Las tecnologías biométricas se diseñaron originalmente para mejorar la seguridad y agilizar la autenticación, pero a menudo se utilizan de forma indebida, algo que la mayoría de la gente pasa desapercibido. Como cualquier sistema, la biometría presenta debilidades que los atacantes pueden explotar.
La suplantación biométrica no es tan compleja como parece. Consiste básicamente en que alguien imita tus rasgos biométricos para engañar a un sistema. Esto podría ser una foto impresa, una huella dactilar impresa en 3D o incluso una voz grabada. Los sistemas básicos de reconocimiento facial pueden ser engañados con imágenes de redes sociales, y las voces generadas por IA pueden imitar a las personas con una precisión sorprendente.
Un nuevo estudio ha descubierto que incluso los latidos del corazón podrían revelar tu identidad .
“Las violaciones de datos biométricos generan preocupación, ya que los identificadores físicos comprometidos no se pueden restablecer como las contraseñas y a menudo deben usarse junto con factores de autenticación adicionales”, dijo Nuno Martins da Silveira Teodoro , vicepresidente de Ciberseguridad del Grupo Solaris.
Cómo funciona la suplantación biométrica
Los delincuentes primero recopilan información biométrica mediante métodos que van desde la vigilancia encubierta hasta la interacción directa con las personas. Esto puede incluir huellas dactilares, rasgos faciales o muestras de voz.
Con los datos recopilados, los estafadores crean rasgos biométricos falsos. Las huellas dactilares pueden replicarse con materiales como silicona o gelatina, mientras que los datos faciales o de voz pueden manipularse con herramientas de software.
Con estas características falsas, los atacantes intentan engañar al sistema de autenticación. Presentan los datos falsificados como reales, aprovechando las vulnerabilidades de los algoritmos de reconocimiento del sistema.
Si la suplantación de identidad funciona, los delincuentes obtienen acceso a sistemas o información confidencial. Esto puede provocar fraude financiero, robo de datos o suplantación de identidad.
Los riesgos organizacionales de las violaciones de datos biométricos
El acceso no autorizado a datos biométricos puede tener graves consecuencias para cualquier organización. Estas filtraciones pueden exponer información confidencial de la empresa o de sus clientes y ocasionar pérdidas financieras.
Los datos biométricos robados pueden utilizarse para cometer fraudes o venderse en el mercado negro , y gestionar una filtración puede ser costoso. Las organizaciones que no protegen los datos biométricos pueden enfrentarse a demandas, sanciones regulatorias u otros desafíos legales.
Los ataques deepfake se dirigen a los sistemas biométricos
El auge de la IA ha sofisticado los ataques de suplantación de identidad a los sistemas de autenticación. Ahora es más fácil para los atacantes crear identificadores biométricos realistas, lo que aumenta tanto la escala como el riesgo de estos ataques.
Una investigación de iProov muestra que solo el 0,1 % de las personas pueden detectar con precisión los deepfakes generados por IA.
Recientemente, investigadores de seguridad descubrieron una herramienta de hacking dirigida a iPhones con jailbreak, utilizando videos deepfake para estafar a aplicaciones bancarias mediante el robo de identidad biométrica. Y esta no es la primera vez que los usuarios de iPhone son víctimas de este ataque: el troyano GoldPickaxe para iOS, identificado por Group-IB y vinculado al grupo chino GoldFactory, se utilizó para robar datos de reconocimiento facial .
“La tecnología de IA se vuelve cada vez más sofisticada, por lo que la comprensión por parte de las organizaciones de las vulnerabilidades de sus sistemas, el conocimiento de estas amenazas y la tecnología implementada para combatirlas deben tomarse extremadamente en serio”, señaló Patrick Harding , arquitecto jefe de Ping Identity.
Las normas globales se endurecen en torno a la seguridad biométrica
A medida que los sistemas biométricos se vuelven más comunes, están surgiendo nuevas regulaciones globales para fortalecer la seguridad y proteger los datos personales.
UE : La Ley de IA de la UE , adoptada en mayo de 2024, clasifica los sistemas biométricos según su riesgo. Los sistemas de alto riesgo, como la identificación biométrica remota, deben implementar la detección de vida certificada y mantener registros de detección de ataques. La ley restringe el uso de la identificación biométrica remota en tiempo real en espacios públicos, excepto en casos específicos de las fuerzas del orden.
Reino Unido : El Proyecto de Ley de Protección de Datos e Información Digital del Reino Unido, que se espera reciba la sanción real a finales de 2025, exige el consentimiento y evaluaciones de impacto de la protección de datos para el procesamiento de identificadores biométricos avanzados. El objetivo es garantizar los derechos de las personas y proteger los datos personales.
EE. UU .: Introducida en 2024, la propuesta de Ley de Derechos de Privacidad de Estados Unidos exige plantillas biométricas revocables y tasas de aceptación falsa muy bajas para sistemas de alta seguridad. La legislación aún se encuentra en revisión, pero apunta a un avance hacia la protección biométrica estandarizada.
Norma internacional (ISO/IEC 30107-3:2024) : La revisión de 2024 incorpora pruebas para la detección de ataques de presentación, incluyendo contenido multimedia falso generado por IA y máscaras de alta velocidad de fotogramas. Estas actualizaciones buscan mantenerse al día con los sofisticados métodos de suplantación.
Estrategias de prevención
Las prácticas de seguridad se pueden ajustar para reducir el riesgo de filtraciones de datos biométricos. Los equipos de TI y los profesionales de ciberseguridad deben centrarse en lo siguiente:
Detección de vida facial : La detección de vida facial, impulsada por tecnologías como el mapeo facial 3D, representa un avance importante en la seguridad biométrica. A diferencia de los sistemas de reconocimiento facial más antiguos, que pueden ser manipulados con fotos o videos, la detección de vida garantiza la presencia de una persona real durante la autenticación.
MFA : Usar múltiples factores de verificación es la mejor manera de reforzar tu seguridad. Con MFA , incluso si te roban la huella dactilar o los datos faciales, un atacante necesitaría otra forma de verificación para acceder a tu cuenta.
Actualizaciones periódicas de software : mantener actualizado el software de su sistema biométrico le ayuda a asegurarse de contar con las últimas protecciones de seguridad.
Educación de los empleados : Educar a sus empleados sobre los riesgos del hackeo biométrico y cómo evitarlos puede ayudar a proteger su empresa. Explíqueles cómo operan los delincuentes y los métodos más comunes que utilizan para robar o usar indebidamente datos biométricos.
IA y ML : La IA y el ML pueden hacer cosas que los humanos simplemente no pueden. Pueden analizar grandes cantidades de datos y detectar intentos de suplantación biométrica. Incorporar IA y ML a su configuración de seguridad ayuda a su empresa a anticiparse a los ciberdelincuentes. No solo es más preciso que los humanos para detectar estos ataques, sino que también es mucho más rápido.
Fuente y redacción: helpnetsecurity.com / Sinisa Markovic