5 formas en que se puede falsificar la seguridad biométrica

¿Recuerdas cuando eras un niño e intentabas imaginar cómo sería el mundo en el lejano año de ciencia ficción de 2021? ¿Qué te imaginaste? ¿Vacaciones de fin de semana a la luna? ¿Coches voladores y mochilas propulsoras que te llevarán por las ciudades elevadas? ¿Mayordomos robot? ¿El fin de todas las enfermedades? ¿Replicadores y holocubiertas al estilo de Star Trek?

Bueno, sal de ahí, chico. Así es realmente 2021:

En caso de que no lo supiera, esa es la práctica puerta de reconocimiento facial sin contacto de NEC. Sí, ¡ya no tiene que preocuparse por manipular su máscara para permitir que su jefe algorítmico escanee su rostro y le permita la entrada a un edificio, terminal o perímetro de seguridad! Gracias a la buena gente de NEC, ahora puede mantener su distanciamiento social y ser rastreado y conducido electrónicamente como el ganado tributario flexible que es sin siquiera quitarse la máscara.

«¿Pero qué hay de esas pobres almas que viven en naciones del tercer mundo?» Te escucho preguntar. ¡Nunca temas! Gracias a la tecnología sin fines de lucro Simprints Technology (en asociación con Gavi, la Fundación Bill y Melinda Gates, USAid y otras instituciones filantrópicas benevolentes), ¡también hay escáneres biométricos sin contacto para ellos! La solución biométrica de Simprints permite a los gobiernos etiquetar y rastrear de manera más efectiva su propiedad humana, emitirles una marca electrónica y asegurarse de que se procesen a través del sistema sin tener que acercarse a seis pies de otro ser humano.

Y en caso de que esté molesto porque se está perdiendo la diversión, puede estar seguro de que alguna versión de identificación biométrica se implementará en su área local en un futuro muy cercano. . . todo para mantenerte a salvo del mortal virus, por supuesto. (¿Alguien dijo pasaporte COVID?)

Pero solo hay una pequeña cosa a considerar en esta carrera precipitada para obtener la totalidad de los detalles biométricos de la especie humana ingresados en la matriz de la computadora: los sistemas biométricos son notoriamente defectuosos, pirateados y abiertos a la falsificación. Pero, ¿por qué dejar que un pequeño robo de identidad se interponga en el camino de la Nueva Normalidad Biométrica, eh?

Aún así, para aquellos que insisten, aquí hay un desglose de solo cinco de las formas en que esta tecnología de escaneo biométrico puede ser pirateada, manipulada, falsificada o engañada.

  1. Forjar huellas dactilares.

Tu huella digital. Tan únicos como un copo de nieve, esos remolinos y espirales en los extremos de sus huellas dactilares son, como todos sabemos por una gran cantidad de historias de detectives o procedimientos criminales, perfectos para identificarlo en la escena de un crimen. Pero antes de que se convirtieran en una prueba básica para los tipos de Scotland Yard, Charles Galton, el padre de la eugenesia, sistematizó el estudio de las huellas dactilares.

No debería sorprender entonces que las huellas dactilares fueran lo primero a lo que recurrieron los científicos en su búsqueda para crear un sistema de identificación biométrica. En 2021, ya hemos superado el punto en el que el escaneo de huellas dactilares se considera una especie de forma futurista y de ciencia ficción de obtener acceso a un sistema. De hecho, con la llegada de TouchID, muchas personas en todo el mundo ahora usan su huella digital como contraseña de forma natural.

Pero mientras ha habido sistemas de identificación de huellas dactilares, ha habido advertencias de que dichos sistemas se falsifican fácilmente.

Como en 2002, cuando los investigadores japoneses utilizaron gelatina de ositos de goma para moldear dedos falsos que podían engañar a los detectores de huellas dactilares el 80% de las veces.

Para 2005, los investigadores en los EE.UU. habían aumentado la tasa de verificación de huellas dactilares falsas al 90% utilizando materiales dentales, Play-Doh y dedos de cadáveres cortados.

¿Cree que los fabricantes de escáneres de huellas dactilares podrían solucionar fácilmente estas burdas falsificaciones? Piensa otra vez. En 2016, un periodista pudo usar el mismo molde dental y el mismo truco Play-Doh para hackear un iPhone en cinco minutos. De hecho, asegura que habría tardado menos si hubiera tenido una foto pública de la mano en cuestión. Eso tampoco es una exageración. En 2014, un pirata informático usó una foto tomada de la ministra de defensa alemana Ursula von der Leyen en una conferencia de prensa para clonar su huella digital.

¿Todavía cree que la identificación de huellas dactilares es una buena idea? Ok, ¿qué tal el reconocimiento facial? . .

2. Falsear Rostros.

Usar un escaneo facial para «desbloquear» un sistema digital puede parecer tan plausible como usar una huella digital. Después de todo, todos tienen una cara única, ¿verdad?

Bueno, no. En realidad, incluso un segundo pensamiento podría traer algunas excepciones interesantes a esa regla. ¿Qué pasa con los gemelos idénticos? Seguramente el gemelo idéntico del usuario de un sistema de identificación facial podría engañar a ese sistema para que le otorgue acceso al gemelo, ¿verdad? Resulta que sí, la mayoría de las veces los gemelos pueden engañar al sistema. Pero de una manera extraña, es aún menos reconfortante saber que a veces (pero solo a veces) los gemelos no pueden acceder a los dispositivos del otro con sus caras idénticas.

Pero si crees que eso es malo, obtén un montón de esto. En 2017, Apple reembolsó la compra de iPhoneX de una mujer china cuando se descubrió que su compañera de trabajo (no su gemela idéntica) podía desbloquear su teléfono con su cara (la de la compañera de trabajo). Esto puede ser parte del fenómeno bien documentado de que las tecnologías de reconocimiento facial tienen más dificultades para distinguir las caras que no son blancas, lo que lleva a muchas verificaciones falsas.

Por supuesto, no son solo los algoritmos de reconocimiento deficientes de los que uno tiene que preocuparse con el reconocimiento facial. Al igual que con las huellas dactilares falsificadas, los piratas informáticos han encontrado formas de engañar a los escáneres faciales para que aprueben el acceso de rostros falsos. Una demostración de esto involucró a la firma de ciberseguridad Bkav mostrando que podían engañar al sistema FaceID del iPhone con una máscara de $ 150 hecha con una combinación de impresión 3D, una nariz de silicona e imágenes impresas de los ojos.

3. Imitación de Iris.

Bien, ¿qué pasa con los escáneres de iris? Lo ha visto utilizado en un millón de piezas de programación predictiva de ciencia ficción a lo largo de los años. El científico se acerca a la puerta cerrada del laboratorio de alta tecnología, un rayo de luz escanea su globo ocular y ¡voilá! La puerta está abierta.

Sí, eso también es un montón de tonterías.

Menos de un mes después de que Samsung lanzara su teléfono inteligente Galaxy 8, los piratas informáticos ya habían descubierto cómo frustrar su función de reconocimiento de iris usando nada más que una cámara, una impresora láser y una lente de contacto. Aún así, el hecho de que la función duró incluso un mes antes de que se rompiera podría ser un mérito suyo; la función de reconocimiento facial fue vencida antes de que los teléfonos se enviaran usando nada más que una imagen del rostro del propietario.

4. Hackear Hashes.

Pero, ¿qué pasa con esos hackers perezosos? ¿Qué pasa si simplemente no quieres pasar por el procesos de crear huellas dactilares falsas o imitaciones de iris? ¿O qué pasa si te quedaste sin Play-Doh y Gummy Bears? No se preocupe, hay una forma más fácil: piratear.

¿Por qué molestarse en intentar engañar al escáner cuando puede piratearlo? Y si puede piratear una base de datos biométrica, puede adquirir no solo un conjunto de credenciales biométricas, sino millones. O miles de millones.

¿Crees que es una exageración? Solo mira a Aadhaar. Como ya sabes, Aadhaar es el sistema de identificación biométrica más grande del mundo, ya que ha recopilado una fotografía digital, diez huellas dactilares y escaneos de iris de más de mil millones de indios en los últimos años. Como también sabes, cuenta con el apoyo vocal de Bill Gates (por supuesto) y fue promovido por el amigo, socio filantrópico y «héroe» de Gates, Nandan Nilekani.

Lo que quizás no sepa es que el software utilizado para inscribir a nuevos usuarios en la base de datos de Aadhaar se vio comprometido hace años. Un parche de software que estaba disponible para su compra por 2500 rupias indias (alrededor de $ 34) podría anular las características de seguridad del sistema, permitiendo a los usuarios no autorizados agregar cuentas para cualquier persona, generando números de identificación únicos que luego podrían usarse para acceder a los servicios del gobierno indio. A medida que se elaboraban los informes más detallados sobre los ataques, los operadores lo usaban ampliamente para aumentar sus márgenes en la inscripción de nuevos usuarios al permitirles iniciar sesión en varias máquinas simultáneamente.

La Autoridad de Identificación Única de la India (UIDAI) que opera el esquema Aadhaar se apresuró a minimizar los informes de que los detalles biométricos de cualquier persona se habían visto comprometidos. El parche solo permitía a los piratas informáticos agregar cuentas, no leer cuentas. ¿Lo ves? ¡Nada de que preocuparse!

Continúe dando sus huellas digitales con sus declaraciones de impuestos. Tenga a mano su número de identificación de 12 dígitos emitido biométricamente cuando reciba la vacuna. Abra bien los ojos para el escaneo del iris antes de recibir las raciones del gobierno. Quiero decir, no es como si sus datos personales pudieran ser violados por un hackeo de base de datos biométrica, ¿verdad?

5. Pasar por alto la biometría.

Sí, podría hacer todo lo posible para construir huellas dactilares o iris falsos u otras artimañas elaboradas para engañar a los escáneres biométricos. O podría intentar piratear las bases de datos biométricas para robar la identidad de las personas. Pero hay una ruta aún más directa para el pirata informático que es un poco vago: enrutar el escáner por completo.

En un intento poco convincente de restarle importancia al truco del escáner de iris mencionado en la sección 3 anterior, Securlinx termina haciendo un buen punto: es mucho más fácil evitar un sistema que implementar un esquema elaborado para engañar a un escáner.

¿Por qué no destruir toda la base de datos de plantillas de iris? Problema resuelto. Los escáneres, que ahora solo se bloquean sin llave, tendrían que desactivarse al menos temporalmente.

Si el sigilo es más tu estilo, simplemente ingresa a la base de datos, crea una credencial para ti mismo colocando tu propia plantilla de iris allí y prescindir de todo el lío del negocio de la escalada. Elimina tu plantilla (y por qué no todas las demás) después del atraco.

[…]

Podrías engañar, amenazar o sobornar a alguien para que te deje entrar.

Romper la puerta o una ventana.

No se equivocan. Entrar en un sistema a veces puede ser mucho más fácil que las elaboradas cosas de espionaje al estilo de Misión Imposible descritas anteriormente. Después de todo, nos dijeron que fue un simple intento de phishing el que recibió los correos electrónicos de Podesta. A veces, todo en lo que necesitas confiar es en la estupidez de la persona promedio.

Conclusión.

Sí, los sistemas biométricos son notoriamente pirateados, falsificados y violables. Y la peor parte es que, a diferencia de una contraseña corriente, una vez que su rostro, iris o huellas digitales son pirateados, no hay nada que pueda hacer para cambiarlos.

Pero al señalar la falta de seguridad inherente a estos sistemas biométricos, corremos el riesgo de caer en una trampa. Podría verse que estamos afirmando implícitamente que si estas lagunas de seguridad pudieran cerrarse, la identificación biométrica sería algo bueno. Pero ese no es el punto.

Estos sistemas se están implementando para etiquetar, rastrear y realizar una base de datos de la población humana al igual que un ranchero controla su ganado, y por la misma razón. Para los políticos que administran el sistema para los tecnócratas que administran el sistema para los banqueros que crean el sistema, no somos más que un impuesto al ganado para que sea encerrado, pastoreo, engordado, esquilado y, cuando sea necesario, sacrificado. La identificación biométrica es solo una forma más eficiente de facilitar ese propósito.

Empieza pequeño. Es solo un escáner TouchID en su teléfono «inteligente». Es solo una huella digital para su pasaporte. Es solo un escaneo facial en el aeropuerto. Es solo una foto digital para su identificación real. Es solo un escaneo biométrico para pagar sus compras. . . . Una vez que los contornos del planeta prisión biométrico aparecen a la vista, ya es demasiado tarde. Los barrotes se han cerrado de golpe y la está puerta cerrada.

Pero no se preocupe. Si obtiene su licencia de conducir biométrica y su identificación del gobierno y la vincula a su registro de vacunación y puntaje de crédito social, entonces tal vez le permitan cumplir su sueño de volar autos después de todo.

¡Al futuro!

-James Corbett-

Publicado el 15 febrero, 2021 en Texto y etiquetado en , , , , , , . Guarda el enlace permanente. 1 comentario.

Deja una respuesta

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Salir /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Salir /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Salir /  Cambiar )

Conectando a %s

A %d blogueros les gusta esto: