Crear una voz falsa para engañar a los sistemas de autenticación nunca había sido tan fácil y eficaz.
Unos informáticos de la Universidad de Waterloo han descubierto cómo engañar con éxito a los sistemas de autenticación de voz el 99% de las veces utilizando un software de creación de voces falsas.
Andre Kassis, doctorando en Seguridad Informática y Privacidad de la Universidad de Waterloo y autor principal del estudio, explica cómo funciona la autenticación por voz:
«Cuando te inscribes en la autenticación por voz, se te pide que repitas una frase determinada con tu propia voz. A continuación, el sistema extrae una firma vocal única (huella vocal) de esa frase y la almacena en un servidor… Para futuros intentos de autenticación, se le pide que repita una frase diferente y las características extraídas de ella se comparan con la huella vocal que ha guardado en el sistema para determinar si se le debe conceder el acceso».
El equipo de Waterloo superó la autenticación utilizando un software deepfake basado en aprendizaje automático para generar una copia de la voz. Todo lo que el software necesita son cinco minutos de audio de voz grabado a partir del cual aprender a ser una falsificación convincente. Ni siquiera las contramedidas de suplantación empleadas por los sistemas de autenticación de voz detectan la voz falsa porque un programa escrito por el equipo elimina los marcadores del audio deepfake que «delatan que está generado por ordenador».
Las voces falsas que engañan la autenticación de voz es algo que los hackers ya estaban haciendo en Black Hat en 2018, pero la tasa de éxito de este último método seguramente generará mucha preocupación para cualquier servicio que confíe en él para la seguridad.
Con sólo seis intentos, el equipo de investigación de Waterloo consiguió una tasa de éxito del 99%. No obstante, el porcentaje de éxito varía en función del sistema de autenticación de voz atacado. Sin embargo, Kassis dice que las contramedidas de suplantación empleadas hoy por estos sistemas son «críticamente defectuosas».
La facilidad con la que se puede engañar a la autenticación por voz ha llevado al profesor de informática de Waterloo Urs Hengartner a afirmar: «esperamos que las empresas que confían en la autenticación por voz como único factor de autenticación se planteen implantar medidas de autenticación adicionales o más fuertes».