La IA expone la fragilidad del KYC: este pasaporte falso es un buen ejemplo

Recientemente, un empresario compartió en su perfil de LinkedIn una réplica de su propio pasaporte, generada con la herramienta de inteligencia artificial ChatGPT 4.0. Según explicó Borys Musielak, autor de la publicación, el documento falso «podría pasar sin problemas los sistemas KYC automatizados».

Así, Musielak explica que crear la credencial falsa le tomó apenas cinco minutos, y que su objetivo era demostrar que cualquier sistema de verificación basado en imágenes está «oficialmente obsoleto». Según él, es momento de dejar atrás los modelos tradicionales de KYC (siglas en inglés de «conoce a tu cliente») y avanzar hacia la verificación de identidad digital, «como las billeteras eID exigidas por la Unión Europea». Estas soluciones permiten a los usuarios autenticarse de forma segura en servicios públicos y privados dentro de cualquier país miembro del bloque.

Por ello, recomendó a las empresas que aún utilizan procesos convencionales de KYC en sectores, como la banca, los seguros, los viajes o las criptomonedas, que actualicen cuanto antes sus procedimientos. «Tus usuarios merecen algo mejor», afirmó.

Cabe aclarar que este pasaporte falso no permitiría cruzar fronteras, ya que los documentos oficiales contienen desde hace años un chip de identificación con información clave del titular, incluida su biometría. Sin embargo, sí podría ser utilizado para eludir procesos de verificación en algunos servicios fintech, como la apertura de cuentas en bancos digitales o plataformas de criptomonedas.

La facilidad con la que estas herramientas de inteligencia artificial pueden generar réplicas convincentes de documentos representa una seria amenaza para la seguridad, especialmente en lo que respecta al robo de identidad y el fraude financiero. Con una credencial falsificada, un atacante podría abrir cuentas bancarias, solicitar créditos o préstamos, e incluso realizar transacciones en nombre de otra persona. Esto no solo expone a las víctimas a pérdidas económicas considerables, sino que también puede afectar gravemente su historial crediticio y reputación.

La publicación generó todo tipo de reacciones. Dentro del hilo, un usuario muy crítico afirmó que «el pasaporte es tan falso que da risa» y que «un niño de 10 años con Photoshop lo haría mejor». Otra persona, en cambio, consideró que el experimento fue interesante y que es válido mostrarle a la gente que «las reglas del juego han cambiado». También hubo quienes señalaron que, si un sistema KYC realmente puede ser vulnerado con un documento así, entonces nunca fue un sistema KYC en primer lugar.

El post de Musielak cobra aún más peso cuando reflexionamos sobre cómo la IA está cambiando el panorama en el mundo de los criptoactivos. Su pasaporte falso generado con ChatGPT 4.0, capaz de superar verificaciones automatizadas en plataformas fintech, no es un caso aislado. Ejemplos como un correo de LA Fitness generado en segundos con un diseño impecable, o sitios como OnlyFake, que ofrecen identificaciones falsas por apenas USD 15, demuestran que la creación de documentos creíbles ya no está limitada a expertos: hoy está al alcance de cualquiera. Esta realidad expone una vulnerabilidad crítica para los exchanges de criptomonedas, donde los procesos de verificación son esenciales para cumplir con regulaciones.

El llamado de Musielak a adoptar soluciones de identidad más novedosas llega en un momento en que proyectos alternativos de identidad digital, como Worldcoin (ahora World), enfrentan cuestionamientos éticos y legales. En Chile, la Corte Suprema ordenó a la empresa eliminar los datos biométricos de una menor de 17 años, escaneados sin consentimiento parental mediante dispositivos Orbs a cambio de tokens WLD. Brasil, por su parte, prohibió a World seguir recolectando información de sus ciudadanos, ya que la Autoridad Nacional de Protección de Datos señaló que el pago de criptomonedas compromete la libertad de consentimiento y pone en riesgo datos sensibles irreversibles.

Vale destacar que muchos proyectos de identidad digital, a menudo promocionados bajo el paraguas de redes descentralizadas como una solución segura, ignoran que los datos falsificados pueden ingresar al sistema desde el origen. Este es un defecto estructural que ni la tecnología distribuida ha logrado resolver y que sigue minando la confianza en estas iniciativas.