Las compañías de seguridad vienen diciendo que la biometría es la mejor de las seguridades electrónicas. Han convencido a los guionistas de Hollywood, han decidido a gobiernos (incluso para controlar acceso a las canchas de fútbol) y a empresas privadas de que hay que invertir en guardar información sensible y única de la gente para evitar a los impostores o para luchar contra la trata de personas o el terrorismo: siempre hay motivos para invertir en seguridad. Y dentro de la biometría –la identificación por una parte del cuerpo que dicen suele ser irremplazable– se suponía que el reconocimiento de iris era imposible de fraguar. Pues bien, siempre hay un hacker que se encarga de demostrar lo contrario, y sólo basta un par de lentes de contacto tuneados para que la maravilla ocurra y uno pueda ponerse los ojos de quien quiera.

La demostración se presentó en el congreso Black Hat, el evento de inseguridad informática más poderoso del mundo. La investigación fue mostrada por Javier Galbally, un ingeniero electrónico español especializado en biometría y enfocado desde hace años en las vulnerabilidades de la misma. De lo que se trata, simplemente, es de poder duplicar una imagen de la membrana ocular a través de la técnica de ingeniería inversa: habitualmente, el reconocimiento de iris se usa después de que una persona a la que es necesario darle un acceso se le escanea el iris. Este escaneo se convierte en información digital y va a una base de datos. Cada vez que la persona usa su iris para ingresar a donde fuera que vaya, el sistema verifica que se trata de la misma información. Pues bien, ahora se sabe, esa información se puede duplicar.

De todas maneras, la duplicación del iris no es una tarea sencilla: primero hay que tener acceso a la información digital guardada en alguna base de datos, y según Galbally, una vez que se tiene acceso a la plantilla original, un hacker puede usar algoritmos genéticos para alterar código sintético que podría hacer quedar la plantilla idéntica a la original. Es decir, la imagen del iris podría ser duplicada. “Alguien podría imprimir la información del iris en un lente de contacto y usarlo para ingresar a algún lugar”, explicó Galbally en la presentación.

“El sistema de reconocimiento de iris de tipo comercial sólo mira el código del iris y no el ojo”, explicó Galbally. Lo que se entiende aquí es que se puede llegar a una réplica del “ojo” desde el código guardado. El “encuentro” es un verdadero dolor de cabeza para la industria de la seguridad, ya que el reconocimiento de iris está considerado la fuente de identificación más certera que se conoce. Hasta ahora no se han conocido reportes de intrusiones debido a esta falla y tampoco queda claro si podría ser peligroso, pero la vulnerabilidad está ahí. “Lo importante es que la gente sepa que existe”, dijo.

Es decir: se puede robar una identidad, si se tiene acceso a la base de datos de iris guardados, se lo puede recrear, imprimir y pegar en un lente de contacto y decir “yo soy ése”, explicó Galbally, quien condujo la investigación junto al grupo de reconocimiento biométrico ATVS, en la Universidad Autónoma de Madrid. Con el sueño del control internacional permanente y la fascinación por la tecnología biométrica, algunos aeropuertos ya están implementando el ingreso a los países a través del sistema biométrico. El aeropuerto de Schiphol, en Amsterdam, lo vende como si se tratara de una baratija. La web dice: “¿Cansado de hacer colas en el aeropuerto?” “¿Quiere pasar rápido y a salvo sin mostrar su pasaporte?”. Le falta el “llame ya” y ya estamos listos. Dice el anuncio: “Ponga su iris en la base de datos del aeropuerto y entre por la vía rápida”. Muchos otros aeropuertos lo han usado, miles de edificios lo hacen para guardar información secreta, y ahora también notebooks que usan el sistema para “dejar” entrar a sus usuarios.

El problema es que el sistema de reconocimiento a través de iris no guarda una réplica del ojo propiamente dicha, sino el código generado por el escaneo. Así, se pensaba que no se podía hacer ingeniería inversa porque no había acceso a la fuente original, sino a un simple código. Los algoritmos genéticos son difíciles de explicar: se trata de herramientas que llegan a un resultado luego de una serie de iteraciones en el procesamiento de los datos. Los algoritmos genéticos van modificando las imágenes y contrastándolas contra el código original hasta que ambos coinciden casi a la perfección. “Los algoritmos genéticos aplican reglas inspiradas en la evolución natural para combinar las imágenes sintéticas del iris, van produciendo mejores generaciones de la misma forma en que evolucionan las especies naturales de generación en generación. Pero no hay que esperar millones de años, sólo unos minutos”, explicó Galbally, quien vulneró el sistema VeriEye para argumentar su investigación. Como sea, qué diría Juan Vucetich si viviera.

@blejman