How to combat biometric spoofing attacks
Al identificar o autenticar a una persona, la fiabilidad es esencial. La biometría ayuda a establecer a las personas en función de quiénes son en lugar de lo que saben, lo que la convierte en uno de los métodos de verificación de identidad más seguros. Sin embargo, los defraudadores nunca duermen y pasan tiempo buscando formas de hacerse pasar por las identidades de víctimas inocentes.
¿Qué es el engaño biométrico?
Desde el acceso a una red informática hasta el control fronterizo, la tecnología biométrica se utiliza ampliamente en diversas industrias. El suplantado es un intento de eludir la seguridad de un sistema biométrico. Un estafador puede suplantar utilizando diferentes materiales y métodos como máscaras en 3D, huellas dactilares falsas o fotos. Los primeros dispositivos biométricos eran fáciles de engañar con una imagen de alta calidad.
Ataque de presentación
Los impostores utilizan copias de ciertas características para imitar a una persona inscrita en el sistema biométrico. Dependiendo de la modalidad, puede ser fácil para ellos obtener características biométricas.
Máscaras
La manipulación de la identidad, un ataque de presentación, requiere que el viajero ilegítimo use una máscara 3D u otros medios para engañar al sistema automatizado de reconocimiento facial.
Huellas dactilares falsas
Los dedos de imitación pueden hacerse de silicona o látex y suelen tener una huella dactilar extraída de una base de datos. La huella moldeada se presenta a un lector de huellas dactilares para intentar acceder.
Transformando
De acuerdo con el Instituto Nacional de Estándares y Tecnología (NIST), la morfología facial es una técnica de manipulación de imágenes en la que se fusionan o combinan las caras de dos o más sujetos para formar una sola cara en una fotografía. Nuevas técnicas de morfología están en constante batalla con nuevos métodos de detección.
Los estafadores intentan engañar a los sistemas de reconocimiento facial presentando una imagen fusionada de dos o más individuos. Debido a la complejidad del software, la morfología es más complicada de detectar que los ataques de presentación en vivo.
Los sistemas de reconocimiento de voz pueden ser manipulados grabando la voz de una persona autorizada. Sin embargo, no es simple, ya que el reconocimiento de voz combina componentes físicos y conductuales. El software de morfología de voz crea una transcripción o ajusta la voz de un humano para que suene exactamente como la persona aprobada por el sistema.
Manipulación de bisagra de pasaporte
Las páginas de datos del pasaporte incluyen nombre, número de pasaporte, nacionalidad, fecha y lugar de nacimiento, sexo y la fecha de emisión y caducidad del pasaporte. La bisagra de la página de datos garantiza la integridad del pasaporte al unir la página biométrica al resto del documento.
Los criminales pueden insertar una página biométrica falsa o modificar la existente manipulando la bisagra. Para contrarrestar esto, la mayoría de los pasaportes son de policarbonato. Este material fusionado crea una página sólida con información almacenada en cada capa, lo que dificulta la separación. La bisagra se une a la página de datos con pernos o mediante soldadura térmica. La tecnología a prueba de manipulaciones como el embotamiento, el grabado o las impresiones UV hace que cualquier intento de manipulación sea visible para las autoridades.
Riesgos digitales y de bases de datos
La seguridad de los datos biométricos es vital. Las bases de datos biométricas pueden estar sujetas a intervención, o los sistemas informáticos subyacentes pueden ser atacados. Los gobiernos y las empresas deben prevenir las violaciones de la privacidad o la exposición de datos biométricos mediante la implementación de tecnología de identificación o autenticación.
Ataques internos digitales
Los sistemas de seguridad biométrica pueden ser vulnerables si un administrador de confianza manipula este sistema. Las bases de datos biométricas almacenan volúmenes significativos de información personal identificable (PII), y los ataques internos podrían conducir a una violación de datos u otro delito.
Suplantación de inscripción
Los criminales podrían estar interesados en los datos biométricos en transmisión durante el proceso de inscripción e incluir ciertas características de un impostor. El estafador podría viajar bajo una identidad falsa si las características falsificadas están almacenadas en un pasaporte o documento de identidad.
Cómo vencer los ataques de suplantación
La biometría se ha vuelto más avanzada, y crear huellas dactilares falsas se ha vuelto más complicado. Mientras la tecnología biométrica está en constante evolución, también lo está la sofisticación de los métodos de suplantación. Técnicas probadas en el campo, como la detección de vitalidad, hacen que los sistemas biométricos sean más resilientes.
Detección de suplantación
La Detección de Ataques de Presentación (PAD) detecta un engaño biométrico. Implementar el PAD ofrece alta seguridad, pero puede ser costoso y complejo. El marco ISO/IEC 30107-1 proporciona categorías de ataques y explica cuándo se debe utilizar el PAD.
Detección de vida
Los métodos avanzados de detección de suplantación como la detección de vivacidad facial son necesarios para diferenciar lo simulado de lo real. La tecnología determina si la persona frente a la cámara está presente o si se muestra una imagen impresa o digital. Después de la recopilación, los algoritmos analizan los datos para verificar si la fuente es falsa o real.
La detección de vivacidad en una presentación se realiza a través de métodos dinámicos y pasivos. Activo se refiere a la acción que el usuario toma para confirmar que es una persona natural. Por ejemplo, inclinar la cabeza, asentir o parpadear. Los estafadores pueden engañar al método activo en un ataque de presentación.
El análisis de distorsión de la piel diferencia un dedo real de uno falso. La piel se vuelve pálida cuando se presiona contra una superficie. Durante la investigación, se le puede pedir al usuario que mueva el dedo en el escáner para amplificar la distorsión.
Los métodos estáticos detectan características no naturales o la falta de detalles en huellas dactilares falsas. La piel natural tiene poros y es desigual. La verificación de usuarios en línea se puede realizar a través de una imagen verificada en múltiples características. Marcar las casillas de vivacidad resulta en acceso o acción.
Tecnología de IA
La inteligencia artificial (IA) hace que los sistemas biométricos sean resistentes. Los modelos de IA se pueden entrenar para detectar falsificaciones de lo real y ayudar a los algoritmos de detección de vitalidad a reconocer materiales falsificados con mayor precisión.
Según investigaciones, los humanos tienen mucha más dificultad para identificar ataques de suplantación biométrica. El estudio de ID R&D quiso poner a prueba a personas y máquinas presentando fotos impresas falsificadas, videos, imágenes digitales y máscaras en 3D. Las computadoras fueron más precisas y rápidas en identificar intentos de imitación. Los humanos clasificaron el 18% de las caras reales como falsificaciones, mientras que el sistema de IA clasificó incorrectamente solo el 1%.
Biometría multimodal
Cuando se identifica o autentica a una persona, la fiabilidad es esencial. En biometría, los falsos positivos y negativos son inevitables. Los sistemas biométricos se basan en algoritmos. Ninguna medición puede ser cien por ciento precisa, especialmente cuando se utiliza de forma independiente. Combinar varios identificadores biométricos añade otra capa de seguridad y granularidad.
Sistemas biométricos multimodales generalmente requieren dos credenciales biométricas, como escaneos de iris y huellas dactilares. Es difícil falsificar una huella dactilar, pero falsificar huellas dactilares e iris en el mismo intento es casi imposible. Añadir esta capa adicional de seguridad requiere varios pasos del usuario para ser autenticado, pero no debería causar inconvenientes. Mirar hacia una cámara y colocar un dedo en un escáner se puede realizar simultáneamente.
Autenticación Biométrica de Dos Factores
La Autenticación de Dos Factores (2FA) es uno de los métodos más utilizados para prevenir el fraude en línea. El usuario verifica su identidad mediante un método adicional, que generalmente es muy diferente al principal. Combinar una contraseña y características biométricas, como el reconocimiento facial o por gestos, asegura que el usuario pueda acceder al sistema.
Nuestras soluciones de identidad seguras
Todos los sistemas biométricos son vulnerables hasta cierto punto. La seguridad siempre es una prioridad en las soluciones de Laxton. Evaluamos continuamente las capacidades de nuestros sistemas de identidad y productos, analizando los riesgos y las motivaciones de los posibles atacantes. Sin embargo, la detección de fraudes no debe comprometer la experiencia del usuario. Las organizaciones que tienen la seguridad digital como su principal prioridad deben evaluar continuamente este delicado equilibrio.
