El reconocimiento facial es un método habitual para identificar a un usuario y se emplea con frecuencia como método de seguridad para brindar acceso a lugares o dispositivos bloqueados. Pero unos investigadores de la Universidad de Carolina del Norte han encontrado y demostrado un inquietante método para burlar a estos sistemas: el uso de fotos publicadas en redes sociales, y un poco de modelado 3D.
El método empleado por los especialistas en seguridad consiste en presentar un modelo facial en 3D que se obtiene a partir de fotos disponibles al público en los perfiles de los usuarios, a las cuales se les aplica un proceso que añade la profundidad y movimiento que los sistemas de reconocimiento facial utilizan para asegurarse de que lo que tienen en frente es una persona real.
Para la prueba, bastó con mostrar el modelo renderizado en la pantalla de un smartphone, lo cual demuestra que tiene una alta accesibilidad y portabilidad, permitiendo al atacante pasar completamente desapercibido.
El ataque tuvo éxito al burlar a cuatro de los cinco sistemas que probaron, lo cual demuestra que la autenticación biométrica no es tan segura como se pensaba. Ya que las características biométricas de una persona permanecen básicamente constantes, el que las mismas estén disponibles al público compromete la seguridad del usuario, ya que pueden ser usadas en su contra.
Aunque ya se han hecho intentos previos en este sentido, se requerían fotos de los participantes tomadas para la ocasión; por eso lo que más preocupa de esta aplicación es que las fotos usadas están al alcance de cualquiera, ya que se tomaron de los perfiles públicos de 20 voluntarios que participaron en la prueba.
Los sistemas atacados fueron KeyLemon, Mobius, TrueKey, BioID y 1D, todos ellos ampliamente utilizados para proteger cosas como teléfonos inteligentes, tabletas, sistemas de acceso de personal, etc.
Para hacer la prueba, cada voluntario creó una entrada real a cada sistema de seguridad, usando su imagen real; los investigadores entonces utilizaron sus modelos 3D para ver si los sistemas autenticaban al usuario y el éxito estuvo entre el 55 y el 85% de los intentos.
Pero fueron más allá y tomaron fotos de los voluntarios en un ambiente controlado y aplicaron el mismo proceso de modelado 3D para repetir la prueba; los cinco sistemas autenticaron a todos los usuarios en todos los intentos realizados.
En la guerra entre quienes buscan brindar seguridad y quienes procuran romperla hay aún mucho trabajo por hacer. Los investigadores de la Universidad de Carolina del Norte sugieren que los sistemas de identificación biométrica deberían buscar señales imposibles de reproducir como las señales infrarrojas causadas por el calor.
Lo que queda claro es que hasta ahora no se ha creado ningún sistema de protección que se pueda considerar infalible, de modo que la seguridad debe seguir siendo un tema importante a tener en cuenta; no se trata de aislarnos, sino de aplicar la lógica para que los atacantes al menos la tengan más difícil cuando intenten convertirnos en sus víctimas.