Adaptación del articulo “Leaked Today, Exploited for Life, How Social Media Biometric Patterns Affect your Future» https://www.trendmicro.com/vinfo/us/security/news/internet-of-things/leaked-today-exploited-for-life-how-social-media-biometric-patterns-affect-your-future

Publicar en las redes sociales se ha convertido en algo omnipresente no sólo para las personas, sino también para las empresas y los gobiernos de todo el mundo. Para los usuarios normales, es una herramienta para compartir momentos y pensamientos personales, mientras que para algunos profesionales se ha convertido en una forma de ganar dinero. Para las empresas y organizaciones, se ha convertido en una vía para hacer publicidad y compartir actualizaciones. En los últimos años, la calidad de las publicaciones, especialmente las que contienen imágenes y vídeos, ha aumentado considerablemente y sigue mejorando.

Por desgracia, al compartir contenidos multimedia personales en alta resolución, también exponemos involuntariamente patrones biométricos sensibles. Esto es especialmente peligroso porque la gente no es consciente de lo que está exponiendo. A través de las tendencias de los medios sociales y los retos populares (como los retos de maquillaje, los vídeos de manualidades, los vídeos de construcción y los retos de canto, entre otros), las personas podrían estar revelando datos personales inalterables que pueden ser utilizados en su contra. A continuación, se ejemplifican publicaciones típicas de las redes sociales para mostrar los riesgos de dicha exposición.

Un vídeo de #maquillaje revela: la cara, el iris, las orejas, la voz y la palma de la mano.

Normalmente, los creadores de contenidos utilizan cámaras y equipos de iluminación de alta gama, mientras que muchos profesionales del estilo de vida y de la belleza confían en los primeros planos. Este tipo de vídeos puede revelar muchos patrones biométricos diferentes.

¿Qué pueden hacer los actores maliciosos con un vídeo de alta resolución de su cara?

• Utilizar su cara y su patrón de voz para crear una persona deepfake
• Apoderarse de una cuenta que requiera autenticación por voz (por ejemplo, pronunciando una frase de una lista o diciendo una frase al azar para autenticarse)
• Apoderarse de una cuenta que utiliza el reconocimiento facial para la autenticación

Una imagen #profesional revela el rostro, la forma de las orejas y las huellas dactilares de un individuo.

Las imágenes de alta calidad facilitan a los actores maliciosos la captación de los rasgos biométricos utilizados para la verificación e identificación.

Los actores de las amenazas pueden ampliar partes de las fotos de alta resolución, como las que se utilizan en los eventos profesionales, para obtener datos biométricos factibles. Por ejemplo, en la imagen de la abajo, podemos ver claramente las huellas dactilares expuestas. La forma de la oreja es otro ejemplo. Aunque no se utiliza a menudo para la autentificación, puede servir para cotejar personas con las imágenes de las cámaras de CCTV.

Los metadatos de las imágenes profesionales también pueden dar más información sobre un objetivo, lo que aumenta la probabilidad de que el ataque tenga éxito. Aparte de las redes sociales, las imágenes se publican a menudo en portales corporativos o sitios de noticias, y estas imágenes
suelen tener detalles específicos sobre los sujetos que aparecen en las fotos.

Los datos biométricos se han utilizado durante mucho tiempo para la seguridad, desde la investigación de delitos y la medicina forense hasta el acceso a edificios protegidos. Pero ahora el uso de la biometría se ha convertido en la corriente principal, con cientos de millones de personas que utilizan diariamente el reconocimiento facial y los escáneres de huellas dactilares. Esto significa que esos mismos millones de personas también podrían verse afectadas por vulnerabilidades y debilidades en las tecnologías y procesos que utilizan sus patrones de datos biométricos. Aparte de los escenarios enumerados anteriormente, estos son algunos de los riesgos de la exposición biométrica en las redes sociales:

• Estafas de mensajería y suplantación de identidad. Utilizando los datos biométricos y la información de las redes sociales, alguien podría contactar y estafar a los amigos y familiares de la víctima.
• Compromiso del correo electrónico empresarial. Los atacantes pueden utilizar deepfake en las llamadas y hacerse pasar por compañeros de trabajo o socios comerciales para realizar transferencias de dinero.
• Creación de nuevas cuentas. Los delincuentes pueden utilizar los datos expuestos para eludir los servicios de verificación de identidad y crear cuentas en bancos e instituciones financieras, posiblemente incluso en servicios gubernamentales. Podrían utilizarlas para sus propias actividades maliciosas.
• Utilizando los datos biométricos expuestos en las redes sociales, los atacantes pueden crear material más eficaz para la extorsión.
• Desinformación. Los actores maliciosos pueden utilizar falsificaciones de personalidades famosas para manipular la opinión pública. Estos esquemas pueden tener repercusiones financieras, políticas e incluso de reputación.
• Toma de control de dispositivos. Los atacantes pueden robar o tomar el control de dispositivos del Internet de las cosas u otros aparatos que utilicen el reconocimiento de la voz o del rostro.

¿Dónde se pueden ver estos datos biométricos?

La biometría está expuesta en muchas plataformas diferentes y a través de muchos tipos de medios. Vemos estos patrones públicamente en las aplicaciones de mensajería (como los chats de grupo en Telegram), en las plataformas de medios sociales, en los portales gubernamentales y corporativos, así como en las noticias y los medios de comunicación.

¿Qué podemos hacer?

Uno de los problemas de los datos biométricos es que, a diferencia de una contraseña, una vez expuesta, es casi imposible cambiarla. ¿Cómo podemos conseguir un nuevo patrón de iris o una huella dactilar? Son contraseñas para toda la vida, y una vez expuestas al público, un atacante puede utilizarlas dentro de cinco o incluso diez años. Por lo tanto, es importante saber qué información biométrica personal ha sido ya expuesta o podría serlo, y cómo podría afectarle la publicación de ese contenido.

Para los usuarios ordinarios, Trend Micro sugiere utilizar patrones biométricos menos expuestos (como las huellas dactilares) para autenticar o verificar las cuentas sensibles. También sería mejor bajar la calidad de los medios publicados en línea, o incluso difuminar ciertos rasgos. Para las organizaciones que utilizan patrones biométricos, hay tres factores básicos para la verificación: algo que el usuario tiene, algo que el usuario sabe y algo que el usuario es. Cuando se utilizan junto con «algo» muy específico definido por cuenta, estos factores pueden seguir siendo eficaces para la autenticación y la verificación. Por último, la autenticación multifactor (MFA) debería ser un estándar para cualquier organización que maneje datos e información sensibles.

Para saber más sobre esta amenaza y cómo prevenir los ataques, lea el informe de Trend Micro «Filtrado hoy, explotado de por vida: cómo los patrones biométricos de las redes sociales afectan a su futuro» tenga en cuenta que es un informe mucho más completo y está en inglés.