Los informáticos de la Universidad de Waterloo han hecho un sobre el descubrimiento sobre la eficacia de los sistemas de seguridad de autenticación de voz.
Han identificado un método de ataque que puede eludir estos sistemas con una tasa de éxito alarmante de hasta el 99% después de sólo seis intentos.
Huellas de voz falsas
La autenticación por voz se ha vuelto cada vez más popular en diversos escenarios crÃticos para la seguridad, como la banca remota y los centros de llamadas, donde permite a las empresas verificar la identidad de sus clientes basándose en su “huella de voz” única.
Durante el proceso de inscripción de autenticación de voz, las personas deben replicar una frase designada, que luego se utiliza para extraer y almacenar una firma vocal o huella de voz distinta en un servidor.
En intentos de autenticación posteriores, se utiliza una frase diferente y las caracterÃsticas extraÃdas se comparan con la huella de voz almacenada para determinar el acceso.
Sin embargo, los investigadores de la Universidad de Waterloo han descubierto que las huellas de voz se pueden manipular utilizando un software “deepfake” con aprendizaje automático, que puede generar copias muy convincentes de la voz de alguien utilizando sólo unos minutos de audio grabado.
Por lo tanto, los desarrolladores introdujeron “contramedidas de suplantación de identidad” para diferenciar entre el habla generada por humanos y la generada por máquinas.
El equipo de investigación ha creado un método que evita estas contramedidas de suplantación de identidad, permitiéndoles engañar a la mayorÃa de los sistemas de autenticación de voz en sólo seis intentos.
Han identificado los marcadores en el audio deepfake que exponen su naturaleza generada por computadora y han creado un programa para eliminar estos marcadores, haciendo que el audio falso sea indistinguible de las grabaciones reales.
Durante una evaluación realizada en el sistema de autenticación de voz de Amazon Connect, los investigadores lograron una tasa de éxito del 10 % en un breve ataque de cuatro segundos, que aumentó a más del 40 % en menos de treinta segundos.
Sin embargo, cuando apuntaron a sistemas de autenticación de voz menos avanzados, lograron una asombrosa tasa de éxito del 99% después de sólo seis intentos.
Pensando como un atacante
Andre Kassis, autor principal del estudio de investigación y candidato a doctorado en Seguridad y Privacidad Informática, enfatiza que si bien la autenticación de voz ofrece cierta seguridad adicional, las contramedidas actuales contra la suplantación de identidad son fundamentalmente defectuosas.
Kassis sugiere que un sistema seguro debe diseñarse pensando como un atacante, ya que no hacerlo lo deja vulnerable a la explotación.
Urs Hengartner, profesor de informática y supervisor de Kassis, se hace eco de este sentimiento y destaca la importancia de implementar medidas de autenticación adicionales o más sólidas en empresas que dependen únicamente de la autenticación de voz.
Al revelar las vulnerabilidades de la autenticación de voz, los investigadores pretenden animar a las organizaciones a mejorar sus protocolos de seguridad para protegerse mejor contra este tipo de ataques.
El estudio fue publicado en las actas del 44º Simposio IEEE sobre Seguridad y Privacidad.
â“’ 2023 . .
