparezca

Un detallado modelo 3D de código abierto está documentando uno de los últimos glaciares tropicales del mundo en Indonesia, mientras los científicos advierten que el hielo restante podría desaparecer para 2030.

Read article

Originally published on technologyreview.com