En estos últimos años, la biometría ha sido considerada como una solución segura y conveniente para la autenticación de identidad, desde el reconocimiento facial hasta las huellas dactilares. Sin embargo, la perfección de esta tecnología puede tener más falencias de las que imaginamos. Un caso emblemático ilustra esta vulnerabilidad: un usuario logró eludir el sistema biométrico de ID.me, generando pérdidas de 3,4 millones de dólares mediante el uso de identidades sintéticas.
Además, los cibercriminales están cada vez más enfocados en obtener la información biométrica de los usuarios, como se evidenció en la estafa del Sistema de Pago Habilitado por Aadhaar (AePS) en Bihar. Los cibercriminales clonaron huellas dactilares de diversas personas, utilizando pretextos engañosos para acceder a sus datos biométricos. Esto les permitió llevar a cabo transacciones fraudulentas y robar importantes sumas de dinero.
Por esta razón, en este artículo analizaremos algunos aspectos menos conocidos de la biometría, incluyendo la relevancia de la norma ISO 30107-1 para pruebas de pentesting, el creciente uso de las deepfakes y la amenaza emergente de las identidades sintéticas.
Primero, ¿qué es la biometría?
La biometría, según la norma ISO/IEC 2382-37, se define como «la capacidad de un sistema para el reconocimiento automático de individuos en función de sus características biológicas y de comportamiento». Esta tecnología se ha vuelto moneda corriente en nuestra vida diaria, desde el desbloqueo de teléfonos móviles hasta su uso en instituciones financieras para cumplir con los requisitos de KYC (del inglés, know your costumer) y en la gestión de accesos a sistemas críticos.
Sin embargo, a medida que más servicios adoptan la biometría, también aumentan los riesgos relacionados con la exposición y el uso indebido de datos sensibles. Por ello, es fundamental implementar medidas de protección robustas que garanticen la seguridad de los datos.
¿Cómo aseguramos la seguridad en los sistemas biométricos?
Una de las herramientas clave para asegurar la biometría es la norma ISO 30107-1. Esta norma internacional define los métodos para evaluar la seguridad de los sistemas biométricos contra ataques, garantizando que puedan resistir intentos de suplantación o engaño.
Dentro de la ISO 30107-1 se establecen diferentes métricas y se detallan los niveles necesarios para probar un sistema biométrico, lo que permite a las organizaciones identificar debilidades en sus sistemas antes de que los actores de amenazas puedan explotarlas. Adicionalmente, proporciona directrices para simular ataques y analizar la respuesta del sistema. De esta manera, las organizaciones pueden detectar con anterioridad técnicas de suplantación, como el uso de máscaras o huellas falsas.
Un ejemplo reciente de la importancia de estas medidas para evitar la suplantación de identidad es el ataque que realizó un grupo de actores de amenazas que logró eludir un sistema de reconocimiento facial del gobierno chino, generando pérdidas de 76,2 millones de dólares. Este hecho destaca la necesidad de una evaluación rigurosa y continua de los sistemas biométricos.
Para ello, la norma establece tres niveles para identificar que un sistema biométrico es seguro:
- Nivel 1 (básico): verifica la resistencia del sistema frente a ataques simples como imágenes estáticas o huellas dactilares falsificadas.
- Nivel 2 (intermedio): examina la capacidad del sistema para resistir técnicas más avanzadas como moldes 3D o modelos faciales detallados.
- Nivel 3 (avanzado): evalúa la robustez contra ataques altamente sofisticados, incluyendo tecnología avanzada como deepfakes. Estos niveles permiten una evaluación exhaustiva de las vulnerabilidades del sistema y aseguran su capacidad para enfrentar una gama de amenazas, desde las más básicas hasta las más complejas.
Con métodos de engaño cada vez más sofisticados, es esencial probar la resistencia de los sistemas biométricos. Realizar pruebas de penetración conforme a la ISO 30107-1 no solo mejora la seguridad, sino que también demuestra un compromiso con la protección de datos, clave para ganar la confianza de usuarios y socios.
Deepfakes contra sistemas biométricos
Las deepfakes, creadas con inteligencia artificial, pueden generar imágenes y videos falsificados extremadamente realistas. A medida que estas tecnologías evolucionan, también lo hacen los riesgos para el reconocimiento facial y otros métodos biométricos. Es importante mencionar que en la actualidad no hace falta ser un experto en inteligencia artificial para generar deepfakes, ya que están al alcance de cualquiera, no solo a través de aplicaciones sino también del acceso de código abierto.
Uno de los principales impactos que pueden tener las deepfakes con respecto a la biometría están relacionados con la suplantación de identidad: las deepfakes pueden ser utilizadas para falsificar identidades en sistemas de reconocimiento facial. Esto ya lo estamos viendo en diversas noticias, las cuales evidencian cómo los sistemas biométricos pueden ser vulnerados.
Identidades sintéticas: amenaza emergente
Las identidades sintéticas se crean combinando datos reales y falsos para formar perfiles digitales completamente nuevos. Estas identidades pueden ser usadas para pruebas o fraudes financieros, con estimaciones que sugieren pérdidas de hasta 23 000 millones de dólares para 2030[1].
Uno de los casos más emblemáticos de fraude financiero con identidades sintéticas involucró a un delincuente que presentó al menos 180 solicitudes de desempleo fraudulentas en California entre octubre de 2020 y diciembre de 2021, evadiendo el sistema de verificación de identidad automatizado de ID.me. Para crear estas identidades sintéticas, el cibercriminal recolectó diversas identidades reales y generó licencias de conducir falsas utilizando datos robados y fotografías de sí mismo. De este modo, combinó datos de usuarios reales con su propia imagen para obtener documentos fraudulentos.
Los sistemas financieros generalmente cuentan con dos etapas: una en la que se ingresa un documento y otra en la que el usuario debe demostrar su identidad a través de biometría. Sin embargo, el delincuente logró eludir este sistema biométrico. Como resultado, las solicitudes fraudulentas fueron aprobadas y recibió más de 3,4 millones de dólares en pagos.
Este caso refleja que, para enfrentar el desafío de las identidades sintéticas, la biometría debe pasar por servicios exhaustivos de pentesting enfocados, que simulen estas amenazas.
No existen sistemas infalibles
La biometría está en constante cambio, adaptándose a los nuevos retos del mundo digital. Con la evolución de las identidades sintéticas y las tecnologías como las deepfakes, nuestras soluciones de seguridad biométrica deben mantenerse al día.
Actualmente, la biometría es una solución central en la autenticación y lo será aún más en el futuro; pero para que sea infalible, es vital probar y fortalecer la seguridad de los sistemas. La clave será combinar innovación tecnológica con rigurosos estándares de seguridad, para garantizar que la biometría no solo avance, sino que se mantenga a salvo de las amenazas emergentes.
No existe un sistema infalible; cada tecnología de seguridad tiene sus vulnerabilidades y siempre es susceptible a nuevas formas de ataque: la biometría no es la excepción.
[1] Deloitte - https://www2.deloitte.com/content/dam/insights/articles/us176550_cfs_fsi-predictions_behavioral-biometrics-and-banking/US176550_Behavioral-biometrics-and-banking.pdf
