Cinco fotos y un ordenador potente bastan para que un estafador se haga pasar por un compañero del departamento de contabilidad
404 Media investigó qué herramientas usan los centros de estafa y por qué las máscaras digitales ya no se distinguen de la realidad.
Las videollamadas en vivo cada vez dejan de ser una prueba de que la persona al otro lado es real. El medio 404 Media obtuvo acceso a Haotian AI, un servicio de habla china para crear deepfakes de alta calidad en tiempo real, que se vende a estafadores y se adapta a plataformas de comunicación populares.
Según el periodista Joseph Cox, Haotian AI permite reemplazar la cara de una persona durante una llamada en WhatsApp, Zoom, Microsoft Teams, TikTok, Instagram y YouTube. En la comprobación, la herramienta transformó al empleado de GetReal Security Ian McGrew en el mismo Cox directamente en una llamada de Microsoft Teams. El rostro se movía, sonreía, reaccionaba al tacto y mantenía parecido incluso con gestos frente a la cámara.
El servicio funciona como una cámara virtual. Para un resultado convincente se necesita un equipo potente, buena iluminación y una persona con una forma de rostro similar. Haotian AI pidió un PC para juegos con un procesador Intel i7, 16 GB de DDR5 y una tarjeta gráfica Nvidia 4080 SUPER. Los representantes del servicio se conectaron ellos mismos a la máquina de prueba mediante AnyDesk, desactivaron algunas funciones de seguridad de Windows, instalaron los componentes necesarios y configuraron el programa en pocos minutos.
404 Media escribe que Haotian AI está estrechamente vinculado con un ecosistema criminal de habla china en Telegram, que atiende a centros de fraude en el sudeste asiático. El servicio, según la organización Chong Lua Dao, opera desde Camboya y ofrece la instalación del programa in situ en algunas zonas del país.
Chainalysis relacionó las carteras de criptomonedas de Haotian AI con transferencias por más de 4 millones de dólares desde octubre de 2023, así como con HuionePay, servicios de lavado de dinero y proveedores de herramientas para engañar a las víctimas. El coste de acceso es de aproximadamente 2000 dólares al año, y un modelo facial individual cuesta alrededor de 500 dólares. El pago se acepta en Tether en la red TRON. Para crear un modelo realista se necesitan varias fotografías del rostro sin expresiones marcadas, sin mostrar los dientes ni otros detalles innecesarios.
La herramienta no es perfecta. Con los dedos separados delante del rostro la imagen puede distorsionarse, y los intentos de cerrar los ojos a veces rompen la expresión. Aun así, en las demostraciones Haotian AI mostró un reemplazo de rostro estable ante movimientos de manos, cambios de iluminación y toques. Los autores de un trabajo científico del año pasado también indicaron que el modelo Xception casi siempre consideraba los vídeos creados por Haotian AI como reales.
GetReal Security halló en los archivos de Haotian AI bibliotecas populares para el reconocimiento y reemplazo facial, incluido inswapper, que está disponible en proyectos de código abierto. InsightFace dijo a 404 Media que los modelos abiertos están pensados para investigación y trabajo académico, y que el uso criminal viola los términos declarados.
Haotian AI ya promueve nuevas funciones para eludir las verificaciones KYC, en las que el usuario debe mostrar el rostro y un documento. Esta herramienta puede facilitar el fraude con cuentas bancarias, estafas románticas, llamadas falsas de la policía y ataques corporativos a través de videollamadas.
Así, cuanto más accesibles se vuelven las herramientas de suplantación de identidad, menos se puede confiar solo en una imagen de cámara. Para empresas y usuarios habituales, la videollamada deja de ser una confirmación y pasa a ser solo una de las señales que habrá que verificar por otros medios.