Los 'deepfakes' progresan más rápido que las herramientas que los detectan, y eso preocupa en la comunidad 'hacker': la red se llenará de 'replicantes'

El fenómeno del deepfake y el auge de las inteligencias artificiales generativas y los grandes modelos de lenguaje como DALL-E o ChatGPT están permitiendo crear identidades y supuestas personas digitales cada vez más realistas. Discernirlas de un humano real será cada vez más complicado.

Los replicantes de Blade Runner ya campan a sus anchas por internet.

La explosión de las inteligencias artificiales (IA) generativas de imágenes, como DALL-E o Stable Diffusion, o de los modelos de lenguaje natural de gran tamaño (LLM, por sus siglas en inglés) como ChatGPT lleva meses llenando la red de contenido sintético. Contenido sobre el que una persona ha intervenido únicamente para dar una instrucción con lo que debía hacer la máquina.

Pero antes de que el entusiasmo se disparara por cómo esta tecnología va a transformarlo todo, la red ya se estaba estremeciendo con los deepfakes.

Los deepfakes son vídeos, imágenes o audios en los que alguien, ayudado de un modelo de IA, ha sustituido elementos que identifican a una persona —su rostro y su voz, por ejemplo— para crear una escena que nunca ha existido. El estado del arte de este fenómeno progresa tanto que ya hay IA capaces de actuar de forma casi autónoma recreando o sustituyendo rostros.

Una empresa de IA restaura el rol erótico de su chatbot después de que una actualización separase a los usuarios de sus 'parejas'

Muchas veces el propósito de un deepfake no es otro que el humor. Seguramente te has cruzado con algunas apps en las que solo tienes que subir una foto tuya para ver cómo en segundos tu rostro se pone a cantar como si estuviera en un karaoke. Así se ha visto, por ejemplo, a Kim Jong-un, líder supremo de Corea del Norte, cantando I Will Survive, de Gloria Gaynor.

Pero en otras ocasiones un deepfake persigue fines más espurios.

Eso, sumado a que el desarrollo de los sistemas de IA capaces de sustituir o recrear rostros, están preocupando mucho a expertos en ciberseguridad. Chema Alonso, jefe de Digital de Telefónica y uno de los hackers más mediáticos del país, lo advertía hace pocas semanas en uno de los mayores eventos del sector en España, la RootedCON.

"Desde 2019 estamos explorando lo que sucederá en algún momento: con los servicios cognitivos humanos va a ser imposible distinguir a una persona real de una imagen o de un vídeo deepfake". Y esos "servicios cognitivos humanos" no son otra cosa que tus ojos, tus sentidos.

Eso abre infinitas posibilidades a los criminales. Es una amenaza ante la que, por el momento, hay poca capacidad de respuesta. Una analogía recurrente en la ciberseguridad es la del juego entre el gato y el ratón. Cuando el gato mejora sus capacidades en defensa y detección de amenazas, el ratón sofistica sus herramientas y habilidades".

En la adaptación al cine de ¿Sueñan los androides con ovejas eléctricas?, de Philip K. Dick, Deckard (Harrison Ford) es un cazarrecompensas —un blade runner— que se dedica a "retirar" a los "replicantes": androides que han logrado camuflarse y vivir entre los humanos.

A expertos en ciberseguridad lo que les preocupa cada vez más es qué sucederá cuando llegue ese punto de inflexión en el que ni los humanos ni sus herramientas serán capaces de distinguir adecuadamente un deepfake de lo un vídeo real. En palabras del propio Alonso, la tarea de "detectar" a estos "replicantes digitales" no es "nada sencilla".

Deepfakes, las herramientas favoritas de los nuevos ladrones de bancos digitales

Que el fenómeno no conozca límites es un enorme riesgo. Tiene implicaciones en el mundo de la seguridad informática y también en el de la salud mental. No solo pueden tratar de estafarte haciéndose pasar por tu jefe, también pueden menoscabar tu reputación. Van varios ejemplos del uso de deepfakes a manos de bandas de criminales.

En 2019, ciberdelincuentes robaron 220.000 euros a una firma británica de energía tras un ataque con la conocida técnica del fraude del CEO. Pero en este caso los asaltantes suplantaron a un directivo no solo mediante un correo electrónico: usaron una IA para mimetizar la voz de un directivo encargando una transferencia por esa cantidad a un supuesto proveedor húngaro.

Por supuesto, la transferencia ordenada en realidad tenía como destino a los asaltantes, como explicó The Wall Street Journal.

El FBI dice que la gente está usando 'deepfakes' para solicitar trabajos a distancia y robar datos a las empresas al ser contratados

Solo 2 años después se conoció otro hecho similar. Criminales informáticos habían clonado la voz de un empresario para orquestar un robo mucho más cuantioso: ordenaron a un banquero hongkonés la transferencia de más de 32 millones de euros para una supuesta inversión que acabó siendo falsa. El banquero se lo creyó todo: la voz era idéntica a la del empresario, que conocía.

Los 32 millones de euros se esfumaron en transferencias a entidades de todo el planeta y las autoridades de Emiratos Árabes Unidos iniciaron una investigación: en el asalto habían participado más de una docena de personas e incluso un abogado ayudó a optimizar esas transferencias, como destacó Forbes.

Los fines de los deepfakes, como se decía, no tienen por qué ceñirse a estafas o robos a través de la red. Algunos revisten más gravedad. Pueden intentar influir en la opinión pública —hay imágenes deepfake de un falso arresto de Donald Trump y hubo un debate interesado sobre si un vídeo del presidente de EEUU, Joe Biden, era un deepfake y no lo era—.

Otros deepfake van todavía más allá y pueden hundir la reputación a cualquiera, y en especial, a las mujeres. La demanda de pornografía generada con IA generativas y el uso de deepfake sigue superando récords. Actrices como Scarlett Johansson han lamentado en el pasado que tratar de frenar ese fenómeno es "una causa perdida", pero es un brutal menoscabo al consentimiento.

Tú también puedes ser suplantado con uno de estos archivos

En realidad, la de los deepfakes es una tecnología muy similar a la que se aplican en modelos de IA especializados en reconocimiento facial, por ejemplo. Son redes neuronales adversarias. Una es la red generadora —genera, en este caso, "rostros" y los integra en cabezas— mientras que la adversaria es la red discriminadora, que determina, simplificándolo mucho, si lo generado es "creíble".

Así lo explicó también en la última edición de la RootedCON, el congreso de ciberseguridad más seguido de España, Ángela Barriga. Barriga es ingeniera especializada en sistemas de aprendizaje automático. Trabaja en Mobbeel, compañía recientemente adquirida por Sia —Indra—. Su charla versó, especialmente, en cómo se podían proteger los usuarios de los deepfakes.

"Cuando se inventa una tecnología esta trae sus cosas buenas y sus cosas malas. Siempre se busca la trampa. (...) El fraude siempre ha existido, y seguirá existiendo. Lo que cambia es el medio por el que se realiza", abundó la experta.

En su charla, Barriga destacó varios datos, como que por ejemplo aproximadamente el 96% de los cientos de miles de vídeos e imágenes deepfake detectadas en la red son pornográficos y afectan en un 100% a las mujeres —mientras que en YouTube los deepfakes humorísticos afectan solo al 39% de las mujeres y sí persiguen al 61% de los hombres.

"Dentro del tema de la difamación está el problema de cuando en estos vídeos se pone en jaque la identidad visual de un usuario", explicita. "¿Quién no ha iniciado ya sesión con su voz o con su cara en un dispositivo o sistema?". "Con este tipo de tecnología es relativamente fácil que alguien pueda hacerse pasar por una persona".

Efectivamente, los deepfakes pueden ayudar a suplantar la identidad de un usuario ante una tercera persona, pero también a una máquina. Lo demostró el Chaos Computer Club, un histórico colectivo hacker alemán, que compartió las conclusiones de una investigación en 2022 con la que animaban a discontinuar el desarrollo de tecnologías de identificación vía vídeo.

El Chaos Computer Club, en aquel caso, demostró lo sencillo que era hackear los sistemas de identificación mediante documento de identidad ante una cámara.

Te pensarás 2 veces el mandar el próximo mensaje de audio

"La voz está por todas partes. La gente no es consciente del rastro que está dejando en la red. Mi voz, por ejemplo, ya está totalmente perdida". Chema Alonso se dirige en estos términos al auditorio de la RootedCON. "¿Os imagináis la de personas que descubrirían infidelidades solo buscando los audios de las grabaciones de Alexa?".

"Lo primero que recomiendo es que confiéis en vuestra pareja y no hagáis esto en casa". Lo que siguió durante varios minutos fue una demostración práctica en el que el hacker demostraba lo sencillo que era no solo sintetizar, descubrir e identificar al dueño de una voz desconocida accediendo a las grabaciones que ha recogido Alexa.

Pero Alonso no se detuvo ahí. Con la voz sintetizada decidió crear una copia sintética y demostrar lo sencillo que sería asaltar cuentas bancarias en entidades que usen el acceso biométrico por voz para aceptar un inicio de sesión, algo que sucede mucho en el sector bancario británico.

China se adelanta al mundo entero y publica una normativa para acabar con los 'deepfakes', detrás de la proliferación de noticias falsas

Alonso hizo ese experimento en un entorno controlado, pero días antes un periodista de Motherboard demostró en un caso real que este hackeo es posible.

Dado que los deepfakes de voz están también creciendo exponencialmente, el propio Alonso lleva el desafío más lejos: hay algoritmos capaces de sincronizar el movimiento de los labios con la voz —algo que también amenaza a la industria del doblaje en cine y series—, con lo que sumando todas estas tecnologías tienes el pack completo de un vídeo falso perfectamente creíble.

El propio Alonso remitió a su ejemplo de los replicantes de Blade Runer. "Los replicantes son personas sintéticas que parecen 100% de verdad", recuerda el hacker. Por lo que "la única forma de descubrir si son de verdad o de mentira es con un test, el test de Voight-Kampff o test de empatía" que aparece en la misma obra de ficción.

El problema es que todavía no existe un test de Voight-Kampff 100% eficaz ni para detectar deepfakes ni para detectar creaciones realizadas con IA generativas.

La herramienta cazadeepfakes perfecta todavía no existe, pero los expertos la siguen buscando

La tecnología para prevenir deepfakes evoluciona, pero no consigue ser tan eficaz como la que generan esas imágenes fake. Lo cuenta la propia Ángela Barriga, recordando cómo en 2019 grandes tecnológicas se asociaron y a través de su organización Partnership on AI —fundada por Meta, Microsoft, Google, entre otras— lanzaron un "desafío" a la comunidad tecnológica.

El desafío no era otro que intentar crear el detector de deepfakes definitivo. El equipo que mayor tasa de eficacia logró en aquel desafío —que duró de 2019 a 2020— logró una del 82%. Cuando los convocantes del desafío arrojaron su modelo detector contra una base de datos más compleja —que bautizaron como black box—, su tasa de eficacia se desplomó al 65%.

En la industria tecnológica es habitual que, para comprobar que un resultado es exitoso, esas tasas se muevan "como mínimo en el 90% y en muchos campos entre el 95% y el 97%", recordó la propia Barriga. Ya hay demostraciones de una eficacia del 98% en modelos como el de este investigador de ByteDance (TikTok), pero eso no detiene la amenaza: los deepfakes siguen evolucionando.

La experta de Mobbeel (Sia) explica que en su firma llevan "muchos años" en el ámbito de detección de ataques vía identidad digital. "Hemos trabajado con la detección de ataques con máscaras de papel, papeles impresos, detección de pantallas o máscaras de silicona. Tratamos los deepfakes como un ataque más que hay que detectar".

Para ello, tratan de emplear diversas técnicas. Desde el análisis de metadatos, cuyo principal desafío es que sus resultados son "difíciles de extrapolar", hasta otro tipo de análisis. 

Algunos análisis incluso de "prueba de vida": hay tecnología que trata de discernir si la persona que aparece en un vídeo es humana registrando las imperceptibles alteraciones que se reflejan en el rostro cada vez que late un corazón.

Lo que por ahora más les está funcionando en Mobbeel es el uso de modelos de IA transformer, modelos capaces de aprender mediante contexto. Para ello 'trocean' las imágenes a analizar y el modelo empieza a trabajar.

El campo de la detección de deepfakes tiene mucho que ofrecer. "Llegará un momento en el que quizá la tecnología con la que se crean deepfakes se puedan combinar con modelos como Stable Diffusion o DALL-E y llegará un momento en el que se creen cosas que ni nos podamos imaginar hoy", reconoce.

"Hablamos de una tecnología que puede dar miedo, algo que llevamos todos dentro, en el instinto. Por eso [los deepfakes] están empezando a mover a algunos organismos de ética, me imagino es que se irá desarrollando un estándar o algo que haga que todo esto esté de alguna forma controlado. Los ataques seguirán existiendo, pero no será el Salvaje Oeste", espera.

Chema Alonso, en su charla, llegó a conclusiones similares: la biometría por voz ya no es un método de protección seguro, ya no se puede confiar en la voz como método de identificación y estamos "cerca" de los humanos virtuales "perfectos".

Román Ramírez es un prestigioso hacker español. Cofundador de la RootedCON, el evento que reunió las charlas de Ángela Barriga y Chema Alonso, también referenció ante los asistentes unas palabras que el filósofo sueco Nick Bostrom pronunció en 2015 sobre la inteligencia artificial:

"No debemos confiar en nuestra capacidad para mantener a un genio superinteligente encerrado en una lámpara. Tarde o temprano, saldrá. La solución es averiguar cómo crear una IA superinteligente para que, incluso si escapa, sea segura".