La detección de vida hace más difícil el ataque biométrico
22 April, 2014
category: Huellas digitales
Pero la impresión 3D y las técnicas avanzadas son también una ayuda para los estafadores
Durante todo el tiempo en que la tecnología biométrica ha sido empleada para el acceso a las áreas seguras, también se han producido intentos de burlar esos escáneres. Combatir a los falsificadores biométricos, los denominados spoofers, es un proceso en desarrollo y gana más atención a medida que la tecnología biométrica se ha posicionado para jugar un rol clave en el futuro de la seguridad móvil. Los verdaderos avances en la reducción de esos fraudes están teniendo lugar en el terreno de la detección de vida.
“Primeramente estamos trabajando en la detección de vida en las huellas digitales en la parte del software, y en el aspecto del algoritmo”, señala Stephanie Schuckers, Profesora Asociada de Clarkson University.
El término “spoofing” es algo parecido a una entrada Wiki, ya que la definición continúa ampliándose y cambiando a través del tiempo. Tan es así que si uno le pregunta a cinco personas diferentes cómo definen “spoofing”, posiblemente darían cinco respuestas diferentes.
Para luchar contra esta confusión y caracterizar mejor esa amenaza, Schuckers y otros especialistas están acuñando un nuevo término: ataque de presentación. “Spoofing es un término general que puede referirse a un montón de cosas diferentes. ¿Se trata de un individuo específico? ¿Se está usando una biometría falsa? Sigue existiendo mucha confusión”, plantea Schuckers. “Estamos fundamentando nuestro vocabulario de modo que todos hablemos de la misma cosa”.
El término ‘ataque de presentación’ es bastante específico y se refiere a cómo uno presenta una biometría y trata de interferir en las operaciones del sistema biométrico.
Cuando se trata de ataques de presentación, los elementos principales a considerar son si la imagen aplicada al sensor es una parte real del cuerpo y si la imagen obtenida pertenece realmente a la persona que la proporciona. Se produce la detección de vida.
La metodología
Dos días después de su lanzamiento, el sensor de huellas digitales Touch ID de Apple, fue víctima de un ataque spoofing, que ha sido posiblemente el de más alto perfil de la historia reciente. ¿Qué implica entonces el proceso de spoofing? Según Mark Cornett, director de operaciones de NexID, para burlar un sistema de reconocimiento de huellas digitales, el primer paso involucra la adquisición de los datos biométricos originales en forma de una impresión latente o levantada. Esto puede obtenerse de una superficie apropiada, como cristal, el pomo de la puerta o un dispositivo con pantalla táctil, un proceso que según Cornett es tan sencillo como rápido. “Se pueden adquirir impresiones latentes con una variedad de métodos, todos los cuales implican el realce o mejoramiento de la impresión, y la captura mediante una cinta para el levantamiento de la huella o una fotografía”, explica Cornett. “La impresión obtenida es digitalizada, cosa que puede hacerse con mucha rapidez. Con la impresión digitalizada muchos ataques se realizan utilizando una imagen de alta resolución de la huella digital, que se presenta al escáner. Este método puede parecer simple, pero se está haciendo más sofisticado. Un método más complejo es cuando el estafador crea un molde a partir de la imagen de la huella y con este confecciona un dedo falso. Otro método es grabar la imagen en un circuito impreso o convertirla de 2D a 3D e imprimirla con una impresora 3D. Adobe Photoshop puede facilitar esta conversión 2D-a-3D.”
Se comercializan métodos para detectar los ataques de presentación
La creciente adopción de sistemas de reconocimiento biométrico ha hecho surgir una nueva industria, el negocio de la detección de vida. NexID es un resultado de ese proceso, un grupo surgido de Clarkson University, que se formó para comercializar las tempranas investigaciones sobre detección de vida. Al poco tiempo esa compañía empezó a atraer el interés de los fabricantes de equipos para la detección de huellas digitales. Nex ID desarrolló una aplicación basada en software para la detección de vida. “Es una aplicación basada en extractor que imita el software de coincidencia y puede detectar las diferencias entre imágenes vivas y las generadas por una falsificación”, explica Cornett. “Realiza procesamiento de imágenes y análisis estadísticos basados en un conjunto de algoritmos y tiene aproximadamente 160 funciones”.
Mientras que las ofertas de NexID se basan estrictamente en software, hay otros métodos disponibles para enfrentar estos ataques. “Los fabricantes de escáneres y sensores están dando pasos para incorporar en sus dispositivos las técnicas de detección de vida y disminuir los ataques”, señala Cornett. “Algunos incluyen la obtención de datos biométricos adicionales mediante los cuales pueden inferir que hay vida, como es la temperatura o el flujo sanguíneo…otros miden la deformación del material que se escanea, en comparación con la deformación de la piel, y hay otros que están empleando software y procesamiento de imágenes para discernir diferencias entre vida y falsificación”. Se están desarrollando estándares internacionales para establecer pruebas para escáneres y sensores respecto a los ataques comunes de presentación.
Laboratorio sobre fraude
NexID mantiene su propio laboratorio sobre el fraude, una verdadera zona cero para cualquier tipo de experimento de reconocimiento biométrico. Es aquí que Cornett y el resto del equipo de NexID hacen las pruebas no solo de métodos y materiales empleados para los ataques, sino también de productos de escaneo y sensores.
El equipo utiliza el laboratorio en muchas formas. “Analizamos vulnerabilidades sobre cualquier dispositivo que caiga en nuestras manos”, dice Cornett. “Esto nos ayuda a aprender cosas sobre diferentes tecnologías de huellas digitales…Cuando un fabricante de sensores acude a NexID, lo hace con la seguridad de que su producto pasará por todos los pasos para encontrar cualquier anomalía que lo haga susceptible a ataque de presentación”.
Otro enfoque primordial en el trabajo del laboratorio de NexID es descifrar cuál será el próximo método que se utilice en un ataque de presentación. O sea, estar por delante del estafador. “Somos como una compañía anti-virus en ese sentido, tratamos de pensar más allá que los atacantes, descubrir y probar diferentes materiales o tecnologías que puedan usar”, señala Cornett.
La frontera móvil
A expensas de hacer leña del árbol caído, el sensor Touch ID de Apple marca una nueva era en la biometría. Muchos creen que el futuro de la biometría está en el sector móvil, y que la electrónica de consumo sea la que señale el camino. Pero el cambio hacia el sector móvil también significa que los ataques de presentación han de evolucionar y se impone la interrogante acerca de lo que depara el futuro de la biometría móvil.
“Históricamente nuestros clientes han sido los fabricantes de dispositivos periféricos, que son controlados por PC, laptops y servidores; y el desarrollo original de nuestro software estaba orientado hacia esa plataforma”, plantea Cornett.
Se realizan esfuerzos para rediseñar la arquitectura. “Confiamos en mantener el mismo o mejor rendimiento en la plataforma móvil en el futuro”, señala Cornett.
Por la parte académica, la labor realizada por Schuckers y sus colegas en Clarkson hace énfasis en la importancia del progreso, y también de la comprensión del tema. “Estoy estimulando el empleo de todos los factores que sea posible para detectar los ataques de presentación, pero también pienso que debemos reconocer que la biometría en sí misma tiene vulnerabilidades, como ocurre con cualquier otra medida de seguridad”, señala Schuckers. “Tenemos que estar conscientes de cuáles son esas vulnerabilidades, ver la forma en que utilizamos la biometría y evaluar esos aspectos vulnerables”.
Nuevos materiales diversifican las formas de ataque
La tecnología utilizada para los ataques de presentación indudablemente está evolucionando y la mayoría de los materiales siguen siendo productos de consumo comunes y cotidianos. Pero Cornett señala que puede existir ya una nueva generación de materiales para este tipo de falsificación.
Él explica que cuando uno va un paso más allá en el proceso de moldeo, con los avances de la impresión tridimensional, el ataque de presentación supone un nuevo nivel de riesgo. Una característica particular de la huella digital que puede pasar desapercibida en la práctica es la humedad que los poros secretan de forma natural. Este es uno de los elementos clave que acciona los sensores táctiles capacitivos y es posible, según Cornett, que los falsificadores encuentren pronto una solución para esto.
Puede encontrar más pormenores sobre el tema en el artículo original en inglés.