Fuente: El tiempo.com
No parece ser un panorama lejano: en vez de querer robar su contraseña, los cibercriminales buscarán ‘hackear’ el sistema de reconocimiento facial de su celular y apoderarse de la información de su rostro. Los atacantes saben muy bien el potencial que hay detrás de esta tecnología. En países como China o Estados Unidos ya se utiliza para realizar pagos bancarios o registros de pasajeros para la salida y entrada en aeropuertos internacionales. Y, por supuesto, incluso los celulares de la gama media pueden desbloquearse con su cara.
¿Pero se ha preguntado alguna vez cuáles son los riesgos detrás de la autenticación facial? ¿Qué pasa con esa información? ¿Pueden los ciberdelincuentes vulnerar este sistema y acceder a los rostros de los usuarios?
Una de las predicciones en materia de ciberseguridad para 2019 es que se comiencen a vulnerar factores de autenticación como las huellas dactilares, el reconocimiento del iris y la autenticación facial. Aunque los ciberdelincuentes pueden usar fotografías o programas de computador para engañar un sistema, los expertos señalan que es posible acudir a técnicas mucho más avanzadas.
Lo primero que hay que tener en cuenta es que el reconocimiento facial funciona identificando a una persona a través de nodos o puntos claves que representan cada parte del rostro, incluyendo los ojos, la nariz, la boca, los ojos y las facciones. Esos puntos se convierten en datos que son almacenados en los servidores de los fabricantes o, localmente, en los dispositivos móviles de los usuarios. “Un reconocimiento facial lo vas a convertir en información, y esta digitalización va a ser manejada y procesada en algún momento”, explica Roberto Martínez, experto en ciberseguridad de Kaspersky Lab.
«Si la información se almacena de manera local, lo que hacen es vulnerar ese dispositivo e instalarle un malware por medio de técnicas como phishing o con archivos de páginas fraudulentas».
Los cibercriminales pueden entonces acceder a esa información directamente en el dispositivo del usuario o atacando el sistema de nube de la compañía, según explica Luis Gabriel Roncancio, experto en ciberseguridad de Digiware.
“Si la información se almacena de manera local, lo que hacen es vulnerar ese dispositivo e instalarle un malware por medio de técnicas como phishing o con archivos que se descargan en páginas fraudulentas”, resalta Roncancio.
La información de los rostros de los usuarios, explica el experto, se almacena dentro de un repositorio del dispositivo que está supuestamente protegido y no es visible para los usuarios. “Es una carpeta segura que busca blindar el aparato de cualquier fuga de información, pero normalmente los cibercriminales ya saben las rutas específicas para llegar allí en los diferentes sistemas operativos de Android, iOS, Mac o Windows y así logran acceder a los mecanismos de administración del dispositivo”, agrega.
En los casos en los que se atacan directamente los servidores del fabricante, se acude a mecanismos y técnicas más complicadas en busca de acceder a las bases de datos que alojan la información de miles de usuarios, precisa Roncancio.
Martínez agrega que teniendo en cuenta que esa información es capturada por el dispositivo y luego enviada a otro lado para procesar y analizar la identidad, es posible que haya varios vectores de ataques. “Uno puede ser el momento de leer los datos, otro en el proceso de transferirlos u otro en la parte de análisis”, señala.
La compañía de ciberseguridad Forcepoint advierte que usando impresiones en 3D a través de una fotografía pueden hacer una ‘máscara’ de la cara y de esta forma violar el sistema de autenticación facial. Un informe de esta firma resalta que en el 2016, especialistas de visión por computador y seguridad de la Universidad de Carolina del Norte (EE. UU.) burlaron sistemas de reconocimiento facial usando fotografías digitales públicas, disponibles en redes sociales y motores de búsqueda.
«Se han mencionado casos, pero no se ha llegado a la conclusión de que se esté sacando información de reconocimiento facial masivamente».
Sin embargo, los expertos coinciden en que aunque el reconocimiento facial ha tenido un boom en los últimos años, aún no hay un nivel de ataque dirigido. “Se han mencionado casos, pero no se ha llegado a la conclusión de que se esté sacando información de reconocimiento facial masivamente. Puede ser que sí, pero no se ha visto o descubierto”, señala.
Entre las medidas de protección que puede tomar para evitar riesgos está incorporar el doble factor de autenticación, un método de control de acceso en el que se le solicitan al usuario otras pruebas diferentes, como un código que llega a su teléfono para verificar su identidad. Evite, además, abrir enlaces o archivos adjuntos sospechosos, pues la mayoría de las veces incluyen malware que puede ser usado para acceder a información confidencial, incluyendo los datos de la autenticación facial. Por último, Roncancio recomienda solo incorporar reconocimiento facial en dispositivos conocidos y en los servicios en los que sea realmente necesario su uso.
Amenaza a la seguridad
Además de los riesgos en seguridad informática, organizaciones de derechos humanos han advertido sobre otros peligros que vienen implícitos en la tecnología de reconocimiento facial. El pasado enero, la Unión de Libertades Civiles de Estados Unidos (Aclu, por sus siglas en inglés) pidió a Microsoft, Amazon y Google que se comprometan a no vender su tecnología de reconocimiento facial a los gobiernos, ya que así se “amenaza la seguridad de miembros de la comunidad y también se mina la confianza en el negocio”. Específicamente, la organización afirma que esta decisión “permite al gobierno señalar a inmigrantes, minorías religiosas y gente de color”, exacerbando “prejuicios históricos y actuales”.
“Estamos en una encrucijada con la vigilancia facial, y las decisiones que tomen estas compañías determinarán si la próxima generación deberá temer que el gobierno la siga por ir a una protesta, a su lugar de oración o, simplemente, por vivir su vida”, señaló en su momento la directora de Tecnología y Libertades Civiles, Nicole Ozer.