En 2011 llegó Android 4.0 Ice Cream Sandwich. Seguramente fue una de las actualizaciones más importantes de la historia del sistema, aunque desde luego no fue gracias al reconocimiento facial, una de las novedades de aquella versión que pasó con mucha más pena que gloria. Esa falta de seguridad a la hora de implementar el reconocimiento facial llega hasta nuestros días: al Galaxy S8 se le puede engañar con una fotografía. El LG G6, que ha obtenido esta función mediante una actualización de software, funciona con un principio muy similar, pero falta saber hasta qué nivel se ha pulido su parte algorítmica para que mejore al S8 en este sentido.
Los sistemas de reconocimiento facial avanzados, que usan luz infrarroja para detectar no solo la forma de la cara sino también su profundidad y ser capaces de funcionar incluso a oscuras, todavía no están en los smartphones. Son sistemas como el de Kinect, que no se dejan falsificar por una mera foto o un vídeo y, si están bien implementados, ni siquiera por un molde en 3D de la cabeza de alguien. Sobre esta cuestión, nos hacemos preguntas sobre posibles puntos débiles de un sistema de verificación así: ¿cómo actúa el reconocimiento facial frente a dos hermanos gemelos? ¿Y ante alguien que ha muerto? ¿Y si está dormido?. Para responderlas hablamos con un experto: Esteban Vázquez, responsable de Biometría en el área de Información Multimodal de Gradiant.
Hermanos gemelos
Antes de entrar en la pregunta, necesitamos contexto sobre cómo funciona la implementación de un sistema biométrico cualquiera. Sus desarrolladores necesitan encontrar un punto de equilibrio entre seguridad y usabilidad. Si es demasiado seguro, a menudo rechazará a usuarios auténticos (por escorar un poco el dedo sobre el sensor o haber cambiado de gafas, por ejemplo). Si es demasiado "usable", pecará de inseguro y permitirá el acceso a quien no somos nosotros.
Dicho esto... ¿qué ocurre con el reconocimiento facial si tenemos un hermano gemelo? Según Esteban, depende de cuánto nos parezcamos a él y cuál sea el punto de equilibrio de ese sistema concreto. "Un sistema biométrico no verifica que tú seas tú, sino que esa cara es tu cara, o que esa huella sea tu huella. Si la cara de tu gemelo es exactamente igual, va a desbloquearse. En la práctica, un gemelo no es igual al 100%, ya depende de lo bueno que sea el algoritmo. Nosotros hemos hecho pruebas y hay sistemas capaces de detectar que el gemelo de alguien no es esa persona".
La tecnología de reconocimiento facial con infrarrojos sí está lista para reconocer a hermanos gemelos, la diferencia estará en qué lugar del punto de equilibrio esté implementada. Para un smartphone quizás se premie la usabilidad, por lo tanto no sería tan rígida y no detectaría que es un gemelo. Para un sistema de acceso a edificios gubernamentales o a información extremadamente sensible y confidencial, la seguridad sería mucho mayor y se incluirían esos sistemas que detectan gemelos.
Kinect, por ejemplo, sí es capaz de hacerlo, tanto en su primera versión como en la de Xbox One, que Microsoft calificó como "diez veces más potente" que la de 360. Para reconocer a sus usuarios, los sistemas de reconocimiento facial por infrarrojos se fijan en la posición, la forma y el tamaño de los ojos, la nariz y la boca, a lo cual suma la profundidad para evitar ser engañado con fotos, por ejemplo.
El cerebro humano no suele ser capaz de distinguir a hermanos gemelos que acaba de conocer, pero sí lo logra un tiempo después de conocerlos, a fin de cuentas los gemelos no son idénticos al 100%. Esas minúsculas diferencias son las que permiten a sistemas avanzados hacer esa distinción. Un ejemplo ya en el mercado es el de Windows Hello, el sistema biométrico para Windows 10, que es capaz de distinguir a hermanos gemelos usando una cámara Intel RealSense 3D (infrarroja).
¿Son más seguras entonces las cámaras infrarrojas que las 2D, como las de los smartphones?
Cuando hablamos de reconocimiento facial sin infrarrojos, solo mediante una cámara frontal, el sistema también puede ser capaz de diferenciar entre el propietario y su hermano gemelo, pero también se depende de qué implementación algorítmica se haya configurado. En el caso de los smartphones vistos hasta la fecha, se guían por una matriz de puntos y sus distancias sobre el rostro de la persona en 2D. Tal y como cuenta Esteban, si en el caso de Google o Samsung se ha vulnerado este sistema con una foto no es por montar únicamente una cámara 2D, sino por no aplicar todas las medidas posibles a nivel algorítmico que evitan esto. Quizás el motivo sea hacer esta medida más usable, sobre todo si no se cuenta con cámara infrarroja que permita ver a oscuras, como cuando estamos en la cama. En cualquier caso, una cámara 2D por sí misma no es menos segura que una que se apoye en luz infrarroja. Lo cuenta Esteban:
"En cámaras 2D puedes implementar medidas como el antispoofing o la detección de vida. Además, no procesan una solo foto, sino el flujo de vídeo de la cámara, con eso ya puedes tener información para reconstruir un modelo 3D, por ejemplo. El problema de estos sistemas vienen más por no tener en cuenta este tipo de cosas y no incluir contramedidas necesarias, más que por limitaciones de la cámara."
Aquí podemos ver cómo actúa el Galaxy S8 frente a dos hermanas gemelas.
Si tenemos un hermano gemelo, un sistema de reconocimiento facial que no sea extremadamente seguro (y ser infrarrojo no es suficiente por sí mismo) no será capaz de diferenciarnos de él. En ese caso, si queremos prevenir que acceda al sistema, será mejor idea utilizar alternativas como un sensor dactilar, ya que ni siquiera los gemelos univitelinos comparten huella digital.
Personas dormidas
¿Qué pasaría si alguien nos acerca el teléfono a la cara mientras estamos dormidos? ¿Se desbloquearía si tiene activado el reconocimiento facial? "Depende", vuelve a responder Esteban. "Hay sistemas que piden la colaboración del usuario. Cosas simples: sonreír, girar levemente la cabeza... o que buscan algún tipo de reacción del usuario de forma inconsciente".
Cada implementación de reconocimiento facial está asociado a multitud de pequeños detalles y elecciones del fabricante en cuestión. En este caso, cada uno decidirá qué "pide" al usuario para cerciorarse de que es él y que no está dormido o inconsciente. "Imagina que exija tener los ojos abiertos. Pues ya no te sirve con alguien dormido. Todo esto es según lo que cada fabricante implemente".
Un sistema seguro de detección facial sí tiene en cuenta este factor. Tener los ojos cerrados durante varios segundos mientras "miramos" al smartphone es un magnífico indicador de inconsciencia, todo lo opuesto que debe haber al momento de desbloquearlo y menos aún de verificar un pago realizado con él.
Los sistemas que no tienen un aspecto algorítmico avanzado, como el del S8, también permiten el acceso a personas dormidas. No exigen tener los ojos abiertos ni realizar ningún tipo de movimiento en concreto. Puestos a rizar el rizo, ¿qué ocurre con las personas que duermen con los ojos abiertos? ¿Podría un sistema de reconocimiento facial saber que están dormidas y por lo tanto que no están conscientes? Con este padecimiento, llamado Lagoftalmos, ocurre lo mismo que con otros métodos de falsificación: el nivel del hardware y sobre todo la precisión algorítmica desarrollada en ese sistema harán que sea capaz o no de detectar este caso. ¿Y si se duerme a alguien de manera profunda y se fuerza la apertura de los párpados? Exactamente lo mismo que hasta ahora.
Personas muertas
También preguntamos a Esteban cómo podría detectar si una persona propietaria del terminal ha fallecido y están tratando de desbloquear su teléfono con su cara una vez ha muerto. Ahí es donde entran los sistemas de detección de vida, que no significa que distingan entre "vivos y muertos", sino más bien reconocer que se está frente a un usuario de verdad y no a un ataque mediante una foto, un vídeo o una máscara. En la época de Facebook e Instagram es más fácil que nunca acceder a multitud de fotos y vídeos nuestros. "Hay sistemas que analizan, por ejemplo, las microexpresiones faciales de la persona, ya que nunca estamos quietos al 100%".
Hay sistemas de "detección de vida", pero están más pensados en detectar ataques mediante fotos, vídeos o máscaras que a personas muertas"
Con esto se refiere al hecho de que no estamos plenamente rígidos, sino que hacemos pequeños movimientos faciales que además suelen seguir un patrón en cada persona. Algunos sistemas detectan esos movimientos, por muy leves que sean. Otros incluso los reconocen y proceden a la verificación gracias a que saben identificar si esos son los que la persona suele realizar, o con la variación respecto al entorno. De todas formas, "lo de rostros de muertos no es algo que nos suelan plantear como un reto", señala Esteban. "El reto es evitar los ataques de suplantación usando vídeos o mecanismos más complejos como modelos de 3D, incluso temas de realidad virtual interactuando con la cara de un avatar. Va más por ahí".
Otros sistemas biométricos llegan a analizar el pulso cardíaco. "Todo depende de tus sensores y de tus fuentes de información: si es en 2D, si es en 3D, si tienes un sensor complementario...". Como apunta Esteban, la tendencia en biometría es la de hacer análisis continuo multibiométrico fusionando varios factores. Por ejemplo, combinar el reconocimiento de la cara con el de la voz. Una suerte de verificación en dos pasos dentro de la propia biometría.
Y más
Con lo visto hasta ahora, podemos hacernos una idea de cómo funciona un sistema biométrico de detección facial apoyado en luz infrarroja. Con una fotografía directamente es imposible falsificarlo, y con un maniquí en 3D con nuestro rostro se hace bastante improbable. A fin de cuentas, la piel y la cara humana tiene multitud de pequeños detalles, pero sobre todo de expresiones y movimientos que aunque sean leves un buen sistema reconoce como auténticos para comprobar si está frente a una persona viva o no.
En los casos de accidentes que desfiguren nuestra cara todo dependerá de en qué porcentaje haya modificado nuestro rostro, pero es fácil pensar que sí, que en efecto nos dejará de poder identificar. No es un gran problema (y menos aún si lo ponemos en el contexto de haber sufrido un accidente tan grave), ya que al igual que podemos añadir varios dedos en los sistemas de reconocimiento dactilar, también podemos volver a añadirnos con nuestro nuevo aspecto. Recordemos que a la biometría siempre le acompaña una contraseña como apoyo cuando no podamos o queramos usar el dedo o la cara.
Con cambios menores, como una pequeña herida en la cara, una venda no demasiado grande, un nuevo piercing o incluso un cambio de peinado, de gafas, maquillaje o barba, los sistemas recientes son permisivos y tolerantes a estos cambios: siguen reconociendo al usuario como auténtico, aunque por supuesto, como ya hemos visto, depende de la implementación particular que haga cada fabricante.
La pregunta de los próximos años
Sobre el reconocimiento facial en general, Esteban no pronuncia absolutos, pero naturalmente sí es favorable a la biometría. "Imagina que dejas tu teléfono sobre una mesa y te marchas al baño cinco minutos. ¿Qué es más probable, que alguien nos haya visto introducir el PIN y lo utilice, o que en esos cinco minutos alguien haga un molde en 3D de nuestra cara, lo use, y además el sistema lo acepte?".
Apple admite en su página de soporte sobre Touch ID que hay una posibilidad entre 50.000 de que el sistema dé un falso positivo. En comparación, las posibilidades de acertar un PIN de cuatro dígitos son de una entre 10.000. Además, si tratamos de acceder cinco veces con una huella que no es la auténtica, el sistema pasa a pedir el PIN obligatoriamente para continuar. En alguna ocasión este sistema biométrico ha sido comprometido, lo cual sustenta la teoría de que ningún sistema biométrico es infalible y además incluso puede ser sorteado.
Un sistema de reconocimiento facial bien implementado tiene formas de asegurarse de que el usuario, además de tener la misma cara, esté vivo y consciente; incluso si es muy preciso puede detectar hermanos gemelos. Y en cuanto más factores combine, más seguro será. La gran cuestión de los próximos años será qué nivel de seguridad queremos: más seguridad y menos margen, o mayor seguridad y más reintentos. Posiblemente para destinos sensibles, como la banca, vayan a parar los primeros, y para emplazamientos más cotidianos, como los smartphones, los segundos.
De momento, Microsoft tiene un buen camino recorrido gracias a su trabajo con Intel reflejado en las capacidades de Windows Hello, así como de Kinect. Y no solo en el reconocimiento facial: en su Lumia 950 incluyó un escáner de iris. Su apuesta por la biometría viene de lejos y es amplia. IBM va algo más allá, ya que su tecnología de reconocimiento facial puede aplicarse a ámbitos donde el nivel de seguridad requerido sea mucho mayor, es muy estricta. Blippar es otro de los bien posicionados en reconocimiento facial, de hecho su producto es el reconocimiento de cualquier elemento que se ubique frente a su cámara. De hecho, su funcionamiento le ha valido para ser llamado "el Shazam para caras".
Quien definitivamente va más allá es Affectiva, que lleva el reconocimiento facial hasta la detección y análisis de emociones mediante expresiones faciales, tanto voluntarias como inconscientes; algo parecido a lo que hace Kairos. OpenCV ofrece una librería para que cualquiera implemente el reconocimiento facial. Incluso Facebook tiene su herramienta que aprende las caras de nuestros amigos para sugerirlos a la hora de etiquetarlos en fotos nuevas.
Imagen: Tom's Guide.
Ver 12 comentarios