Un estudi de Gartner xifra en un 30 % les empreses que rebutjaran aquesta solució com a mètode aïllat d’identificació el 2026.

El 2026, els atacs que utilitzin hipertrucatges generats per intel·ligència artificial (IA) en biometria facial suposaran que un 30 % de les empreses ja no consideraran que aquestes solucions de verificació de la identitat siguin confiables de manera aïllada, segons un estudi de Gartner.

 «A l’última dècada, s’han produït diversos punts d’inflexió en els camps de la IA que permeten la creació d’imatges sintètiques. Aquestes imatges de rostres de persones reals generades artificialment, conegudes com a deepfakes (hipertrucatge en català), poden ser utilitzades per actors malintencionats per comprometre l’autenticació biomètrica o fer-la ineficient», adverteix l’Akif Khan, vicepresident analista de Gartner. «Com a resultat, les organitzacions poden començar a qüestionar la confiabilitat de les solucions de verificació i autenticació d’identitat, perquè no podran saber si el rostre de la persona que s’està verificant és una persona real o un hipertrucatge.»

Avui dia, els processos de verificació de la identitat i autenticació que fan servir la biometria facial es basen en la detecció d’atacs de presentació (PAD) per avaluar la vida de l’usuari. «Els estàndards actuals i els processos de prova per definir i avaluar els mecanismes PAD no cobreixen els atacs d’injecció digital que fan servir els hipertrucatges generats per IA que es poden crear avui dia», assegura Khan.

La investigació de Gartner va dir que els atacs de presentació són el vector d’atac més comú, però els atacs d’injecció van augmentar un 200 % el 2023. La prevenció d’aquests atacs requerirà una combinació de PAD, detecció d’atacs per injecció (IAD) i inspecció d’imatges.

 Combinar IAD i eines d’inspecció d’imatges per mitigar les amenaces d’hipertrucatge

Per ajudar les organitzacions a protegir-se contra els hipertrucatges generats per IA més enllà de la biometria facial, els directors de seguretat de la informació (CISO) i els líders de gestió de riscos han de triar proveïdors que puguin demostrar que tenen les capacitats i un pla que va més enllà dels estàndards actuals i que estan monitorant, classificant i quantificant aquests tipus d’atacs nous.

«Les organitzacions han de començar a definir una línia de base mínima de controls i treballar amb proveïdors que hagin invertit específicament en la mitigació de les últimes amenaces basades en hipertrucatges amb la utilització de l’IAD juntament amb la inspecció d’imatges», va dir Khan.

Una vegada definida l’estratègia i establerta la línia de base, els CISO i els líders de gestió de riscos han d’incloure senyals addicionals de risc i reconeixement, com ara la identificació de dispositius i l’anàlisi del comportament, per augmentar les possibilitats de detectar atacs en els seus processos de verificació de la identitat.

Per damunt de tot, els líders de seguretat i gestió de riscos responsables de la gestió de les identitats i els accessos han de prendre mesures per mitigar els riscos dels atacs d’hipertrucatge impulsats per IA mitjançant la selecció de tecnologia que pugui demostrar la presència humana genuïna i la implementació de mesures addicionals per evitar l’apropiació de comptes.