Compartir medios de alta resolución en línea puede exponer involuntariamente datos biométricos confidenciales, según un informe publicado el martes por una empresa de ciberseguridad.
Eso puede ser particularmente peligroso, el informe de 75 páginas de Tendencia Micro señaló, porque las personas no saben que están exponiendo la información.
El informe citó, como ejemplo, el hashtag #EyeMakeup en Instagram, que tiene casi 10 millones de publicaciones, y #EyeChallenge en TikTok, con más de dos mil millones de visitas, exponiendo patrones de iris lo suficientemente buenos como para pasar escáneres de iris.
“Al compartir públicamente ciertos tipos de contenido en las redes sociales, les damos a los actores maliciosos la oportunidad de obtener nuestra biometría”, explica el informe. “Al publicar nuestros mensajes de voz, exponemos patrones de voz. Al publicar contenido de fotos y videos, exponemos nuestros rostros, retina, iris, patrones de forma de oreja y, en algunos casos, palmas y huellas dactilares”.
“Dado que dichos datos podrían estar disponibles públicamente, tenemos un control limitado sobre su distribución”, agregó. «Por lo tanto, no sabemos quién ya ha accedido a los datos, ni sabemos durante cuánto tiempo se conservarán los datos o con qué fines».
No es una panacea
El informe cubre qué tipos de datos biométricos pueden estar expuestos en las redes sociales y describe más de dos docenas de escenarios de ataque.
“El informe ilustra que la identificación biométrica no es una panacea”, observó Will Duffield, analista de políticas de la Instituto Catónun grupo de expertos de Washington, DC.
“A medida que diseñamos sistemas de identificación, debemos ser conscientes de las tecnologías que se avecinan y de los posibles usos indebidos en el mundo real”, dijo a TechNewsWorld.
“Trend Micro plantea algunas inquietudes válidas, pero estas inquietudes no son nuevas para los profesionales de la biometría”, Sami Elhini, especialista en biometría de Centinela Cerberouna empresa de consultoría de seguridad cibernética y pruebas de penetración en Scottsdale, Arizona, dijo a TechNewsWorld.
Señaló que hay varias formas de atacar los sistemas biométricos, incluidos los ataques de «presentación» descritos en el informe, que sustituyen una foto u otro objeto por un elemento biométrico.
Para contrarrestar eso, continuó, se debe determinar la «vida» para asegurarse de que la biometría presentada sea la de una persona viva y no una «reproducción» de una biométrica capturada previamente.
Avi Turgeman, director general y cofundador de chaleco de hierrouna empresa de seguridad de cuentas e identidades de la ciudad de Nueva York, estuvo de acuerdo en que la «vida» es la clave para frustrar los ataques a las protecciones biométricas.
“El informe de Trend Micro plantea preocupaciones sobre la biometría fraudulenta creada a través del contenido de las redes sociales”, dijo a TechNewsWorld. “El verdadero secreto de la biometría a prueba de fraudes es la detección de vida, algo que no se puede recrear a través de imágenes y videos recopilados en las redes sociales”.
Un factor no es suficiente
Incluso cuando se realiza una prueba de vida, la biometría puede ser demasiado fácil de eludir, sostuvo Erich Kron, defensor de la conciencia de seguridad de SaberBe4un proveedor de capacitación en concientización sobre seguridad en Clearwater, Fla.
“Sostener un teléfono frente a la cara de una persona mientras duerme puede desbloquear el dispositivo, especialmente cuando lo usan con la configuración predeterminada, y recopilar huellas dactilares no es una tarea difícil”, dijo a TechNewsWorld.
“Aún más preocupante es que una vez que se compromete un factor biométrico, no se puede cambiar como se puede cambiar una contraseña”, agregó. «No puede cambiar sus huellas dactilares o la estructura facial a largo plazo si se infringe».
Si el informe de Trend Micro ilustra algo, es que la autenticación multifactor es una necesidad, incluso si uno de esos factores es biométrico.
“Cuando se usa como un factor único para la autenticación, es importante tener en cuenta que la biometría puede estar sujeta a fallas o manipulación por parte de un usuario malintencionado, particularmente cuando esos datos biométricos están disponibles públicamente en las redes sociales”, dijo Darren Guccione, director ejecutivo de Seguridad del guardiánuna empresa de administración de contraseñas y almacenamiento en línea con sede en Chicago.
“A medida que las capacidades de los actores maliciosos para apoderarse de las cuentas mediante la autenticación biométrica facial o de voz continúan creciendo, es imperativo que todos los usuarios implementen múltiples factores de autenticación y contraseñas únicas y seguras en sus cuentas para limitar el radio de explosión si se utiliza un método de autenticación. violado”, dijo a TechNewsWorld.
Problemas del metaverso
“No me gusta poner todos mis huevos en una sola canasta”, agregó el vicepresidente de estrategias de infraestructura de Trend Micro, Bill Malik. “La biometría es buena y útil, pero tener un factor adicional de autenticación me da mucha más confianza”.
“Para la mayoría de las aplicaciones, un biométrico y un PIN están bien”, dijo a TechNewsWorld. “Cuando una biométrica se usa sola, es realmente fácil de falsificar”.
La recopilación de datos biométricos se convertirá en un problema aún mayor cuando el metaverso se vuelva más popular, afirmó.
“Cuando te metes en el metaverso, va a empeorar”, dijo. “Te estás poniendo estas gafas de $ 1500 que están ajustadas no solo para darte una visión realista del mundo, sino que también están monitoreando constantemente tus microexpresiones para descubrir qué te gusta y qué no te gusta del mundo que estás viendo. .”
Sin embargo, no le preocupa que los forajidos digitales utilicen datos biométricos adicionales para crear clones falsos. “Los piratas informáticos son vagos y obtienen casi todo lo que necesitan con simples ataques de phishing”, declaró. “Así que no van a gastar mucho dinero en una supercomputadora para poder clonar a alguien”.
Biometría vinculada a dispositivos
Otra forma de asegurar la autenticación biométrica es vincularla a una pieza de hardware. Con el biométrico registrado en un dispositivo específico, solo se puede usar con ese dispositivo para autenticar al usuario.
“Así es como funcionan los productos biométricos de Apple y Google en la actualidad: no es solo la biometría lo que se verifica cuando usa Face ID”, dijo Reed McGinley-Stempel, cofundador y director ejecutivo de puntadauna empresa de autenticación sin contraseña en San Francisco.
“Cuando realmente realiza una verificación de Face ID en su iPhone, verifica que la verificación biométrica actual coincida con la inscripción biométrica almacenada en el enclave seguro de su dispositivo”, dijo a TechNewsWorld.
“En este modelo”, continuó, “la amenaza de que alguien pueda acceder a fotos tuyas o tener tu huella dactilar no les ayuda a menos que también tengan el control de tu dispositivo físico, que es una colina muy empinada para los atacantes dado la naturaleza remota en la que operan los ciberatacantes”.
Perder el control de nuestros datos
Como usuarios, estamos perdiendo el control de nuestros datos y sus usos futuros, y el usuario común no entiende bien los riesgos de las plataformas que usamos todos los días, señaló el informe de Trend Micro.
Los gobiernos e incluso las nuevas empresas ya están utilizando los datos de las redes sociales para extraer datos biométricos y construir modelos de identificación para cámaras de vigilancia, continuó.
El hecho de que nuestros datos biométricos no se puedan cambiar significa que, en el futuro, tener tal tesoro de datos será cada vez más útil para los delincuentes, agregó.
Ya sea que ese futuro esté dentro de cinco o 20 años, los datos están disponibles ahora, afirmó. Nos debemos a nosotros mismos en el futuro tomar precauciones hoy para protegernos en el mundo del mañana.
El informe de Trend Micro, Filtrado hoy, explotado de por vida: cómo los patrones biométricos de las redes sociales afectan su futuroes disponible aquí en formato PDF. No se requiere completar ningún formulario en el momento de esta publicación.