Los investigadores engañan a los sistemas de reconocimiento facial



El objetivo era ver si las imágenes generadas por computadora que se parecen a una persona se clasifican como otra persona.

Las redes neuronales impulsadas por los avances recientes en inteligencia synthetic y tecnologías de aprendizaje automático se han vuelto cada vez más expertas en generar imágenes fotorrealistas de rostros humanos completamente desde cero.

Los sistemas suelen utilizar un conjunto de datos compuesto por millones de imágenes de personas reales para «aprender» durante un período de tiempo cómo generar de forma autónoma imágenes originales propias.

En el evento virtual Black Hat United states 2020 de la semana pasada, los investigadores de McAfee demostraron cómo pudieron usar tales tecnologías para engañar con éxito a un sistema de reconocimiento facial para que clasificara erróneamente a un individuo como una persona completamente diferente. Como ejemplo, los investigadores mostraron cómo en un aeropuerto una persona en una lista de exclusión aérea podía engañar a un sistema de reconocimiento facial utilizado para la verificación de pasaportes para que lo identificara como otra persona.

«El objetivo básico aquí era determinar si podíamos crear una imagen falsa, utilizando modelos de aprendizaje automático, que parecían una persona para el ojo humano, pero que al mismo tiempo se clasificaban como otra persona para un sistema de reconocimiento facial», dice Steve Povolny, director de investigación avanzada de amenazas en McAfee.

Para hacer eso, los investigadores construyeron un modelo de aprendizaje automático y lo alimentaron con datos de entrenamiento: un conjunto de 1,500 fotos de dos individuos separados. Las imágenes fueron capturadas de video clip en vivo y buscaban representar con precisión fotos de pasaporte válidas de las dos personas.

Luego, el modelo creó y probó continuamente imágenes falsas de los dos individuos combinando los rasgos faciales de ambos sujetos. A lo largo de cientos de ciclos de entrenamiento, el modelo de aprendizaje automático finalmente llegó a un punto en el que estaba generando imágenes que parecían una foto de pasaporte válida de una de las personas: incluso cuando el sistema de reconocimiento facial identificaba la foto como la otra persona.

Povolny dice que el escenario de ataque al sistema de verificación de pasaportes, aunque no es el enfoque principal de la investigación, es teóricamente posible de llevar a cabo. Debido a que ahora se aceptan fotos de pasaporte digitales, un atacante puede producir una imagen falsa de un cómplice, enviar una solicitud de pasaporte y guardar la imagen en la foundation de datos de pasaportes. Entonces, si luego se toma una foto en vivo del atacante en un aeropuerto, en un quiosco automático de verificación de pasaportes, por ejemplo, la imagen se identificaría como la del cómplice.

«Esto no requiere que el atacante tenga ningún acceso al sistema de pasaportes, simplemente que la foundation de datos del sistema de pasaportes contiene la foto del cómplice entregada cuando solicitó el pasaporte», dice.

El sistema de pasaportes simplemente se basa en determinar si dos caras coinciden o no. Todo lo que hace es verificar si una foto de una persona está identificada con una foto guardada en la parte posterior. Entonces, tal ataque es completamente factible, aunque requiere cierto esfuerzo para llevarlo a cabo, dice Povolny.

«Es menos probable que una foto de pasaporte física que fue enviada por correo, escaneada y cargada en esta foundation de datos funcione para el ataque», señala.

Redes generativas antagónicas

La investigación de McAfee implicó el uso de la denominada Purple Adversarial Generativa (GAN) conocida como CycleGAN. Las GAN son redes neuronales capaces de crear de forma independiente datos muy similares a los datos que se ingresan en ellas. Por ejemplo, un GAN puede utilizar un conjunto de imágenes reales de rostros humanos o de caballos para generar de forma autónoma imágenes completamente sintéticas, pero de aspecto muy actual, de rostros humanos y caballos. Las GAN utilizan lo que se conoce como redes generativas para generar los datos sintéticos y redes discriminatorias para evaluar continuamente la calidad del contenido generado hasta que alcanza una calidad aceptable.

CycleGAN en sí, según McAfee, es un GAN para traducción de imagen a imagen: traducir una imagen de cebras a una imagen de caballos, por ejemplo. Una característica de la GAN es que utiliza características importantes de una imagen para la traducción, como la ubicación de los ojos, la forma de la cabeza, el tamaño del cuerpo y otros atributos.

Además de CycleGAN, los investigadores de McAfee también utilizaron una arquitectura de reconocimiento facial llamada FaceNet desarrollada originalmente por Google para la clasificación de imágenes. Construir y entrenar el modelo de aprendizaje automático tomó un período de varios meses.

«Si bien nos hubiera encantado tener acceso a un sistema de objetivos del mundo actual para replicar esto, estamos encantados con los resultados de lograr clasificaciones erróneas positivas en escenarios de caja blanca y caja gris», dice Povolny.

Dado el papel cada vez más importante que los sistemas de reconocimiento facial han comenzado a desempeñar en la aplicación de la ley y otras áreas, se necesita una investigación más proactiva para comprender todas las formas en que dichos sistemas pueden ser atacados, dice.

«Las pruebas de anomalías, los comentarios contradictorios y los datos de entrenamiento más diversos se encuentran entre las formas en que los proveedores pueden mejorar los sistemas de reconocimiento facial», señala Povolny. «Además, la defensa en profundidad, aprovechando un segundo sistema, ya sea humano o mecánico, puede proporcionar una barrera de explotación mucho más alta que un solo punto de falla».

Contenido relacionado:

Jai Vijayan es un reportero de tecnología experimentado con más de 20 años de experiencia en el periodismo comercial de TI. Recientemente, fue editor senior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia first