Noticias Manténgase informado sobre las más recientes actualizaciones de productos y noticias de tecnología empresarial.
Este artículo es parte de nuestra guía: Guía Esencial: La gestión de acceso e identidad se renueva y se fortalece

Evitar el reconocimiento facial: Los medios, el motivo y la oportunidad

Investigadores lograron evitar el programa de autenticación de reconocimiento facial de Apple, Face ID, en menos de una semana. El experto Michael Cobb explica por qué no es motivo de gran preocupación para los usuarios.

Cualquiera que haya invertido en un teléfono inteligente de gama alta que utiliza reconocimiento facial para proteger su contenido de miradas indiscretas o de espías digitales podría estar preocupado por las noticias que informan que los controles de acceso basados en el reconocimiento facial pueden ser derrotados. Por ejemplo, un equipo de investigadores de Bkav Corporation, una empresa de seguridad con sede en Vietnam, pudo construir físicamente una máscara que engañó a Face ID de Apple. Los investigadores lo hicieron a los pocos días de tener en sus manos un iPhone X, a pesar de su uso de IA y mapas infrarrojos 3D.

Los usuarios preocupados por la seguridad pueden estar alarmados por el nivel de riesgo que esto representa para sus datos o los de su empleador. Es probable que los lectores habituales de noticias relacionadas con la ciberseguridad hayan desarrollado su propia heurística para evaluar los factores de riesgo de nuevas vulnerabilidades, pero para los que no lo han hecho, hay tres factores principales a considerar.

Medio

El primero de estos factores es el costo, el valor monetario de todos los recursos necesarios para montar un ataque explotando la vulnerabilidad, incluido el hardware y el software, más el esfuerzo y el conocimiento humano. Por ejemplo, ¿cuál fue el costo probable de la máscara real que derrotó a la tecnología de reconocimiento facial de Face ID? Según Bkav, la máscara se construyó utilizando "un marco impreso en 3D, una nariz de silicona hecha a mano y algunas imágenes en 2D superpuestas sobre la máscara". Ciertamente, esto es más costoso que simplemente usar una fotografía del usuario autorizado del teléfono, una técnica que resultó efectiva contra los primeros sistemas de reconocimiento facial en 2D.

Sin embargo, este costo podría considerarse bajo en relación con un objetivo de alto valor, como el iPhone de un director general de servicios financieros que tiene el poder de autorizar grandes transferencias bancarias o que posee información privilegiada que podría influir en los precios de las acciones. Pero hay más en el costo que la construcción física de la máscara. Según el CEO de Bkav, Nguyễn Tử Quảng, hacer una máscara exitosa requiere conocimientos especializados. Dijo que él y su equipo pudieron engañar a la IA que Apple desarrolló para Face ID, "porque entendimos cómo funcionaba su IA y cómo pasar evitándola". Este tipo de conocimiento requiere tiempo para adquirirlo. Los investigadores de Bkav han estado trabajando en este campo por más de una década; presentaron una investigación sobre cómo derrotar el software de reconocimiento facial en Blackhat Europe 2009.

Motivo

En este punto, el costo del ataque se ve bastante alto, y tiene un corolario en el segundo factor heurístico de riesgo: el motivo. Como en, ¿qué motivaría a alguien a gastar recursos para intentar acceder a un teléfono en particular sin permiso? Para el director general de servicios financieros antes mencionado, la respuesta puede ser obvia y una de las principales preocupaciones, pero muchas personas caminan ignorando la utilidad de sus teléfonos en la comisión de una amplia gama de delitos de alto valor, como robo de propiedad intelectual, penetración de redes remotas, ingeniería social de altos ejecutivos, etc., lo que nos lleva al tercer factor: la oportunidad, las condiciones que deben cumplirse antes de que se pueda llevar a cabo el ataque.

Oportunidad

A diferencia de forzar a la mala la contraseña en un servidor conectado a internet, la derrota del control de acceso facial en un teléfono inteligente requiere que el atacante tenga acceso físico al dispositivo. No solo eso, necesitan un conocimiento detallado de cómo se ve el dueño. También necesitan poder vencer el control de acceso antes de que el propietario borre el dispositivo de forma remota. Crear oportunidades cumpliendo estas tres condiciones no es de ninguna manera imposible, pero es desafiante y, cuando se considera junto con los factores de costo y motivo, sugiere fuertemente que los ataques a Face ID no se llevarán a cabo a escala. Para aquellos que sí piensan que pueden estar en riesgo, las posibles medidas de defensa incluyen un acceso rápido al rastreo remoto o borrar un teléfono inteligente robado o perdido. Otra medida defensiva para los objetivos de alto riesgo sería mantener datos sensibles y credenciales valiosas fuera de cualquier teléfono que se utilizará en un entorno de alto riesgo.

Si bien "piratear la cara" puede sonar como un ataque extremo, y adivinar las contraseñas es una noticia antigua, usar ambos métodos de autenticación en lugar de solo uno siempre será más seguro. Tenga en cuenta que Face ID en sí no constituye una autenticación de dos factores. Si un sistema otorga acceso basado exclusivamente en el reconocimiento de un biométrico, como caras, huellas dactilares, firmas o huellas de voz, eso es autenticación de un solo factor usando solo uno de tres factores, algo que usted es. Los demás son algo que usted conoce, como una contraseña, y algo que tiene en su poder, como una clave física. El punto de requerir dos factores, por ejemplo, su rostro y su PIN, es aumentar el esfuerzo y el costo necesarios para obtener acceso no autorizado. En la actualidad, el iPhone X no permite que los usuarios requieran ambos para acceder al teléfono.

El reconocimiento que se obtiene al derrotar las medidas de seguridad basadas en la biometría significa que la industria puede esperar que los investigadores continúen buscando debilidades, desde falsos positivos, una máscara realista de una cara, hasta falsos negativos, un usuario real al que se adjudica no lucir de cerca como ellos mismos. Pero no hay necesidad de entrar en pánico cada vez que un titular declara que un control en particular ha sido vencido, simplemente aplique el modelo de costo-motivo-oportunidad y ajuste la evaluación de riesgos en consecuencia.

Este artículo se actualizó por última vez en mayo 2018

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close