Un cajero automático que se queda con tu cara

El reconocimiento facial, junto con otros sistemas biométricos como los lectores de huella dactilar o los escáneres de iris, está llamado a ser el futuro de la identificación y el último clavo en el ataúd de las antiguas contraseñas. Se está imponiendo entre los gigantes, indispensable paso previo a su adopción masiva. Apple ya movió ficha, Google también va a hacerlo con Android M y Microsoft ha anunciado un sistema (bautizado Hello) que verá la luz en Windows 10.

Garantizar la seguridad de los pagos móviles (Apple Pay, Android Pay...) se cuenta entre las principales razones de esta creciente implantación. Sin embargo, el auténtico guardián de nuestros ahorros, el cajero automático, sigue anclado en un viejo y cada vez menos fiable mecanismo de seguridad: los cajeros automáticos con PIN.

Aunque el número de ataques informáticos a cajeros ha descendido a nivel mundial, los métodos se han sofisticado y la cantidad de dinero que se sustrae como consecuencia de dichas intrusiones va en aumento: de 255 millones de dólares (unos 225 millones de euros) en 2013 a 300 millones de dólares (más de 265 millones de euros) en 2014, según un informe reciente del European ATM Security Team.

Con cifras tan alarmantes sobre la mesa, empiezan a ver la luz proyectos que pretenden llevar la biometría también a las fachadas de los bancos. Sin ir más lejos, el primer cajero automático con reconocimiento facial fue presentado en China hace tan solo unas semanas.

Con una máquina de este tipo, tener a mano la tarjeta de crédito y conocer el código PIN seguirá siendo imprescindible, pero será mucho más difícil que un atacante ponga en riesgo tu dinero aunque logre hacerse con ambos.

Una cámara instalada en el cajero toma una imagen de alta calidad del rostro del cliente que, a continuación, analiza y compara con la foto de su ficha registrada en una base de datos. No se fija en detalles triviales como su color de pelo, su tono de piel o la presencia/ausencia de vallo facial: busca coincidencias entre rasgos biológicos más permanentes, como la distancia entre sus ojos, la forma de su boca y la separación entre su nariz y su barbilla.

Este sistema, al menos en teoría, permite asegurar la identificación correcta, evitando fraudes, incluso si el cliente cambia de 'look' o lleva alguna capa de maquillaje (otro asunto ya es la cirugía estética, que obligaría a actualizar la foto de la base de datos).

Además, el modelo chino incluye medidas de seguridad adicionales contra las falsificaciones, como registrar el número de serie de cada billete depositado en un ingreso. Según Xinhua, la agencia estatal de noticias de China, la efectividad de este terminal a la hora de autentificar múltiples divisas (nacionales y extranjeras) supera en un 20% la de un cajero convencional.

La máquina, diseñada por la Universidad Tsinghua y la tecnológica Tzekwan, ya tiene el visto bueno de las autoridades y, según sus creadores, pronto se verá en las calles de la nación asiática. Sin embargo, un buen puñado de dudas e interrogantes sobrevuelan esta y otras propuestas similares. No hay respuestas oficiales, pero sí podemos apuntar algunas tendencias en base a la opinión de los expertos:

¿Cómo evitar que alguien utilice una foto para engañar a la cámara? Lo más probable es que los cajeros con reconocimiento facial dispongan de un par de cámaras para comprobar que el rostro que se está fotografiando es tridimensional.

¿Y si el atacante emplea un busto de la víctima impreso en 3D? Podría engañar al sistema de reconocimiento facial, pero aún tendría que disponer de la tarjeta de crédito y el PIN de la víctima. Además, se espera que la seguridad biométrica se acabe implantando en varias capas: por ejemplo, un cajero que identifique el rostro y además realice un escáner de iris o un reconocimiento de voz.

¿No veremos gente sin cabeza por las calles al más puro estilo circense? Lo mismo se decía de los dedos cortados cuando Apple integró un lector de huella dactilar en su iPhone y, de momento, los atacantes han optado por engañar al sensor de formas menos agresivas. Además, el resto de capas de seguridad harían que decapitar a la víctima fuera una estrategia infructuosa.