������Ƶ

Última actualización: 21 de diciembre de 2021.  

Todos recordamos el personaje de Tom Cruise en Sentencia previa (Minority Report) (2002) que lograba burlar un control de reconocimiento de iris mediante el reemplazo del ojo que acababa de comprar en el mercado negro. 

Por si fuera poco, también engañaba el acceso a la red de su empleador con su antiguo globo ocular que llevaba consigo.

Suena impresionante, ¿verdad?

En las películas de Hollywood, los sistemas biométricos y su capacidad de detección de prueba de vida pueden ser fácilmente engañados con huellas dactilares de gelatina, iris falsos y gafas especiales.

Como es de esperar, la realidad es muy diferente. 

Esos trucos no engañarían a la tecnología actual ni por un segundo. 

Con la IA y, más concretamente, con el aprendizaje profundo -por el que un sistema puede aprender de los datos-, las tecnologías biométricas se han vuelto mensurablemente más precisas y resistentes a los ataques.

Volveremos sobre esto más adelante.

Sin embargo, es correcto decir que, a medida que la biometría se utiliza cada vez más para identificar a las personas, los problemas de seguridad y las vulnerabilidades en entornos no supervisados están llamando la atención de los proveedores de soluciones, los investigadores, los defraudadores y los usuarios.

La buena noticia es que la resistencia de los sistemas biométricos a los ataques de suplantación de identidad puede aumentar drásticamente, utilizando una serie de técnicas rentables y probadas en la práctica.

En este artículo, nos centraremos en los procesos de detección de prueba de vida y responderemos a estas preguntas:

1. ¿Qué es la detección de prueba de vida en biometría?
2. ¿Por qué la detección de prueba de vida es clave para los sistemas biométricos?
3. ¿Cuáles son las suplantaciones de huellas dactilares conocidas?
4. ¿Cuáles son los principales métodos para contrarrestar los ataques de suplantación de huellas dactilares?
5. ¿Cuáles son los ataques conocidos de suplantación de rostro? 
6. ¿Cuáles son las contramedidas actuales desarrolladas para los ataques de suplantación de rostro? 
7. Pregunta extra: deepfakes - ¿Son una nueva amenaza para el reconocimiento facial?

Si quiere pasar de principiante a profesional de la prueba de vida, esta guía es para usted.

Comencemos con una definición.

.

#1. ¿Qué es la detección de prueba de vida?

La detección de prueba de vida en biometría es la capacidad de un sistema para detectar si una huella dactilar o un rostro (u otros datos biométricos) son reales (de una persona viva presente en el punto de captura) o falsos (de un artefacto falso o una parte del cuerpo sin vida).

Comprende un conjunto de características técnicas para contrarrestar los ataques de falsificación biométrica en los que se presenta al escáner biométrico una réplica que imita la biometría única de una persona (como un molde de huella dactilar o una máscara 3D de silicona) para engañar o eludir los pasos de identificación y autenticación dados por el sistema. 

La comprobación de la prueba de vida utiliza algoritmos que analizan los datos -después de ser recogidos por los escáneres y los lectores biométricos- para verificar si la fuente proviene de una representación falsa.

Pero, ¿por qué necesitamos la detección de prueba de vida?

#2. ¿Por qué la detección de prueba de vida es clave para los sistemas biométricos?

La necesidad de una identificación y una autenticación inequívocas y seguras ha motivado un despliegue masivo de sistemas biométricos en todo el mundo. 

El aumento de la aceptación por parte del público, las ganancias masivas en cuanto a la precisión, una amplia oferta y la caída de los precios de los sensores, las cámaras IP y el software han acelerado estas tendencias.

A continuación, algunos ejemplos:

• En la actualidad, hay más de 1 200 pasaportes electrónicos en circulación. En muchos países, incluyen la foto y las huellas dactilares del titular estandarizadas según la OACI. 
• El sistema de identificación biométrica de la India consolida los datos biométricos y demográficos de más de 1 260 millones de residentes.
• Muchos sistemas de identificación integran un chip electrónico con una foto y huellas dactilares además de los datos biográficos (nombre, fecha y lugar de nacimiento).

Es una ventaja para el acceso, los viajes (kioscos de autoservicio y puertas automáticas), pero también para la identificación civil, los procedimientos eKYC, el registro, la autenticación de clientes en línea, etc.

No hace falta agregar que los sistemas biométricos también son cruciales para infraestructuras críticas, como el control de fronteras, la inmigración y la aplicación de la ley, la salud y los subsidios, la población y el registro de votantes. 

La falta de prevención de los ataques de suplantación de huellas dactilares puede tener consecuencias graves.
Esto tiene sentido cuando se tienen en cuenta estos otros ejemplos.

• IDENT, el Sistema de Identificación Biométrica Automática, es una piedra angular de la gestión de las fronteras y la inmigración de los Estados Unidos. El sistema central del Departamento de Seguridad Nacional almacena y procesa más de 200 millones de identidades, incluida la información biométrica (diez huellas dactilares y un retrato) y la información biográfica asociada.
• Hacia fines de octubre de 2020, el sistema automatizado de reconocimiento de huellas dactilares del FBI, denominado inicialmente IAFIS (ahora NGI), representaba la mayor colección de antecedentes penales del mundo (más de 154 millones de individuos).
• El sistema biométrico Eurodac  (Sistema Europeo de Dactiloscopia) es utilizado por 32 países de Europa. 

La importancia de la detección de las suplantaciones de identidad ya fue destacada en 2013 por el proyecto TABULA RASA (ataques de suplantación de identidad a sistemas biométricos confiables) de la Comisión Europea.

Tal vez no sorprenda que también haya sido un tema de investigación coordinada en los Estados Unidos desde el lanzamiento de "" en octubre de 2017.

El programa Odin ha sido iniciado por la Intelligence Advanced Research Projects Activity (IARPA), una organización de la Oficina del Director de Inteligencia Nacional de los Estados Unidos. Su objetivo es "desarrollar tecnologías de detección de ataques de presentación biométrica para garantizar que los sistemas de seguridad biométrica puedan detectar cuando alguien intenta disfrazar su identidad biométrica".

¿La mala noticia?

Diseñar un sistema biométrico que proteja contra los ataques de suplantación de identidad actuales y futuros representa hoy en día un desafío importante para la industria.

Las amenazas que plantean los estafadores son tan amplias como graves. Tienen acceso a alta tecnología, como las impresoras 3D de resina de 25 micras de resolución, y también a la inteligencia artificial. 
Como respuesta, han surgido numerosos avances tecnológicos. 

En primer lugar, vamos a centrarnos en la modalidad de huellas dactilares.

#3 ¿Cuáles son las suplantaciones de huellas dactilares conocidas?

Los ataques de suplantación de huellas dactilares (también conocidos como Ataques de Presentación o PAs en la jerga técnica) se han realizado utilizando imitaciones (Instrumentos de Ataque de Presentación o PAIs) hechas de todo tipo de materiales fáciles de encontrar, como pegamento, cera, plastilina y silicona.

La primera suplantación de lectores de huellas dactilares fue reportada en 1998 por NETWORK computing.

Esos ataques han sido objeto de muchas pruebas y publicaciones  sobre metodologías y técnicas de detección de huellas dactilares falsas (también conocidas como Detección de Ataques de Presentación - PAD) en las últimas décadas. 

Pero hay más.

Los concursos (abreviatura de Liveness Detection) de detección de prueba de vida se celebran cada dos años desde 2009.

Sí, ha leído bien. 

El anti-spoofing (anti suplantación) tiene su propio "Hackathon".

Y es un tema de interés internacional.

La norma ISO/IEC 30107 de la Organización Internacional de Normalización sobre las técnicas anti suplantación y de detección de prueba de vida proporciona una base para que estas metodologías (PAD) evolucionen a través de un marco. Se describen y comunican los ataques durante la presentación y la recopilación de las características biométricas.

La norma ISO/IEC 30107 está diseñada para resolver los desafíos globales relacionados con la detección de ataques de presentación biométrica (PAD).  

Instrumentos de Ataque de Presentación (huella dactilar)

A continuación se presenta una lista (no exhaustiva) de Instrumentos de Ataque de Presentación bien conocidos para falsificar huellas dactilares, fabricados con una capa plástica (overlay) o con una huella dactilar impresa en 3D. 

• Papel: Impreso en 2D (en papel mate y transparente) 
• Pegamento escolar (pegamento para madera, pegamento a base de resina PVA como el gel 3M Scotch)
• Compuestos similares a la arcilla, como Crayola Model Magic
• Play-Doh (un conocido compuesto de modelado a base de agua utilizado por los niños)
• Play-Doh naranja (parecido al reflejo natural de la piel)
• Plastilina (arcilla para modelar de alta precisión a base de aceite)
• Gelatina (colágeno extraído de la piel, los huesos y los tejidos de los animales)
• Cera (compuestos orgánicos o derivados del petróleo)
• Silly Putty  (una marca - polímeros de silicona, utilizados por los niños)
• Silly Putty con tono metálico (para el sensor de conductividad)
• Silly Putty y pintura que brilla en la oscuridad (conductora gracias al cristal de sulfuro de zinc activado con plata o al aluminato de estroncio dopado)
• Siliconas (como las gomas  Ecoflex o el polivinilsiloxano utilizado para las impresiones dentales y como molde)
• Silicona y pintura bare paint (pintura conductora de la electricidad)
• Silicona y revestimiento de grafito (conductor)
• Silicona con plata coloidal (líquido con diminutas partículas de plata)
• Silicona y nano tips (una solución líquida de poliamida conductora que imita el tacto de la piel humana y que se utiliza cuando se llevan guantes y se quiere utilizar el teléfono)
• Dragon Skin (una marca de goma de silicona de alto rendimiento utilizada para efectos de piel y moldes)
• Dragon Skin y pintura conductora
• Dragon Skin y pintura conductora y nano tips
• Dragon Skin y revestimiento gráfico
• Látex (caucho natural utilizado para pinturas corporales)
• Látex y revestimiento de oro
• Látex Monster (una famosa marca de látex líquido utilizado para efectos especiales. Se puede hornear fácilmente en moldes).

La presentación de una suplantación biométrica a un escáner biométrico puede ser detectada por métodos ampliamente conocidos como detección de ataques de presentación, PAD.

Entonces, ¿cómo se lleva a cabo la detección de prueba de vida? 

#4 ¿Cómo detectar la prueba de vida en ataques de presentación de huellas dactilares?

Las técnicas para hacer frente a los ataques de presentación en los sistemas biométricos de huellas dactilares se dividen en métodos estáticos y dinámicos.

Esta captura de reconocimiento de huellas dactilares muestra valles lineales (blancos) y crestas (negras). Las minucias son puntos específicos, como las bifurcaciones y los extremos de las crestas (en amarillo y rojo). Los pequeños puntos circulares son poros de sudor. (Fuente Gemalto en Milipol 2017).

Las soluciones explotarán tanto los métodos de detección de falsificación como los de detección de prueba de vida.

Métodos estáticos

Comparan una sola captura de huella dactilar con otras. 

• Pueden detectar la falta de detalles en las huellas dactilares falsas, como poros de sudor, diferencias de patrón y rasgos no naturales (como burbujas de aire), en comparación con las reales.
• La búsqueda de ruido y de marcas de alteración en las huellas dactilares, como manchas, se conoce desde hace años en el ámbito forense. Además, la flexibilidad de la piel es tan elevada que no existen dos huellas dactilares iguales, incluso cuando se captura una inmediatamente después de la otra. Una persona también puede alterar su patrón de huellas dactilares intencionalmente para eludir la identificación. Los métodos de detección de falsificaciones también detectarán este tipo de intento.
• A partir de la captura de una sola huella dactilar, pueden explotarse características estáticas, como la elasticidad de la piel, las características basadas en la transpiración, las características de textura, como la suavidad (también conocida como aspereza de la superficie), y la morfología.
• Por ejemplo, la piel natural suele ser más suave que los materiales como la gelatina y los polímeros de silicona hechos de moléculas aglomeradas. Un dedo vivo también tendrá más distorsión de crestas que uno falso.
• Curiosamente, el espectro de luz reflejado por el dedo cuando se ilumina es muy característico de la piel humana. En el espectro infrarrojo de onda corta, el reflejo de la piel también es independiente del tono de la piel, lo que lo hace ubicuo.
• Otra firma de la "prueba de vida" es el sudor. El sudor comienza en los poros y se difunde de manera desigual a lo largo de las crestas. Por el contrario, las capturas falsas tienden a mostrar una gran uniformidad. Sin mencionar el hecho de que los poros son muy pequeños y difíciles de incorporar en los artefactos, ya que generalmente no son visibles en las huellas dactilares levantadas.
• Los escáneres multimodales también pueden combinar imágenes de huellas dactilares y de venas dactilares.  

Métodos dinámicos

Procesan múltiples fotogramas de huellas dactilares (también conocido como fusión) y realizan un análisis más profundo para detectar signos de vida en las huellas dactilares adquiridas.

• Análisis de la distorsión de la piel: la piel se vuelve más blanca bajo presión. Este efecto se hace visible cuando se presiona la yema del dedo contra una superficie y el flujo sanguíneo se detiene debido a la compresión del tejido. Además, se le puede pedir al usuario que mueva el dedo mientras lo presiona contra la superficie del escáner, amplificando así intencionalmente la deformación de la piel.
• Detección de flujo sanguíneo. La idea aquí es capturar el movimiento de la sangre debajo de la piel para diferenciar los dedos vivos de los artificiales.
• Detección activa de poros sudoríparos: los poros activos con líquido de sudor iónico solo están disponibles en dedos vivos y son difíciles de reproducir.

Pero hay más.

Métodos mejorados por la IA

Hoy en día, las medidas contra la suplantación de identidad aprovechan las redes neuronales convolucionales (CNN) de aprendizaje profundo, que se aplican más comúnmente al análisis de imágenes visuales. 

Los modelos de las CNN pueden ser entrenados para distinguir un dedo vivo de uno falso. Por ejemplo, pueden identificar huellas dactilares falsas con materiales conocidos.

Piénselo de esta manera:

Los algoritmos de redes neuronales artificiales están ayudando a que los algoritmos de detección de prueba de vida sean más precisos.

Como resultado, engañar a los escáneres y lectores de huellas dactilares ahora requiere un nivel notablemente más alto de experiencia que va más allá de las suplantaciones de silicona básicas.

Sobre todo, la creación de un artefacto de alta calidad a partir de una huella dactilar latente requiere una habilidad y un conocimiento similares a los de un especialista forense con el equipo de laboratorio adecuado.

Entonces, ¿cuál es la fórmula mágica para contrarrestar los ataques de suplantación de huellas dactilares?

Lamentablemente, no existe una fórmula mágica ni una bala de plata. 

Un solo método nunca puede proporcionar toda la seguridad que se necesita. La verdadera solución radica en combinar el número correcto de funciones diferentes.

La respuesta irrefutable también radica en los resultados: es decir, la capacidad del dispositivo para resistir ataques hoy y a lo largo del tiempo.

Más allá de las referencias de los proveedores y las afirmaciones técnicas, ciertamente es difícil tomar la decisión correcta entre todos los dispositivos disponibles en el mercado.

Sin duda, los nuevos métodos de prueba de dispositivos para evaluar la conformidad con la norma ISO pueden ayudar. 

Sus resultados podrían ser un punto de referencia apropiado.

Lo explicaremos a continuación.

Hoy en día, los laboratorios acreditados independientes pueden proporcionar servicios de prueba de

Detección de Ataques de Presentación ISO. 

Durante las pruebas, los sistemas se enfrentan a diferentes ataques de presentación. Si tiene éxito, el proveedor recibirá un informe de prueba.

De acuerdo con el estándar ISO/IEC 30107-3 (Pruebas e informes, introducido en septiembre de 2017) y el marco 30107-1, los resultados ofrecen una excelente orientación tanto para el proveedor como para sus clientes. 

#5. ¿Cuáles son los ataques conocidos de suplantación de rostro? 

Pasemos al reconocimiento facial. 

Los procesos de detección de rostros, captura de rostros y coincidencia se detallan en nuestro dossier web (Cómo funciona el reconocimiento facial). 

Aquí nos centraremos específicamente en la detección de prueba de vida del rostro.

Hay muchas similitudes entre las dos modalidades.

Los métodos de detección de la prueba de vida del rostro también utilizan análisis de textura y movimiento, así como inteligencia artificial.

Las técnicas más avanzadas combinan estas características.

También dependen, en gran medida, de la precisión de los algoritmos de detección facial para detectar alteraciones, como variaciones en la pose y la expresión, eliminar el ruido (brillo, fondo).

Instrumentos de ataque de presentación (rostro) 

Aquí nuevamente, presentamos una lista (no exhaustiva) de artefactos (PAI) que muestra los rasgos humanos utilizados para realizar ataques de suplantación de rostro, ya sea con modelos 2D, 3D en una pantalla (2D) u objetos 3D. 

• Los ataques estáticos 2D se realizan con imágenes de rostro de alta definición en papel plano, máscaras de papel plano simple con agujeros.
• Los ataques dinámicos 2D se llevan a cabo con múltiples fotografías para ser utilizadas en una secuencia o una reproducción de video a través de una pantalla de baja o alta calidad (4K). La pantalla de alta definición se utiliza para falsificar cámaras de baja resolución. Se puede usar una secuencia de video con imágenes para responder a los métodos básicos de desafío/respuesta. Los agujeros, en particular, permiten que los ojos parpadeen. Estos ataques 2D están bien documentados.
• Los ataques potenciales dinámicos 2D más recientes pueden incluir avatares o dobles digitales 3D (en una pantalla 2D) y títeres deepfake, llamados así porque aprovechan los procesos de aprendizaje profundo. 
• En los ataques estáticos en 3D, los imitadores utilizan impresiones en 3D, cabezas de cera o esculturas.
• En los ataques dinámicos 3D, los estafadores pueden utilizar máscaras de resina, látex o silicona con orificios para los ojos y otras áreas específicas como la boca, los labios y las cejas.  

La detección pasiva de actividad no requiere ninguna acción. La utiliza el Paquete de Verificación de Identidad de Thales y su módulo Live Selfie Verify (Verificación de selfie en tiempo real) para garantizar la presencia del usuario durante el registro.

#6. ¿Cuáles son las contramedidas actuales desarrolladas para los ataques de suplantación de rostro? 

Métodos activos y pasivos

Se pueden basar en métodos de detección pasivos y activos.

• Lo hemos dicho antes para las huellas dactilares. Pero vale la pena repetirlo. Cuente primero con los algoritmos de reconocimiento facial. Hoy en día, con el uso de la IA en los análisis avanzados, es menos probable que las alteraciones, como cambios en el vello facial, anteojos o, incluso, rostros parcialmente ocultos, impidan la identificación del usuario. Según el NIST, en menos de cinco años, la precisión de los mejores sistemas de reconocimiento facial se ha incrementado 20 veces, en promedio.
• Mencionamos el análisis de textura y movimiento como métodos utilizados por los sistemas de detección de prueba de vida con cámaras 2D. El flash activo ayudará a identificar suplantaciones de rostro debido a patrones de reflejos específicos en un rostro. 
• Señales involuntarias y reflejos. Movimientos de cabeza y ojos, los parpadeos son muy espontáneos. Naturalmente, parpadeamos entre quince y veinte veces por minuto, y una buena cámara 2D puede detectar eso. La dilatación de la pupila también se puede generar intencionalmente. Por ejemplo, para hacer que las pupilas se dilaten o contraigan, una pantalla de información puede volverse repentinamente más oscura o más brillante. Con una función de infrarrojos, las cámaras también pueden recopilar información térmica.
• Desafío/respuesta o técnicas de detección activa. La idea es pedirle al usuario que parpadee intencionalmente, sonría, gire la cabeza, asienta con la cabeza, haga muecas al azar, diga números al azar, entre otras cosas. La respuesta se valida si se ha seguido esta instrucción. Es una forma sencilla de esquivar los ataques de video que imitan movimientos aleatorios. Como estas técnicas necesitan la interacción del usuario, no funcionan en todos los escenarios.
• Los nuevos sistemas de cámaras 3D pueden detectar cambios leves en el rostro de una persona y buscar información de profundidad. La detección de profundidad y movimiento detectará ataques 2D. 
• La combinación de varias modalidades biométricas, como reconocimiento facial, de iris y de voz, aumentará los niveles de seguridad. Esta asociación se conoce como biometría multimodal y dificulta la vida de los atacantes.

No fue hasta 2018 que la certificación de detección de prueba de vida comenzó a aparecer en la industria del reconocimiento facial. Las pruebas de certificación y rendimiento ahora las llevan a cabo organizaciones acreditadas.

Los sistemas de reconocimiento facial se enfrentan a diferentes ataques de presentación, como fotografías impresas, máscaras o videos.

Para una decisión de compra, la solidez de la investigación del proveedor, la experiencia y la capacidad de movilizar expertos para respaldar su proyecto son factores clave en la decisión.

Aún no hemos terminado porque, con la tecnología, estamos en una batalla sin fin. 

#7. Pregunta extra: Deepfakes, ¿divertidos o amenazadores?

El software de edición avanzado puede crear dobles digitales 3D muy reales.

Los métodos de aprendizaje automático y sus algoritmos de aprendizaje profundo relacionados que se utilizan para aumentar la precisión del sistema biométrico también se están aprovechando para crear imágenes y videos sintéticos de alta calidad conocidos como deepfakes.

Su potencial para engañar al ojo humano es tan alto que es un desafío distinguir entre lo que es real y lo que es falso.

Sabemos lo que piensa.

Esa es la definición exacta de detección de prueba de vida, y da miedo.

Hasta tal punto que el tema está ahora en el radar del gobierno de los Estados Unidos, según la CNN Business, tanto en los aspectos técnicos como en los legales.

Los gigantes tecnológicos como Amazon, Facebook y Microsoft están trabajando junto con el MIT y Cornell para combatir la propagación de deepfakes engañosos.

Y es posible que la respuesta no le sorprenda.

Ahora se utilizan las mismas herramientas para contraatacar y detectar deepfakes.

Los sistemas están entrenados para reconocer inconsistencias menores, como sombras inesperadas, demasiado resplandor en los anteojos, lunares faciales no naturales, parpadeo (demasiadas veces o no lo suficiente).

Para acelerar el desarrollo de algoritmos de detección, Facebook creó el Deepfake Detection Challenge (desafío de detección de deepfake) en 2019.

Incluso, varios proveedores están ofreciendo a los hackers recompensas por falsificaciones.

Hoy, las habilidades de creación y detección van progresando de la mano.

Manténganse informado. 

¿Dónde estamos nosotros?

La plataforma de reconocimiento facial Thales Cogent utiliza diferentes mecanismos de detección de prueba de vida, incluidas las cámaras térmicas.

Thales se ha especializado en tecnologías biométricas durante 30 años. 

• La compañía siempre ha cooperado con los mejores actores en investigación, ética y aplicaciones biométricas.
• Nuestros lectores de documentos están muy presentes en los mostradores de control de fronteras de todo el mundo.
• Nuestros modelos de escáner de huellas dactilares pueden capturar huellas dactilares individuales planas, rodadas, dos huellas dactilares planas, huella dactilar de cuatro dedos y huella palmar.
• Nuestros sistemas de identificación se utilizan en más de 200 aplicaciones en más de 80 países para investigar, identificar y verificar en aplicaciones de los organismos policiales y de identificación civil y fronteriza.

Más recursos sobre prueba de vida, biometría y autenticación

• El término prueba de vida es relativamente nuevo y fue acuñado por en 2001.
• Descubra uno de los primeros trabajos académicos sobre suplantación de identidad y las medidas contra la suplantación de identidad (diciembre de 2002).
• Guía sobre identidad digital del : junio de 2017.
• Obtenga más información con la guía del instituto de biometría sobre detección de ataques de presentación y prueba de vida - agosto de 2019.
• Vea cómo Hollywood ha estado reinventado la biometría desde la década de 1960.
• Mercados de verificación de identidad biométrica para 2025.
• ¿Ese video es real? CNN - octubre de 2020.
• , explicado - MIT 21 de julio de 2020.
• Uso de la IA para detectar videos deepfake: Universidad de Standford, 13 de octubre de 2020.
• Thales lanza el Paquete de Verificación de Identidad biométrica con prueba de vida pasiva.
• Sistema de identificación biométrica automatizado Thales Cogent (CABIS 7.0)
• Sistema automático de reconocimiento de rostro vivo de Thales (LFIS)
• Obtenga más información sobre la gama de escáneres biométricos de Thales
• 6 pautas para el reconocimiento facial para generar confianza

Ahora es su turno

Si quiere contarnos algo sobre la detección de prueba de vida en biometría, hacer alguna pregunta o si ha encontrado útil este contenido, déjenos un comentario en el cuadro a continuación.

También nos gustaría saber cómo podríamos mejorar nuestros futuros artículos.

Esperamos con interés escuchar sus comentarios.