Los informáticos de la Universidad de Waterloo han descubierto un método de ataque que puede eludir con éxito los sistemas de seguridad de autenticación de voz con una tasa de éxito de hasta el 99% después de solo seis intentos.
La autenticación de voz, que permite a las empresas verificar la identidad de sus clientes a través de una «huella de voz» supuestamente única, se utiliza cada vez más en operaciones bancarias remotas, centros de llamadas y otros escenarios críticos para la seguridad.
«Al inscribirse en la autenticación de voz, se le pide que repita una determinada frase con su propia voz. Luego, el sistema extrae una firma vocal única (huella de voz) de esta frase proporcionada y la almacena en un servidor», dijo Andre Kassis, un especialista en seguridad informática. y Privacidad Ph.D. candidato y el autor principal de un estudio que detalla la investigación.
«Para futuros intentos de autenticación, se le pide que repita una frase diferente y las características extraídas de ella se comparan con la huella de voz que ha guardado en el sistema para determinar si se debe otorgar acceso».
Después de que se introdujo el concepto de huellas de voz, los actores maliciosos se dieron cuenta rápidamente de que podían usar software «deepfake» habilitado para aprendizaje automático para generar copias convincentes de la voz de una víctima usando tan solo cinco minutos de audio grabado.
En respuesta, los desarrolladores introdujeron «contramedidas contra la suplantación de identidad», comprobaciones que podrían examinar una muestra de voz y determinar si fue creada por un humano o una máquina.
Los investigadores de Waterloo han desarrollado un método que evade las contramedidas de suplantación de identidad y puede engañar a la mayoría de los sistemas de autenticación de voz en seis intentos. Identificaron los marcadores en el audio falso que traicionan que es generado por computadora y escribieron un programa que elimina estos marcadores, haciéndolo indistinguible del audio auténtico.
En una prueba reciente contra el sistema de autenticación de voz de Amazon Connect, lograron una tasa de éxito del 10 % en un ataque de cuatro segundos, y esta tasa aumentó a más del 40 % en menos de 30 segundos. Con algunos de los sistemas de autenticación de voz menos sofisticados a los que se dirigieron, lograron una tasa de éxito del 99 % después de seis intentos.
Kassis sostiene que, si bien la autenticación de voz es obviamente mejor que ninguna seguridad adicional, las contramedidas de suplantación de identidad existentes tienen fallas críticas.
«La única forma de crear un sistema seguro es pensar como un atacante. Si no lo hace, entonces solo está esperando ser atacado», dijo Kassis.
El supervisor de Kassis, el profesor de informática Urs Hengartner, agregó: «Al demostrar la inseguridad de la autenticación de voz, esperamos que las empresas que confían en la autenticación de voz como su único factor de autenticación consideren implementar medidas de autenticación adicionales o más fuertes».
La investigación, Romper la autenticación de voz crítica para la seguridadde Kassis y el Dr. Hengartner, se publicó en las actas del 44º Simposio IEEE sobre seguridad y privacidad.
Más información:
Rompiendo la autenticación de voz crítica para la seguridad, Simposio IEEE 2023 sobre seguridad y privacidad (SP). DOI: 10.1109/SP46215.2023.00139 , www.computer.org/csdl/procedi … 3600a951/1NrbYmtLXB6
Citación: Los atacantes pueden romper la autenticación de voz con hasta un 99 % de éxito en seis intentos: estudio (27 de junio de 2023) consultado el 27 de junio de 2023 en https://techxplore.com/news/2023-06-voice-authentication-success.html
Este documento está sujeto a derechos de autor. Aparte de cualquier trato justo con fines de estudio o investigación privados, ninguna parte puede reproducirse sin el permiso por escrito. El contenido se proporciona únicamente con fines informativos.