Falsos positivos en la ciberseguridad

Por Gabriel Zurdo (*)
Especial para ANDigital

No son pocos los casos en que un intruso logró desbloquear un teléfono con una foto que tomó de su legítimo dueño de las redes sociales, o en que se logró copiar una huella digital en silicona para desbloquear un acceso a una oficina o marcar tarjeta. ¿Cómo podemos proteger el acceso a nuestros dispositivos a partir de la tecnología?

Hemos comprobado que los sistemas de reconocimiento pueden ser engañados, derivando en que ocurran falsas coincidencias o falsos positivos. Esto ocurre porque todo algoritmo de Inteligencia Artificial basa su ‘inteligencia’ en los datos que fueron usados para su entrenamiento.

Una manera en la que ocurren los “falsos positivos” se da, por ejemplo, cuando se trata de identificar distintas etnias, lo cual observamos al evaluar algoritmos que asignaron un género incorrecto a mujeres de una etnia en particular. Otro ejemplo ocurre con el uso de barbijos como protección ante el coronavirus, lo cual surge porque estos mecanismos han sido codificados con imágenes de caras completas.

Si bien, los sistemas de reconocimiento facial son entrenados en miles o incluso millones de ejemplos de los tipos de problemas que el sistema probablemente encuentre, permitiendo que el modelo “aprenda” cómo identificar correctamente los patrones de los datos, un grado de precisión alto solo es posible en condiciones ideales donde hay consistencia en la iluminación y el posicionamiento, y donde las características faciales de los sujetos son claras y despejadas.

En el mundo real, las tasas de precisión tienden a ser mucho más bajas, por lo que varía si se trata de fotografías de alta calidad, comparadas con imágenes donde el sujeto puede no mirar directamente a la cámara o estar oscurecidos por objetos o sombras. El envejecimiento es otro factor que puede afectar las tasas de error, ya que los cambios en las caras de las personas con el tiempo pueden dificultar la coincidencia de las imágenes tomadas con muchos años de diferencia.

Los factores externos son más evidentes cuando se consideran caras coincidentes registradas en las imágenes de video-vigilancia. Otro agravante es la amplia variación entre los criterios y calidades entre múltiples proveedores y la ausencia de estándares.

Por todas estas fallas es que la nueva tecnología busca agregar cada vez mayor precisión y rigurosidad, además de tener una aplicación mucho más amplia, como por ejemplo: el acceso a áreas restringidas en una oficina u edificio, banca online, uso de cajeros automáticos, acceso a caja de seguridad, abrir una puerta o un vehículo.

La nueva tecnología llamada C2FIV, Verificación de identidad concurrente de dos factores, requiere tanto la identidad facial como un movimiento específico de la cara para obtener acceso. El usuario debe mirar una cámara y grabar un video corto de 1-2 segundos de un movimiento facial único o un movimiento de su boca y labios al leer una frase que solo él conoce. Posteriormente, el video se integra al dispositivo, que extrae los rasgos faciales y los del movimiento facial, almacenándolos para una posterior verificación de identidad.

El sistema se basa en un marco de red neuronal integrado para aprender las características y acciones faciales al mismo tiempo. Modela datos secuenciales dinámicos como movimientos faciales, donde se deben considerar todos los fotogramas de una grabación. Las características y movimientos faciales del usuario se incrustan y almacenan en un servidor o en un dispositivo, y la identificación de ese usuario se verifica si las incorporaciones nuevas y almacenadas coinciden en un cierto umbral. Con este mecanismo se logra verificar identidades con más del 90 % de precisión.

A medida que el conjunto de datos sea más grande, la eficiencia del matching mejorará. Tal es así que los posibles movimientos faciales como parpadear, guiñar un ojo, bajar la mandíbula, sonreír o levantar las cejas serán utilizados para entrenar la red neuronal y mejorar la calidad de la seguridad.

(*) CEO de BTR Consulting, especialista en ciberseguridad, riesgo tecnológico y de negocios