Una inteligencia artificial crea falsas huellas digitales que engañan a los sistemas de seguridad

Un grupo de investigadores de la Universidad de Nueva York desarrolló una inteligencia artificial que replica el patrón de las huellas digitales y puede acceder a sistemas con protección biométrica.

Según el informe presentado en una conferencia de seguridad informática desarrollada en Los Ángeles, el programa, bautizado “DeepMasterPrints” (o “Impresiones Maestras Profundas”), consiguió imitar una de cada cinco huellas digitales en un sistema que debería tener un índice de error de uno en mil.

La clave para replicar la información es aprovecharse de dos vulnerabilidades de los actuales lectores de huellas digitales. La primera es propia de la tecnología, que solo escanea una parte del dedo para compararlo con sus registros; y la segunda es intrínseca al ser humano, ya que algunas partes de la huella tienden a tener patrones comunes que resultan más sencillos de duplicar.

“Sin verificar que la biométrica proviene de una persona real, muchos de estos ataques se vuelven factibles, dijo el líder del proyecto Philip Bontrager

Los lectores normalmente utilizados en teléfonos celulares crean un registro de la huella dactilar completa, pero para su verificación (por cuestiones de comodidad para el usuario) utilizan apenas un fragmento de ella. Así, la inteligencia artificial sólo necesita recrear uno de esos fragmentos para obtener acceso al sistema.

Basado en esos conceptos, los investigadores utilizaron una técnica de machine learning (programas que evolucionan en base a la cantidad de datos introducidos y generan algoritmos propios) para crear huellas digitales que coincidieran con la mayor cantidad posible de originales.

La inteligencia artificial no solo consiguió crear impresiones que pueden explotar esas vulnerabilidades sino que también se ven reales a la vista, algo que hasta ahora había resultado imposible.

¿De qué forma se puede utilizar?

Los investigadores aseguran que un desarrollo como este podría ser aprovechado en ataques similares a los conocidos como “ataque de diccionario”, en los cuales un hacker intenta acceder a un sistema ejecutando una lista de passwords comunes esperando dar con el correcto.

Un ataque de ese tipo puede no ser efectivo si se tiene un objetivo específico, pero en registros a gran escala podría encontrar coincidencia con algunas de las huellas digitales generadas.

¿Vuelvo a poner el pin en el teléfono?

No es necesario (al menos por ahora). Como el líder del proyecto Philip Bontrager explicó: “Una configuración similar a la nuestra puede ser utilizada con propósitos malignos, pero difícilmente funcione a menos que esté optimizada para el teléfono, algo que demandaría mucho trabajo”.

Bontranger espera que los descubrimientos de su equipo generen una evolución en los esfuerzos de las empresas utilzando datos biométricos.