La identificación biométrica está avanzando a pasos agigantados en los últimos años como un nuevo método con el que potenciar la seguridad complementando a las contraseñas. Y el reconocimiento facial es una de las últimas tendencias utilizadas por algunas de las mayores empresas tecnológicas para desbloquear nuestros teléfonos y ordenadores.
Pero un grupo de investigadores de la Universidad de Carolina del Norte (UNC), en Estados Unidos, ha desarrollado un ataque con el que han podido saltarse este tipo de sistemas de seguridad. Lo único que han tenido que hacer es coger algunas de las muchas fotos personales que compartimos en las redes sociales y crear un modelo 3D de nuestra cara lo suficientemente detallado como para engañarlos.
Su estudio lo presentaron con una demostración hace un par de semanas durante las conferencias de seguridad de la asociaciónUsenix. Hacen uso de la realidad virtual para mostrar en un móvil un modelo en 3D de nuestra cara con el movimiento y la profundidad que suelen buscar en ellas los sistemas de reconocimiento, y de los cinco en los que lo probaron tuvieron éxito en cuatro.
La clave está en las fotos que compartimos
La gran particularidad de este ataque desarrollado por la UNC es que no utilizan fotos de estudio sacadas por los desarrolladores, sino que recurren a las que alegremente compartimos en la red. En la demostración cogieron a 20 voluntarios, y buscaron sus fotos a través de motores de búsqueda o redes sociales como Facebook, LinkedIn o Google+, hasta conseguir entre 3 y 27 fotos de cada uno.
Con ellas, el grupo de investigadores utilizó un programa que han creado paraidentificar los puntos de referencia de la cara de cada individuo, los cuales utilizaron para renderizarla después en 3D. Las mejores fotos que conseguían eran las que utilizaban para insertar en el modelo datos sobre la textura de la cara, la cual tenía que ser lo más realista posible.
Una vez creada la versión de la cara de los voluntarios, probaron si con ella podían burlar a cinco métodos de reconocimiento facial como KeyLemon, Mobius, TrueKey, BioID o 1D. Todos ellos disponible para los usuarios en algunos modelos de smartphones y software de primer nivel como Google Play Store o iTunes.
Para la prueba, primero configuraron los programas con las caras reales de los voluntarios, y luego les fueron mostrando los modelos 3D de cada uno, en los quese aplicaban parpadeos, sonrisas o los movimientos de las cejas que suelen ser utilizadas por este tipo de sistemas para confirmar que están ante personas reales.
Como control utilizaron fotografías de la cara de cada uno tomadas en aquel momento. Los resultados fueron bastante contundentes, pues pudieron engañar a cuatro de los cinco sistemas con una tasa de éxito de entre el 55 y el 85 porciento. Cuando fallaban, los investigadores buscaban nuevas texturas en el las fotos hasta dar con la adecuada.
Con esta prueba, los investigadores de la UNC han demostrado cómo las fotos que publicamos online pueden jugar en contra de nuestra privacidad. Se mostraron convencidos de que es posible defenderse contra su ataque, aunque para ello los sistemas de seguridad tendrán que evolucionar incorporando nuevos sensores, lo cual puede ser un reto teniendo en cuenta el poco espacio que tienen para ponerlos en algunos dispositivos.