Un producto de software que proporciona identificación biométrica facial a través de un flujo de vídeo
Producto de software para enriquecer las capacidades biométricas de los sistemas de control de acceso
Software para la producción el contenido multimedia personalizado
Un producto de software que proporciona identificación biométrica facial a través de un flujo de vídeo
Un producto de software que proporciona identificación biométrica facial a través de un flujo de vídeo
Producto de software, que amplía las oportunidades del terminal de cola electrónica a través de la identificación biométrica
Un producto de software que proporciona una supervisión fiable de las horas de trabajo de los empleados mediante la identificación biométrica
Producto de software, que proporciona un control de acceso biométrico al quirófano o a los sistemas de información
Es un producto de software que proporciona un mayor nivel de orientación al cliente por medio de la identificación biométrica
Producto de software que proporciona una verificación confiable y rápida del derecho del cliente
Un nuevo nivel de trabajo con los visitantes y empleados de los centros de negocios abierto con la ayuda de productos biométricos
Biometría para un servicio conveniente a los ciudadanos, incluida la vigilancia a distancia de la calidad del trabajo del personal
Vigilancia biométrica de las horas de trabajo y herramientas de seguridad adicionales para las instalaciones industriales
Métodos modernos de análisis biométrico para el funcionamiento seguro de las instalaciones deportivas
Soluciones de transporte convenientes y seguras basadas en la identidad digital del pasajero
Soluciones biométricas para un nuevo nivel de seguridad e interacción con los visitantes
Analítica de vídeo biométrica para el marketing dirigido y el control de personal en redes de distribución
Productos biométricos para sistemas de vigilancia y video vigilancia en instituciones educativas
Acceso biométrico sin llave a las habitaciones, acercamiento dirigido a cada cliente e información fiable sobre el tiempo de trabajo de los empleados
Herramienta necesaria para la seguridad y la competitividad de un banco moderno
Mejorar el nivel de seguridad, celeridad de las investigaciones y prevención oportuna de actos ilícitos en el espacio público urbano
Soluciones orientadas al cliente, aceleración del proceso de trabajo del área de registro, control del personal de toda la institución
La biometría facial se vuelve simple y utilizable con RecFaces. Brindamos a las empresas una gama de soluciones biométricas listas para usar para mejorar su seguridad y capacidad de fabricación.
Estamos listos para la cooperación y las ventas a través de la red de socios. Para obtener asesoramiento sobre su proyecto, póngase en contacto con nosotros por correo electrónico sales@recfaces.com
Este es nuestro principal e invaluable recurso. Practicantes en biometría facial y buenas personas
Siempre estaremos encantados de responder a todas sus preguntas. Contáctenos de la forma que más le convenga.

Verdadero o falso: toda la verdad sobre el hacking biométrico

Verdadero o falso: toda la verdad sobre el hacking biométrico

La identificación biométrica facial se utiliza en una amplia gama de aplicaciones: el sector bancario, la industria, el transporte, el comercio minorista y otros sectores

Independientemente del ámbito de aplicación, el objetivo principal de la biometría facial sigue siendo mejorar la seguridad física. En otras palabras, la tecnología actúa como una especie de «cerradura». Y donde hay una cerradura, siempre hay un intruso que quiere poner a prueba su resistencia. Por pequeños fraudes, grandes robos o por «interés deportivo». Por eso los medios de comunicación producen constantemente noticias sobre cómo otro " artesano " consiguió engañar al algoritmo biométrico. ¿Es cierto que la tecnología de reconocimiento facial es tan vulnerable a la piratería informática? Descubramos qué tipos de ataques existen contra los sistemas biométricos y qué puede hacer la tecnología contra los atacantes.

Contenido

1. Robos de las bases de datos de los usuarios
2. Spoofing
3. Fraude en la base de datos:

1. Robos de las bases de datos de los usuarios

El robo de la base de los datos biométricos es uno de los temores más comunes de los usuarios. Y este temor es comprensible, porque la biometría es inalienable. A diferencia de una contraseña comprometida, no podemos cambiarla.

Ejemplo:

Uno de los incidentes más sonados ocurrió en 2018 en la India, donde unos atacantes desconocidos robaron la base de datos de más de mil millones de usuarios del sistema biométrico nacional Aadhaar. Curiosamente, los estafadores valoraron el acceso a la información robada en sólo 8 dólares. Los periodistas del periódico local The Tribune consiguieron comprar la base de datos por esa cantidad. El «trato» en sí se hizo por WhatsApp.

Solución:

En realidad, la mayoría de los temores de pérdida de la base de datos biométricos resultan infundados. Sí, no puede cambiar sus datos biométricos si se los roban. Pero también suele ser imposible que los defraudadores utilicen la información robada. Los sistemas biométricos modernos tienen una estricta despersonalización de la información para cada conjunto de datos y un sistema de almacenamiento distribuido. Las fotos de las personas, las plantillas biométricas y los datos personales se almacenan en bases de datos separadas de forma encriptada. La misma plantilla biométrica es esencialmente sólo 1Kb de datos abstractos. Conjunto de bits y bytes a partir de los cuales una red neuronal construye un vector en un espacio multidimensional. Es imposible reconstruir la foto de una persona o cualquier otra información a partir de ella. Incluso si el terminal biométrico es robado, los atacantes tendrían que pasar años descifrando las bases de datos. Se trata de una tarea que requiere mucho tiempo y recursos. Es un caso en el que ningún propósito puede justificar los medios.

Lo que hay que tener en cuenta:
Se suele creer que la principal amenaza de robo de datos biométricos la representan las empresas que los manejan: bancos, tiendas, centros de negocios, etc. En realidad, todo es mucho más sencillo. La principal fuente de vulnerabilidad es la propia persona. Sin darnos cuenta, estamos constantemente «lanzando» nuestros principales datos biométricos: la voz y el rostro. Por ejemplo, cuando publicamos selfies de las vacaciones, cambiamos nuestros avatares, hacemos un vídeo en las «historias» de las redes sociales o en los mensajeros populares, incluso cuando iniciamos un diálogo con los estafadores telefónicos. Nuestras redes sociales son una enorme biblioteca de datos abiertos. Y en el caso de los personajes públicos, es aún más fácil recopilar información: hay millones de fotos o vídeos de alta calidad de actores, políticos o cantantes en Internet. Para hacerse con ellos, no es necesario contratar a un equipo de hackers, elaborar un algoritmo para hackear la base de datos de un banco convencional o dedicar tiempo a desencriptar bóvedas. Así que, antes de temer a las filtraciones y hackeos «abstractos», vale la pena preguntarse si he asegurado mis datos lo suficientemente bien.

2. Spoofing

El spoofing es un ataque con datos falsos, en el que una persona se hace pasar por otra en el momento de la verificación. Es este elemento del sistema biométrico el que más interesa a los atacantes. Dependiendo de la clase y la sofisticación del algoritmo, la suplantación implica fotos de alta resolución (en papel o en pantalla), máscaras de papel o de silicona, y vídeos deepfake.

Ejemplo:

En cuanto aparecieron los algoritmos de reconocimiento facial en los teléfonos inteligentes, los intentos de hackear la tecnología comenzaron inmediatamente. En 2018, por ejemplo, un periodista de Forbes probó la protección biométrica. Creó un modelo de yeso en 3D de su cabeza y lo utilizó para desbloquear teléfonos de varios fabricantes: Samsung, LG y iPhone. Sólo el gadget de Apple fue capaz de superar la prueba.

Soluciones:

Cualquier algoritmo biométrico funciona sobre la base de una red neuronal. Y por muy «entrenado» que esté, sigue existiendo la posibilidad de error (negar falsamente el acceso a «lo propio» o conceder falsamente el acceso a «lo ajeno»). Sin embargo, cada año las redes neuronales son más inteligentes y los algoritmos mejoran. Si hace unos años era posible engañar al sistema con una máscara médica, un bigote falso o un maquillaje teatral, hoy en día esos métodos son simplemente inútiles. Incluso cuando se trata de la seguridad de nuestros gadgets. Por ejemplo, inicialmente los smartphones y los ordenadores portátiles estaban equipados con sensores de identificación 2D. Efectivamente, podrían ser «hackeados» utilizando una foto. El 2D ha sido sustituido gradualmente por la tecnología que utiliza imágenes faciales en 3D. En este caso, para engañar al sistema, hay que crear ya una máscara volumétrica o «deepfake» de alta precisión.

También es importante entender que la mayoría de los titulares de los medios de comunicación sobre la «falta de fiabilidad de la biometría» se refieren a lo que se conoce como hacks «domésticos». En general, se refieren a teléfonos inteligentes, tabletas u ordenadores portátiles. ¿Significa esto que los algoritmos biométricos de los aparatos Iphone y Samsung son peores que los de un banco convencional? Sí y no. Desde el punto de vista académico, estos sistemas son bastante precisos. En general, si se observan los 50 algoritmos biométricos más importantes del mundo según el NIST (Instituto Nacional de Estándares Tecnológicos), difieren entre sí en centésimas o incluso milésimas de porcentaje. Otra cuestión es que estos algoritmos precisos tienen que adaptarse a las necesidades de los usuarios y a las normas de seguridad. En un banco, los requisitos de seguridad son mayores, por lo que se puede sacrificar la comodidad del cliente en aras de la seguridad. Y los propios clientes lo comprenden: con la autenticación biométrica en una aplicación bancaria, estamos preparados inconscientemente para esperar más tiempo. Para los fabricantes de smartphones, la velocidad de verificación es más importante. Para que los usuarios no se quejen de que el teléfono se «congela» cuando tarda demasiado en reconocer su cara. Por ello, los sistemas biométricos se encuentran en el nivel de «mercado de masas»: son buenos para el uso diario, pero cometen errores con más frecuencia que sus «homólogos» más serios.

La precisión del sistema también depende del entorno en el que se vaya a utilizar. Ningún algoritmo puede ser engañado con un chasquido de dedos. Cualquier ataque requiere una preparación seria, una metodología bien desarrollada y ciertas competencias. Pero lo más importante es la privacidad. Puedes experimentar todo lo que quieras con cabezas de yeso, máscaras realistas en 3D, maquillaje, etc. Por cierto, los propios desarrolladores de soluciones biométricas están haciendo lo mismo en el contexto de las pruebas de sus propios productos. Sin embargo, la mayoría de estos métodos son prácticamente imposibles de aplicar en condiciones reales. Por supuesto, se puede intentar pasar por el ACS en la entrada de un centro de negocios utilizando un deepfake del smartphone. Pero tal maniobra será inmediatamente advertida por otras personas y por los agentes de seguridad. Las operaciones bancarias a distancia son otra cosa. En este caso, los requisitos de los algoritmos ya serán mayores.

  • Comprobación del nivel del «entorno»

La tecnología deepfake es un invento de los cineastas. Durante décadas se ha utilizado en la producción de películas, y sólo relativamente recientemente se ha popularizado. Hoy en día cualquiera puede crear un deepfake. No es necesario tener conocimientos y habilidades especiales para ello: basta con utilizar uno de los programas especiales. Crear un mejor deepfake ya requiere una inversión monetaria. El precio medio varía entre 300 y 3000 euros. Pero no basta con convencer a un sistema biométrico de la «autenticidad» de dicho modelo. Es sólo un tercio del trabajo. La protección de última generación contra el deepfake no sólo se orienta al reconocimiento facial, sino también al entorno: texturas, contraluz, deslumbramiento, presencia de objetos extraños. Incluso si se acerca al terminal biométrico deepfake de alta gama, que por sus características coincide con una plantilla biométrica de una base de datos, el sistema seguirá entendiendo que la cámara no es una persona viva, y la tableta con la imagen. Es trivial debido a las inconsistencias en el fondo real y el fondo en la foto.

  • Comprobación del nivel del espectro cromático

Hay Lifehack en Internet: puedes usar una foto sin filtro de infrarrojos para engañar a los biométricos: en modo nocturno. O imprimir una foto sin tinta negra. Sin embargo, esa foto mostrará un rostro poco natural con pupilas blanquecinas y cejas sin color. La mayoría de los terminales biométricos modernos pueden detectar fácilmente un cambio de cara. Por lo tanto, este método sólo es adecuado para modelos de cámara muy sencillos con una determinada gama espectral.

Actualmente, el 90% de los terminales biométricos pueden analizar una imagen en varios espectros: infrarrojo, infrarrojo 3D y visible convencional. Durante la verificación, comparan el equilibrio de la imagen en color con la imagen térmica.

  • Uso de varios productos biométricos

Si hablamos de la seguridad del perímetro físico, el uso de varios productos biométricos simultáneamente puede ayudar a minimizar el riesgo de daños por un posible algoritmo comprometido: tanto para el control de acceso y la videovigilancia, como para la autenticación de usuarios en un ordenador de servicio. De este modo, aunque un intruso consiga burlar el sistema de control de acceso y acceder al lugar, la videovigilancia biométrica controlará continuamente los derechos de acceso de los usuarios en segundo plano. Y si se viola, el servicio de seguridad será notificado tarde o temprano de todos modos.

  • Pruebas multifactoriales

Para lograr la máxima seguridad, se recomienda utilizar la biometría junto con otros factores para verificar la identidad de una persona. Otros métodos son las contraseñas, los códigos SMS, los códigos pin, las tarjetas de acceso, los documentos de identidad, etc.

  • Algoritmos de detección de Liveness

Los algoritmos de detección Liveness, utilizados en los modernos productos biométricos, son también un medio de protección crucial. Su tarea es asegurarse de que haya una persona viva frente a la cámara. Hoy en día existen muchas variantes de estos algoritmos en el mercado, con diferentes enfoques de verificación. Por ejemplo, existe el análisis contextual o de marco, en el que una red neuronal comprueba si un rostro humano se encuentra en el entorno natural. No hay ningún marco alrededor de él desde un teléfono o una tableta. El análisis de la textura, en el que el sistema tiene en cuenta la posición de las sombras en el rostro, la presencia de reflejos y los brillos en la piel, se está desarrollando rápidamente. Existen herramientas de verificación de dos factores que requieren sensores adicionales: infrarrojos, ultravioleta o 3D. Los sensores de infrarrojos, por ejemplo, nivelan todo el espectro visible de colores de la cara de una persona, incluido el maquillaje o incluso la barba de caballo. Los láseres 3D construyen un modelo tridimensional del rostro de una persona y analizan su precisión.

Un método muy popular es realizar las pruebas en línea. En este caso, el sistema pide a la persona que realice varias acciones: girar la cabeza, sonreír, poner cara triste, parpadear. No se analiza tanto la ejecución de la orden, sino la naturalidad y suavidad de la motricidad facial y la uniformidad de las texturas en el movimiento. El modo operativo Liveness es el más utilizado. Sin embargo, tiene dos desventajas importantes. En primer lugar, debido a la popularidad del método, la mayoría de los deepfakes están dirigidos precisamente a engañar con él. Y en segundo lugar, las comprobaciones complejas suelen ser un inconveniente para los propios usuarios. Por eso el deepfake ha quedado obsoleto hoy en día: métodos más modernos lo están sustituyendo. El mismo análisis de la textura.

3. Fraude en la base de datos:

El «eslabón» más vulnerable de cualquier sistema de seguridad suele ser el humano. En el caso de la identificación biométrica, se trata sobre todo de un posible abuso por parte del personal de seguridad.

Ejemplo:

Decide convertir el sistema de control de acceso de su oficina en un sistema de reconocimiento facial. Elige un software de gran calidad de un proveedor fiable con un algoritmo de reconocimiento facial de primera línea, verificación Liveness y bases de datos seguras. Pero en algún momento, un guardia de seguridad o un recepcionista sin escrúpulos se confabula con un intruso e introduce su perfil biométrico en la base de datos común. Así, el defraudador no necesita engañar al algoritmo: ya lo confunde con «uno de los suyos».

Solución:

Se puede ayudar a minimizar el elemento humano siguiendo los principios del modelo de seguridad de Zero Trust. Primeramente es la regla de los privilegios: cualquier empleado sólo tiene acceso al conjunto de funciones y datos necesarios para su trabajo, de acuerdo con el cargo y los derechos de acceso del empleado. Por ejemplo, sólo el jefe de seguridad tendrá derecho a crear nuevos perfiles en la base de datos, pero no los guardias. Al mismo tiempo, la operación tendrá que ser confirmada por alguien de la alta dirección de la empresa. En segundo lugar, se trata de un control permanente de la identidad de la persona autorizada. En este caso, a la hora de expedir tarjetas de identificación u otras acciones importantes, el agente de seguridad tendrá que confirmar su identidad cada vez.

La biometría facial también puede utilizarse para diferenciar los derechos de acceso y para la verificación adicional de la identidad de los empleados. Puede leer más sobre cómo se utiliza la tecnología biométrica para realizar el concepto de Zero Trust en un artículo especial de nuestro blog.

Las redes neuronales en la tecnología biométrica en general se están desarrollando increíblemente rápido. Aunque todavía hay informes ocasionales en los medios de comunicación sobre fraudes biométricos, cada año los algoritmos son menos vulnerables a posibles ataques. Ya no es posible engañarlos con una foto buena o una máscara. Se necesitará mucha más experiencia, esfuerzo y, sobre todo, dinero. Así pues, el desarrollo de sistemas biométricos pone en cuestión la propia viabilidad financiera de la piratería y el recurso del tiempo.

Подписывайтесь на наши новости