Imágenes marcadas por estabilidades de firma (no semántica (arriba) y Stegastamp— Semántica (abajo). Las figuras más derechas muestran las diferencias entre las imágenes originales y de agua que corresponden a los cambios que codifican las marcas de agua. Las modificaciones de Stableignature están restringidas a los bordes existentes (alta frecuencia), como arrugas, cabello, bigote e intersecciones de múltiples componentes. La marca de agua de Stegastamp se distribuye a través de la imagen. El área magnificada muestra cómo manipula la consistencia (textura), inyectando cambios graduales (baja frecuencia) que se manifiestan como arrugas en esta ubicación. Crédito: 2025 Simposio IEEE sobre seguridad y privacidad (SP) (2025). Doi: 10.1109/sp61157.2025.00005
Una nueva investigación del Instituto de Ciberseguridad y Privacidad de la Universidad de Waterloo demuestra que cualquier marca de agua de la imagen de inteligencia artificial (IA) puede eliminarse, sin que el atacante necesita conocer el diseño de la marca de agua, o incluso si una imagen está marcada para comenzar.
A medida que las imágenes y los videos generados por la IA se volvieron más realistas, los ciudadanos y los legisladores están cada vez más preocupados por el impacto potencial de los “profundos” en la política, el sistema legal y la vida cotidiana.
“La gente quiere una forma de verificar lo que es real y qué no se debe a que los daños sean enormes si no podemos”, dijo Andre Kassis, Ph.D. Candidato en Ciencias de la Computación y el autor principal de la investigación. “Desde campañas de frotis políticas hasta pornografía no consensuada, esta tecnología podría tener consecuencias terribles y de gran alcance”.
Las compañías de IA, incluidas OpenAI, Meta y Google, han ofrecido “marcas de agua” codificadas invisibles como una solución, lo que sugiere que estas firmas secretas pueden permitirles crear herramientas disponibles públicamente que distinguen de manera consistente y precisa entre el contenido generado por la IA y las fotos o videos reales, sin revelar la naturaleza de las marcas de agua.
El equipo de Waterloo, sin embargo, ha creado una herramienta, Desatadolo que destruye con éxito las marcas de agua sin necesidad de conocer los detalles de cómo han sido codificados. Unmarker es la primera herramienta práctica y universal que puede eliminar la marca de agua en la configuración del mundo real. Lo que distingue a Unmarker es que no requiere conocimiento del algoritmo de marca de agua, no hay acceso a parámetros internos y no hay interacción con el detector. Funciona universalmente, despojando las marcas de agua tradicionales y semánticas sin personalización.
“Si bien las compañías de IA generalmente mantienen los esquemas de marca de agua en secreto, deben satisfacer dos propiedades esenciales: deben ser invisibles para los usuarios humanos para preservar la calidad de la imagen, y deben ser robustos, es decir, resistentes a la manipulación de una imagen como recorte o reducción de la resolución”, dijo el Dr. URS Hengartner, profesor asociado de la Escuela David R. Cheriton de la Ciencias de la Computer en la Universidad de la Universidad de Waterloo.
“Estos requisitos limitan significativamente los posibles diseños para las marcas de agua. Nuestra idea clave es que para cumplir con ambos criterios, las marcas de agua deben funcionar en el dominio espectral de la imagen, lo que significa que manipulan sutilmente cómo las intensidades de píxeles varían en toda la imagen”.
Usando un ataque estadístico, el Unmarker busca lugares en la imagen donde la frecuencia de píxeles es inusual, y luego distorsiona esa frecuencia, lo que hace que la imagen sea irreconocible para la herramienta que reconoce la marca de agua, pero indetectablemente diferente a la vista desnuda. En las pruebas, el método funcionó más del 50% del tiempo en diferentes modelos de inteligencia artificial, incluida la firma estable de Synthid y Meta de Google, sin el conocimiento existente de los orígenes o los métodos de marca de agua de las imágenes.
“Si podemos resolver esto, también pueden los actores maliciosos”, dijo Kassis. “La marca de agua se está promoviendo como esta solución perfecta, pero hemos demostrado que esta tecnología es rompible. Los defectos de profundidad siguen siendo una gran amenaza. Vivimos en una era en la que ya no puedes confiar en lo que ya ves”.
La investigación “,”Unmarker: un ataque universal contra la marca de agua de la imagen defensiva“aparece en los procedimientos del 46º Simposio IEEE sobre seguridad y privacidad.
Más información: Andre Kassis et al, Unmarker: un ataque universal contra la marca de agua de la imagen defensiva, 2025 Simposio IEEE sobre seguridad y privacidad (SP) (2025). Doi: 10.1109/sp61157.2025.00005
Proporcionado por la Universidad de Waterloo
Cita: Las marcas de agua no ofrecen defensa contra DeepFakes, el estudio sugiere (2025, 23 de julio) recuperado el 23 de julio de 2025 de https://techxplore.com/news/2025-07-watermarks-defense-deepfakes.html
Este documento está sujeto a derechos de autor. Además de cualquier trato justo con el propósito de estudio o investigación privada, no se puede reproducir ninguna parte sin el permiso por escrito. El contenido se proporciona solo para fines de información.
