4 formas de piratear el reconocimiento facial en empresas y móviles
Su facilidad de uso y seguridad en una época en que el contacto táctil se quiere evitar están propagando su uso.
La Autenticación Biométrica o Biometría Informática es la aplicación de técnicas matemáticas y estadísticas sobre los rasgos físicos o de conducta de un individuo para su verificación de la identidad. Esto es lo que está detrás de los llamados sensores biométricos que conforman los sistemas de seguridad actuales en dispositivos como smartphones, tablets u ordenadores. En el mundo de la telefonía móvil, desde que Apple lo empezó a implementar en sus iPhone, el lector de huellas se ha convertido en el sistema biométrico de seguridad más utilizado.
Sistemas biométricos de seguridad personalizada
De hecho la tecnología ha propiciado más, como el escáner facial o el lector de iris, todos ellos diseñados para usar elementos tan personales como la huella de identidad, los rasgos del rostro o el iris del ojo del usuario. Y todos ellos requieren de un paso activo como poner el dedo en una zona o apuntarse con el sensor a la cara o al ojo. Pero incluso en los más avanzados se ha demostrado que el bloqueo por huella, iris u rostro pueden ser superados -ya os contamos cómo se puede usar este sistema biométrico con el móvil incluso llevando una mascarilla puesta.
Escaneo Facial para evitar el contacto
El actual distanciamiento social impuesto por la pandemia global que vivimos, que hay que respetar hasta que exista una vacuna en firme para la COVID-19, está llevando a muchas empresas a buscar soluciones de entrada sin contacto, recurriendo a dispositivos que usan el reconocimiento facial o pequeños dispositivos como las tarjetas RFID. Su uso está pensado como primera línea de defensa para mantener a los intrusos fuera de las oficinas, que pueden ser objeto de muchos tipos de ataques diferentes.
Pero la compañía de ciberseguridad Trend Micro, que ha observado este auge en la seguridad biométrica sin contacto, se ha preguntado si esta medida es tan segura como parece, y ha compilado una serie de maneras en las que un intruso puede engañar o piratear los dispositivos de control de acceso de reconocimiento facial:
A través de una Foto
Hay algunos dispositivos de control de acceso que son simplemente susceptibles a las imágenes estáticas, como la imagen de un teléfono. Esta es “una debilidad crítica debido a la disponibilidad de imágenes personales en los medios sociales”. Si un atacante conoce el nombre de un empleado de la compañía objetivo, puede ser capaz de encontrar imágenes claras de su rostro en Internet, y desbloquear un sistema o móvil con una simple foto.
Mediante la información del producto en el dispositivo
Muchos dispositivos tienen información importante impresa directamente en ellos, por ejemplo, números de serie o designaciones del fabricante. Los hackers pueden utilizar esta información para obtener un mayor acceso a los dispositivos, a través de los bancos de datos, manuales de empresa y demás que pueden encontrar por la Web o la Dark Web, lo que posiblemente les permita robar la contraseña y manipular el control de un router o una puerta de seguridad, ganando el acceso a una empresa o bien de forma online o físic.
Uso de puertos y conexiones físicas expuestas
Los dispositivos de control de acceso suelen ser tablets que tienen puertos para la transferencia de información o energía. Muchos tienen carcasas externas que protegen las tabletas de la manipulación, pero hay unos pocos que dejan los puertos expuestos. Si un puerto USB se deja expuesto a un hacker, podría acceder a los controles de la puerta.
También podrían obtener un acceso más profundo al dispositivo y descargar datos como imágenes y nombres de usuario, o añadir un nuevo usuario al dispositivo y darle acceso a las instalaciones de la empresa. Suena a película de espías, sí, pero es que estamos ya en ese punto en el que la realidad ha superado lo que veíamos en el cine.
Escuchando las Comunicaciones
La mayoría de los dispositivos de control de acceso están vinculados y gestionados a través de un servidor y un software personalizado del fabricante. La comunicación entre el dispositivo y el servidor se intercepta y manipula fácilmente si no está cifrada o protegida, lo que permite a un agente de la amenaza recoger datos como imágenes y detalles del usuario.
Además, un hacker puede hacerse pasar por el servidor y forzar las actualizaciones de los dispositivos, y "añadir nuevos usuarios o instalar nuevos administradores para el dispositivo".