Las contraseñas son inherentemente defectuosas. Ya sea por su simplicidad o su reutilización desenfrenada, las personas tienen dificultades para usar solo una cadena de caracteres segura para proteger información valiosa. Como resultado, cada vez es más común que las personas y las organizaciones utilicen datos biométricos, como escaneos de iris y huellas dactilares, para proteger la información y los dispositivos. Sin embargo, estos sistemas crean un vector de ataque completamente nuevo para los actores de amenazas, ya que esos escaneos biométricos finalmente se convierten en los mismos ceros y unos que también almacenan contraseñas basadas en caracteres.
La investigación de Intel 471 sobre los métodos de ataque del ciberdelito ha descubierto que los datos biométricos presentan un riesgo específico para la seguridad de los dispositivos o las redes. Si los atacantes pueden obtener datos biométricos y el posterior acceso a la información que protege, podrían aprovechar el acceso y los datos en un intento de extorsión y/o vender los datos en foros clandestinos o tiendas en forma de identidades robadas. Además, las credenciales biométricas comprometidas conllevan un mayor riesgo porque, a diferencia de una tarjeta de crédito, un número de cuenta o una contraseña, los datos biométricos fisiológicos o de comportamiento filtrados no se pueden cambiar.
Los actores de amenazas son cada vez más conscientes del valor asociado con el acceso a los datos biométricos. A medida que aumentan su comprensión de los protocolos de seguridad biométrica, han aprendido a explotar las vulnerabilidades del software de reconocimiento facial y de huellas dactilares para obtener acceso a un dispositivo y/o compartir información sobre cómo eludir los sistemas antifraude basados en el comportamiento. A su vez, esos sistemas explotados permiten a los actores cometer delitos como si fuera cualquier otro sistema al que apuntan. Si bien actualmente está en sus inicios, evaluamos con un alto grado de confianza que estos datos se convertirán en un objetivo popular a medida que la biometría se use más comúnmente.
El fraude de documentación sigue siendo una amenaza prolífica en la clandestinidad, ya que los documentos falsos con datos biométricos permiten a los actores de amenazas realizar otras actividades ilícitas, como la inmigración ilegal y el fraude de propiedad, o crear identidades falsas.
En septiembre de 2020, observamos a dos actores iraníes que ofrecían vender documentos biométricos y otros documentos de identificación que podrían aprovecharse en varios países. Un actor anunció un paquete de 76.000 códigos nacionales y tarjetas nacionales biométricas, que incluyen, entre otros, licencias de conducir, tarjetas de identificación, pasaportes, insignias personales y tarjetas de identificación de estudiante.
Los documentos tenían una amplia gama de orígenes: Brasil, Egipto, India, Jordania, Arabia Saudita, Senegal, Corea del Sur, España, Sudán, Ucrania y Estados Unidos estaban todos en el paquete. El otro actor ofreció vender 72.400 documentos de identificación iraníes escaneados supuestamente obtenidos del Ministerio de Cooperativas, Trabajo y Bienestar Social de Irán. El actor proporcionó capturas de pantalla para respaldar las afirmaciones que incluían imágenes de documentos de identidad nacionales en los diseños clásicos y nuevos.
Huellas dactilares y rasgos faciales.
A medida que los sistemas de identificación de huellas dactilares y reconocimiento facial se utilizan con mayor frecuencia, crece la capacidad de los actores para aprovechar las vulnerabilidades de estas tecnologías.
En 2020 se descubrió un escenario de ataque con motivación financiera cuando se informó que una vulnerabilidad en Apple Pay podría permitir a un atacante eludir las protecciones biométricas y realizar pagos fraudulentos sin contacto. Según los científicos del Reino Unido que informaron sobre la falla, el ataque de "repetición y retransmisión" se aprovechó para realizar un pago sin contacto no autorizado de US $ 1350 en tarjetas de crédito Visa vinculadas a una cuenta de Apple Pay mientras el teléfono estaba bloqueado.
Varias otras vulnerabilidades biométricas se revelaron en 2021, incluida una vulnerabilidad que permite a los atacantes eludir la autenticación biométrica en dispositivos Android (CVE-2021-3145) y otra en el escáner de huellas dactilares de Samsung Note20 que permite la duplicación de huellas dactilares, lo que contribuiría a una alta tasa de reconocimiento falso para usuarios iniciando sesión en los dispositivos (CVE-2021-22494). En agosto de 2021, se descubrió otra vulnerabilidad en el sistema de reconocimiento facial Hello de Windows 10 que permitía a un atacante eludir la autenticación biométrica con una imagen falsificada, pero el riesgo evaluado asociado con la vulnerabilidad era bajo porque un atacante necesitaría acceso físico a un dispositivo. con Windows 10 para aprovechar la falla de seguridad.
Intel 471 no tiene ninguna evidencia de que los actores del crimen cibernético hayan aprovechado las vulnerabilidades antes mencionadas. Pero, a medida que aumenta el uso de esta tecnología, confiamos en que habrá un aumento en la cantidad de actores de amenazas que buscan vulnerabilidades similares que permitan la ejecución remota de técnicas de elusión de seguridad biométrica.
Las características de comportamiento se convierten en errores
Además de centrarse en las vulnerabilidades técnicas, existen actores que pretenden manipular los aspectos de comportamiento de la seguridad biométrica. Si bien se discutió mucho menos que otros ataques, Intel 471 ha observado que los ciberdelincuentes comparten información sobre cómo eludir los sistemas antifraude basados en el comportamiento. Un actor afirmó que algunos bancos implementaron algoritmos de bosques aleatorios para reducir el costo de un popular servicio de suscripción de identidad digital.
Este cifrado menos efectivo contribuyó a la capacidad de los actores de amenazas para restablecer los parámetros del patrón de comportamiento e ingresar a entornos protegidos. Supuestamente, este actor también pasó por alto la autenticación de dos factores (2FA) del servicio al emular los patrones de comportamiento de su hermano gemelo, como copiar pulsaciones de teclas y movimientos del mouse.
prepárate ahora
La clandestinidad de los ciberdelincuentes apenas comienza a arañar la superficie de lo que es posible con los datos biométricos. Mientras que algunos actores eligen apuntar a los sistemas con la menor resistencia, otros han exhibido la paciencia y la persistencia necesarias para superar los desafíos de seguridad y explotar los sistemas protegidos por tecnologías biométricas. Si bien los ataques reales han sido muy limitados, las conversaciones observadas de los atacantes de amenazas sugieren que encuentran atractivos los datos y han explorado organizaciones que posiblemente corren el riesgo de comprometer los datos biométricos. A medida que las organizaciones consideran agregar esta tecnología a su estrategia de seguridad general, es crucial comprender que, a medida que se convierte en un objetivo valioso para los actores de amenazas, la pérdida de datos biométricos se vuelve mucho más impactante que las contraseñas robadas.
Comments