La máscara que engañó al Face ID del iPhone X y que pone en cuestión la tecnología biométrica

En teoría solo pasa una entre un millón de veces, pero ya ha pasado en más de una ocasión. El Face ID del iPhone X falla. En septiembre le ocurrió a Phil Schiller, jefe de producto de la compañía, en la presentación de su propio producto. Dos meses después, unos investigadores de la empresa vietnamita de ciberseguridad Bkav, aseguran haber conseguido romper el sistema de reconocimiento facial del teléfono.

Cuando Apple presentó el iPhone X dijo que había trabajado con varios especialistas de Hollywood para fabricar máscaras hiperrealistas y poner a prueba al sistema. Las enseñaron al público, aunque no confirmaron si alguna consiguió burlar Face ID. Los ingenieros de Bkav dicen que han tardado unos seis días en burlar el sistema desde que recibieron el iPhone X.

También que se han gastado 150 dólares en plástico, látex, maquillaje y una impresora 3D. El resultado es un molde ligeramente inquietante y más propio de una película de miedo que de una proof on concept (prueba de concepto). Aseguran que funciona. No todo el mundo está convencido.

“Apple no ha hecho esto del todo bien”, anuncia Bkav. “Face ID puede ser engañado por una máscara, lo que significa que no es una medida de seguridad tan efectiva”. La nariz es de silicona, los ojos y la boca son fotografías impresas a color y el resto de la cara está fabricada con una impresora 3D. A diferencia de lo que podría parecer, el sistema no escanea toda la cara, sino ciertos puntos que son, precisamente, los elementos que recrea la máscara.

De ser efectiva la trampa, el sensor de iluminación, el que toma 30.000 puntos de la cabeza, habría sido derrotado por un collage.

“Todavía son inseguros”

“Hay un problema de fondo, que es cuánto de seguro es un sistema biométrico, teniendo en cuenta que todavía es algo que se está probando y que según qué elemento crítico se puede hackear”, explica a eldiario.es Ángel Barbero, responsable de desarrollo de negocio de Tecnilógica, una empresa de Accenture especializada productos tecnológicos. “Es decir, el hecho de utilizar sistemas biométricos de reconocimiento facial, por ejemplo, puede que ya en sí mismo sea un problema”, continúa.

Todos los datos que se desprenden a partir de las características físicas o fisiológicas únicas de una persona son datos biométricos. La tecnología, cuando deja de ser puntera, se abarata. Esto es precisamente lo que ha pasado con algunos sistemas que permiten este tipo de identificación, como los escáneres de huellas. Su precio ha bajado y se han incorporado en los teléfonos móviles porque a la par se están desarrollando otros métodos, como el reconocimiento por ADN, por iris o, incluso, a través del sudor.

Barbero se muestra tajante con los sistemas biométricos: “Son muy irregulares y dependen del contexto”. En abril, la Universidad de Nueva York y la Universidad de Michigan publicaron un estudio donde concluían que hasta en un 65% de las veces, los teléfonos móviles equipados con este sistema podrían ser desbloqueados con huellas maestras. “Como único elemento de seguridad todavía es algo inseguro”, dice el experto, que reconoce que “en muchos casos tiene más seguridad que otros sistemas como el pin o patrón de desbloqueo”.

Voz, huella, iris y cara: todos rotos

Los sistemas de reconocimiento facial no son seguros desde antes incluso del lanzamiento de Face ID. Trusted Face lleva en Android desde su versión 4.0 y en agosto del año pasado, consiguieron engañarle enseñándole unos simples fotos en Facebook. Google se apresuró a decir que era “menos seguro que un PIN, un patrón de desbloqueo o una contraseña. Alguien que se parece a ti podría desbloquear tu teléfono”.

La voz tampoco es segura. En el 2015, la Universidad de Alabama en Birmingham demostró que alguien podría falsificar nuestra voz a través de un software y crear una sintética. Los patrones de nuestra voz pueden escanearse y reutilizarse para engañar a los sistemas de voz biométricos de bancos, teléfonos y otras empresas.

En mayo, varios investigadores alemanes demostraron que la técnica de escaneo del iris que incorpora el Samsung S8 no servía para nada. Primero hicieron una fotografía al propietario del teléfono, después ampliaron el ojo y la imprimieron. Después colocaban una lente de contacto al ojo impreso y lo enseñaban al teléfono. S8 desbloqueado.

“Plantean muchísimas dudas, tanto las que tienen que ver con reconocimiento de iris, como el resto”, dice Barbero. El de Tecnilógica considera que hay ventajas y desventajas en el empleo de estas técnicas, sobre todo a nivel comodidad: “Tienes la seguridad de que está contigo, es decir, de que se incorpora y es algo tuyo, habitual; no tienes que llevar ninguna llave ni ningún elemento externo ni recordar nada. Pero es que todavía no hay tecnologías de reconocimiento biométrico que realmente consigan ese fin y la persona pueda no ser suplantada”, sentencia.

¿Qué hay del futuro?

Como indica Barbero, “cuando tú pones una firma o un PIN estás, de una manera, dejando constancia de que tú quieres firmar eso; pero cuando captas una cara para una identificación...”. El límite es difuso, a pesar de que el Face ID de Apple, por ejemplo, se haya diseñado para que no funcione si el usuario cierra los ojos.

Sí funciona con algunos gemelos e incluso con una madre y su hijo. Son más fallos del 'infalible' sistema que solo yerra 1 de cada 1.000.000 de veces y que se basa en la biometría, en todos los datos que convierten a una persona en un ente único e irrepetible. Junto a esa huella biométrica, los datos que van asociados a ella: “Hay dudas, como la información de esa huella se encuentre guardada en un lugar seguro”, dice Barbero. “Al final estás guardando datos que pertenecen a una persona”.

El experto cree que “el futuro va hacia eso”. Por ello propone consensuar uno o dos sistemas biométricos “que se consideren adecuados y, sobre todo, más baratos”. La última técnica de este tipo con la que se está experimentando es la del ADN. Para entendernos, el ADN de un humano contiene tres mil millones de pares de bases que podrían almacenarse en menos de un gigabyte. Barbero señala que aunque secuenciar ADN es barato, implantarlo en los diferentes dispositivos es complejo. “Es difícil, ya no solo a nivel computación, sino también de hardware. Al final, hablamos de que esto se pueda utilizar en un contexto y que si varía ese contexto tú puedas seguir utilizándolo”, sentencia. Habrá que esperar aún para saber si la técnica funciona a prueba de hackers y de suplantaciones con máscara.