El login por reconocimiento facial es un método de seguridad que se basa en la captura de nuestra cara mediante una cámara de vídeo de forma que sirva como contraseña para acceder a un servicio. Por ejemplo, Windows 10 dispone de esta opción de autenticación que además acelera el proceso de acceso a nuestro ordenador desde el arranque, al no tener que teclear una compleja contraseña. Pero como todo en esta vida, es susceptible de engaño, y los hackers cuentan con un potente aliado para saltarse el sistema: tu perfil público de Facebook, y las fotos en las que apareces.
La cuestión es algo compleja, pero se basa en las múltiples fotos casuales que tenemos en nuestra cuenta, a la vista de todos. Una sola foto no sirve para saltarse el sistema, y menos si es una foto de baja calidad, pero combinar varias fotos y utilizar avanzadas técnicas de procesamiento de imágenes lleva a cualquiera con el tiempo, conocimientos y herramientas necesarias a construir un modelo 3D sorprendentemente fiel a la realidad, con el que se pueden hacer pasar por nosotros con eficacia.
¿Significa esto que el sistema no es seguro? No necesariamente, pero sí que se pone de manifiesto la complejidad de disponer de un sistema de seguridad basado en parámetros biométricos como el reconocimiento facial. Nuestra cara permanece invariable en sus características distintivas por muchos años, y por tanto cualquier exposición pública de nuestra imagen a través de fotos (propias o de terceros en las que aparecemos), nos hace vulnerables.
De hecho, en una conferencia del simposio de seguridad Unesix celebrada recientemente, se presentó un sistema para tratar de romper este método de autenticación en el que un grupo de expertos en seguridad y en visión por ordenador consiguieron hacerse, en una demo, con el acceso a cuatro de cinco cuentas privadas de colaboradores voluntarios.
[…] un sistema que utiliza modelos faciales digitales en 3D basados en fotos disponibles al público, y que con tecnología móvil de realidad virtual puede derrotar a sistemas de reconocimiento facial. Una cara de estilo Realidad Virtual, mostrada en 3D, proporciona el movimiento y profundidad que un sistema de seguridad generalmente utiliza para la comprobación de la identidad.
Podemos pensar que es un problema sencillo de resolver si se trata de una prueba de sistema en la que los participantes proporcionan fotografías, pero otro grupo de investigadores se planteó algo diferente. Ellos buscaron las fotos de sus 20 voluntarios tal y como cualquiera lo puede hacer: mediante búsquedas en Google, perfiles públicos en las redes sociales (Facebook, LinkedIn,…) y demás opciones. Todo esto lo puede hacer cualquiera en casa, basta con intentar algunas búsquedas por nombre completo, o por email, y los resultados son sorprendentes en muchos casos.
En el grupo de estudio, algunas personas eran particularmente celosas de su privacidad, pero los investigadores fueron capaces de encontrar al menos tres fotografías de los más celosos, y hasta 27 de otros participantes. Con esta perspectiva nos hacemos una idea de lo que supone por un lado nuestra presencia online pública, y por otro lo sencillo que es de superar un sistema de login por reconocimiento facial.
En realidad el proceso es complejo e involucra analizar muchas fotografías (algunas de mala calidad) para encontrar puntos de referencia con los que crear el modelo 3D, y un posterior proceso de retoque en el que se pulen detalles como la textura de la cara y la iluminación.
Por si fuera poco, si el intento fracasa se vuelve a intentar con otros parámetros de luz, o de texturas, hasta dar con el más adecuado. El sistema atacante, además, añade movimientos, gestos, sonrisas, parpadeos… lo que sea necesario para hacer creer al sistema de login que está viendo una cara real, viva.
Vía | Wired