Desarrollador afirma haber hackeado el sistema de marcas de agua SynthID de Google DeepMind

Un desarrollador con el nickname Aloshdenny publicó un repositorio en GitHub con código que, según él, permite eludir SynthID — el sistema de marca de agua oculta de Google DeepMind para marcar imágenes generadas por IA. El autor afirma que aprendió cómo eliminar marcas de agua de imágenes o, al contrario, insertarlas en cualquier imagen sin permiso de Google. SynthID es un desarrollo de Google DeepMind, integrado en Gemini y otras herramientas de la empresa.

La tecnología modifica imperceptiblemente los píxeles de la imagen, dejando una "firma" digital que debería resistir la compresión, el recorte y otras manipulaciones. El objetivo es permitir la identificación del contenido generado por IA incluso mucho tiempo después de su publicación. En noviembre de 2023, Google presentó SynthID públicamente, y desde 2024 las marcas de agua han comenzado a aplicarse también al texto.

Aloshdenny compartió detalles de su método en una publicación en Medium. Según él, la ingeniería inversa no requirió redes neuronales o acceso cerrado a la infraestructura de Google. Fue suficiente generar 200 imágenes a través de Gemini y aplicar métodos de procesamiento de señales.

"Si estás desempleado y promedias suficientes imágenes de IA negras, el patrón se revelará por sí solo" — es aproximadamente cómo describe su proceso. El desarrollador publicó el código en GitHub bajo una licencia abierta y enfatizó deliberadamente que todo el proceso es legal: ningún hackeo, solo análisis de imágenes disponibles públicamente. Google DeepMind respondió con cautela: los representantes de la empresa afirmaron que el método descrito no es un verdadero hackeo de SynthID.

Según Google, Aloshdenny no accedió al algoritmo de marcado real, sino que simplemente aprendió a reproducir patrones estadísticos superficiales que no son equivalentes a la firma genuina del sistema. En otras palabras, Google insiste: SynthID no ha sido comprometido. Sin embargo, este episodio expone una vulnerabilidad fundamental en la propia idea de marcas de agua para contenido de IA.

Si un desarrollador solitario con unos pocos cientos de imágenes puede al menos adivinar parcialmente el patrón de marcado, ¿qué impediría que equipos bien financiados lo hicieran órdenes de magnitud más eficientemente? Los expertos han advertido durante mucho tiempo: cualquier sistema de marca de agua construido sobre la regularidad estadística en imágenes es teóricamente vulnerable a estos ataques. La discusión es instructiva también porque las marcas de agua de contenido de IA se perciben como una de las herramientas clave para la regulación futura.

La Ley de IA Europea y varios proyectos de ley estadounidenses requieren la marcación obligatoria del contenido generado por IA. Si tales sistemas pueden ser eludidos por un aficionado con una computadora portátil y tiempo libre, su valor práctico como herramienta regulatoria suscita serias dudas. La cuestión de hasta qué punto alguien logró comprender la arquitectura de SynthID sigue abierta — Google niega un hackeo, y aún no ha habido una pericia pública independiente del código de Aloshdenny.

Pero el hecho en sí de que desarrollar tal herramienta resultara posible con recursos mínimos ya es una señal seria para toda la industria.