Una IA está generando miles de documentos de identidad falsos al día. Éstos se venden en la Dark Web por 14 euros.

Se ha descubierto que esta IA es capaz de crear identificaciones de hasta 26 países diferentes para sortear sistemas de verificación de plataformas de intercambio de criptomonedas.

¿Qué sabemos de la página OnlyFake?

Esta página web cuenta con métodos de falsificación que pueden lograr generar fotos de aspecto realista en DNI, pasaportes o permisos de conducir.

Este sitio es capaz de crear alrededor de 20.000 pasaportes e identificaciones de identidades falsas a diario.

El resultado es tan realista que hasta puede sortear los sistemas de verificación de algunas plataformas de compraventa de criptomonedas.

La IA ha hecho que el sistema de verificación “Know Your Consumer”, utilizado en estos servicios de pagos comerciales, deje de ser fiable.

Identificaciones de hasta 26 países

Los estafadores que están detrás de OnlyFake pueden hacer identificaciones falsas de hasta 26 países.

Entre los países utilizados se encuentran Estados Unidos, Canadá, Australia y algunos de la Unión Europea.

Para que la IA genere una imagen del documento realista, tan solo necesita ciertos datos de usuario como nombre y apellidos, fecha de vencimiento, matrícula del vehículo, color de ojos, peso, color de pelo, fecha de nacimiento, dirección y firma.

De esta forma, el sistema de verificación reconoce el documento como válido.

A través de su cuenta de Telegram, OnlyFake afirma que pueden crear varias identificaciones a la vez si se le proporciona toda la información necesaria a través de un Excel.

Madrid va a impartir cursos contra estafas digitales debido al aumento de casos en este último año. Esto está incluido en su Plan Integral para fomentar la ciberseguridad en la región.

Métodos más comunes utilizados por los estafadores

El robo de datos, virus informáticos o falsas causas sociales son algunos de los métodos más comunes utilizados por los estafadores.

En la Comunidad de Madrid, el número de delitos de este tipo aumentó un 19% en 2023. Para evitar estos casos, el Gobierno ha preparado lanzar cursos gratuitos de ciberseguridad para ayudar a los ciudadanos.

Estos cursos permitirán a los ciudadanos reconocer y evitar la multiplicación de los casos, en especial a aquellos que tienen menos conocimientos sobre las tecnologías.

Un ejemplo de mensaje para engañar a los usuarios es el siguiente: “Buenas tardes, soy Esmeralda, subdirectora de recursos humanos. ¿Estás interesado en trabajar en línea desde casa? Es un trabajo muy fácil y simple. Tu función es dar me gusta y seguir páginas en YouTube y enviarnos una captura de pantalla. Tras ello recibirá el pago dentro de los 20 minutos posteriores”.

Con dicho mensaje, lo que se pretende es conseguir información sensible sobre las víctimas como su número de identidad o cuenta bancaria, o tener acceso al dispositivo móvil a través de enlaces maliciosos.

En 2023 se produjeron 57.299 estafas informáticas

En 2023 en la Comunidad de Madrid, se produjeron 57.299 estafas informáticas, lo que supone un 19% más que en 2022.

Es muy común que los usuarios reciban en sus móviles mensajes pidiendo datos sobre paquetes que no han podido ser entregados, para reconfirmar reservas en restaurantes, para ayudar a un supuesto familiar, etc.

La edad o la situación socioeconómica son factores de vulnerabilidad para caer en este tipo de estafas. Por ello, el Gobierno lanzará en las próximas semanas el Plan Integral de formación en ciberseguridad, que todos los madrileños podrán realizar.

Algunas recomendaciones básicas

Algunas recomendaciones para evitar los casos de phishing y otros tipos de estafa son las siguientes. En primer lugar, se debe evitar abrir correos o enlaces procedentes de direcciones desconocidas.

Además, es importante no compartir datos sensibles por Internet y verificar siempre la identidad de la persona con la que nos comunicamos.

Por último, no se deben utilizar las credenciales del trabajo para registrarse en portales o aplicaciones web.

Las transacciones por NFC, o pagos sin contacto, requieren dos elementos de autenticación para que sean seguros. Sino, mediante la técnica “man-in-the-middle” podrían ser interceptados.

La tecnología NFC (Near Field Communication) existente en los dispositivos móviles, permite acercar el móvil al datáfono para pagar una compra.

Sin embargo, pueden existir problemas de seguridad cuando los ciberdelincuentes utilizan de forma malintencionada esta tecnología para acceder a las cuentas bancarias de las víctimas.

Debido al corto alcance de NFC, este método no es útil para grandes transferencias de datos. Además, a diferencia del WiFi o del Bluetooth, es más lento y requiere que los dos dispositivos que se comunican se encuentren muy cerca.

¿Pero, son seguras las transacciones por NFC?

Uno de los métodos de ataque más comunes cuando hablamos de este tipo de pagos es la técnica man-in-the-middle, mediante la cual los ciberdelincuentes consiguen monitorizar e interceptar las comunicaciones de una empresa y envían en su nombre a algún cliente un correo electrónico reclamando algún pago o factura, para que el importe sea abonado en una cuenta distinta a la de su proveedor.

Aunque estos ataques pueden darse en los pagos NFC, no son tan viables por lo siguiente:

• Para evitar la tecnología NFC, un lector tiene que acercarse bastante a la tarjeta/teléfono para leer los datos necesarios.
• El estafador necesita una herramienta especial para realizar el ataque.
• La comunicación NFC está cifrada, por lo que es difícil duplicar una tarjeta ya que su información está oculta.

En definitiva, el sistema NFC es el más seguro, aunque no infalible.

Cómo pagar de forma segura con el móvil

Un sistema de pago seguro debe tener, al menos, dos elementos de autenticación. Además, para que los pagos contactless sean más seguros, debes tener en cuenta las siguientes medidas:

• La identificación por radiofrecuencia crea una barrera para evitar los posibles ataques de skimming (técnica que roba información de las tarjetas en el momento de la transacción).
• Establecer un límite máximo sobre cuánto dinero se puede gastar a través de los pagos sin contacto.
• Evitar los pagos con los relojes inteligentes, ya que podría plantear problemas potenciales dependiendo del modelo utilizado.

Se ha producido el hackeo de 26.000 millones de datos, la mayor brecha de seguridad de la historia.

En total se habrían vulnerado 12TB de información de registros de X, Dropbox, LinkedIn, Adobe, Canva y Telegram. Además, es posible que se produzca una ola de ciberataques próximamente.

Base de datos filtrada

Una base de datos que contenía más de 26.000 millones de registros de usuarios se ha filtrado. Esta fuga de datos masiva es la más grande hasta la fecha.

Los profesionales advierten que los ciberdelincuentes podrían aprovechar los datos para llevar a cabo diversos ciberataques.

Algunos ejemplos son el robo de identidad, phishing, ciberataques dirigidos y acceso no autorizado a cuentas personales y confidenciales.

Es muy probable que esta filtración ahora se encuentre en malas manos. Es muy posible que en las próximas semanas se lleven a cabo ataques basados en credenciales.

Recomendaciones ante la filtración de datos

Los expertos comentan una serie de recomendaciones para saber cómo actuar y mitigar la probabilidad de ser víctimas de esta situación.

En primer lugar, aconsejan que tengamos una buena “ciberhigiene” y que utilicemos contraseñas únicas en cada plataforma.

Esto es porque si los ciberdelincuentes descubren las credenciales de una de tus redes sociales, te aseguras de que no estés dando acceso a más servicios.

Además, es muy recomendable activar la autenticación multifactor (MFA).

Por otro lado, siempre debemos desconfiar de correos electrónicos o mensajes no solicitados donde se anuncien ofertas increíbles sobre artículos buscados anteriormente.

Es posible que los estafadores se estén aprovechando de búsquedas que hayamos realizado sobre productos que nos interesan.

Por último, los expertos aconsejan estar atentos a las notificaciones de los servicios que más utilizamos. Si se recibe un aviso sospechoso o algo similar, se debe cambiar la contraseña, ya que las credenciales podrían estar comprometidas.