Centro de llamadas

Centro de llamadas

Fuente: Unsplash/CC0 Dominio público

Los informáticos de la Universidad de Waterloo han descubierto un método de ataque que puede eludir con éxito los sistemas de seguridad de autenticación de voz con una tasa de éxito de hasta el 99% después de solo seis intentos.

La autenticación de voz, que permite a las empresas verificar la identidad de sus clientes con una “huella digital de voz” supuestamente única, se usa cada vez más en banca remota, centros de llamadas y otros escenarios críticos para la seguridad.

“Al registrarse para la autenticación de voz, se le pide al usuario que repita una determinada frase con su propia voz. Luego, el sistema extrae una firma de voz única (huella digital de voz) de la frase dada y la almacena en el servidor”, dijo Andre Kassis, especialista en privacidad y seguridad informática, Ph.D. candidato y autor principal de un estudio que detalla la investigación.

“Para futuros intentos de autenticación, se le pedirá que repita otra frase y las características extraídas de ella se compararán con la huella de voz almacenada en el sistema para determinar si se debe otorgar acceso”.

Una vez que se introdujo el concepto de toma de huellas dactilares de voz, los delincuentes maliciosos se dieron cuenta rápidamente de que podían usar software deepfake habilitado para aprendizaje automático para generar copias convincentes de la voz de la víctima usando solo cinco minutos de audio grabado.

En respuesta, los desarrolladores introdujeron “contramedidas de suplantación de identidad”, controles que pueden examinar una muestra de voz y determinar si fue creada por un humano o una máquina.

Los investigadores de Waterloo han desarrollado un método que evita las contramedidas de falsificación y puede engañar a la mayoría de los sistemas de autenticación de voz en seis intentos. Identificaron las etiquetas en el sonido falso que revela que fue generado por computadora y escribieron un programa que elimina esas etiquetas, haciéndolo indistinguible del audio genuino.

En una prueba reciente con el sistema de autenticación de voz de Amazon Connect, lograron una tasa de éxito del 10 % en un solo ataque de cuatro segundos, aumentando a más del 40 % en menos de 30 segundos. Con algunos de los sistemas de autenticación de voz menos sofisticados a los que se dirigieron, tuvieron un 99 % de éxito después de seis intentos.

Kassis dice que si bien la autenticación de voz es obviamente mejor que ninguna seguridad adicional, las contramedidas de suplantación de identidad existentes tienen fallas críticas.

“La única forma de crear un sistema seguro es pensar como un atacante. Si no, solo estás esperando un ataque”, dijo Kassis.

El supervisor de Kassis, el profesor de informática Urs Hengartner, agregó: “Al mostrar la incertidumbre de la autenticación de voz, esperamos que las empresas que confían en la autenticación de voz como su único factor de autenticación consideren implementar medidas de autenticación adicionales o más fuertes”.

Prueba, Rompiendo la autenticación de voz crítica para la seguridadpor Kassis y el Dr. Hengartner, se publicó en las Actas del 44º Simposio IEEE sobre Seguridad y Privacidad.

Más información:
Rompiendo la autenticación de voz crítica para la seguridad, Simposio IEEE 2023 sobre seguridad y privacidad (SP). DOI: 10.1109/SP46215.2023.00139 , www.computer.org/csdl/procedi… 3600a951/1NrbYmtLXB6

Proporcionado por la Universidad de Waterloo


Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *