¿Se pueden robar los datos biométricos?

Cada vez se almacenan más datos digitales valiosos en línea, y a cada vez más delincuentes les encantaría tener en sus manos esos datos digitales. Si bien los delincuentes tienen muchas formas de acceder a datos que no son suyos, uno de los métodos más comunes es robar datos utilizando el nombre de usuario y la contraseña de alguien que ya tiene acceso a esos datos.

Desde 2008, Verizon, una de las mayores empresas de telecomunicaciones del mundo, elabora un informe anual de robo de datos (DBIR). El informe de resultados y análisis de 2022 documenta los hallazgos de más de 914 547 incidentes y 234 638 robos de datos para los que Verizon y sus socios tienen datos. Las conclusiones más importantes de la investigación son:

  • El robo de datos afecta a una variedad de industrias, incluidas la financiera, la atención médica, la venta al por menor y otras.
  • El 80% de los ataques que comprometen los datos provienen de fuera de la organización.
  • El 96% de estos ataques externos están motivados por ganancias financieras o personales.
  • El principal tipo de ataque (más del 40%) es el robo de datos del usuario (hacking).

“No es difícil para los criminales hábiles robar cuentas de usuario”, dijo. ricardo amper, CEO y fundador de Incode. “A veces es posible adivinar la contraseña de alguien, especialmente si la contraseña es extremadamente simple. En otros casos, un delincuente puede engañar a una persona para que revele su nombre de usuario y contraseña: por ejemplo, al convencer a una persona de que “inicie sesión” para un sitio falso que se parece exactamente a uno legítimo.

Una vez que el delincuente conoce el nombre de usuario y la contraseña de la persona a la que se dirige, tiene acceso a todos los datos del usuario. Si el objetivo es obtener ganancias financieras, el saldo de la cuenta del usuario se puede vaciar en segundos.

Por supuesto, existen alternativas a las cuentas de usuario y contraseñas, como las claves de acceso utilizadas por FIDO Alliance y empresas como Manzana. Si bien las claves de acceso se consideran más seguras que las contraseñas, dependen de otras tecnologías para identificar a los usuarios. Por ejemplo, las claves de acceso de Apple usan tecnologías como Touch ID y Face ID, que por supuesto usan biometría.

¿Se pueden robar los datos biométricos?

Los ejemplos de robo de cuenta anteriores asumen que la cuenta consta de un nombre de usuario y una contraseña de texto. Aunque muchos sistemas aún administran el acceso utilizando solo un nombre de usuario y una contraseña, existen otras formas de administrar el acceso. Uno de los nuevos métodos de control de acceso es el uso de funciones biométricas, como huellas dactilares o rostros, en lugar de una contraseña de texto.

Por ejemplo, una persona que accede a un sistema pondrá su rostro frente a un teléfono inteligente, quiosco o cámara especial, y el sistema calculará las características del rostro y las comparará con las características en los registros del propietario verificado de la cuenta. Si los dos coinciden, el sistema otorgará acceso.

Este método funciona… hasta que el pirata informático “roba” sus atributos biométricos de la misma manera que los piratas informáticos roban contraseñas. Y sí, es posible “robar” atributos biométricos… pero no en todos los casos.

Cuando se trata de nuestra cara, el robo puede ocurrir de dos maneras:

Un delincuente puede usar una foto o un video de la cara de cierta persona y usar eso para acceder al sistema. Cuando el sistema espera el rostro de esa persona, el delincuente mostrará una imagen o un video del rostro de esa persona.

Una forma aún más sofisticada es que el delincuente cree una máscara que se vea exactamente como la cara de la persona y use la máscara mientras intenta acceder al sistema. Luego, el sistema “ve” una cara que parece la cara de un usuario legítimo.

Sin embargo, los sistemas biométricos avanzados no se dejan engañar por imágenes, videos o máscaras. Incluyen funciones que permiten detectar casos en los que alguien intenta engañar al sistema. Los sistemas de autenticación biométrica diseñados correctamente permiten solo el uso de caras “vivas” para acceder al sistema.

La detección activa de vida no es la mejor solución

Una de las primeras formas en que los sistemas de autenticación biométrica derrotaron la suplantación de identidad fue mediante la implementación de una forma simple de “detección de vida” para garantizar que el rostro presentado a la cámara sea en realidad el rostro de una persona, no solo una imagen o máscara de un rostro.

La solución original a la vivacidad era exigir a la persona que realizara ciertos movimientos faciales. Después de todo, una imagen estática no se puede mover.

El método para implementar la detección de vida “activa” fue pedirle a una persona que realizara una serie de acciones frente a una cámara de captura de rostros. En teoría, la persona no tenía idea de qué acciones se le solicitarían, por lo que no podía pregrabar un video con los movimientos faciales correctos.

Por ejemplo, un sistema de autenticación puede colocar un punto en la pantalla y pedirle a la persona que mueva su rostro en el mismo patrón que el punto. Esto prueba que el rostro en cuestión es un rostro real en vivo y no solo una imagen estática de un rostro.

Sin embargo, hay dos inconvenientes en la detección activa de vida

Toma tiempo. Los usuarios quieren acceder a sus cuentas lo más rápido posible. No quieren esperar unos segundos más y lidiar con los movimientos de la cabeza. Quieren mirar a la cámara e inmediatamente acceder a su cuenta.

En el mundo real, puede ser difícil para un usuario mover la cara de cierta manera. Si no pudo mover la cara de la manera correcta, obtendría un error. Después de demasiados errores, el usuario puede darse por vencido y abandonar la solución. (68% de los clientes que inician el proceso de acceso digital a las entidades financieras lo abandonarán por motivos como este).

Detección de vida pasiva que no requiere acciones adicionales por parte del usuario como la solución más avanzada

Para brindar seguridad y promover la facilidad de uso, la startup serbio-mexicana Incode introdujo un sistema pasivo de detección de vida al desarrollar el sistema de autenticación.

Las pruebas de vida pasiva detectan imágenes falsas al examinar el movimiento o la textura de la piel en una sola imagen sin que el usuario tenga que mover la cabeza en diferentes direcciones. La detección precisa de vida pasiva no solo ofrece seguridad contra el fraude, sino que al mismo tiempo garantiza una experiencia de usuario sencilla y fácil. El usuario accede al sistema de forma segura sin perder demasiado tiempo ni mover la cabeza.

Recientemente, incluso la organización iBeta anunció que había realizado pruebas de detección de ataques en la solución de Incode. A pesar de los 1500 intentos de falsificar una cara en vivo, 0 intentos fueron exitosos. En codigo fue una de las primeras empresas en recibir una carta de confirmación de iBeta que documentaba el éxito de su solución de detección de estado en vivo.

Esta capacidad de autenticar de manera confiable a los usuarios en función de su rostro en vivo reduce drásticamente las oportunidades de que los delincuentes accedan a los datos en los sistemas protegidos por Incode. Tanto los usuarios de estos sistemas como las instituciones que los implementan tienen la seguridad de que los datos del usuario permanecen seguros y privados.

fue modificado por última vez: por


Source: ITNetwork by www.itnetwork.rs.

*The article has been translated based on the content of ITNetwork by www.itnetwork.rs. If there is any problem regarding the content, copyright, please leave a report below the article. We will try to process as quickly as possible to protect the rights of the author. Thank you very much!

*We just want readers to access information more quickly and easily with other multilingual content, instead of information only available in a certain language.

*We always respect the copyright of the content of the author and always include the original link of the source article.If the author disagrees, just leave the report below the article, the article will be edited or deleted at the request of the author. Thanks very much! Best regards!