?Pueden ¡®hackear¡¯ mi cara para robarme el iPhone?

Apple present¨® el pasado 12 de septiembre su iPhone X, sin duda uno de los dispositivos m¨¢s esperados del mercado. Lo hizo en un acto cargado de simbolismo, en el nuevo teatro Steve Jobs, en una sede concebida por Norman Foster y por el propio genio fundador antes de su muerte, en 2011. Todo eran promesas de innovaci¨®n y vanguardia en el dise?o y en las capacidades de su reci¨¦n nacida joya. Entre las utilidades que estrena el smartphone destaca Face ID, su nueva herramienta de seguridad, basada en el reconocimiento de la cara del due?o de cada terminal. ¡°Las posibilidades de que alguien pudiese desbloquear nuestro tel¨¦fono con Touch ID [la anterior prueba de verificaci¨®n de Apple, a trav¨¦s de la huella dactilar, en teor¨ªa cinco veces m¨¢s segura que un c¨®digo de cuatro d¨ªgitos] eran de una entre 50.000. Con Face ID son de una entre un mill¨®n¡±, resum¨ªa sobre el escenario Phil Schiller, vicepresidente de Apple. Resulta que nuestra cara, el elemento m¨¢s expuesto y reconocible de nuestra anatom¨ªa, es la mejor t¨¦cnica de ciberseguridad hasta el momento. O no. El gigante de Cupertino ha trabajado duro para hacer de Face ID un instrumento cre¨ªble. Pero otros han ca¨ªdo antes que ¨¦l.

M¨¢s informaci¨®n

?Puede una m¨¢quina pintar como Picasso?

Qu¨¦ har¨¢n los ordenadores en el futuro

?Qu¨¦ haremos con el tiempo libre que nos dejar¨¢n los robots?

La novedad de Apple parece ir en l¨ªnea con el mercado, que ve en la identificaci¨®n biom¨¦trica un mecanismo con futuro, sobre todo para las plataformas de pagos a trav¨¦s del m¨®vil. La consultora especializada Juniper Research calcula que este a?o se realizar¨¢n 2.000 millones de transacciones mediante este tipo de autenticaci¨®n, el triple que en 2016. Las principales compa?¨ªas del sector ya lo est¨¢n aplicando: Apple Pay (que ahora a?adir¨¢ a la huella dactilar el reconocimiento facial), Samsung Pay, Android Pay o las distribuidoras HCE (los sistemas de r¨¦plica de la tarjeta de cr¨¦dito en el m¨®vil para pagos por comunicaci¨®n inal¨¢mbrica NFC), que est¨¢n a?adiendo la identificaci¨®n dactilar. Mastercard tiene el Identity Check, coloquialmente conocido como selfie check, mientras que Visa y PayPal tambi¨¦n tienen habilitados desbloqueos biom¨¦tricos para sus transacciones. Entre los bancos, el Santander fue el primero en incorporar la opci¨®n de pagos con reconocimiento de voz, y a su estela ya se han sumado grandes entidades como Wells Fargo o ING.

?C¨®mo funciona el desbloqueo facial del nuevo iPhone X?

No valdr¨¢ con una foto

La tendencia parece imparable, pero existen amenazas. La ¨²ltima gran estrella de la biom¨¦trica en m¨®viles era el esc¨¢ner de iris del Samsung Galaxy S8, el ¨²ltimo modelo de la compa?¨ªa coreana, el gran competidor de iPhone. Los hackers del Chaos Computer Club (la mayor agrupaci¨®n de piratas inform¨¢ticos de Europa) demostraron que solo se necesitaba una c¨¢mara de fotos con modo noche, una impresora y una lentilla cualquiera para timar al tel¨¦fono. El reconocimiento facial tiene un importante historial de derrotas. En 2009 un investigador de la firma de ciberseguridad vietnamita Bkis mostr¨® las vulnerabilidades de este sistema en ordenadores de Lenovo, Toshiba y Asus con solo mostrar frente a sus c¨¢maras fotograf¨ªas de alta definici¨®n de los propietarios. En 2015 el escritor y experto en tecnolog¨ªa Dan Moren desmontaba la verificaci¨®n de caras del coloso chino del comercio Alibaba con un v¨ªdeo de cinco segundos en el que se le ve¨ªa a ¨¦l pesta?eando.

Enga?ar a Face ID, al parecer, no va a ser tan sencillo. El vicepresidente Phil Schiller presum¨ªa de todas las pruebas que hab¨ªan hecho, y de que el tel¨¦fono podr¨ªa reconocer la cara de su due?o incluso en la oscuridad, gracias a sus sensores infrarrojos. El iPhone X proyecta un haz de 30.000 puntos de luz para capturar la cara del propietario, y en la puesta a punto de la herramienta le pide que se gire para tener una imagen tridimensional. Ya no valdr¨¢ con una foto. Marc Rogers, experto en ciberseguridad de la firma Cloudfare reconocido internacionalmente por exponer las debilidades de numerosos sistemas [entre ellos Touch ID, la verificaci¨®n dactilar de iPhone previa a su ¨²ltimo modelo], coment¨® la presentaci¨®n de su nueva n¨¦mesis en directo a trav¨¦s de Twitter. Lo primero que piensa hacer es imprimir su cara en 3D y ver si esa m¨¢scara pasa el test. De hecho, la firma alemana SR Labs pirate¨® as¨ª en 2015 el reconocimiento facial tridimensional de Microsoft, Hello, con m¨¢scaras de un material no revelado que imitaba el impacto de la luz en la piel humana.

T¨² gesticulas, Putin lo copia

Apple sabe que ese es un posible camino para tirar abajo Face ID. ¡°Nuestro equipo trabaj¨® con creadores profesionales de m¨¢scaras y artistas del maquillaje de Hollywood para impedir suplantaciones de identidad¡±, revelaba Schiller, que sentenciaba que solo aquellos con un ¡°gemelo malvado¡± deber¨ªan preocuparse de a?adir un c¨®digo de desbloqueo. Buena parte de la tecnolog¨ªa de reconocimiento que incorpora el iPhone X ya se pone en pr¨¢ctica en la meca del cine. Disney consider¨® que Peter Cushing, el actor que interpreta al villano Wilhuff Tarkin en la m¨ªtica primera entrega de la saga Star Wars, era irremplazable aunque hubiese muerto en 1994. Decidi¨® clonar su cara y su voz digitalmente y ponerlos en el cuerpo de otro actor para Rogue One, la ¨²ltima pel¨ªcula hasta el momento del universo de George Lucas. El resultado es tan bueno que casi asusta.

El profesor Matthias Niessner de Stanford es uno de los padres de Face2Face, un programa de edici¨®n de v¨ªdeo que permite sustituir la cara del objetivo por la de cualquier persona, y que la recreaci¨®n responda con naturalidad y mucha precisi¨®n a los gestos que hace el usuario. Las demostraciones de este programador alem¨¢n presentan a personajes como George W. Bush, Donald Trump o Arnold Schwarzenegger realizando muecas impropias de sus comportamientos habituales, pero totalmente cre¨ªbles. Niessner apareci¨® en el conocido late night de Jimmy Kimmel y en un par de minutos logr¨® transformar la cara del carism¨¢tico presentador en la de la leyenda del baloncesto Karl Malone o el excampe¨®n del mundo de los pesos pesados Mike Tyson. La tecnolog¨ªa de escaneado que utiliza su software es muy similar a la del Face ID de Apple: ¡°Utilizamos redes neuronales [una rama de la inteligencia artificial] para crear un modelo de la cara a partir de la informaci¨®n de los sensores¡±, explica junto al resto de autores en el desarrollo te¨®rico de su herramienta.

Face2Face y otros sistemas de clonaci¨®n digital de rostros, como el de Disney Research, podr¨ªan ser utilizados para vulnerar el reconocimiento facial. ¡°Los mecanismos biom¨¦tricos est¨¢n siendo revisados para comprender realmente c¨®mo puede afectar la generaci¨®n sint¨¦tica de datos, caras o voz artificial, por ejemplo¡±, asegura Alfonso Mu?oz, profesor del m¨¢ster de seguridad en tecnolog¨ªas de la informaci¨®n y las comunicaciones de la Universidad Europea (UEM). Mu?oz se?ala tambi¨¦n que una modificaci¨®n sutil de datos reales ¡°puede tener un importante impacto en la seguridad¡±, y cita una investigaci¨®n de octubre de 2016 en la que cient¨ªficos de Carnegie Mellon consiguen enga?ar a dispositivos de reconocimiento de caras y hacerles creer que un hombre de unos 40 a?os es la actriz Milla Jovovich con solo colocarle unas falsas gafas fabricadas a tal efecto. Si el nuevo iPhone da lo que promete ser¨¢ capaz de esquivar estas trampas, e incluso podr¨¢ reconocer a su due?o as¨ª cambie de peinado, vello facial, maquillaje o accesorios. Como muy tarde se espera que su seguridad est¨¦ probada o refutada para el pr¨®ximo diciembre, cuando tenga lugar el congreso anual de hackers de Chaos Computer Club.

Clona tu voz

La idea de utilizar datos creados por una inteligencia artificial para enga?ar un sistema de seguridad basado en otra inteligencia artificial est¨¢ considerada una de las principales amenazas que combatir desde ya. ¡°La tendencia es utilizar algoritmos y machine learning para generar datos sint¨¦ticos que enga?en no solo a software de reconocimiento si no, incluso, si esta deriva sigue igual, a confundir al ser humano¡±, profundiza el profesor Mu?oz. Esas son las intenciones de Lyrebird, una app capaz de clonar voces humanas. El pasado 4 de septiembre esta start-up canadiense surgida de la Universidad de Montreal lanz¨® una versi¨®n avanzada de pruebas para que cada usuario pudiese copiar su propia voz y publicaron demostraciones de su tecnolog¨ªa. ¡°Los Estados Unidos est¨¢n considerando, adem¨¢s de otras opciones, cesar toda relaci¨®n comercial con pa¨ªses que tengan negocios con Corea del Norte¡±, se escucha decir a Donald Trump. Es una reproducci¨®n de un tuit del presidente estadounidense. Suena raro, como si hablase por tel¨¦fono y un poco rob¨®tico. Pero el hecho de que una m¨¢quina, a partir de no demasiados registros de cualquier persona, pueda llegar a copiar con cierta precisi¨®n su modo de hablar, despierta no pocas preocupaciones.

¡°Lyrebird y otras aplicaciones podr¨ªan enga?ar a sistemas de verificaci¨®n que solo tengan en cuenta rasgos de la voz¡±, teoriza Vijay Balasubramaniyan, CEO de Pindrop, una de las empresas punteras en el mundo en autenticaci¨®n vocal. Pindrop trabaja con algunas de las mayores multinacionales (principalmente bancos y aseguradoras) para evitar el fraude telef¨®nico o la suplantaci¨®n de identidad en los servicios de atenci¨®n al cliente, que seg¨²n la propia compa?¨ªa causa cerca de 12.000 millones de euros de p¨¦rdidas a las empresas. Balasubramaniyan ide¨® la tecnolog¨ªa de Pindrop, que analiza 147 aspectos de distinta ¨ªndole de cada llamada telef¨®nica para comprobar su autenticidad.

Si nos atenemos al habla, Lyrebird o VoCo, el ¡°Photoshop de la voz¡± presentado por Adobe (la compa?¨ªa responsable del propio Photoshop) a finales de 2016, pueden llegar a enga?ar a un humano o a una inteligencia artificial. Pero la voz no lo es todo. ¡°En Pindrop analizamos la voz y el c¨®mo se produce [el habla y sus caracter¨ªsticas fisiol¨®gicas], pero tambi¨¦n adem¨¢s el dispositivo utilizado y el tipo de llamada y el comportamiento del usuario¡±, desarrolla el programador indio. ¡°En el caso de Lyrebird logran un resultado muy cre¨ªble pero no pasar¨ªa nuestro filtro. La voz del Trump real viene del diafragma, pasa por sus cuerdas vocales, tiene una nasalidad¡­ Todo eso podemos medirlo y en el caso de sistemas de gestaci¨®n digital de datos no se tiene en cuenta, se va directamente al resultado final. Haciendo el proceso inverso, para que las palabras de Trump las pronunciase una persona tendr¨ªa que tener un cuello de m¨¢s de un metro de longitud¡±, aclara Balasubramaniyan.

El proceso de verificaci¨®n de Pindrop eval¨²a desde d¨®nde se realiza la llamada, a trav¨¦s de qu¨¦ tipo de sistema telef¨®nico e incluso c¨®mo se presionan las teclas en caso de que se interact¨²e con el cl¨¢sico asistente rob¨®tico. Cotejan eso con su historial de datos y si encuentran algo extra?o, saltan las alarmas. ¡°Las llamadas tienen ADN, no es lo mismo llamar desde Nigeria que desde Reino Unido. El sonido es distinto, el establecimiento de conexi¨®n tambi¨¦n. Y si la estafa pretende realizarse con un software, no marca los n¨²meros igual que un ser humano¡±, ampl¨ªa Balasubramaniyan. El m¨¦todo es perfectamente aplicable para cualquier identificaci¨®n de voz, se trata de reforzar la biom¨¦trica con m¨¢s capas tecnol¨®gicas: ¡°En este futuro ser¨¢ crucial una aproximaci¨®n de seguridad multifactorial para asegurar los dispositivos. La biom¨¦trica sola no es suficiente. Incorporar elementos como el aprendizaje autom¨¢tico es la f¨®rmula para evitar que ciertos ataques proliferen¡±.

Las compa?¨ªas y los expertos imaginan un futuro en el que la ciberseguridad es cada vez m¨¢s fuerte, y a la vez m¨¢s transparente y sencilla para los usuarios: ¡°Se trata de hacer m¨¢s usable la tecnolog¨ªa. Las medidas de protecci¨®n siempre han sido vistas como algo que impide el funcionamiento m¨¢s natural de los dispositivos. El objetivo es hacer que la interacci¨®n sea cada vez m¨¢s simple. Habr¨¢ mecanismos de seguridad m¨¢s robustos combinando varios mecanismos cada vez m¨¢s invisibles¡±, vaticina Alfonso Mu?oz, que cree que las posibles fracturas de seguridad en biom¨¦trica no se convertir¨¢n en una gran amenaza, y que reforzar¨¢n la tecnolog¨ªa, ya que la inteligencia artificial se dise?a para aprender de sus propios errores. Al final, como remarca Marc Rogers, no se trata de lograr un m¨¦todo perfecto, sino uno suficiente: ¡°Usamos cerraduras en nuestras casas, que tambi¨¦n pueden ser forzadas, porque en la mayor¨ªa de los casos con eso basta¡±.