biometricupdatehace 50d
Los ataques de inyección biométrica están surgiendo como la vulnerabilidad clave en los sistemas biométricos de verificación remota de identidad y autenticación de usuarios, lo que hace que garantizar que las protecciones contra ellos sean efectivas y vitales para evitar que las organizaciones se vean abrumadas por el fraude. Chris Allgrove, CTO de Ingenium Biometric Laboratories, explicó el alcance de esta crisis y cómo se puede proporcionar la seguridad necesaria para las tecnologías de detección de ataques de inyección en el último almuerzo de la Asociación Europea de Biometría. La EAB ha estado siguiendo la amenaza a medida que ha ido surgiendo. La presentación de Allgrove sobre "Ataques de inyección biométrica: amenazas emergentes y garantía" se produce un año y medio después de que el director de CLR Labs, Kévin Carta, presentara el primer estándar internacional IAD de la industria en otra charla durante un almuerzo. Los ataques de inyección biométrica como la actual frontera de seguridad biométrica. Si bien "la barrera de seguridad inicial es probablemente ligeramente más alta", los ataques de inyección son escalables de una manera que los ataques de presentación biométrica no lo son, señala Allgrove. Allgrove revisó los métodos comunes de ataque de inyección, incluidas cámaras virtuales basadas en software y hardware, captura de video externa tarjetas, emuladores de dispositivos móviles y exploits de la aplicación o sistema operativo, e instrumentos de ataque de inyección, desde repeticiones hasta deepfakes. La superficie de ataque para los ataques de inyección se encuentra en cualquier lugar entre el sensor biométrico y el orquestador o integrador, o si no hay uno presente, el componente de comparación biométrica. Eso significa que el ataque ocurre delante de la aplicación, dentro de la aplicación o después de ella. La verificación de identidad remota generalmente no está supervisada, se lleva a cabo para transacciones de alto valor y es propensa a ataques de inyección en la parte del proceso de envío de documentos de identificación o de sonda biométrica. Allgrove describe los subsistemas de detección de ataques de presentación como "bastante maduros en este momento y efectivos en estos días". En este contexto, los ataques de inyección son el principal temor de la industria biométrica en 2026. Los productos Apple son propensos a ataques de inyección, pero la mayoría se llevan a cabo contra dispositivos Android, según Allgrove. Estos ataques son nuevos, pero han aumentado en número muy rápidamente, apoyados por "un grupo de diferentes comunidades en línea que brindan específicamente información sobre cómo realizar estos ataques", dice Allgrove, citando una con 45.000 usuarios. Están contribuyendo a reducir la barrera para llevar a cabo este tipo de ataques. Los documentos de identidad falsos todavía tienden a ser detectables, dice Allgrove, pero ya han mejorado dramáticamente en comparación con hace apenas un par de años. Ingrese IAD Los ataques de inyección no son solo un problema dentro del dominio de la biometría, sino también un problema de ciberseguridad. El uso de datos biométricos para detectar datos inyectados es lo que diferencia a IAD de otras medidas, como las pruebas de penetración. Eso significa que IAD apunta al instrumento de ataque de inyección. Como tal, algunos mecanismos de defensa contra ataques de inyección también son características de los subsistemas PAD. Para ser robusto, dice Allgrove, el sistema IAD debe tener mecanismos para defenderse contra los métodos e instrumentos utilizados en los ataques de inyección biométrica. Para asegurarse de que funcionen, dice, es necesaria la garantía de IAD. Y las mismas evaluaciones que miden el éxito de los sistemas IAD también pueden ayudar a identificar riesgos residuales. Este tipo de conocimientos se están codificando en normas. Pero probablemente serán necesarios casi otros dos años para que ISO/IEC 25456 se convierta en un estándar maduro, afirma Allgrove. Mientras tanto, la Alianza FIDO ha agregado requisitos IAD a su programa de Certificación de Componentes Biométricos (BCC), y el Reino Unido está desarrollando una guía sobre las pruebas de IAD para el DIATF. Allgrove resumió el estándar CEN TS 18099 que informa el estándar ISO, y los principios que deben informar las evaluaciones para que sean prácticamente valiosas. También enfatizó que las pruebas personalizadas y basadas en amenazas pueden proporcionar garantía adicional de la protección de los sistemas biométricos contra ataques de inyección. Sin embargo, la seguridad proporcionada por las evaluaciones IAD se desvanece con el tiempo, señala Allgrove, en el contexto de un panorama de amenazas en rápida evolución. Eso significa que, para que sean aptos para su propósito, las pruebas de eficacia de los DAI deben repetirse periódicamente. Y las pruebas no sólo deben repetirse, sino que deben ser efectivas. Las pruebas deben reflejar ataques del mundo real y, por lo tanto, deben ir más allá de una lista de verificación o una “revisión documental”.
