Nueva Zelanda ha lanzado un marco de confianza para la identidad digital, un paso crucial hacia la transformación digital del país.
TrustCloud refuerza sus capacidades en la detección de ataques de presentación con un importante certificado
TrustCloud ha superado la auditoría de cumplimiento ISO 30107, lo que certifica que sus soluciones de verificación de identidad están en la vanguardia de la lucha contra el fraude.
T
rustCloud ha obtenido la certificación correspondiente a la norma ISO 30107, que proporciona una base para detectar los ataques de presentación (presentation attacks, PAs). Estos ataques amenazan el funcionamiento de las soluciones de video identificación, dando lugar a accesos no autorizados, fraudes o usurpaciones de identidad con consecuencias a largo plazo.
Gracias a sus excelentes prestaciones, el reconocimiento facial se ha integrado en diversos aspectos de nuestra vida cotidiana, tales como el control y desbloqueo de dispositivos o los pagos a través de tecnología móvil. Sin embargo, existe el riesgo de que alguien intente engañar a un sistema de video verificación con reconocimiento facial presentando una falsificación en lugar de sus propios rasgos biométricos.
Diversidad de ataques y tácticas
El panorama de los ataques de presentación es diverso y abarca tanto métodos tradicionales como recursos digitales avanzados. Para comprender plenamente su alcance, podemos clasificarlos en tres tipologías amplias:
- Ataques de impresión. Los ataques de impresión representan un intento de manipular los sistemas de reconocimiento facial mediante el uso de imágenes estáticas impresas. En este escenario, un atacante presenta una fotografía que retrata la cara de una persona autorizada. La finalidad de este tipo de ataque es engañar al sistema, persuadiéndolo de que la imagen impresa es auténtica y corresponde a una cara genuina. En esencia, el atacante procura aprovechar la imagen impresa, ya sea en papel fotográfico u otro soporte, con la intención de burlar la seguridad de un sistema que confía en la biometría para la autenticación (previa a una apertura de cuenta, por ejemplo) o el acceso.
- Ataques de máscara 3D. Los ataques de máscara 3D involucran el uso de réplicas tridimensionales de los rasgos faciales de una persona legítima. Estas máscaras pueden ser excepcionalmente verosímiles, llegando a ser difíciles de distinguir de una cara real. Los atacantes pueden emplear diversos recursos en esta categoría: desde máscaras de látex meticulosamente confeccionadas hasta la cabeza de un maniquí colocada frente a la pantalla.
- Ataques de repetición de vídeo. Consisten en utilizar grabaciones de vídeo previamente registradas que muestran a una persona autorizada interactuando con la solución de video identificación. Al reproducir el vídeo, el atacante engaña al sistema haciéndole creer que está interactuando con la persona real, cuando en realidad se trata de una grabación. Estos ataques pueden ser activados de diversas formas: enseñando la pantalla de un dispositivo móvil con la imagen de la persona o creando un modelo digital 3D a partir de un vídeo o una fotografía, por ejemplo. Generando un movimiento aparentemente auténtico con estos modelos fabricados también se intenta sortear los filtros de pruebas de vida.
Las versátiles contribuciones de las PADs
La certificación ISO 30107 es un indicador confiable de la capacidad de un sistema para detectar y resistir ataques de presentación, brindando confianza en la seguridad y eficacia de la tecnología de reconocimiento facial. Al igual que otras normas relacionadas con la seguridad cibernética, se mantiene actualizada para adaptarse a las nuevas amenazas y tecnologías emergentes. Los sistemas de detección de ataque de presentación (presentation attack detection, PAD) continúan evolucionando en respuesta a los métodos en constante cambio. Esto implica que los PAD deben ser capaces de aprender y adaptarse a nuevos patrones de ataque para mantener su eficacia a lo largo del tiempo.
Si bien la seguridad es un aspecto fundamental de los PADs, es importante reconocer que estas tecnologías tienen un alcance más amplio que abarca múltiples áreas y beneficios.
- Experiencia del usuario mejorada: Los PADs pueden contribuir significativamente a mejorar la experiencia del usuario en diversos contextos. En aplicaciones cotidianas como desbloqueo de dispositivos móviles o ingreso a edificios, los sistemas de reconocimiento facial respaldados por PADs pueden agilizar y simplificar la autenticación. Al garantizar una autenticación rápida y confiable, los usuarios se benefician de una interacción fluida y sin fricciones con los sistemas y dispositivos que utilizan diariamente.
- Personalización de servicios: En entornos de hospitalidad o comercio electrónico, los PADs pueden contribuir, gracias a sus filtros y barreras, a adaptar ofertas y servicios según las preferencias y necesidades individuales de los usuarios. Esto puede generar una mayor satisfacción y fidelidad por parte de los clientes al sentir que se les brinda una atención más personalizada.
- Aplicaciones forenses y de investigación: En la resolución de crímenes y casos legales, los PADs son un activo útil para verificar la autenticidad de las imágenes y evidencias, identificando manipulaciones o alteraciones. Este aspecto es especialmente relevante en la era digital, donde dirimir la autenticidad de las imágenes puede ser una tarea compleja que, no obstante, debe resolverse con agilidad.
- Análisis de datos y seguimiento de emociones: Al observar las características faciales, los PADs también proporcionan información valiosa sobre las emociones y reacciones de los usuarios, un factor muy útil en aplicaciones como la investigación de la experiencia del cliente, el seguimiento de la atención durante la publicidad y la adaptación de interfaces de usuario en función de las reacciones emocionales.
Custodia de la identidad y máximo rigor
La regulación ISO 30107 define términos y establece un marco para especificar y localizar los eventos de ataque descritos. De este modo, se pueden analizar en profundidad para posteriormente tomar decisiones y evaluar el rendimiento. Conviene apuntar que no se ocupa de todos los posibles ataques en un sistema biométrico, sino que se enfoca en los ataques realizados por los propios sujetos de captura biométrica, es decir, las personas que están siendo escaneadas o cuyos datos biométricos se están capturando.
El objetivo es garantizar que los sistemas biométricos sean seguros y confiables al detectar y prevenir el uso de falsificaciones. Esto es vital para proteger la identidad y la seguridad de las personas en los procesos de onboarding y autenticación, fomentando la transparencia y evitando el acceso no autorizado a sistemas y datos.
La obtención del certificado ISO 30107 potencia las capacidades TrustCloud como servicio de confianza y como entorno seguro en cada una de sus modalidades de identificación.