Identidades NO Humanas (NHI "Non-Human Identities"): La Gestión de un Riesgo de Seguridad Emergente

Las Identidades No Humanas o Non Human identities (NHI) están últimamente en boca de todos los profesionales de la seguridad de la información y la ciberseguridad que centran su profesión en la gestión de Identidades Digitales. Es cierto que en este mundo Post-Covid, donde se produjo una proliferación del trabajo desde cualquier lugar, utilizando cualquier dispositivo (Anywhere and Anydevice) trajo asociado, en muchos casos, la eliminación del perímetro de red como capa de protección, al igual que las medidas de seguridad a nivel de puesto de trabajo.

Figura 1: Identidades NO Humanas (NHI "Non-Human Identities").

La Gestión de un Riesgo de Seguridad Emergente

Todo esto se produjo gracias a que se comenzó a fomentar que los usuarios se pudieran conectar desde cualquier dispositivo y desde cualquier ubicación. Ee esta manera la identidad, y más concretamente la seguridad en la identidad, pasa a ser el nuevo perímetro, la capa principal y, en muchas casos, única donde puedes poner medidas de seguridad ya que no hay control del dispositivo o la red de conexión desde la que el empleado se conecta.

La mayoría de las empresas entendieron muy pronto este desafío de seguridad y se pusieron manos a la obra implementando medidas de seguridad focalizadas en la protección de la identidad de los usuarios que consumían sus aplicaciones o servicios digitales, donde implementando un factor de autenticación robusto en la autenticación, como pueden ser los basados en Push notificaciones en dispositivos móviles, los basados en Biometría o incluso optando por Passkeys o Yubikeys para obtener una seguridad adicional y eliminar las passwords ya conseguías protegerte en gran medida.

Figura 2: Las Yubikeys

Adicionalmente, si esto lo combinabas con un sistema de “Unknown login location” simplemente geolocalizando la dirección IP pública desde la que los usuarios consumen los servicios digitales, y respondiendo con una verificación de la legitimidad cuando los usuarios intentan conectar de localizaciones que varían significativamente de las habituales, entonces ya estarías gestionando y controlando bastante bien el uso de las identidades digitales, al menos en lo que al proceso de autenticación se refiere.

Identidades No Humanas

Fenomenal, con lo que hemos explicado brevemente en la parte superior entendemos a grandes rasgos el paradigma de gestión las identidades digitales de los empleados (Humanos) que consumen los servicios digitales de nuestra organización. ¿Pero qué pasa con las Identidades No Humanas? O, mejor dicho, ¿Qué son las identidades no Humanas? ¿Por qué son importantes? ¿Hay algún motivo que nos haga pensar que el riesgo relacionado con las mismas está en aumento? 

Pues bien, a estas preguntas intentaremos darlas respuesta en este artículo y así clarificar igualmente si la gestión de las Identidades no Humanas (NHI) es simplemente una moda potenciada por los equipos marketing de los diferentes fabricantes de software de identidad que quieren subirse a este barco, o por el contrario es un riesgo emergente sobre el cual deberíamos empezar a actuar si aún no lo hemos hecho.

¿Qué son las Identidades No Humanas?

Empecemos explicando qué se entiende como una Identidad No Humana, donde de una manera muy simplista podemos definirla como toda aquella identidad que ejecuta una carga de trabajo y/o existe en un directorio de identidades pero que no está relacionado con una persona física (Humana). De esta manera, y desglosando un poco más, entendemos como Identidades No Humanas todas aquellas relacionadas con máquinas y dispositivos, como servidores, contenedores, estaciones de trabajo, dispositivos móviles, dispositivos de OT, dispositivos IOT, etcetera.

A estas hay que sumar todas las identidades relacionadas con cargas de trabajo de software, como cuentas de servicio, APIS, cuentas de conexión a Bases de Datos o Aplicaciones utilizadas por software, cuentas de ejecución de scripts, Robotic Process Automation (RPA), Chatbots, Agentes AI basados en LLMs., y un largo etcétera de cuentas que antes simplemente llamábamos "Cuentas de Servicios" y que ahora se están multiplicando por doquier, y empiezan a ser manejadas por modelos de Inteligencia Artificial o directamente Robots o Humanos Digitales, haciendo muchas más funciones y actividades que lo que haría un simple "servicio".

Por lo tanto, tenemos una gran variedad en cuanto a su tipología y que además se ha incrementado significativamente en los últimos años, donde hemos pasado de tener la sorprendente proporción de 1 Identidad Humana por cada 10 Identidades No Humanas, que era la figura que reportaban los analistas en 2020, a una proporción de 1 Identidad Humana por cada 50 Identidades No Humanas en 2025. Donde a día de hoy, incluso ciertos analistas consideran que la figura puede ser mayor y en algunos casos la proporciona se reporta como 1 Identidad Humana por cada 80 Identidades No Humanas.

Figura 3: Datos del "2025 Identity Security Landscape de CyberARK"

Tras observar la tendencia creciente en la proporción de Identidades Humanas versus Identidades No Humanas, y por lo tanto la necesidad de gestionar y proteger cada vez más identidades no humanas, procedamos dar respuesta a la segunda de nuestras preguntas.  

¿Por qué son importantes las Identidades No Humanas?

Son importantes porque en la mayoría de los casos tienen un nivel de privilegios alto y porque la gestión de las mismas no siempre es la ideal, pensemos simplemente si en algún caso tenemos una cuenta de servicio en nuestro directorio activo donde las credenciales llevan tiempo sin rotarse o si tenemos alguna API configurada para su acceso con un Clientid + Secret y si los mismos están o han podido estar "hardcodeados" en algún código, seguro que todos tenemos casos y estoo sin querer meternos en la gestión de los agente de IA que hacen uso de las tools mediante MCP Servers o escenarios más novedosos y de los que somos menos conscientes y por lo tanto tenemos menos sistemas protección, detección respuesta.

¿Está aumentando el riesgo asociado a las Identidades No Humanas?

Una vez hemos llegado a este punto estaremos en posición de determinar si el riesgo con la Identidades No Humanas está en aumento, donde teniendo en cuenta su incremento exponencial en las empresas y organizaciones, combinado con que en muchos casos la identidad es la única capa de seguridad que se dispone, que además estas NHI suelen privilegiadas, y que no se cuenta en la mayoría de los casos con herramientas o sistemas que permitan tener un monitorización y/o trazabilidad del uso y comportamientos de ellas, podemos fácilmente afirmar que las Identidades No Humanas y especialmente aquellas que tengan unos privilegios más altos, representan un botín más grande sin son comprometidas y son un objetivo claro y en aumento para cibercriminales.

Figura 4: Ciberataque contra Dropbox Sign en Incibe

Hoy en día ya se conocen públicamente graves incidentes de seguridad que de una manera u otra están relacionadas con la gestión - o errores en esta mejor dicho - de las Identidades No Humanas, como por ejemplo el incidente  de seguridad que sufrió Beyondtrust con la API Key que usaba para varios clientes en software de soporte remoto o el incidente de seguridad con el servicio Dropbox sign tras ser comprometida una cuenta de servicio y sobre el cual el propio Incibe hacía eco.

Conclusiones sobre Identidades No Humanas

Concluimos pues que la gestión de las Identidades No Humanas no es simplemente una moda. Es realmente es un riesgo de seguridad de emergente que muy probablemente ira apareciendo como un riesgo residual, con un riesgo residual cada más alto en los análisis de riesgos de todo tipo de compañías si no se empiezan a implementar controles mitigantes, donde la acciones que deberíamos empezar a plantearnos desde ya para las Identidades No Humanas deberían ser:

• Descubrir: Para poder gestionar o realizar cualquier otra acción primero debemos conocer nuestras identidades no humanas y esto no es una tarea sencilla

• Inventariar y clasificar: Debemos al menos ser capaces de asignar un propietario de cada identidad no humana, así como distinguir las privilegiadas de las no privilegiadas

• Gestionar el ciclo de vida: Por supuesto asegurando la terminación de las identidades no humanas que ya no son necesarias, la creación de nuevas identidades siguiendo las fases pertinentes de aprobación y con un propietario asignado, e idealmente realizando una revisión de privilegios o permisos de manera periódica, idealmente cada 6 meses

• Gestión de credenciales: Aquí deberíamos tener en cuenta el rotado de credenciales, el cifrado, el almacenamiento de la mismas en vaults de secretos cuando proceda, así como evitar que los secretos estén en repositorios de código o similar donde puedan ser accedidos sin mayores controles.

Una vez que tengamos estos cuatro puntos conseguidos o medio conseguidos, ya podríamos pensar en escenarios más avanzados como la detección de anomalías de uso de Identidades No Humanas o la protección en tiempo real de las mismas.

Saludos,

Autor: Samuel López Trenado, especialista en Gestión de Identidades Digitales

Contactar con Samuel López Trenado

Cómo una imagen hecha con Morphing puede generar Match con dos personas en el Reconocimiento Facial del Control de Pasaportes

No es que esta semana tuviera marcado en el calendario que iba a hablar de Facial Recognition & Face Comparison, pero es es el tercer artículo seguido que dedico a esto después de hablar "Sobre la Fiabilidad del Reconocimiento Facial en Imágenes de Cámaras de Seguridad" y "Sobre descubrir dobles de líderes mundiales con Facial Recognition Technology". Hoy hay que hablar de los riesgos de las imágenes hechas con técnicas de Morphing para la detección de suplantación de identidades en controles con Reconocimiento Facial, como el que hay en las fronteras de los aeropuertos, por ejemplo.

Figura 1: Cómo una imagen hecha con Morphing puede

generar Match con dos personas en el Reconocimiento

Facial del Control de Pasaportes

Una imagen Morph o hecha con técnicas de Morphing se hace a partir de otras dos imágenes originales, que pueden pertenecer a dos personas diferentes, que pueden ser diferentes sexo, raza o edad. Es un algoritmo de Inteligencia Artificial que mezcla los rasgos de esas dos personas para dar una nueva persona. 

Figura 2: La imagen de la izquierda es una imagen Morph de la

suma de las fotografías de la derecha. De 2 personas distintas.

En esencia se parece a las técnicas de StyleGAN, pero hecho a partir de dos personas reales para que la imagen Morph tenga la esencia de las dos anteriores. Esto provoca que se produzcan situaciones de seguridad muy interesante, que el NIST ha publicado en una documento titulado: "Face Analysis Technology Evaluation (FATE) MORPH. Considerations for Implementing Morph Detection in Operations" y que puedes leer online.

Figura 3: Face Analysis Technology Evaluation (FATE) MORPH.

Considerations for Implementing Morph Detection in Operations"

Esto, que inicialmente parece un ejercicio tecnológico visual curioso , puede ser utilizado para crear personas que no existen, como en el caso de las StyleGAN, pero también pueden acabar siendo utilizadas de forma impresas en documentos oficiales como un Pasaporte Nacional al que aplica una persona.

Figura 4: Imagen Morph, digitalizada, retocada, impresa y escaneda

El riesgo, como ha alertado en una presentación del National Institute of Standards and Technology que puedes leer online, es que esa imagen Morph puede dar Match a las dos personas que se utilizaron para construirla.

Figura 5: Una imagen Morph puede validar a dos personas

El riesgo que esto tiene es muy grande, porque una persona puede ir a sacarse el Pasaporte con una Imagen Morph, y luego esa fotografía podría validar a otra persona en los sistemas de Reconocimiento Facial de la frontera, con lo que se estaría colando en un país alguien que no es la persona identificada.

Figura 6: Un pasaporte, Dos personas

Esto se produce porque los sistemas de Facial Recognition tienen un sistema de validez del Match basado en Thresholds de Similitud, y esto no es algo válido cuando se trata de Verificación de una Identidad, donde hay rasgos que deben ser conclusivos. Por ejemplo, podemos tener un grado de similitud en dos personas en 90% y resulta que son de diferente raza. 

Figura 7: Artefactos de una Imagen Morph

Las imágenes Morph, para que funcione la magia, hacen una manipulación de los rasgos fundamentales como los ojos, la nariz, los labios, etcétera, haciendo manipulación en forma de artefactos que son mezcla de los rasgos de las dos imágenes originales. Esto lleva a que en esos puntos se cree la magia tecnológica de la manipulación, y es lo que permite el problema anterior.

Figura 8: Más de 1.000 casos de Imágenes Morph en USA

Según la presentación publicada, en los Estados Unidos han tenido más de 1.000 casos de pasaportes hechos con imágenes Morph, ya que estas - si engañan a un sistema de Facial Recognition - con dos personas con cierta similitud y una imagen Morph, pueden engañar a las personas. No todos nos parecemos tanto a nuestras fotos de los documentos de identidad.

Figura 9: Procesos de detección de Morph

El NIST está proponiendo utilizar en todas las aplicaciones para obtención de Pasaportes o Documentos de Identidad, un sistema de detección de Imágenes Morph, buscando detectar los artefactos dejados por la aplicaciones más comunes utilizadas para la generación de estas imágenes, revisar los metadatos de las fotografías, buscando información EXIFF que pueda delatar la manipulación con herramientas digitales.

Figura 10: Imágenes Morph generadas con diferentes aplicaciones

La segunda parte consiste en hacer análisis entre la imagen de la persona en la cámara de Facial Recognition y la Imagen Morph, buscando rasgos deterministas de la identidad, como una cicatriz o un lunar que falta en la fotografía o en la imagen de la cámara en la frontera, para generar una alerta de seguridad.

Figura 11: Falta la cicatriz en la imagen de la cámara de la frontera

En esos casos, aunque la Similitud del algoritmo de Face Comparison sea alta, existe un elemento - la cicatriz - que invalida la identidad, por lo que se debe levantar una alerta de seguridad.

Figura 12: Identidad y Similitud

Por último, para detectar si es una Imagen Morph que está siendo utilizado por una o dos personas, se puede tener en cuenta esta distribución entre Identidad y Similitud. Cuando es original, hay un pico de Similitud muy alto, mientras que que cuando es una Imagen Morph da un pico de Similitud más rebajado y, si en la base de datos hay dos personas, la distribución de Similitud se extiende entre más imágenes.

Figura 13: Match con dos imágenes de la misma persona con

índices de Similitud muy altos.

Sin embargo, si usamos la misma base de datos, pero buscando con una Imagen Morph de esa persona (con otra que no está en la base de datos), los índices de Similitud se reducen.

Figura 14: Usando una Imagen Morph para hacer Match

Si las dos personas a partir de las que se ha creado la Imagen Morph está en la base de datos, los resultados de Similitud en el algoritmo de Facial Comparison son menos acentuados, tal y como se veía en la gráfica de la Figura 12.

Figura 15: Match a dos identidades pero

con grados de Similitud menor.

El uso de las herramientas de Inteligencia Artificial Generativa aplicadas al mundo de las generación de imágenes crea, como hemos visto en este artículo, nuevas amenazas y nuevas brechas de seguridad que hay que mitigar, como se puede observar, hay que estudiar los detalles para poder contra restarlas. Muy interesante este trabajo.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

Cómo exportar tus TOTPs de Latch a Google Authenticator

Si eres uno de los cientos de miles de usuarios de Latch, probablemente ayer recibirías un mensaje que te avisaba que el producto lo van a poner en un Phase-out, así que debes especialmente salvaguardar tus TOTPs, exportando desde tu cuenta en la Cloud de Latch todas las semillas de tus 2FA para que no se te quede ninguna cuenta bloqueada sin acceso a ellos.

Figura 1: Cómo exportar tus TOTPs de Latch a Google Authenticator

Como recordaréis, esta era una de las características que tenía Latch con el Cloud-TOTP, y que evitaba la pérdida de las semillas y el bloqueo de cuentas cuando se perdía el 2FA, por ejemplo, con apps como Google Authenticator que - por seguridad - guardaban las semillas en la zona segura del terminal móvil. Tiempo después, Google Authenticator siguió la misma propuesta que Latch, y comenzó a guardar las semillas en la Cloud, y hoy en día lo hace igual que lo hace Latch, así que puedes exportarlas allí perfectamente. 

Figura 2: Mensaje de entrada en Phase-out de Latch

Una de las cosas que esperemos que Google Authenticator añada pronto es el log de visualización de los Tokens TOTP que te permite saber si alguien ha iniciado al 2FA accediendo con información de tu app de 2FA o no, pero seguro que en el futuro tendremos esa opción.

Figura 3: Guía de exportación de TOTPs de Latch

Para hacer el proceso de exportación, el equipo de Latch ha publicado una guía muy sencilla paso a paso para que exportes desde una nueva función de la app que añadieron en las últimas versiones justo para Exportar los TOTP que tengas en el servicio de Cloud-TOTP de Latch. Yo lo he hecho y funciona perfectamente, y he pasado todos los 2FA literalmente en 1 minuto.

Figura 4: Opción de Export TOTPs to another authenticator

Para empezar debes irte a las Settings / Configuración y seleccionar la opción que veis remarcada de "Export TOTPs to another Authenticator" y comenzará el asistente que te guiará en pocos pasos para tener un fichero con todos los QRCodes que necesitas para migar los 2FA a, en mi caso, Google Authenticator.

Figura 5: Seleccionar TOTPs a exportar

En la siguiente fase del proceso debes seleccionar los que te interesan exportar, y si quieres todos, pues haces clic en "Select all" y listo. Confirmas la selección y exportas las semillas de todos tus TOTPs en forma de QRCodes.

Figura 6: Tokens exportados y QRCodes

Una vez terminado, tienes la opción de "Compartir / Share" para enviarte el fichero con todos los QRCodes. a donde quieras, que luego lo puedas escanear bien. En mi caso lo he pasado mi equipo y lo he abierto allí en el monitor, para ver un QRCode por cada página. El resto, es ir a Google Authenticator, darle al "+" abajo a la derecha, y seleccionar "Scan a QRCode".

Figura 7: Google Authenticator - TOTPs en la Cloud de tu cuenta Google

En un minuto literalmente tendrás todos tus 2FA Cloud-TOTP almacenados en tu cuenta de Google, y podrás visualizarlos desde Google Authenticator. Si miras arriba a la derecha verás un icono que muestra que Google Authenticator está conectado a tu almacenamiento en Cloud, donde se están las semillas. 

Figura 8: FaceID + Exportación e Importación de cuentas

Por último, dos opciones más de Google Authenticator, una para proteger con FaceID la app, que se hace desde las Settings / Configuración que tienes en el menú superior izquierdo de la pantalla principal, y la opción de Exportar e Importar la cuenta completa con todos los QRCodes entre cuentas de Google. No es exactamente el mismo proceso, pero te permitirá llevarte tus 2FA a otra cuenta si lo deseas en el futuro. Goodbye Latch... qué buenos momentos me llevo con la creación de Latch y lo importante que fue para la construcción de nuestro querido "unicornio" ElevenPaths, pero 12 años después, el mundo ha girado mucho. 

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

WhoFi: Deep Person Re-identification. Cómo saber quién está en una ubicación midiendo la señal WiFi

El mundo de la visión WiFi, o lo que es lo mismo, "ver cosas" a partir de los datos de perturbación de la señal, lleva mucho tiempo estudiándose. Recuerdo que en el año 2009 hablé del paper titulado "Through-Wall Motion Tracking Using Variance-Based Radio Tomography Networks" donde explicaban cómo utilizar las variaciones de la señal WiFi para detectar movimiento de objetos detrás de muros.

Figura 1: WhoFi: Deep Person Re-identification.

Cómo saber quién está en una ubicación midiendo la señal WiFi

A partir de ese momento, hace ya más de quince años, se han hecho muchas investigaciones sobre cómo utilizar las perturbaciones en la señal de un canal - lo que se llama "Chanel State Information" (CSI) y que viene a ser la información que podemos mediar de un canal (por ejemplo la potencia de señal en una malla de campo ) - para poder detectar objetos, formas y movimientos.

Figura 2: "Through-Wall Motion Tracking Using

Variance-Based Radio Tomography Networks"

Tras ese trabajo, en el año 2014, con estas técnicas se era ya capaz de mucho más, como explicaron en un nuev paper titulado "Multi-Person Motion Tracking via RF Body Reflections", donde además de ver a través de los muros ya se era son capaz de llegar a detectar un número exacto de personas en movimiento o detectar el movimiento del pecho de una persona en concreto para poder conocer hasta el ritmo cardiaco, solo con medir el CSI de la red WiFi.

Figura 3: Multi-Person Motion Tracking via RF Body Reflections

La idea que se utiliza se basa en crear un dispositivo con múltiples antenas, de un tamaño muy manejable cercano al de una moneda, para poder triangular todas las señales reflejadas por un cuerpo, detectando en tiempo real el ritmo de la respiración e infiriendo el ritmo cardiaco.

Figura 4: Antenas WiFi incrustadas en el dispositivo que triangula los cuerpos

Por supuesto, desde aquel año 2009 hasta hoy, la evolución de las técnicas de Machine Learning, con los avances en algoritmos de Deep Learning, ha hecho que con los nuevos algoritmos de Inteligencia Artificial, puedes hacer extracción mucho más fina de los datos CSI de una red WiFi, y de eso trata el trabajo de WhoFi, de ser capaz de re-identificar a una persona que entra en un espacio por medio de las perturbaciones en la señal WiFi, o lo que es lo mismo, de los datos del CSI que se generan. 

Figura 5: WhoFi: Deep Person Re-Identification via

Wi-Fi Channel Signal Encoding

La idea no es nueva, y se basa en trabajos y datasets disponibles de trabajos anteriores, como "SenseFi: A library and benchmark on deep-learning-empowered WiFi human sensing" y el sistema de autenticación "CAUTION: A Robust WiFi-Based Human Authentication System via Few-Shot Open-Set Recognition"  que utiliza unas pocas capturas de CSI para hacer una huella de una persona usando Deep Learning. En el caso de WhoFi, lo que se busca es, aprovechando los avances en algorítmica de IA, conseguir un ratio de acierto mucho mayor en la re-identificación de personas previamente hechas "onboarding".

Figura 6: Hacking & Pentesting con Inteligencia Artificial.

En 0xWord, escrito por Pablo González, Fran Ramírez,

Rafael Troncoso, Javier del Pino y Chema Alonso, 

Primeramente se le hace un onboarding en el sistema, construyendo para cada persona un vector normalizado a partir de un Encoder de IA que que procesa los datos CSI del canal WiFi, con el objetivo de generar una huella digital de esa persona.

Figura 7: Generación de huella a partir de CSI generado por una persona

El Enconder, lo han construido con varios modelos diferentes, para probar cuál de ellos daba mejores ratios, y los que han probado han sido los que mejores resultados dan en secuencias de datos temporales, como son los LSTM, los Bi-LSTM y nuestros queridos Transformers, que también se pueden usar para visión.

Figura 8: Encoders de IA utilizados en WhoFi

Los resultados quedan muy a las claras en las siguientes tablas, donde todos los datasets utilizados - incluidos datos CSI generados con técnicas de Data Augmentation para tener un mayor número de personas onboarding - dejan a las claras que con con los Transformers se consiguen ratios de re-identificación altísimos y con una gran precision.

Figura 9: Ratios de éxito y precision de los modelos

Esto es algo muy relevante, porque utilizar los datos CSI de la WiFi como forma de autenticación continua puede cambiar los sistemas de alarma en el hogar, detectando si son las personas que deben ser las que están en casa o no, por ejemplo, para tener una alarma silenciosa, pero también se podrían usar para vigilar espacios, movimientos de personas, etcétera.

Figura 2: Libro de Machine Learning aplicado a Ciberseguridad de
Carmen Torrano, Fran Ramírez, Paloma Recuero, José Torres y Santiago Hernández

Al final, tenemos un canal de datos, y con el avance de las técnicas de Inteligencia Artificial, los casos de uso que pueden aparecer son cada vez mayores, al ser capaces de detectar aún más insights de información de los datos disponibles. Datos + Algoritmos = Programas, y hoy en día, Datos + IA = Conocimiento.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

3DAIS: Tu oficina en Internet gestionada por tu Avatar VRM Powered by AI

Chema Alonso ya tiene su 3DAIS, y no es casualidad. Esta nueva tecnología está pensada justo para perfiles como el suyo: personas que tienen mucho que contar, una comunidad que les sigue de cerca, y un universo de contenido distribuido por toda la red. Pero ¿qué es exactamente 3DAIS? ¿Por qué puede ser el siguiente paso natural para quien ya ha pasado por blogs, redes sociales, web personal, Twitch, Discord y lo que venga? Vamos a ello.

Figura 1: 3DAIS - Tu oficina en Internet gestionada

por tu Avatar VRM Powered by AI

¿Qué es 3DAIS? 3DAIS son las siglas de 3D Avatar Interactive Space, y su objetivo es tan simple como ambicioso: transformar la forma en que nos presentamos en Internet. En lugar de una web estática o una lista de enlaces tipo Linktree, 3DAIS ofrece un entorno 3D personalizado donde el protagonista eres tú, representado por un avatar que no solo se parece a ti, sino que también habla como tú y responde por ti.

Figura 2: Creación de tu espacio 3DAIS

Sí, has leído bien: un avatar con IA, entrenado con tu información, tu tono, tus enlaces, tus proyectos… y que actúa como anfitrión virtual para cualquier persona que entre en tu espacio.

Así funciona el 3DAIS de Chema Alonso

El 3DAIS de Chema Alonso es una mezcla de oficina cibernética, cápsula retro-futurista y portal de contenidos. Desde su 3DAIS, cualquier visitante puede explorar contenidos destacados, revisar publicaciones, acceder a vídeos y navegar por los distintos enlaces que Chema Alonso comparte públicamente, como los de su perfil en MyPublicInbox. Desde allí, se puede contactar con él, enviarle un mensaje o acceder a otras vías de comunicación directa, todo desde un entorno visual e inmersivo.

Figura 3: Espacio 3DAIS de Chema Alonso

Para el resto de usuarios, 3DAIS incluye la opción de activar un chat atendido por su propio avatar con inteligencia artificial, que puede responder preguntas frecuentes, explicar proyectos, compartir enlaces o incluso agendar reuniones. Esta función convierte al avatar en un verdadero asistente virtual disponible las 24 horas, mejorando la interacción con los visitantes y ofreciendo una experiencia mucho más cercana y personalizada.

Figura 4: Espacio 3DAIS de Chema Alonso

El entorno está diseñado al milímetro con elementos interactivos, y todo responde a una lógica de exploración más que de consumo. Ya no es solo “haz clic aquí”, sino “mira esto, descubre aquello, habla con el avatar”. Una experiencia inmersiva que condensa su identidad digital en un único punto de entrada.

¿Por qué 3DAIS es diferente?

Las herramientas que usamos para presentarnos online llevan años estancadas. Páginas personales, blogs, perfiles sociales… Todo muy plano, muy limitado, muy de scroll y clic. 3DAIS rompe con ese modelo proponiendo algo mucho más cercano a un espacio virtual interactivo, donde cada persona tiene su habitación, su avatar y su forma única de conectar con el mundo.

Figura 5: Diferentes espacios 3DAIS

Estas son algunas de sus claves:

• Tu avatar, potenciado por IA: responde como tú, cuenta tus proyectos, guía a los visitantes.

• Entorno 3D personalizable: no hay dos iguales. Puedes decorarlo, añadir vídeos, PDFs, enlaces, audios o lo que quieras.

Figura 6: Selecciona tu Template y crea tu 3DAIS

• Accesible desde cualquier navegador, sin necesidad de instalar nada.

• Experiencia inmersiva: el visitante no solo “navega”, sino que explora, pregunta, descubre.

Casos de uso reales

Aunque Chema Alonso ya tiene el suyo, 3DAIS no está pensado solo para figuras públicas. Es una herramienta que ya están empezando a usar:

• Creadores de contenido e influencers: como una versión evolucionada de su link-in-bio, donde pueden mostrar contenido exclusivo, conectar con fans o vender directamente.

• Profesionales tech o freelance: como tarjeta de presentación viva, con portfolio, calendario y contacto.

• Artistas, músicos o diseñadores: como galería interactiva y escaparate multimedia.

Figura 7: Exprésate cómo tú eres en 3DAIS

Además, recuerda que con los Avatares VRM puedes hacer muchas más cosas que solo crearle su 3DAIS, así que tener tu propio Avatar VRM es un "must".

- Crear tu Avatar VRM híper-realista a partir de tu rostro en MyPublicInbox con Union Avatars

- Diez ideas 10 para crear contenido viral con tu Avatar VRM

- Cómo jugar a VRast! (VRM Fighting Game) con tu propio Avatar VRM

- Todo sobre Avatares VRM: Cómo crearlos y usarlos en mundos 3D/VR/XR/AR

- Toma control de tu Avatar: Escanéate en·3D y obtén tu VRM

Figura 8: Avatar Cartoon de Chema Alonso en Union Avatars

El futuro del yo digital

3DAIS propone una idea que puede parecer sencilla pero que apunta muy lejos: no limitarse a mostrar quién eres, sino crear un espacio donde “estar”. Donde tu identidad digital no sea solo un conjunto de links o un muro de texto, sino una experiencia inmersiva con la que cualquiera pueda interactuar, entenderte y recordarte.

Figura 9: Crea tu propio 3DAIS

Y si has llegado hasta aquí, la pregunta lógica es ¿y si tú también tuvieras tu propio 3DAIS? 👉 Puedes solicitar acceso en: https://unionavatars.com/3dais

Un saludo,

Autor: Cai Felip, CEO de Union Avatars

Figura 14: Contactar con Cai Felip, CEO de Union Avatars

¡Cloned Voice Detector! & HashVoice: Sellado de audios con esteganografía

De la charla que di en RootedCON 2025 titulada "Laife gets better", donde utilicé una serie de películas de Ciencia Ficción con futuros distópicos como guión de la charla, os he contado ya las dos primeras partes, donde hablaba del BASIC 1.0 Copilot para AMSTRAD CPC 6128 y de Sentimetrics. Hoy quería hablaros de la siguiente parte, que también tiene que ver con detectar DeepFakes - en este caso de audio - y cómo firmar las voces legítimas.

Figura 1: Cloned Voice Detector & HashVoice.

Sellado de audios con esteganografía

Dentro del proceso de detectar DeepFakes - o humanos digitales -, el audio es una pieza fundamental. De esto, en la charla de "Are you takin' to me?" le dedicamos mucho trabajo a detectar voces clonadas utilizando modelos de Machine Learning que nos ayudaran a clasificar en función del espectrograma del sonido. Toto lo tenéis en artículo que os dicho ""Are You Talkin' ta me?" DeepFake Voice en Español & Detección de Voces Clonadas".

Figura 2: Libro de Machine Learning aplicado a Ciberseguridad de
Carmen Torrano, Fran Ramírez, Paloma Recuero, José Torres y Santiago Hernández.

Sin embargo, no siempre es necesario hacerlo con un entrenamiento "from Scratch", ya que algunas de las herramientas de clonación de voz, o de generación de contenido con IA, están utilizando técnicas de Watermarking para que se pueda saber siempre que ese fichero fue creado por ellos. Básicamente la técnica consiste en introducir una marca de agua invisible o inaudible para las personas, pero que ellos pueden localizar, para saber si alguien está usando sus servicios para algo malo, o haciendo un uso indebido de sus tecnologías.

Figura 3: Web de detección de voces creadas con ElevenLabs

Una historia de esto es lo que hizo la mítica ATARI en el juego CENTIPEDE para demostrar después que le habían pirateado el código, añadiendo para ello un código ofuscado en Hexadecimal, que traspasado a Binario y convertido a Código Morse decía: "COPYRIGHT1980ATARI". Esta idea también la usan muchas de las herramientas de GenAI. 

Figura 4: 88% de probabilida de que sea una voz clonada con ElevenLabs

En el caso de audio, por ejemplo ElevenLabs tiene una herramienta que te dice cuando un fichero ha sido creado por ellos, que puedes usar en todo momento, y aunque a veces las manipulaciones del fichero de audio, su inclusión en vídeos, o la aplicación de efectos pueden modificar total o parcialmente, la suma de la búsqueda de las marcas de agua más la aplicación de los modelos de Machine Learning, te dan un buen grado de confianza en esos casos.

Cloned Voice Detector

Esto, llevado a data-sets en los que se pueden tener metadatos de con qué herramienta ha sido generado el audio, hace que los detectores de voces clonadas hechos con Machine Learning funcione bastante bien, y luego, una vez entrenados muchos modelos entrenados por herramientas, puedes tener un grado de acierto alto, además de llegar hasta descubrir la marca de agua. 

Figura 5: Cloned Voice Detector

Para nuestros trabajos internos, hemos estado trabajando en Cloned Voice Detector, una plataforma nuestra que nos permite saber vía web o vía API si un audio ha sido clonado o no, que funciona tan sencillo como lo que ves en el vídeo. No es 100% perfecto, pero es una capa de seguridad extra que nos permite verificar la voz en muchos sitios.

HashVoice

Ahora vamos a la parte que queríamos hacer, que con la idea del Watermarking lo que queríamos es que las personas pudieran firmar un audio pensando en poder detener la viralización de campañas de difamación, o falsas noticias por las plataformas sociales. De hecho, un estudio reciente dice que las plataformas de clonado de voz no ofrecen suficientes garantías y que tienen que ayudar a evitar el mal uso de sus tecnologías.

Figura 7: Voice Clonning Report

Tiempo atrás pensamos que podríamos hacer algo para eso. Basada en la idea del proyecto Path4 de ElevenPaths. En ese proyecto se buscaba evitar que alguien encontrara un bug en la generación de certificados digitales o en la criptografía y que pudiera firmar malware con firmas legítimas. La idea era que cada vez que se firma legítimamente un programa este ser reporta a una base de datos, que mantiene el hash del binario, la marca de tiempo, el certificado utilizado, etcétera.  Así, cuando se comprueba la firma, se verifica que el hash del fichero y la firma están en el servidor de Path4 y si no... raise a flag!

Figura 8: Registro de patente de HashVoice

Con esta idea pensamos en hacer Hashvoice, que la acabamos de presentar el mismo día de la charla de la RootedCON 2025. Se trata de un sistema para firmar los ficheros de audio que se mandan en cualquier plataforma, con diferentes niveles de seguridad.

• Biometría: Para poder validar que un mensaje de audio corresponde a un usuario y firmarlo, primero hay que hacer un onboarding biométrico de la voz. Al estilo de cómo se hace el onboarding de FaceID. La idea es poder validar primero la voz de la persona.

• Detección de Cloned Voices: Por cada audio que se va a sellar se pasan por las APIs de Cloned Voices para detectar si se encuentran marcas de agua de herramientas de clonado de voces, si los algoritmos de Machine Learning de detección de voces clonadas, o de voces emitidas desde un altavoz en lugar de venir desde una persona, levantan alguna alerta.

• Verificación multifactor: Asociado al servicio de firma se pueden hacer validaciones multifactor, como verificar el dispositivo con el API de Number Verification, información del perfil basada en contexto como horarios, metadatos, ubicaciones, etcétera, o incluso solicitud de un control de autorización para la firma en paralelo con una plataforma como Latch.

Así, con todas esas verificaciones, se realiza el registro del audio, y se pasa al proceso de Sellado del mismo. Para ello, primero se genera la firma del fichero. Se transforma a formato WAV, se calcula el hash, y se genera un JWT (Jason Web Token) que contiene ese hash y el número de teléfono desde el que se ha generado (para este ejemplo hemos usado OpenGateway como verificación multifactor).

Figura 9: HashVoice JWT

Pero como esto sería un problema de privacidad al dejar el número de teléfono codificado en el JWT, lo que usamos es un JWE (Encrypted) que contiene el JWT, por lo que el resultado es el siguiente que podéis ver a continuación, donde no se puede acceder al contenido.

Figura 10: HashVoice JWE

Y ahora el sellado final, que se hace - a parte de guardar en la base de datos del servidor toda la información relativa a este audio - mediante el proceso de introducir un marca de agua en los ficheros de audio utilizando técnicas de esteganografía. En este caso, usamos LSB (Least Significant Bit) que es algo muy típico en imágenes, pero que también se puede hacer con los bits de la onda de audio para no afectar al contenido.

Figura 11: Sellado de audio con HashVoice

Una vez que queda sellado, en el fichero queda almacenada esa información para poder garantizar que ha sido grabado legítimamente, para que se pueda verificar, y para saber que no ha sido manipulado, de tal manera que sería una garantía de lo que se ha dicho para contrastar con una manipulación.

Figura 12: Verificación de Sellado con HashVoice

Esto permite, en un incidente, poder garantizar que el audio que ha sido enviado es el correcto, y que ha pasado todos los controles de verificación contra clonado de voces y verificación biométricas previos. Por supuesto, el sistema reconocería todas las situaciones:

Figura 13: No se puede sellar el audio porque no pasa los controles

de seguridad (Biometría, DeepFake Detector y Contexto)

Figura 14: El fichero no contiene una firma válida

Figura 15: El fichero tiene una firma alterada.

Todo este trabajo lo que daría es un punto de información más para tomar una decisión ante la viralización de un audio, la publicación de una noticia, o el bloqueo de un contenido por su manipulación. Este tipo de herramientas van a ser cada día más necesarias.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)