Autenticación biométrica: ¿Cómo   funciona el reconocimiento facial?

🕒 Tiempo de lectura: 4 min 

Soy de la generación que nació cuando todavía no existían los teléfonos celulares y ni siquiera había internet en las casas. Imagínense que desbloquear una puerta o un teléfono celular con solo mirarlo no estaba ni en las mejores películas de ciencia ficción. Hoy, es parte de nuestra vida diaria.

Siempre me llamó la atención cómo nuestras caras pasaron a ser nuestras contraseñas. Se podría decir que quedaron atrás los días en los que solo dependíamos de un código o una clave. Hoy, desbloqueamos el teléfono con solo mirarlo o incluso accedemos a aplicaciones bancarias con el conocido Face ID. Pero, alguna vez se preguntaron:

¿Qué tan seguro es este método? ¿Es realmente infalible? ¿Cómo funciona y que tan vulnerable es realmente? 

Reconocimiento facial: escaneando nuestras facciones

El reconocimiento facial se popularizó con los teléfonos inteligentes, o más conocidos como, smartphones. Funciona mediante la captura y análisis de la geometría facial. 

Los sistemas modernos utilizan tecnologías como la iluminación infrarroja y las cámaras de profundidad con el cual generan un mapa tridimensional de tu rostro. Este mapa está formado por hasta 30.000 puntos que miden distancias entre ojos, nariz, mandíbula y otros rasgos distintivos de nuestra cara.

El proceso técnico se podría resumir en 5 pasos, los cuales implican:

1. Captura de imagen: El sensor infrarrojo proyecta un patrón de puntos invisibles sobre nuestra cara y la cámara toma una imagen detallada. Cuando giramos la cabeza o cambiamos de ángulo para tomar múltiples perspectivas de nuestro rostro disminuimos la tasa de falsos negativos y optimizamos el posterior reconocimiento.

2. Creación del mapa facial: Se genera una representación 3D con los puntos proyectados y sus diferentes ángulos, en donde se evalúa profundidad y distancias precisas.

3. Conversión a patrón matemático único: La información geométrica se transforma mediante algoritmos como Eigenfaces, Fisherfaces o redes neuronales convolucionales (CNN) en un patrón matemático único.

4. Comparación: El patrón resultante se compara con la plantilla almacenada usando técnicas como distancia euclidiana o similitud coseno.

5. Autenticación: Si la similitud supera un umbral predefinido (por ejemplo, 99%), el acceso es concedido.

¿Se puede engañar al reconocimiento facial con una foto?

Si, pero ya no (o eso espero). Tal vez hayas escuchado o visto en películas que alguien desbloqueó su teléfono con una simple foto del dueño del celular. ¿Eso es real? Te preguntarás. Si, o al menos lo fue hace unos años, algunos dispositivos Android lo permitían (increíble pero real). 

Hoy, en los sistemas avanzados como Face ID, esto ya no es posible. Como se mencionó al comienzo del artículo, los sensores actuales miden profundidad, lo que hace que una foto en 2D no sea suficiente. Sin embargo, hay casos en los que se logró falsificar rostros con máscaras hiperrealistas en laboratorios, aunque se trata de ataques complejos, sofisticados y, sobre todo, costosos, que no representan una amenaza común para el usuario promedio, como seguramente seamos vos y yo.

El famoso caso de los mellizos. Si tengo un mellizo o gemelo, ¿puede desbloquear mi teléfono? 

Al principio, sí, se podía. Los sistemas de reconocimiento facial tenían muchas dificultades para diferenciar entre gemelos idénticos ya que sus patrones faciales eran casi indistinguibles desde el punto de vista matemático. ¿La solución? Todos la sabían, pero representaba un GRAN desafío, había que modificar el margen de error o umbral sin alterarlo a tal punto que el sistema dejara de reconocernos a nosotros mismos.

Entonces, los gemelos, ¿no son iguales? No. Las distancias y ángulos de los rasgos faciales son diferentes, cuentan con pequeñas asimetrías que suelen pasar desapercibidas para el ojo humano pero no para la matemática.

De todos modos, los gemelos idénticos siguen representando un desafío para los sistemas biométricos. Existen muy pocos casos que gemelos puedan desbloquear el teléfono de su hermano, aunque la probabilidad disminuyó considerablemente con cada iteración de la tecnología. 

Reflexión Final

La biometría llegó para quedarse, pero no es perfecta. Como profesionales de la ciberseguridad, tenemos que entender sus límites y educar a otros sobre su uso seguro. La combinación de factores, por ejemplo, biometría y PIN, sigue siendo la mejor defensa (el tan conocido doble factor de autenticación).

La autenticación está evolucionando, y es nuestra obligación acompañar este cambio con conocimiento y mucho criterio.