Biometría y detección de signos vitales y de fraudes

La biometría usa identificadores biológicos exclusivos de un individuo para verificar su identidad. Esta autenticación basada en la inherencia presenta una mejora ideal para la autenticación basada en la posesión (algo que solo tiene usted) o basada en el conocimiento (algo que solo sabe usted) Sin embargo, la autenticación biométrica es susceptible a los “ataques de presentación” como engaños, pero intentan desarticular una verificación biométrica o proceso de identificación. La ejecución del ataque de presentación variará según la modalidad biométrica; es decir, si la técnica biométrica usa huellas digitales, rostro, iris, voz o biométrica de pulsación de teclas.

En el reconocimiento facial, la detección de signos vitales se usa para distinguir entre una imagen en vivo y una representación en 2D, 3D o la representación digital del rostro de un usuario.

Algunas modalidades son más difíciles de falsificar que otras. Es más, los estafadores usarán diferentes técnicas para evitar el fraude para cada modalidad. Por lo tanto, los mecanismos requeridos para detectar fraudes y otros ataques de presentación también deben estar específicamente diseñados para la modalidad.

La detección de signos vitales no solo resulta útil para la autenticación pero también para las pruebas de identidad. Cuando la autenticación biométrica involucre la verificación de que el usuario es la misma persona que inicialmente se enroló, las pruebas de identidad biométrica pueden realizarse como parte de un proceso de incorporación para verificar que el interesado es, de hecho, una persona real. Un ejemplo es usar una aplicación de banca móvil para solicitar una cuenta nueva. La persona no es conocida para el banco, de manera que la detección de signos vitales pueda usarse para confirmar que el interesado no está tratando de abrir una cuenta fraudulenta.

¿Qué es un ataque de presentación?

Un ataque de presentación es cualquier intento para interferir con el propósito pretendido de un sistema biométrico. La falsificación es un tipo de ataque de presentación.

Un estafador puede usar ataques de falsificación para personificar a alguien para desarticular un mecanismo de autenticación biométrica. Por ejemplo, para falsificar un algoritmo biométrico facial, pueden intentar usar un imagen que no es en vivo, como un video o fotografía para hacerse pasar por una victima identificada. Para las huellas dactilares, pueden usar un “dedo gomoso” creado al fundir las huellas dactilares en arcilla.

Otro tipo de ataque de presentación implica intentos por encubrir una identidad verdadera para evitar ser identificado en una búsqueda biométrica. Un individuo puede dejarse crecer el vello facial o usar maquillaje y prótesis que alteren su apariencia, lo que podría ayudar a engañar una búsqueda biométrica múltiple. De lo contrario, puede intentar estropear sus huellas dactilares. Cada situación podría permitir potencialmente que se inscriban con más de una identidad.

Para realizar una autenticación biométrica en un teléfono inteligente Android, Google diferencia ente ataques de “impostor” y ataques de “falsificación”, cuando el primero es un intento por parte de un estafador para suplantar a la víctima al camuflar sus propias características, y el último usa una representación que no es en vivo, como un video o grabación de audio. Google establece mediciones para la detección de ataques, con un umbral de tasa de aceptación del 7 % o menos de seguridad robusta; es decir, el porcentaje de veces que no se detecta un ataque. Esto es comparable con una “falsa tasa de aceptación” biométrica que representa la probabilidad de que una persona es incorrectamente identificada como una correspondencia biométrica.

¿Qué es la detección de signos vitales?

Se trata de cualquier técnica usada para detectar un intento de falsificación al determinar si la fuente de una muestra biométrica es una persona o una representación falsa. Esto se logra a través de algoritmos que analizan datos recopilados de sensores biométricos para determinar si la fuente es en vivo o es una reproducción.

Existen dos principales categorías de detección de signos vitales:

Activa: Invita al usuario a realizar una acción que no puede replicarse fácilmente con un engaño. También puede incorporar múltiples modalidades, como análisis de pulsación de datos o reconocimiento del interlocutor. El último puede analizar movimientos de la boca para determinar los signos vitales.

Pasiva: Usa algoritmos para detectar indicadores de una imagen que no es en vivo sin la interacción de un usuario. La captura de datos biométricos de alta calidad durante enrolamientos mejora el rendimiento de correspondencia y los algoritmos de detección de signos vitales.

Según el escenario, se puede optar por una categoría o la otra, pero generalmente funcionan bien juntas.

Reconocimiento facial y detección de signos vitales: Un ejemplo

El reconocimiento facial es una modalidad biométrica ideal para la autenticación mediante dispositivos móviles. Es intuitivo y adaptable a la mayoría de los dispositivos móviles, con integración de cámara extendida en dispositivos comerciales. Funciona con una postura de “selfie” familiar. Sin embargo, la amplia disponibilidad de las imágenes faciales digitales a través de las redes sociales hace que la biométrica facial sea más susceptible para la falsificación. Por este motivo, es crucial solicitar la detección de signos vitales sólidos para soluciones de autenticación biométrica móvil que usan reconocimiento facial.

En el reconocimiento facial, la detección de signos vitales se usa para distinguir entre una imagen en vivo y una representación en 2D, 3D o digital del rostro de un usuario. Otros intentos de falsificación pueden involucrar el uso de una máscara 3D. Los intentos de falsificación pueden ser detectados a través de algoritmos que reconocen artefactos de una muestra que no es en vivo, y pueden usar medidas “activas”, como una segunda modalidad (p. ej., voz o análisis de pulsación de teclas). Los métodos de detección de signos vitales reducen significativamente la eficacia de los ataques por falsificación y de otras presentaciones.