No parece ser un panorama lejano:
en vez de querer robar su contraseña, los cibercriminales buscarán ‘hackear’ el
sistema de reconocimiento facial de su celular y apoderarse de la información
de su rostro. Los atacantes saben muy bien el potencial que hay detrás de esta
tecnología. En países como China o Estados Unidos ya se utiliza para realizar
pagos bancarios o registros de pasajeros para la salida y entrada en
aeropuertos internacionales. Y, por supuesto, incluso los celulares de la gama
media pueden desbloquearse con su cara.
¿Pero se ha preguntado alguna vez
cuáles son los riesgos detrás de la autenticación facial? ¿Qué pasa con esa
información? ¿Pueden los ciberdelincuentes vulnerar este sistema y acceder a
los rostros de los usuarios?
Una de las predicciones en
materia de ciberseguridad para 2019 es que se comiencen a vulnerar factores de
autenticación como las huellas dactilares, el reconocimiento del iris y la
autenticación facial. Aunque los ciberdelincuentes pueden usar fotografías o
programas de computador para engañar un sistema, los expertos señalan que es
posible acudir a técnicas mucho más avanzadas.
Lo primero que hay que tener en
cuenta es que el reconocimiento facial funciona identificando a una persona a
través de nodos o puntos claves que representan cada parte del rostro,
incluyendo los ojos, la nariz, la boca, los ojos y las facciones. Esos puntos
se convierten en datos que son almacenados en los servidores de los fabricantes
o, localmente, en los dispositivos móviles de los usuarios. “Un reconocimiento
facial lo vas a convertir en información, y esta digitalización va a ser
manejada y procesada en algún momento”, explica Roberto Martínez, experto en ciberseguridad
de Kaspersky Lab.
Si la información se almacena de
manera local, lo que hacen es vulnerar ese dispositivo e instalarle un malware
por medio de técnicas como phishing o con archivos de páginas fraudulenta.
Los cibercriminales pueden
entonces acceder a esa información directamente en el dispositivo del usuario o
atacando el sistema de nube de la compañía, según explica Luis Gabriel
Roncancio, experto en ciberseguridad de Digiware.
“Si la información se almacena de
manera local, lo que hacen es vulnerar ese dispositivo e instalarle un malware
por medio de técnicas como phishing o con archivos que se descargan en páginas
fraudulentas”, resalta Roncancio.
La información de los rostros de
los usuarios, explica el experto, se almacena dentro de un repositorio del
dispositivo que está supuestamente protegido y no es visible para los usuarios.
“Es una carpeta segura que busca blindar el aparato de cualquier fuga de
información, pero normalmente los cibercriminales ya saben las rutas específicas
para llegar allí en los diferentes sistemas operativos de Android, iOS, Mac o
Windows y así logran acceder a los mecanismos de administración del
dispositivo”, agrega.
En los casos en los que se atacan
directamente los servidores del fabricante, se acude a mecanismos y técnicas
más complicadas en busca de acceder a las bases de datos que alojan la
información de miles de usuarios, precisa Roncancio.
Martínez agrega que teniendo en
cuenta que esa información es capturada por el dispositivo y luego enviada a
otro lado para procesar y analizar la identidad, es posible que haya varios
vectores de ataques. “Uno puede ser el momento de leer los datos, otro en el
proceso de transferirlos u otro en la parte de análisis”, señala.
La compañía de ciberseguridad
Forcepoint advierte que usando impresiones en 3D a través de una fotografía
pueden hacer una ‘máscara’ de la cara y de esta forma violar el sistema de
autenticación facial. Un informe de esta firma resalta que en el 2016,
especialistas de visión por computador y seguridad de la Universidad de
Carolina del Norte (EE. UU.) burlaron sistemas de reconocimiento facial usando
fotografías digitales públicas, disponibles en redes sociales y motores de
búsqueda.
Se han mencionado casos, pero no
se ha llegado a la conclusión de que se esté sacando información de reconocimiento
facial masivamente.
Sin embargo, los expertos
coinciden en que aunque el reconocimiento facial ha tenido un boom en los
últimos años, aún no hay un nivel de ataque dirigido. “Se han mencionado casos,
pero no se ha llegado a la conclusión de que se esté sacando información de
reconocimiento facial masivamente. Puede ser que sí, pero no se ha visto o
descubierto”, señala.
Entre las medidas de protección
que puede tomar para evitar riesgos está incorporar el doble factor de
autenticación, un método de control de acceso en el que se le solicitan al
usuario otras pruebas diferentes, como un código que llega a su teléfono para verificar
su identidad. Evite, además, abrir enlaces o archivos adjuntos sospechosos,
pues la mayoría de las veces incluyen malware que puede ser usado para acceder
a información confidencial, incluyendo los datos de la autenticación facial.
Por último, Roncancio recomienda solo incorporar reconocimiento facial en
dispositivos conocidos y en los servicios en los que sea realmente necesario su
uso.
Amenaza a la seguridad
Además de los riesgos en
seguridad informática, organizaciones de derechos humanos han advertido sobre
otros peligros que vienen implícitos en la tecnología de reconocimiento facial.
El pasado enero, la Unión de Libertades Civiles de Estados Unidos (Aclu, por
sus siglas en inglés) pidió a Microsoft, Amazon y Google que se comprometan a
no vender su tecnología de reconocimiento facial a los gobiernos, ya que así se
“amenaza la seguridad de miembros de la comunidad y también se mina la
confianza en el negocio”. Específicamente, la organización afirma que esta
decisión “permite al gobierno señalar a inmigrantes, minorías religiosas y
gente de color”, exacerbando “prejuicios históricos y actuales”.
“Estamos en una encrucijada con
la vigilancia facial, y las decisiones que tomen estas compañías determinarán
si la próxima generación deberá temer que el gobierno la siga por ir a una
protesta, a su lugar de oración o, simplemente, por vivir su vida”, señaló en
su momento la directora de Tecnología y Libertades Civiles, Nicole Ozer.
El Tiempo
