Los ataques por inyección, ¿un problema para la detección del fraude con biometría?

24-01-2024

Qué son los ataques de inyecciónHace algunos años, dos estafadores chinos falsificaron facturas fiscales por valor de casi 70 millones de euros. Lo hicieron comprando imágenes y partes de caras en el mercado negro para elaborar identidades sintéticas. Después, crearon una empresa fantasma que emitía los recibos falsos. Con todo ello, utilizaron una técnica denominada "ataque por inyección" para engañar a los sistemas de reconocimiento facial de China. Desgraciadamente, es probable que este tipo de fraude se generalice aún más a medida que los contenidos generados por la IA sean cada vez más frecuentes. Los investigadores estiman que, en 2026, el 90% de los contenidos online pueden ser generados sintéticamente.

Los ataques por inyección utilizan datos biométricos o documentos de identidad falsos o robados para intentar engañar a los sistemas de seguridad. La evolución de la tecnología ha puesto a disposición tanto de cibercriminales como de organizaciones un enorme potencial para generar este tipo de contenidos, y los ataques de inyección suponen una grave amenaza para la ciberseguridad.

 

¿Cómo se combate el fraude con biometría?

 

Los ataques por inyección se producen cuando actores malintencionados inyectan contenidos falsos, precreados o alterados en los sistemas de seguridad

Los ataques por inyección se producen cuando una parte maliciosa inserta o "inyecta" pruebas biométricas no auténticas en un sistema de seguridad para obtener acceso no autorizado a una cuenta o información. Un ataque de inyección en un sistema biométrico puede ejecutarse de varias formas, pero la esencia es siempre la introducción de datos falsificados o fraudulentos. Algunos ejemplos comunes de ataques de inyección son:

  1. Falsificación de huella dactilar: es uno de los ataques por inyección biométrica más comunes. Los atacantes pueden levantar huellas dactilares latentes de superficies y recrearlas utilizando materiales como pegamento para madera, silicona o gelatina. Estas huellas artificiales pueden llevarse entonces a un escáner de huellas dactilares. Los métodos avanzados implican la impresión en 3D de una huella utilizando imágenes de alta resolución, que pueden obtenerse a partir de fotos o vídeos del dedo de una persona.

  2. Inyección de video Deepfake: en los sistemas de reconocimiento facial, los atacantes pueden inyectar vídeos deepfake en el proceso de autenticación. Los deepfakes utilizan la IA y el aprendizaje automático para crear vídeos falsos de personas reales. Al inyectar estos vídeos en el feed de un sistema, los estafadores pueden eludir las medidas de seguridad de reconocimiento facial.

  3. Anulación de la autenticación por voz: los estafadores utilizan tecnología de conversión de voz o algoritmos de aprendizaje profundo para imitar los patrones de voz de un usuario. Con los avances en las tecnologías de conversión de texto a voz, cada vez es más fácil crear imitaciones de voz lo suficientemente convincentes.

  4. Falsificación del patrón venoso: los investigadores han demostrado que es posible crear una mano falsa utilizando materiales como la cera. Se pueden procesar imágenes de alta resolución para trazar la estructura de las venas, que luego se recrea físicamente para engañar a los sistemas de reconocimiento de venas.

Se pueden falsificar estos rasgos interceptando datos biométricos legítimos y reproduciéndolos, utilizando muestras biométricas artificiales o alteradas, o creando datos biométricos sintéticos que los algoritmos no pueden distinguir de los auténticos.

 

Garantizar que el proceso de verificación no ha sido manipulado es primordial para detener los ataques por inyección

Uno de los principales retos a la hora de prevenir los ataques por inyección es garantizar que los datos biométricos son auténticos en el momento de la captura. Los sistemas biométricos están diseñados para ser muy sensibles a sus entradas específicas, como una huella dactilar o un escáner de retina, lo que los hace a la vez potentes y vulnerables. Por ejemplo, como hemos avanzado anteriormente, se pueden manipular imágenes de alta resolución para crear huellas dactilares que sean reconocidas por los escáneres, o se puede utilizar software de modulación de voz para imitar los comandos de voz de un usuario.

Los avances tecnológicos, especialmente en el campo de la IA, han permitido a los piratas informáticos mejorar enormemente la sofisticación de estos ataques, como en el caso de los deepfakes.

Para frustrar este tipo de ataques, las empresas están invirtiendo en la autenticación biométrica multimodal, superponiendo múltiples tipos de datos biométricos como forma de reforzar la seguridad. Además, se están desarrollando sistemas biométricos que pueden diferenciar entre una persona viva y un artefacto biométrico no presente.
 

Sin embargo, los estafadores pueden engañar más fácilmente a las tecnologías activas de reconocimiento de vida facial, que requieren a los usuarios que realicen una acción como parpadear, girar la cabeza o mover el dispositivo, utilizando elementos como fotos con agujeros en los ojos, máscaras de goma o inyectando una secuencia de vídeo para engañar al sistema.

 

¿Qué pueden hacer las empresas ahora mismo?

Se están desarrollando algoritmos avanzados de aprendizaje automático para analizar los datos biométricos en busca de signos de manipulación o replicación, y que pueden entrenarse para detectar anomalías que puedan indicar un ataque de inyección. Además, las empresas pueden implantar el cifrado de extremo a extremo y canales seguros para la transferencia de datos biométricos.
 
Las actualizaciones continuas del sistema y los parches de seguridad también son fundamentales. En general, las organizaciones deben estar atentas y ser proactivas a la hora de supervisar sus sistemas para detectar cualquier actividad inusual.
 
Además, cada vez hay una mayor concienciación sobre la necesidad de adoptar medidas legales y reglamentarias para proteger los datos biométricos y definir normas para los sistemas biométricos.

 

Detener los ataques de inyección requiere un enfoque múltiple

Los ataques por inyección representan una importante amenaza para los sistemas de verificación de identidad biométrica. La creciente sofisticación de estos ataques requiere un enfoque multifacético de la seguridad, que combine avances tecnológicos, protocolos de autenticación robustos, supervisión continua y cumplimiento de la normativa de protección de datos. Además, las empresas deben cuidar el equilibrio de las medidas antifraude con la experiencia del cliente, garantizando seguridad pero también la satisfacción del usuario.

 

Más información sobre autenticación biométrica