Una empresa vietnamí, dedicada al desarrollo de software antivirus, demostró hace unos pocos días, en una conferencia de prensa (en Hanoi), la vulnerabilidad del control de acceso vía el rostro de las personas, incluso con el nivel de autentificación más alto. El truco fue poner una fotografía del usuario legítimo y el programa VeriFace III simplemente dio el acceso solicitado. Aparentemente para los programas de reconocimiento de rostros somos “planos“, es decir sin volumen. Quizás esto se deba a un factor simple: las computadoras con este sistema de reconocimiento tienen una webcam integrada y ésta, por definición, trabaja con imágenes planas por lo que el software de verificación tiene poco margen para trabajar con rostros reales. Como demostraron los vietnamitas: una fotografía puede burlar el sistema de seguridad.
La demostración de los vietnamitas se hizo en una Lenovi Y430, corriendo Windows Vista. Primero una persona se definió como el usuario de la computadora. El proceso fue rápido y directo. El software de autentificación de Lenovo, el Veriface III escaneó la cara y mostró algunos puntos de control, incluyendo los ojos, presumiblemente para asegurarse de reconocer el rostro de dicho usuario sin importar en qué ángulo el usuario veía hacia la webcam.
Una vez hecho esto, fue muy simple entrar al sistema mostrando el rostro de dicho usuario. Le tomó a la computadora menos de un segundo reconocer la cara y permitirle el acceso. Hasta ahí todo bien. Entonces pusieron al usuario a “chatear” con un técnico a través de la webcam vía Skype. El técnico capturó la imagen de su interlocutor (en este caso el usuario legal de la computadora). Esto le tomó dos segundos. Hasta ahí terminó la demostración con el usuario. Cinco minutos después, el técnico trajo la fotografía impresa en una hoja de papel. Reinició la computadora y puso la foto frente a la cámara web. El VeriFace III le dio acceso a la computadora.
La empresa de seguridad vietnamí dijo que invitó a la conferencia de prensa a los representantes de Asus, Lenovo y Toshiba, pero ninguno se presentó en la misma. Al momento de escribir esto, no ha habido ningún comunicado oficial de ninguna de estas compañías.
Cabe señalar que no funciona cualquier fotografía impresa del usuario legal de una computadora con esta tecnología de acceso. Hay que manipular algunos puntos que VeriFace toma en cuenta para realizar su reconocimiento. Sin embargo, no se mencionaron cuáles eran estos puntos de realce que requieren las fotografías para simular a un usuario legal. El asunto es que después de esta demostración, la tecnología de seguridad de acceso vía el rostro está aún en tela de juicio y ya no parece tan segura.
(Credito Foto: Dong Ngo/CBS Interactive)