Verificar para existir: Criptografía, biometría y la batalla contra la falsificación del ser

La falsificación de sistemas biométricos, incluyendo huellas dactilares, reconocimiento facial y otros rasgos distintivos, ha dejado de ser una mera curiosidad experimental para consolidarse como una amenaza tangible y sofisticada que pone en jaque los pilares fundamentales de la seguridad contemporánea.

Este artículo examina cómo han evolucionado las técnicas de spoofing biométrico, las contramedidas tecnológicas desarrolladas para defenderse y el estado actual de la verificación de identidad y de humanidad.

Falsificación biométrica a través de la historia

Huellas dactilares: Los ataques de falsificación de huellas (fingerprint spoofing) se conocen desde finales de los 90 Thales Group. En años posteriores, investigadores demostraron lo sencillo que podía ser engañar a escáneres dactilares empleando materiales caseros. Por ejemplo, en 2002, el criptógrafo japonés Tsutomu Matsumoto reveló cómo crear “dedos de gelatina” (llamados gummy fingers) para imitar la huella de un usuario legítimo The Register. Otros materiales aprovechados para falsificar huellas incluyen pegamento blanco, cera, plastilina, silicona para moldes (como las usadas en odontología) e incluso masa de Play-Doh o goma de mascar, a veces mezclados con polvo metálico para ser conductivos Thales Group.

Reconocimiento facial: Las primeras implementaciones de reconocimiento facial carecían de mecanismos para distinguir una cara viva de una imagen.

Un ejemplo temprano se evidenció en teléfonos con Android (versión 4.0 “Ice Cream Sandwich”, 2011): la función Face Unlock fue vulnerada fácilmente sosteniendo una fotografía del propietario delante de la cámara, logrando desbloquear el dispositivo The Verge.

Con el tiempo, los atacantes refinaron sus métodos, por ejemplo, sosteniendo una máscara plana de papel con orificios recortados para que una persona real mire a través (simulando ojos que parpadean) o reproduciendo un video del individuo legítimo en una pantalla frente a la cámara para aparentar movimiento.

Estas tácticas rudimentarias dejaron al descubierto la ausencia de mecanismos de detección de vida (liveness detection) en las aproximaciones incipientes al reconocimiento facial, evidenciando la fragilidad de sistemas que, en su momento, fueron considerados productos de vanguardia.

Otros biométricos: Aunque la huella y el rostro son los ejemplos clásicos, se han reportado ataques a otros rasgos. Por ejemplo, en 2009 se llevaron a cabo falsificaciones de iris por medio de una fotografía infrarroja del ojo de la víctima impresa y colocada tras una lente de contacto (para imitar la curvatura del globo ocular). Tal enfoque fue aplicado por el grupo Chaos Computer Club en 2017 contra el Samsung Galaxy S8, que aplicaba reconocimiento de iris. Así, con una simple cámara en modo nocturno, obtuvieron una imagen del iris, la imprimieron, pusieron una lentilla sobre ella y lograron desbloquear el teléfono The Guardian.

De manera similar, la autenticación vocal se muestra vulnerable ante imitadores o familiares con timbres de voz semejantes, lo que les otorga acceso no autorizado a recursos altamente sensibles, como los de banca telefónica.

Nuevos instrumentos de falsificación y contramedidas actuales

Con el vertiginoso avance de la tecnología, tanto atacantes como defensores han perfeccionado sus métodos en una carrera constante por la supremacía digital. En los últimos años, han emergido técnicas de falsificación considerablemente más sofisticadas, capaces de eludir controles tradicionales, al tiempo que han surgido defensas de última generación, cimentadas en inteligencia artificial y procesamiento exhaustivo sobre los biométricos captados.

Ataques emergentes: Los deepfakes permiten generar rostros, voces y gestos de una persona de forma sintética, pero muy realista. Por ejemplo, en 2023 un empleado bancario en Hong Kong fue engañado en una videollamada con supuestos compañeros de trabajo donde todos los rostros y voces eran deepfakes en tiempo real, con lo que ciberdelincuentes lograron que autorizara una transferencia de $25 millones BairesDev. La problemática es tal que investigadores de Gartner predicen que para 2026 el 30% de las empresas habrán perdido confianza en la autenticación facial biométrica debido a deepfakes Gartner.

Del lado de las huellas dactilares, se han aplicado métodos de machine learning para generar MasterPrints, las cuales consisten en huellas sintéticas con rasgos comunes a diversas personas que alcanzan coincidencias parciales suficientes para engañar a los sensores de smartphones  NYUniversity. Asimismo, la clonación de voz por IA ha alcanzado niveles alarmantes: con apenas unos segundos de audio de alguien, se puede generar una voz artificial casi indistinguible.

Defensas tecnológicas: A la par, la industria ha desarrollado contramedidas más robustas centradas en detección de vida (liveness detection). donde se busca confirmar que el rasgo biométrico proviene de un ser humano vivo presente y no de una réplica estática. Respecto al reconocimiento facial moderno, los algoritmos inspeccionan la textura de la piel para distinguirla de una máscara o pantalla. Asimismo, monitorean el parpadeo y los movimientos oculares espontáneos Thales Group.

En el caso de huellas dactilares, los fabricantes han incorporado múltiples capas de defensa, particularmente sensores que pueden reconocer el flujo sanguíneo bajo la epidermis Thales Group. Adicionalmente, se cuenta con modelos de deep learning (redes CNN) que distinguen huellas vivas de falsas aprendiendo los patrones de cada material (textura demasiado uniforme, ausencia de poros, bordes difuminados, etc.). Universidad de los Andes.

Verificación de humanidad

Más allá de verificar identidades individuales, otro frente crucial es distinguir humanos de bots en interacciones online. La habilidad de los sistemas automatizados para replicar conductas humanas ha llevado al límite a soluciones tradicionales como los CAPTCHAs. Inclusive se han conocido casos de notable ingenio.

En 2023, durante experimentos colaborativos entre OpenAI y el Alignment Research Center (ARC) destinados a evaluar las competencias del modelo GPT-4, ChatGPT logró persuadir a un trabajador de TaskRabbit para que resolviera un CAPTCHA en su nombre, aduciendo una supuesta discapacidad visual ElMundo. Una manifestación magistral de ingeniería social.

En este panorama complejo se desenvuelve Tools for Humanity (TFH), cuyo cofundador es Sam Altman, el director ejecutivo de OpenAI. TFH ha desarrollado Worldcoin y su revolucionaria aplicación World App, proyectos orientados a reafirmar la humanidad de los usuarios mediante el escaneo del iris World - The real human network. En el epicentro de esta iniciativa se encuentra un dispositivo denominado Orb, que captura con precisión excepcional imágenes biométricas detalladas del iris y del rostro, generando un identificador único criptográficamente protegido conocido como IrisCode.

Dicho proceso destaca por su rigor en la privacidad: los registros biométricos originales son eliminados irreversiblemente en menos de un minuto tras la captura, asegurando que no exista almacenamiento permanente de datos sensibles.

El IrisCode resultante se fragmenta meticulosamente mediante tecnologías criptográficas pioneras, como la computación multiparte anonimizada (AMPC), que se distribuyen posteriormente en nodos descentralizados administrados por entidades independientes y prestigiosas, tales como universidades y firmas auditoras, garantizando su integridad. Por último, la transmisión de paquetes cifrados al dispositivo personal del usuario le posibilita ejercer control absoluto sobre su información biométrica.

A partir de esta secuencia se genera el World ID, un pasaporte que permite a cada persona demostrar de forma anónima que es un ser humano único, facilitando el acceso a servicios financieros y la gestión de criptomonedas. A futuro, se prevé que World ID amplíe su funcionalidad para integrarse con un espectro más amplio de aplicaciones descentralizadas y servicios en línea, actuando como una credencial de identidad digital universal World ID.

No obstante, la implementación de Worldcoin no ha estado exenta de controversias regulatorias y éticas. Diversos países, incluido Colombia Rest of World y España Forbes, han manifestado inquietudes sobre la naturaleza sensible de los datos recolectados por el Orb y han cuestionado las garantías ofrecidas por TFH respecto al correcto manejo de los biométricos.

Además, la práctica de otorgar compensaciones económicas en criptomonedas por participar en estos procesos ha generado preocupación ética sobre el consentimiento informado, especialmente en regiones económicamente susceptibles.

Reflexiones finales

En definitiva, el acelerado progreso de la inteligencia artificial y la expansión exponencial de las capacidades de los agentes automatizados han colocado a la verificación biométrica en una encrucijada histórica.

Las organizaciones, especialmente aquellas inmersas en sectores estratégicos como el financiero, sanitario o gubernamental, no pueden darse el lujo de permanecer indiferentes ante la creciente sofisticación de las amenazas que asedian sus entornos tecnológicos. Así como tampoco sería razonable aferrarse ingenuamente a esquemas tradicionales que han demostrado su fragilidad ante el nuevo paradigma mundial.

Pese a que proyectos como WorldID aún parezcan parte de un futuro distante, en particular debido a las inquietudes que suscita una innovación de tal envergadura, consolida una clara manifestación de hasta dónde pueden llegar los esfuerzos tecnológicos cuando confluyen la visión audaz, la ingeniería criptográfica avanzada y el respeto irrestricto por la privacidad.

Lejos de ser una utopía, tales iniciativas representan la prueba tangible de que los seres humanos aún conservamos la capacidad de superar nuestros propios límites cuando recurrimos a los fundamentos científicos correctos y los llevamos a un nuevo nivel de excelencia.

Sin embargo, la experiencia y desafíos enfrentados por TFH en distintos países resaltan la importancia de abordar tales temas desde un enfoque no sólo técnico, sino también ético, legal y normativo, siendo esta una prioridad absoluta para entidades que desean mantenerse a la vanguardia en seguridad digital.

Finalmente, en un ecosistema donde la suplantación de identidad se ha tornado más sigilosa y convincente que nunca, es imprescindible apuntar a una reinvención plena y consciente de las estrategias de defensa. En concreto, resulta imperativo establecer vínculos sólidos con empresas especializadas en soluciones criptográficas de alto nivel.

Solo a través de alianzas estratégicas con fabricantes y proveedores que dimensionen la complejidad de las amenazas y se encuentren preparados para enfrentarlas será posible salvaguardar no solo los activos informáticos, sino también la integridad y autonomía de cada individuo. Porque en la era de los algoritmos y las identidades sintéticas, proteger lo que nos hace humanos no es una opción: es un imperativo inaplazable.

Si deseas tener siempre a la mano el artículo escrito por ⁨Valentina Salazar, te invitamos a descargarlo, compartirlo y comentarnos qué opinas al respecto.