La seguridad de sistemas de identificación basados en selfie y código QR

Este es un ejemplo de los artículos que semanalmente escribo de forma exclusiva para los mecenas de la Comunidad.

Si quieres recibir contenido exclusivo como éste directamente en tu bandeja de correo, revisa las opciones de mecenazgo de esta página.

*******

Esta semana hubo tres noticias que me han animado a cambiar el artículo que tenía pensado enviarte en el día de hoy.

A saber:

El Instituto Nacional de la Seguridad Social renueva su web (ES), y, como consecuencia, la nueva plataforma de solicitud de prestaciones y trámites de Internet gana un nuevo modo de identificarte sin certificado ni Cl@ve: con un selfie.
En iOS 15 se implementará un sistema de verificación por el cual podremos usar selfies para añadir tarjetas (EN) y documentos a Apple Wallet.
El uso de códigos QR en cartas de menú de restaurantes como sistema para rastrear y analizar el comportamiento de los clientes masivamente.

En estos tres casos, como puedes observar, hay una misma constante: El uso de un sistema de identificación (de acceso a información, a fin de cuentas) que no es nuevo a nivel puramente tecnológico, y del cual se conocen ya varios potenciales usos tergiversados.

¿Qué hay de los selfies?

Empecemos hablando de esa cada vez más habitual forma de demostrar que nosotros somos nosotros en el tercer entorno: subir una selfie a la app de turno.

Sin ir más lejos, un servidor recientemente ha tenido que hacerlo con la cuenta de BNext y con la de Binance.

Es, a todas luces, un sistema de identificación bastante cómodo para el usuario. La propia herramienta abre la cámara delantera de nuestro dispositivo móvil, y nos invita a centrar la cara en un óvalo. Por detrás, un sistema de reconocimiento facial compara ese selfie con la foto de nuestro documento de identidad, que o bien el sistema ya tiene (como ocurriría en el caso de la Seguridad Social), o bien previamente nos han pedido escanear.

Si te paras a pensarlo, es exactamente lo mismo que la doble verificación que históricamente se utilizaba para demostrar que tal contenido gráfico se había creado tal día (o, como mucho, un poco más tarde), grabando a la persona que lo decía con el periódico de ese mismo día.

Por un lado tienes un sistema ampliamente estandarizado de identificación (el documento de identidad), y por otro otro contenido que debe generarse en el mismo momento (una fotografía).

El problema, no obstante, es que es muy complicado definir la validez de este último elemento.

Como ya ha pasado en más de una ocasión, los sistemas de identificación de patrones que habitualmente utilizan estas herramientas son incapaces de diferenciar entre una selfie legítima, y una fotografía tomada a una reproducción tridimensional del rostro de una persona. Y, en algunos casos, llegan incluso a colar por bueno una imagen bidimensional.

Por supuesto, existen controles para minimizar estas potenciales tergiversaciones. El más habitual, de hecho, es ese que nos fuerza ya no solo a centrarnos y meter todo nuestro rostro en un óvalo (lo que obliga a jugar con la perspectiva y distancia de la cámara), sino también nos obliga a contar con una luz mínima, por eso de que a menor luz, más fácil es engañar a la máquina.

Eso y que no es raro que en ese proceso de verificación interceda un operador humano. Al menos cuando el sistema no requiere una confirmación en ese mismo momento (en cuanto metemos en la ecuación el análisis humano, los procesos se vuelven bastante más seguros pero se demoran varias horas).

¿Más problemas? Pues el hecho de que el rostro, como cualquier otro sistema de reconocimiento biométrico, es débil ante potenciales desbloqueos forzados.

¿Que a qué me refiero? Pues a que puesto que estos elementos son innatos de nuestra persona (no como los sistemas basados en el conocimiento, que requieren que nosotros sepamos algo para demostrar que somos quienes decimos ser), puestos a hacer el mal, bastaría con que un tercero que quiere acceder a ese contenido nos fuerce a mirar hacia la cámara un par de segundos para pasarlo. Lo mismo que pasa con los reconocimientos basados en huella dactilar, con el agravante de que incluso, algunos de ellos, pueden funcionar con la víctima inconsciente.

Sin olvidarnos que, de nuevo por ese innato de un elemento biométrico, una vez ha sido explotado, es un problema para el usuario para “casi” toda su vida.

Si te roban la contraseña de X servicio, simplemente la cambias y listo.

Pero si te roban el patrón de huella dactilar, o el patrón facial, pues como que no puedes cambiarlo. Solo tenemos 10 dedos (a no ser que nos empecemos a poner creativos), y solo tenemos una cara.

Y con la cantidad de contenido gráfico que subimos a redes sociales, no es para nada difícil, si se tienen los recursos y/o el conocimiento suficiente, usurpar la identidad biométrica de cualquier persona.

Junta todo esto y tienes el caldo de cultivo perfecto para que un sistema a priori de doble factor de autenticación, no arroje del todo la seguridad que se pretende. Y puesto que este sistema permitirá al usuario acceder a herramientas tan críticas como las que ofrece la Seguridad Social de nuestro país, se me antoja que podría volverse en nuestra contra en algún que otro momento.

Ahí está la importancia de proteger la bioidentificación de los ciudadanos. Algo a lo que, por cierto, el Mercadona ha debido aprender estos días tras la multa de 2,5 millones de euros que la Agencia de Protección de Datos (ES) le ha puesto por pretender meter sistemas de reconocimiento facial en todos sus establecimientos.

¿Y qué hay de los QR?

Mientras tanto, me gustó mucho leer el artículo del New York Times (EN) sobre cómo los códigos QR como sistema de compartición sin contacto que se han puesto tan de moda con la pandemia en sectores a priori tan poco tecnológicos como es la restauración o la hotelería, están siendo utilizados para analizar hábitos de comportamiento en la clientela.

Ya avisé en su día que el principal problema que tiene un código QR es que, como le pasa con las URLs acortadas, a priori no sabemos hacia dónde nos va a dirigir.

Y puesto que hablamos de un elemento físico pegado a una superficie, nadie le quita a un tercero sobreponer otra pegatina con otro código QR que nos redirija a una página o contenido malicioso.

En el artículo, Jay Stanley, analista de la Unión Americana de Libertades Civiles, se centra más en los usos tergiversados de cara al negocio, y avisa que estos códigos QR pueden formar todo un “sistema completo de rastreo online” cada vez que vayamos a un restaurante.

“La gente no entiende que cuando se usa un código QR, está insertando todo el aparato de seguimiento online entre usted y su comida“.

Es exactamente la misma situación que hemos vivido históricamente con las WiFis abiertas y otros sistemas de reconocimiento MLA en centros comerciales u hoteles.

Al entrar con nuestro dispositivo en un sistema controlado de forma absoluta por un tercero, estamos aceptando, de facto, que sea ese tercero quien tiene el control de la información que pueda obtener tanto de nuestro uso, como de los metadatos que se desprenden del propio dispositivo. Muchos de ellos identificativos de nuestra persona.

Y no solo eso. Puesto que muchos de estos negocios no tienen capacidad tecnológica para diseñar estas herramientas, en la práctica se genera un círculo vicioso en el que nuestros datos ya no solo son compartidos por el propio negocio que nos ofrece el servicio, sino también con terceros, en una espiral de delegaciones de responsabilidad y explotación de datos que es de todo menos transparente.

Piénsalo de esta manera:

Entras a un restaurante y consultas con tu móvil la carta: Gracias a ello, el restaurante (y el resto de stakeholders asociados) tienen acceso al identificador unitario del dispositivo (es decir, a nosotros en el tercer entorno), y de paso se nos cuela una o varias cookies que durante varios días nos identificarán como anteriores clientes de este negocio… dentro del negocio, o fuera de él.
Haces el pedido: Por lo que el sistema puede asociar nuestra identidad con la mesa y el consumo que vayamos a hacer.
Terminas la comida y pagas con tarjeta: Por lo que el negocio puede asociar nuestro identificador digital, con nuestro identificador fiscal.

Sobra decir que es un caso extremo. Sin ir más lejos, en los negocios en los que he implementado cartas digitales están a años luz de esta sofisticación analítica. Les basta y les sobra con que, al menos, el cliente pueda acceder a una carta, que en algunos casos ni tan siquiera es en formato HTML, sino en un triste PDF.

Pero ten claro que escenarios como este ya están siendo explotados por grandes agentes del mundillo de la restauración. Esos negocios en los que los procesos de transformación digital están en fase de data-centric.

Piensa por tanto en todo esto la próxima vez que utilices tu cara, o tu dispositivo, para identificarte o para acceder a X contenido.

________

Este es un ejemplo de los artículos que semanalmente escribo de forma exclusiva para los mecenas de la Comunidad.

Si quieres recibir contenido exclusivo como éste directamente en tu bandeja de correo, revisa las opciones de mecenazgo de esta página.

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

COMENTARIO

Nombre *

Correo electrónico *

Web

Suscribirme a la lista de correo aceptando la Política de Privacidad.

Notificarme nuevos comentarios por correo electrónico.

Información básica de protección de datos.

Es mi deber informarte de que el Responsable del Tratamiento de los datos que facilitas es Pablo F. Iglesias (es decir, yo), y se tratan con el fin de participar en la página web a través de comentarios y/o atender tu petición de recibir semanalmente información sobre tecnología y seguridad y/o participar en sorteos, por lo que la legitimación deriva de ti como interesado. Los datos solo se cederán: a) a terceros directamente si existe amparo legal para ello; b) a Encargados de Tratamiento; c) en otros casos, se te solicitaría consentimiento previo y expreso. Tienes derecho a saber si se tratan sus datos y a acceder, rectificar, oponerte, portar, limitar su tratamiento y a no ser objeto de decisiones automatizadas, así como a suprimirlos y cancelarlos en los casos legales, y puedes ejercitarlos dirigiendo tu solicitud a [email protected].

Se conservan en los plazos legales y contractuales aplicables según el caso. Puedes acceder a información más amplia sobre privacidad en esta página.

Current ye@r *

La seguridad de sistemas de identificación basados en selfie y código QR

¿Qué hay de los selfies?

¿Y qué hay de los QR?

Sobre el Autor

Pablo F. Iglesias

Deja una respuesta Cancelar la respuesta

Pablo F. Iglesias

Hazte Mecenas de la Comunidad

Videopodcast enCLAVE DIGITAL

Eliminamos datos de Internet

Mecenas Corporativos

La seguridad de sistemas de identificación basados en selfie y código QR

¿Qué hay de los selfies?

¿Y qué hay de los QR?

Otros artículos relacionados

Sobre el Autor

Pablo F. Iglesias

Deja una respuesta Cancelar la respuesta

Pablo F. Iglesias

Hazte Mecenas de la Comunidad

Videopodcast enCLAVE DIGITAL

Eliminamos datos de Internet

Mecenas Corporativos

Bienvenido a PabloYglesias