Incidentes Asociados
El software de seguridad diseñado para prevenir el fraude bancario ha sido engañado por un reportero de la BBC y su gemelo.
El reportero de BBC Click, Dan Simmons, abrió una cuenta en HSBC y se registró en el servicio de autenticación de identificación de voz del banco.
HSBC dice que el sistema es seguro porque la voz de cada persona es "única".
Pero el banco permitió que Joe, el gemelo no idéntico de Dan Simmons, accediera a la cuenta a través del teléfono después de imitar la voz de su hermano.
El banco dijo que "revisaría" las formas de hacer que el sistema de identificación sea más sensible luego de la investigación de la BBC.
'Realmente alarmante'
HSBC introdujo la seguridad basada en voz en 2016 y dijo que midió 100 características diferentes de la voz humana para verificar la identidad de un usuario.
Los clientes simplemente dan los detalles de su cuenta y la fecha de nacimiento y luego dicen: "Mi voz es mi contraseña".
Aunque la brecha no permitió que Joe Simmons retirara dinero, pudo acceder a saldos y transacciones recientes, y se le ofreció la posibilidad de transferir dinero entre cuentas.
"Lo que es realmente alarmante es que el banco me permitió siete intentos de imitar la huella de voz de mi hermano y hacerlo mal, antes de que lo intentara por octava vez", dijo.
"¿Pueden los posibles atacantes intentarlo tantas veces como quieran hasta que lo hagan bien?"
Por otra parte, un investigador de Click descubrió que Voice ID de HSBC seguía permitiéndoles intentar acceder a su cuenta después de que fallaran deliberadamente en 20 ocasiones distintas repartidas en 12 minutos.
Se cree que la frustración exitosa del sistema por parte de Click es la primera vez que se viola la medida de seguridad de voz.
HSBC se negó a comentar qué tan seguro había sido el sistema hasta ahora.
Un portavoz dijo: "La seguridad de las cuentas de nuestros clientes es de suma importancia para nosotros.
"La identificación de voz es un método muy seguro para autenticar a los clientes.
"Los gemelos tienen una huella de voz similar, pero la introducción de esta tecnología ha visto una reducción significativa en el fraude y ha demostrado ser más segura que los PIN, las contraseñas y las frases memorables".
cuenta abierta
"Estoy sorprendido", dijo Mike McLaughin, experto en seguridad de Firstbase Technologies.
"No se debe permitir que esto suceda.
"Otra persona no debería poder acceder a su cuenta bancaria.
"Las voces son únicas, pero si el sistema permite demasiadas discrepancias en la huella de voz de una coincidencia, entonces no es seguro.
"Y eso parece ser lo que sucedió aquí".
El profesor Vladimiro Sassone, experto en seguridad cibernética de la Universidad de Southampton, dijo que la biometría podría, en general, ser una capa de seguridad eficaz, pero que existían peligros si las empresas confiaban demasiado en algo que no era 100 % seguro.
"En principio, no debería haber lugar para ningún error", dijo el profesor Sassone.
"Debería ser bueno en el primer intento".
"La identificación de voz no es como un sistema de contraseña".
"No puedes olvidar tu voz o elegir la incorrecta.
"Después de dos intentos, los sistemas deberían poder decir si se trata de una coincidencia o no y alertar al banco y al usuario si se realizan más intentos".
El profesor Sassone dijo que el uso de rasgos biométricos únicos como verificador debería dificultar las cosas para los piratas informáticos, pero si los delincuentes los copiaran, los usuarios no podrían cambiar su voz, rostro o huella digital como lo harían con una contraseña.
"Si tienes que demostrar que no fuiste tú quien accedió a tu cuenta, que fue un imitador o un software de computadora, entonces, ¿cómo vas a hacer eso?". preguntó.
"Especialmente si el banco afirma que el sistema es perfecto".
El experto en seguridad, el profesor Alan Woodward, de la Universidad de Surrey, dijo que era peligroso confiar en una característica biológica para autenticar a alguien, incluso si era única para esa persona.
"La seguridad basada en biometría tiene un historial de copias de medidas", dijo.
"Hemos visto huellas dactilares copiadas con todo, desde ositos de goma hasta fotografías de las manos de las personas.
"Por lo tanto, la biometría, al igual que otros aspectos de la seguridad, siempre tendrá que evolucionar a medida que surjan medidas para amenazarlos.
"La seguridad es una historia de medida y contramedida".
Dijo que HSBC probablemente necesitaba reevaluar su tecnología e idealmente agregar otro "factor" junto con la verificación de huellas de voz para autenticar la identidad.
"Además de requerir algo que eres, requeriría algo que sabes o algo que tienes, como un PIN", dijo.
"Eso hace que sea mucho más difícil llegar a un acuerdo".
No es solo la capacidad de los humanos para engañar a las computadoras lo que preocupa a algunas empresas de alta tecnología.
La empresa emergente Lyrebird está trabajando en formas de replicar una voz utilizando solo unos minutos de voz grabada.
El cofundador José Sotelo dijo que no había duda de que esto tenía "implicaciones" para los sistemas de identificación de voz.
"Estamos trabajando con investigadores de seguridad para descubrir la mejor manera de proceder", dijo a Click.
"Esta es una de las razones por las que aún no hemos publicado esto al público.
"Es una aplicación aterradora, pero creemos que debemos tener cuidado y no debemos tener miedo de la tecnología y debemos tratar de aprovecharla al máximo", dijo.
"Una idea que estamos considerando es poner una marca de agua en las muestras de audio que producimos para que podamos detectar de inmediato si somos nosotros los que generamos esta muestra".