Como cualquier sistema de identificación destinado a salvaguardar información delicada (contraseñas, tarjetas con PIN, etc.), un sistema biométrico de huella dactilar también es susceptible de sufrir un ataque para dejarlo al descubierto. Para evitarlo, los desarrolladores de sistemas biométricos tratan de detectar todos los posibles intentos de fraude. Este campo de investigación se conoce como anti-spoofing.

 

Huella dactilar de silicona. Max Braun con Licencia CC.

 

A pesar de su aparente alto nivel de seguridad, presentan algunos puntos por donde pueden ser atacados. Desde huellas falsas de silicona a cortar el dedo a una persona, se han utilizado varios métodos para burlar la seguridad. Simultáneamente, los que se dedican al anti-spoofing han desarrollado técnicas para defender los sistemas de estos ataques.
 
Los ataques más comunes se pueden clasificar en las siguientes categorías:

  • Ataque al escáner. El atacante puede tratar de destruir el escáner, presentar una huella latente o una imagen de la huella que pretende suplantar. También pueden fabricarse huellas de goma o silicona para imitar a otra huella.
  • Ataque a la comunicación entre el escáner y el extractor de características. Esta comunicación puede ser interceptada y se puede introducir otra información que sustituya a la enviada por el escáner.
  • Ataque a la comunicación entre el extractor de características y el matcher. De forma parecida al ataque anterior, se puede intentar enviar información introducida por canal de comunicación al matcher.
  • Ataque al matcher. Un programa puede suplantar a modo de troyano al matcher y enviar una puntuación falsa o una decisión de SÍ o NO a la aplicación de autenticación.
  • Ataque a la base de datos del sistema. Un atacante puede apoderarse de la información de los usuarios accediendo a la base de datos o modificar la misma. Este ataque puede producirse en cualquier momento, como la fase de reconocimiento o incluso mientras el usuario se está dando de alta.
  • Ataque a la comunicación entre el matcher y la base de datos. La comunicación entre el matcher y la base de datos puede ser interferida para extraer la información que se envía. De este modo se puede obtener la información del usuario para reproducirla en otra ocasión.
  • Ataque entre el matcher y la aplicación que solicita la verificación. La información que circula por el canal entre la aplicación que solicita una verificación y el matcher puede ser extraída para replicarla en otro momento simulando una autenticación exitosa o fallida según la voluntad del atacante.

 

La defensa
Para evitar ataques, los fabricantes están desarrollando diversas técnicas de detección de vida para evitar que se empleen dedos sintéticos o de fallecidos para obtener una identificación fraudulenta en un sistema de reconocimiento biométrico de huella dactilar.
 
Los métodos de detección de vida más extendidos en los sistemas de reconocimiento dactilar son:

  • Ultrasonidos: mediante ecografías se puede obtener información de las capas internas de la piel o incluso del flujo sanguíneo. Este método es poco viable ya que su automatización es compleja y suele requerir un post-análisis por parte de un experto.
  • Flexibilidad: partiendo del hecho de que la presión del dedo sobre la superficie del escáner no es homogénea sino que decrece desde el centro hacia los bordes. Si el usuario mueve el dedo mientras está en contacto con el escáner, se podrá determinar la elasticidad de la piel. De todos modos es posible encontrar materiales cuyas propiedades elásticas sean similares a las de la piel.
  • Medidas eléctricas: se puede medir la conductividad o la impedancia de la piel para determinar si realmente se está presentando una huella real en el escáner. Estos parámetros son muy variables en función de las condiciones de la piel, por lo que su modelización es compleja. No se han logrado resultados fiables aún con estas técnicas. Otro parámetro eléctrico medible es el electrocardiograma. Sus resultados son más fiables, aunque es posible crear huellas de silicona muy finas que, adosadas a un dedo real, provoquen que se detecte el pulso en el dedo del atacante.
  • Medidas de luz: se puede medir la transluminancia del dedo, detectando la luz que atraviesa el dedo o la reflexión de la luz en el dedo mediante un emisor y un receptor luminoso. Mediante una fotopletismografía se puede medir el pulso cardiaco a través de la detección de la variación del volumen de sangre que circula por el dedo.
  • Oximetría: la oximetría es una medida de la cantidad de oxígeno en sangre. Se realiza por medio de leds de infrarrojos que se sitúan en el extremo del dedo. En general es una buena técnica para la detección de vida, aunque su principal problema es que la medida requiere varios pulsos cardiacos por lo que resulta bastante lenta.
  • Imágenes infrarrojas (temperaturas): es un método de detección de vida a partir de una imagen de infrarrojos en la que se pueden apreciar los cambios de temperatura corporales. El método requiere una cámara, lo cual encarece el sistema.

 

Para acabar, recordar que desde Umanick pensamos que la mejor defensa es un buen ataque. Por eso, es recomendable la implantación de sistemas multimodales. Es mucho más seguro utilizar distintas técnicas para conseguir identificar al sujeto, por ejemplo el uso de la huella dactilar y el sistema vascular (la distribución de los capilares en la palma de la mano).