¿Se pueden «robar»los datos biométricos? Esta es una pregunta frecuente que a menudo se encuentra con una respuesta inexacta.
La respuesta incorrecta típica se ve algo como esto:
Si bien puede cambiar su contraseña o PIN si está comprometida, no puede cambiar su información biométrica. Una vez robado, no es posible revocarlo y se puede usar para fraude repetido.
En esta publicación proporcionamos 4 razones por las que este pensamiento es defectuoso.
4 razones por las que los datos biométricos están a salvo de los hackers:
- A diferencia de una contraseña, nuestros datos biométricos no son secretos
- Los datos biométricos están protegidos por Liveness
- Las plantillas biométricas son inútiles para los estafadores
- La biometría no suele ser el único factor de autenticación
#1 A diferencia de una contraseña, nuestros datos biométricos no son secretos
En el nivel más básico, nuestros datos biométricos son inherentemente públicos, así que, ¿qué significa ser robados? Nuestras huellas dactilares se dejan en todo lo que tocamos, nuestras voces se graban fácilmente, y las cámaras móviles modernas son capaces de capturar imágenes y videos de alta resolución. En particular, la mayoría de nosotros publicamos intencionalmente fotos e incluso videos de nosotros mismos en redes sociales y sitios web de acceso público.
Como tal, es bastante simple para los estafadores obtener la información necesaria para crear artefactos sintéticos, como fotos impresas o máscaras, para su uso en el hackeo o «suplantación» de un sistema de identificación biométrica. Esta iniciativa no requiere piratear la base de datos de una empresa para obtener datos biométricos: una simple búsqueda en Google es todo lo que se necesita para obtener datos que se pueden usar para atacar la biometría facial, de voz e incluso del iris.
Sin embargo, a diferencia de una contraseña o PIN, la autenticación basada en datos biométricos no depende de información que sea secreta. Es decir, no hay necesidad de que los datos biométricos sean secretos. ¿Por qué? Porque los sistemas modernos de autenticación biométrica (1) tienen a una persona supervisando el control biométrico, como al pasar por una puerta de embarque en un aeropuerto, o (2) utilizan tecnología liveness para garantizar que el biométrico proviene de una persona real y no es un ataque de falsificación. Por lo tanto, la amenaza de robar algo que ya es público no es una gran amenaza.
#2 La biometría está asegurada por Liveness
Como se mencionó en el punto # 1, la coincidencia biométrica es solo un componente de los sistemas actuales de verificación y autenticación de identidad. Mientras que la biometría responde a la pregunta, » ¿Es esta la persona adecuada?», la detección de vida es necesaria para responder a la pregunta, » ¿Es una persona real?»Confirmar la presencia de la persona real al presentar un biométrico es fundamental en casos de uso remotos o sin supervisión, como registrarse para una nueva cuenta bancaria en una aplicación móvil en lugar de en persona en una sucursal. En otras palabras, la detección de vida evita que los datos biométricos sean pirateados.
Por ejemplo, para la biometría facial, la tecnología de vivacidad facial distingue entre la presencia de una persona en vivo en el punto de verificación (presencia frente a la cámara) y los ataques de suplantación, como los que usan fotos impresas, reproducciones de video y máscaras. Las mismas ideas sobre la vitalidad se aplican a las huellas dactilares y la voz, donde alguien usa silicona para falsificar una huella dactilar o una grabación para falsificar una biométrica de voz.
Con liveness en su lugar, está protegido incluso si sus datos biométricos son pirateados. La vivacidad facial es la tecnología anti-suplantación más comúnmente implementada en la actualidad, lo cual es lógico dado el creciente uso de la biometría facial para la incorporación y autenticación remotas. Los principales productos de detección de vida facial de hoy en día ofrecen una precisión comprobada y una ocurrencia extremadamente baja de un estafador que engaña al sistema biométrico.
A medida que surjan más casos de uso para dispositivos IoT habilitados para voz, esperamos ver una adopción similar de la vivencia de voz para habilitar la autenticación sonora segura para pagos en la aplicación, acceso a información personal y más.
Aunque las huellas dactilares pueden no ser tan accesibles, la tecnología también está protegida por la vivacidad. Por ejemplo, la biometría precisa admite la vida facial con ID R&D IDLive™ Face, así como la vida de las huellas dactilares con su solución BioLive. BioLive Identifica con precisión una huella dactilar falsa mediante el análisis de varias diferencias fundamentales de imagen entre una imagen de huella dactilar en vivo y una de una falsificación.
Para resumir el punto # 2, la detección de vida limita significativamente la preocupación de que los datos biométricos caigan en manos equivocadas.
#3 Las plantillas biométricas son inútiles para los estafadores
¿Qué pasa con la amenaza de que alguien piratee la base de datos de información biométrica de una empresa?
Los sistemas biométricos convierten la muestra biométrica, como una imagen o una grabación de voz, en una plantilla. Estas plantillas no son reversibles a la muestra original. Un sistema biométrico moderno solo almacena las plantillas, no la información biométrica original. Las plantillas no incluyen ninguna información personal sobre el ser humano, como la edad, el sexo o las características físicas únicas. Incluso si alguien roba una plantilla, no hay nada que pueda hacer con ella. Además de esto, la aplicación de las mejores prácticas de cifrado de datos en reposo garantiza que cualquier hacker que robe las plantillas tendrá dos capas de bytes inútiles.
La biometría#4 no suele ser el único factor de autenticación
Las industrias reguladas y las aplicaciones de alta seguridad implementan múltiples comprobaciones de seguridad para proteger la información personal y las transacciones. La autenticación sólida de clientes requiere el uso de dos de tres factores: algo que sepas (como un PIN), algo que tengas (como tu teléfono) o algo que seas (un dato biométrico). Por ejemplo, un banco puede habilitar el uso de biometría facial con liveness para iniciar sesión en su aplicación móvil. Sin embargo, también dependerán de su dispositivo móvil como un token e incluso pueden solicitar una segunda modalidad biométrica o una Contraseña de un solo uso para ciertas transacciones de alto riesgo. Esto se suma a la sofisticada inteligencia artificial que puede estar en su lugar para identificar comportamientos inusuales.
Ninguna tecnología de autenticación es infalible. En la rara ocurrencia de un ataque exitoso a un sistema biométrico, los daños se mitigarán con factores de seguridad adicionales, herramientas de fraude y prácticas de seguridad de aplicaciones de uso común para proteger contra man in the middle y otros ataques.
Repensando la pregunta: ¿Se pueden robar datos biométricos?
Basado en la información anterior, la pregunta de si los datos biométricos pueden ser robados o no no es muy buena. La mejor pregunta es: «¿Cuál es el riesgo de que alguien comprometa mi identidad usando mis datos biométricos?»En términos de verificación y autenticación de identidad, el riesgo de que un estafador cree un artefacto y falsifique su identidad con éxito es extremadamente bajo con la detección de vida implementada. El estafador será detenido y no podrá cometer fraude repetido incluso si tiene sus datos biométricos.
Aunque pocas personas publicarían una foto de su contraseña en Facebook, no lo pensamos dos veces antes de publicar un selfie. No vigilamos activamente a las personas que toman fotos, videos o grabaciones de audio de nosotros. Y ciertamente no limpiamos todo lo que tocamos para evitar que se levanten nuestras huellas dactilares. Eso está bien porque la detección de vida combinada con las buenas prácticas en los sistemas biométricos modernos protegen nuestros datos biométricos de ser pirateados y utilizados cuando no estamos presentes.
Obtenga más información sobre los productos de autenticación biométrica y liveness de ID R&D o rellene el formulario para ponerse en contacto con nuestros expertos.