¿Real o falso?
En películas como “Los Ángeles de Charlie” y otras de ese tipo hemos visto lentes de contacto que replican el ojo de otra persona, para poder abrir una puerta de seguridad que usa este sistema biométrico para admitir el paso. Bueno, ahora resulta que investigadores de seguridad lograron algo parecido, pero en la vida real.
Un equipo de la Universidad Autónoma de Madrid logró recrear la imagen de un iris lo suficientemente buena para engañar a los sistemas de seguridad, a partir de códigos digitales de irises reales almacenados en una base de datos de seguridad. El descubrimiento fue mostrado en la conferencia anual Black Hat en Las Vegas, y despierta preocupación, porque éste es considerado uno de los métodos biométricos más seguros.
El equipo, encabezado por Javier Galbally, logró imprimir imágenes sintéticas de un iris que, probadas con el escáner de iris VeriEye, logró engañar al sistema un 80% de las veces.
El método usado por los investigadores consistió en utilizar los “códigos de iris” almacenados en una base de datos, obtenidos a partir de escaneos de ojos verdaderos. Luego se tomaron imágenes sintéticas y se las alteró hasta que pudieran producir un código de iris que calzara con los originales.
Se utilizó un algoritmo genético para lograr este resultado. Este tipo de algoritmos permiten mejorar un resultado a partir de varias iteraciones de procesamiento de datos. En este caso, el algoritmo examinó las imágenes sintéticas y las alteró hasta que éstas pudieran producir un código de iris casi idéntico al que produjo el escaneo del ojo real.
Al algoritmo le toma entre 100 y 200 iteraciones llegar a un resultado “suficientemente similar” para intentar engañar al sistema de reconocimiento.
Los escáners de iris funcionan con un “puntaje de similitud”, ya que al escanear dos veces un ojo no obtienes imágenes exactamente iguales, sino que hay un cierto rango de flexibilidad que acepta la imagen si es lo suficientemente parecida. El algoritmo se aprovecha de esta característica.
No contentos con engañar a la máquina, los investigadores le mostraron 50 imágenes de irises reales y 50 imágenes de irises sintéticos a dos grupos de personas: expertos en biométrica y gente normal. Los expertos fueron engañados sólo un 8% de las veces, mientras que la gente normal no pudo distinguir si era real o falso un 35% de las veces en promedio, una tasa bastante alta. De todos modos, las personas todavía tienen un mejor promedio que el 80% que alcanzó el sistema VeriEye.
Para llevar a cabo un ataque de este tipo, sería necesario tener acceso a la base de datos de códigos de iris de una empresa primero. Eso no significa que no se pueda hacer, el atacante podría hackear la base de datos o bien engañar a la personas correctas a que se escaneen los ojos para conseguir sus “códigos de iris”.