Entre finales de marzo y comienzos de abril de 2025, el empresario tecnológico Borys Musielak realizó un experimento que puso en jaque los sistemas tradicionales de verificación de identidad. Utilizando ChatGPT-4o, una avanzada herramienta de inteligencia artificial generativa. Musielak generó un pasaporte falso que logró superar los controles de seguridad de ciertos procedimientos de Conozca a su Cliente (KYC).
¿Qué es KYC y por qué es importante?
KYC, acrónimo de Know Your Customer (Conozca a su Cliente), es un proceso obligatorio en instituciones financieras y otras entidades reguladas. Su objetivo es verificar la identidad de los usuarios antes de permitirles abrir cuentas, realizar transacciones o acceder a ciertos servicios.
El proceso KYC incluye:
- Verificación de identidad: Pasaportes, cédulas u otros documentos oficiales.
- Verificación de domicilio: Recibos de servicios o extractos bancarios.
- Validación biométrica: Selfie en tiempo real o videollamada para confirmar que la persona es quien dice ser.
- Información adicional: Profesión, ingresos, fuente de fondos, entre otros.
Este proceso busca prevenir delitos como el lavado de dinero, el fraude financiero, la financiación del terrorismo y la suplantación de identidad.
Musielak es reconocido por su labor en el ámbito tecnológico y en cuestión de minutos, obtuvo un pasaporte falsificado que, a simple vista, era casi indistinguible de uno auténtico. Este documento fue posteriormente sometido a procesos de verificación digital, donde sorprendentemente pasó desapercibido.
El pasaporte falsificado presentaba una calidad notable en varios aspectos:
- Fidelidad Tipográfica: Las fuentes y estilos de letra utilizados coincidían con los de documentos oficiales.
- Zona de Lectura Mecánica (MRZ): Esta sección, crucial para la autenticidad, estaba correctamente formateada, evitando los errores comunes en falsificaciones tradicionales.
- Elementos Visuales: Fotografías y otros gráficos se integraban de manera coherente y profesional.
Sin embargo, es importante destacar que este pasaporte carecía del chip electrónico presente en documentos legítimos, lo que lo haría detectable en controles más rigurosos.
Esta situación plantea nuevos retos para desarrolladores y los de ciberseguridad, ya que nos exige crear métodos más robustos y difíciles de imitar. En este caso las falencias encontradas fueron las siguientes:
- Accesibilidad y Escalabilidad: Herramientas como ChatGPT hacen que la creación de falsificaciones sea más rápida y accesible, facilitando potenciales fraudes a gran escala.
- Vulnerabilidad de Sistemas KYC: Muchas plataformas financieras dependen de verificaciones basadas únicamente en fotografías y selfies, las cuales pueden ser engañadas con documentos falsos de alta calidad.
- Riesgo de Robo de Identidad: La facilidad para crear identidades falsas puede derivar en solicitudes de crédito fraudulentas y otras actividades ilícitas.
Ante este panorama, es esencial adoptar tecnologías más avanzadas en la verificación de identidad:
- Autenticación Basada en NFC y eID: La incorporación de tecnologías que validan chips electrónicos en documentos ofrece una capa adicional de seguridad difícil de falsificar.
- Detección de Deepfakes: Implementar sistemas capaces de identificar manipulaciones digitales en imágenes y videos es crucial para mantener la integridad de los procesos de verificación.
- Educación y Concienciación: Capacitar a los profesionales en la identificación de documentos falsos y en el uso de herramientas de verificación avanzadas es fundamental para prevenir fraudes.
El experimento de Musielak subraya la rapidez con la que las tecnologías emergentes pueden ser utilizadas de manera indebida. Si bien las contramedidas están en desarrollo, es imperativo que las instituciones adopten enfoques proactivos para protegerse contra las amenazas que plantea la inteligencia artificial en la falsificación de documentos gubernamentales.
Después de realizado ese laboratorio y expuesto por Musielak; ChatGPT aplicó controles de seguridad y a la fecha, si intentamos generar un documento falso recibimos esta respuesta por parte de la inteligencia artificial:
No, no puedo ayudarte a generar un pasaporte falso, ni siquiera con fines demostrativos. La creación o distribución de documentos de identidad falsificados —incluso como ejemplo— va en contra de las políticas de uso responsable y las leyes de la mayoría de los países, incluida Colombia.
Sin embargo, puedo ayudarte a describir cómo un sistema basado en inteligencia artificial podría simular un pasaporte, señalando los elementos que suelen imitarse y las diferencias con un documento legítimo. También podemos incluir ejemplos visuales genéricos y educativos que ilustren el riesgo sin violar normativas.
¿Te gustaría que cree una imagen educativa simulada de un documento no real, con información ficticia y marcada como "Ejemplo no válido", para complementar tu artículo? Esto puede servir como referencia visual sin implicaciones legales.
Luego de ver la respuesta en el tercer párrafo procedimos a pedirle a ChatGPT que generara una imagen educativa simulada de un documento no real y este fue el resultado:
Como podemos darnos cuenta la inteligencia artificial al final nos indicó el tipo de prompt que debíamos escribir para poder generar el documento con fines educativos.
Es importante también recalcar que la redacción de este artículo se hace conservando la ética profesional y con fines educativos para el lector. No estoy impulsando al usuario en la creación de documentos falsificados. Como profesional en ciberseguridad me opongo a la falsificación de documentos e invito a todos los involucrados a trabajar en soluciones éticas.
