Eludir las marcas de agua de SynthID: Un análisis técnico del ataque a la etiqueta de IA de Google
El desarrollador Alosh Denny demostró un método para eliminar las marcas de agua invisibles de SynthID que Google utiliza para identificar imágenes generadas por el modelo Gemini. Su enfoque engaña al detector oficial de SynthID, induciendo al sistema a tratar una imagen falsa como original. Esto genera dudas sobre la fiabilidad de las soluciones actuales para etiquetar contenido generativo.
Cómo funciona SynthID y sus vulnerabilidades
SynthID es el sistema de marcas de agua digitales de Google incrustado en imágenes creadas mediante Gemini. A diferencia de las marcas de agua tradicionales, la marca es invisible para los usuarios y no se almacena en EXIF ni en otros metadatos. En su lugar, se codifica en los valores de píxeles a un nivel imperceptible para los humanos, pero detectable por un detector especializado.
Una característica clave de SynthID es distribuir la señal a través de los componentes de frecuencia de la imagen, con énfasis en el canal de color verde. Esto hace que la marca sea resistente a manipulaciones simples (como la recomresión JPEG), pero crea un posible vector de ataque: si un atacante puede identificar los patrones de frecuencia de la marca de agua, puede invertirlos o suprimirlos.
Ingeniería inversa de las marcas de agua
Para el análisis, Alosh Denny utilizó dos imágenes de prueba: completamente negras y completamente blancas. Al pasarlas por Gemini se obtuvieron portadores «limpios» que contenían solo ruido y la marca de agua de SynthID, sin ningún contenido semántico. Esto aisló la señal de la marca de agua del contenido visual.
El análisis espectral (específicamente, transformada coseno discreta 2D) reveló coordenadas de frecuencia características con la mayor concentración de la marca de agua. Resultó que la principal contribución proviene del canal verde en el espacio RGB.
Con base en estos datos, se compiló un diccionario de posiciones de frecuencia para resoluciones específicas:
- 1024 × 1024 píxeles — resolución estándar para muchos modelos generativos.
- 1536 × 2816 píxeles — formato vertical usado a menudo en apps móviles.
Importante: dado que SynthID adapta las posiciones de la marca de agua a la resolución, no existe una solución universal — se necesita un perfil separado para cada tamaño.
Algoritmo de eliminación de marcas de agua
El proceso de eliminación consta de estos pasos:
- Transformar la imagen al dominio de frecuencia (p. ej., mediante DCT).
- Identificar las frecuencias objetivo basadas en el diccionario precompilado.
- Invertir o suprimir la amplitud de la señal en estas frecuencias.
- Transformada inversa de vuelta al dominio espacial.
Es crucial preservar los componentes de baja frecuencia responsables de la estructura y composición general de la imagen. El autor afirma que su método minimiza las distorsiones: después del procesamiento, el PSNR (peak signal-to-noise ratio) se mantiene en 43 dB, lo que significa que los cambios son prácticamente imperceptibles para el ojo humano.
Implicaciones para el ecosistema de contenido generativo
Este ataque exitoso contra SynthID pone de relieve un problema fundamental de todas las marcas de agua invisibles: si el algoritmo de detección es público o reversible, eventualmente se encontrará un método para eludirlo. Esto es especialmente relevante en medio del aumento del fraude con contenido de IA — desde noticias falsas hasta reseñas falsas e imágenes de productos fraudulentas.
Google aún no ha lanzado una versión actualizada de SynthID con protección contra tales ataques. Sin embargo, los expertos sugieren formas de aumentar la resistencia:
- Marcas adaptativas, dependientes del contenido.
- Cifrar posiciones de frecuencia usando una clave secreta.
- Combinar múltiples métodos de marcado (p. ej., metadatos + nivel de píxeles + registro en blockchain).
Por ahora, cualquier servicio que dependa exclusivamente del Detector de SynthID es vulnerable a estas manipulaciones.
Lecciones clave
- SynthID utiliza una marca invisible basada en frecuencias, principalmente en el canal verde.
- El ataque se basa en ingeniería inversa mediante el análisis de imágenes limpias (fondo negro/blanco).
- La eliminación solo es posible con la resolución de la imagen conocida — requiere un perfil para cada tamaño.
- La calidad de la imagen después del procesamiento permanece alta (PSNR ≈ 43 dB).
- La implementación actual de SynthID carece de protección criptográfica para la señal.
— Editorial Team
Aún no hay comentarios.