La semana pasada se hizo público que la policía había detenido a un hombre del sureste de China como sospechoso del asesinato de su novia: tras discutir sobre dinero, él la habría estrangulado y habría utilizado el móvil de ella para enviar mensajes a sus familiares avisándoles de que estaría unos días de viaje. Pero el asesino hizo algo más: intentó usar la app Money Station para solicitar un préstamo a nombre de la fallecida... utilizando su cadáver como forma de identificarse en su cuenta, al requerir reconocimiento facial.
Y ése fue su gran error, porque la app cuenta con un sistema de seguridad que requiere que el usuario parpadee y hable durante el proceso de identificación. Al fallar el login, por ausencia de movimiento ocular en la supuesta usuaria, los empleados de la compañía de préstamos verificaron manualmente qué había pasado y se encontraron con que el rostro de la imagen presentaba magulladuras y marcas rojas en el cuello, y que la voz que sonaba era de hombre. Todo esto se puso en conocimiento de la policía china, que detuvo al presunto asesino a comienzos de este mes.
El gran agujero de seguridad de los sistemas biométricos
A medida que los sistemas de identificación biométrica van aumentando su presencia en nuestro día a día, se hace cada vez más necesario contar con esta clase de tecnología dedicada a detectar los casos en los que el rostro u huella dactilar que trata de identificarse podría podrían no ser los de alguien que actúa voluntariamente (por estar fallecido, dormido o inconsciente): esto son los que se conocen como sistemas de detección de la 'vivacidad' ('liveness' en inglés).
La popularización de cualquier tecnología aumenta inevitablemente la cantidad de intentos de manipularla. Y esa manipulación puede ser tan sencilla como el niño que desbloquea el móvil de su padre pasando su dedo por la pantalla mientras éste se echa la siesta, o tal compleja como recurrir a la inteligencia artificial antagónica para convencer a un sistema de identificación facial de que eres alguien que no eres. O también existe la opción, claro, de utilizar máscaras ultrarrealistas.
Comprobaciones de vivacidad en el reconocimiento facial
En 2012, Google realizó su primer intento de introducir el desbloqueo facial en Android: fue rápidamente sorteado con sólo poner ante la cámara una simple foto, por lo que la compañía decidió establecer por primera vez un sistema de "detección de la vivacidad" que obligaba a los usuarios a parpadear. De nuevo, sólo hubo que cambiar una foto fija por una animación para lograr el efecto deseado y desbloquear el móvil.
De modo que, sólo un año más tarde, Google presentaba su primera patente de una tecnología de "detección de la vivacidad", que exigía aleatoriamente al usuario la realización de muecas y gestos que podían ir de "fruncir el ceño" a "sonreír", "sacar la lengua" o "mover las cejas". A partir de entonces, cientos de compañías han implementado sus propios sistemas de detección de vivacidad, sobre todo en el ámbito de la banca.
Sin embargo, han tenido que añadir nuevas comprobaciones, puesto que las basadas en la realización de gestos pueden ser eludidas recurriendo -por ejemplo- a sistemas de inteligencia artificial capaces de proyectar el gesto deseado, por lo que cada vez es más habitual recurrir a comprobaciones de la cartografía 3D del rostro, capaces de asegurar que lo que la IA biométrica está 'viendo' no es una simple proyección o una foto sostenida ante la cámara, sino que efectivamente hay una persona ante la cámara.
Pero estos sistemas siguen teniendo vulnerabilidades inesperadas. El mes pasado, durante la conferencia de ciberseguridad Black Hat celebrada en la ciudad de Las Vegas (EE.UU.), el investigador de Tencent Bin Ma realizó una conferencia en las que repasaba las vulnerabilidades de los vigentes sistemas de autenticación biométrica.
Ma y sus compañeros descubrieron que el sistema de detección de vivacidad del Face ID de Apple ignora información relevante de los rostros cuando detecta que éstos portan gafas, lo que le permite ser manipulando usando sencillamente unas gafas con cinta negra y un pequeño punto blanco sobre cada lente, como se puede ver en este tuit:
Security researchers demonstrate how to bypass Face ID with glasses and tape https://t.co/sr5Mtt81E7 by @ChanceHMiller pic.twitter.com/PMxmF4BcTg
— 9to5Mac.com (@9to5mac) August 9, 2019
Comprobaciones de vivacidad en la identificación de huellas dactilares
Para evitar accesos no autorizados, los escáneres incluyen sensores de temperatura corporal que sólo funcionan con el dedo desnudo. Tanto el uso de cadáveres como el de manos falsas de plástico quedarían descartados. También suelen incluir detectores de presión, aunque eso está destinado más bien a evitar desbloqueos involuntarios de móviles por parte del usuario.
Además, como una versión mejorada de este sistema, los lectores de huellas dactilares más modernos, como el Touch ID de Apple, reaccionan ante la electricidad generada por un cuerpo vivo y producida bajo la epidermis, una actividad que desaparece pocos minutos después de fallecer, lo que impide usar el dedo de una persona muerta para desbloquear su terminal móvil.
Comprobaciones de vivacidad en sistemas basados en el reconocimiento ocular
Las manos cortadas o de plástico no son menos frecuentes en las tramas de ficción que sus equivalentes oculares, y los científicos también han pensado en medidas para evitar que la inteligencia artificial dé por bueno, por ejemplo, el escaneo de un globo ocular situado fuera de su correspondiente cuenca.
Además de la ya mencionada medida de esperar a que el ojo parpadee, a la hora de identificar un iris o retina las medidas de seguridad incluyen por ejemplo:
- La realización de cambios en la iluminación ambiental para medir la dilatación de las pupilas.
- Detectar movimientos naturales del ojo, bien en estado de reposo (como los nistagmos), bien obligando a realizar alguna tarea (como leer un texto).
- Uso del análisis espectral para distinguir el tejido particular del ojo de otra clase de material (como lentillas).
Imagen | Welcome Images
Ver 21 comentarios