GenAI simplifica la creación de imágenes, pero plantea problemas complejos en torno a la propiedad intelectual, la autenticidad y la rendición de cuentas. Investigadores de la Universidad Queen’s de Canadá examinaron las marcas de agua como una forma de etiquetar imágenes de IA para comprobar su origen e integridad.
Construyendo el marco
Un sistema de marca de agua funciona como un proceso de seguridad completo con varias partes esenciales: incrustación, verificación, canales de ataque y detección. Comienza cuando se inserta un mensaje codificado dentro de una imagen, ya sea durante o después de su generación. Posteriormente, esa señal puede extraerse y compararse con una clave para confirmar el origen de la imagen.
Algunas marcas se añaden una vez terminada la imagen, mientras que otras se incrustan durante su generación. Al insertarse en el propio modelo, la marca se integra en el proceso de creación de la imagen y tiene más probabilidades de resistir la compresión, el recorte u otras modificaciones menores que suelen destruir los marcadores externos.
Cada sistema se basa en claves criptográficas, procedimientos de incrustación y comprobaciones estadísticas. La marca de agua debe ser invisible para los espectadores, pero legible para los usuarios autorizados. Debe permanecer intacta durante el procesamiento normal de imágenes, manteniendo la privacidad necesaria para que nadie pueda duplicarla.
La encuesta señala que considerar la marca de agua como un proceso de seguridad definido permite probarla y mejorarla, al igual que los sistemas de cifrado o autenticación. Esta estructura proporciona a los investigadores un lenguaje común para medir la fiabilidad y la trazabilidad.
Comparación de las principales técnicas
La creación de marcas de agua comenzó con métodos de procesamiento de señales que modificaban los valores de los píxeles o los coeficientes de frecuencia mediante transformadas como el análisis de coseno discreto o el análisis wavelet. Estas técnicas eran fáciles de aplicar, pero no se ajustaban a la complejidad de los modelos generativos para crear imágenes.
El auge del aprendizaje profundo introdujo nuevas posibilidades. Redes de codificador-decodificador como HiDDeN, RivaGAN y StegaStamp aprendieron a ocultar y recuperar marcas automáticamente. El entrenamiento equilibró la invisibilidad y la recuperación, a veces con aprendizaje adversario para resistir el ruido o la borrosidad.
Los modelos de difusión como la Difusión Estable y el de Viaje a Mediados de Trayecto aportaron otro cambio. Los investigadores comenzaron a incorporar marcas directamente en estos sistemas, lo que dio lugar a dos enfoques principales: el basado en el ajuste fino y el basado en el ruido inicial.
Los métodos de ajuste fino, como Firma Estable y WOUAF, modifican secciones de un modelo de difusión para que cada imagen generada lleve un código de identificación. El código puede apuntar al creador del modelo o a un usuario específico. Esto protege la propiedad intelectual, pero exige el reentrenamiento de modelos grandes y consume considerables recursos informáticos.
Los métodos iniciales basados en ruido alteran el ruido aleatorio que los modelos de difusión utilizan como punto de partida. Cada imagen parte de ese ruido, por lo que ajustarlo permite que una marca de agua recorra toda la ruta de generación. TreeRing, RingID y PRC son ejemplos destacados. TreeRing integra patrones circulares en el dominio de la frecuencia, mientras que PRC utiliza un código criptográfico idéntico al ruido natural. Estos enfoques son más rápidos de aplicar y pueden contener más información, aunque presentan nuevas debilidades.
Probando los sistemas
Los investigadores utilizan tres criterios principales para evaluar la marca de agua: calidad visual, capacidad y detectabilidad.
La calidad visual verifica que la marca no degrade la imagen. Métricas como el Índice de Similitud Estructural (SSIM) y la Distancia de Incepción de Fréchet (FID) se utilizan comúnmente. Una marca de agua sonora debe permanecer invisible y no debe alterar la apariencia ni el mensaje de la imagen.
La capacidad mide la cantidad de datos que se pueden almacenar. Las técnicas más antiguas solo ocultaban unos pocos bits, mientras que métodos como la PRC pueden incorporar hasta 2500 bits. Esto permite códigos de identificación, datos de tiempo o etiquetas de políticas, pero cuanta más información se almacene, mayor será la probabilidad de que la marca sea detectada o alterada.
La detectabilidad se refiere a la fiabilidad con la que se puede recuperar una marca de agua tras cambios o ataques. Los sistemas deben evitar falsos positivos y falsos negativos. Incluso una pequeña tasa de error puede causar graves problemas al escanear grandes bibliotecas de imágenes. Establecer correctamente los umbrales de detección es esencial para evitar clasificaciones erróneas.
Exponiendo los puntos débiles
Muchos esquemas de marcas de agua siguen siendo frágiles bajo presión. Los atacantes pueden recortar, comprimir o regenerar una imagen con otro modelo para eliminar el patrón oculto. Otros pueden falsificar marcas para reclamar la propiedad o dar falsa credibilidad.
Los autores dividen estas amenazas en dos grupos: resiliencia y seguridad. La resiliencia mide si una marca sobrevive a distorsiones involuntarias, como la compresión o el ruido aleatorio. La seguridad se ocupa de acciones dirigidas, como la falsificación o el robo de claves. Si una marca puede copiarse o reutilizarse, su valor desaparece.
Las nuevas estrategias de ataque aprovechan el funcionamiento de los modelos de difusión. Los ataques de regeneración recrean imágenes casi idénticas sin marcas, volviéndolas a pasar por el modelo. Los ataques basados en detectores utilizan pequeños cambios de píxeles para engañar a las herramientas de verificación, manteniendo la imagen visualmente idéntica. Estas tácticas evocan técnicas adversarias observadas en otras áreas de la seguridad del aprendizaje automático.
Las ideas defensivas incluyen el cifrado de claves de marca de agua, la variación de la ubicación de las marcas y el entrenamiento de modelos para reconocer y preservar las marcas de agua durante su generación. Estas medidas buscan mantener la marca intacta incluso cuando los atacantes adapten sus métodos.
El contenido de IA con marca de agua cobra impulso a nivel mundial
Las marcas de agua están despertando el interés tanto de gobiernos como de empresas privadas. China ya exige marcas en el material generado por IA. La Ley de IA de la UE incluye normas de transparencia que hacen referencia a las marcas legibles por máquina.
En EE. UU., las directrices federales de la Casa Blanca y el Instituto Nacional de Estándares y Tecnología (NIST) respaldan el uso voluntario. Grandes empresas también están experimentando. SynthID de Google incorpora marcas invisibles durante la creación de imágenes, mientras que OpenAI promueve el marco C2PA para compartir metadatos entre herramientas.
Fuente y redacción: helpnetsecurity.com