"Estudios anteriores sobre el robo de identidad, sólo consideran el objetivo del ataque para un único tipo de identidad, ya sea para las identificaciones de los dispositivos o la biometría" (..) "la parte que falta, sin embargo, es explorar la viabilidad de comprometer los dos tipos de identidades simultáneamente y entender profundamente su correlación en entornos de IO (internet de las cosas) multimodal", expresó Chris Xiaoxuan Lu, profesor adjunto de la Universidad de Liverpool.
A continuación, encontrarán detalle de una investigación recientemente titulada: "Ningún lugar para esconderse: Cross-modal Identity Leakage between Biometrics and Devices" publicada por un grupo de académicos de la Universidad de Liverpool, la Universidad de Nueva York, la Universidad China de Hong Kong y la Universidad de Buffalo SUNY.
Junto con los beneficios de la Internet de las cosas (IO) vienen los posibles riesgos para la privacidad, ya que a miles de millones de los dispositivos conectados se les concede permiso para rastrear la información sobre sus usuarios y comunicarla a otras partes a través de la Internet. De particular interés para el adversario es la identidad del usuario, que desempeña constantemente un papel importante en el lanzamiento de ataques. Si bien la exposición de un determinado tipo de biometría física o de identidad de los dispositivos se estudia ampliamente, el efecto compuesto de la fuga por ambos lados sigue siendo desconocido en los entornos de detección multimodal. En este trabajo se explora la viabilidad de la fuga de identidad compuesta a través de los espacios ciberfísicos y se revela que las identificaciones de los dispositivos inteligentes coubicados (por ejemplo, las direcciones MAC de los teléfonos inteligentes) y la biometría física (por ejemplo, las muestras faciales/vocales) son canales laterales entre sí.
Se demuestra que el método es robusto a varios ruidos de observación en la naturaleza y un atacante puede hacer un perfil completo de las víctimas en multidimensionalidad con un esfuerzo de análisis casi nulo. Dos experimentos en el mundo real con diferentes biometrías e identificaciones de dispositivos muestran que el enfoque presentado puede comprometer más del 70% de las identificaciones de los dispositivos y cosechar múltiples grupos biométricos con ~94% de pureza al mismo tiempo.
Estos investigadores presentaron los hallazgos en la Conferencia Web 2020 celebrada en Taipei.
El prototipo y el código asociado pueden ser accedidos aquí.
Ataque de fuga de datos compuesto
El mecanismo de fuga de identidad se basa en la idea de la escucha subrepticia de individuos en espacios ciberfísicos durante largos períodos de tiempo.
En pocas palabras, la idea es que un cibercriminal puede explotar la singularidad de la información biométrica de los individuos (rostros, voces, etc.) y las direcciones MAC Wi-Fi de los teléfonos inteligentes y los dispositivos de IO para identificar automáticamente a las personas mediante el dibujo de una correlación espacio-temporal.
Fuente: entrevista electrónica realizada por The Hacker News;
Cornell University, arxiv .org
Abogacía Digital - Información útil para el ejercicio contemporáneo de la Abogacía.