Un equipo de informáticos de la Universidad de Waterloo ha descubierto un método capaz de burlar los sistemas de seguridad de autenticación por voz con un porcentaje de éxito del 99% tras solo 6 intentos. 

Se trata de un método que cada vez está más usado por empresas como bancos a distancia, centros de atención telefónica y otros escenarios críticos para la seguridad que permite tener a sus clientes una especie de huella vocal para su verificación. 

"Al inscribirse en la autenticación por voz, se le pide que repita una frase determinada con su propia voz. A continuación, el sistema extrae una firma vocal única (huella vocal) de esa frase y la almacena en un servidor", explica Andre Kassis, doctorando en Seguridad y Privacidad Informáticas y autor principal de un estudio en el que se detalla la investigación de la que se hace eco Techxplore.

"Para futuros intentos de autenticación, se le pide que repita una frase distinta y las características extraídas de ella se comparan con la huella vocal que ha guardado en el sistema para determinar si debe concederse el acceso", agrega. 

Puede parecer un método seguro, pero los ciberdelincuentes han encontrado la manera de saltarse sus protocolos con un software de deepfake basado en el aprendizaje automático que genera copias convincentes de voz de una víctima en tan solo 5 minutos de audio grabado. 

Para corroborar este hecho, los investigadores de Waterloo han desarrollado un método que elude las contramedidas de suplantación y es capaz de engañar a la mayoría de sistemas de autenticación de voz en 6 intentos. 

¿El método? Identifican los marcadores que delatan que un audio está generado por ordenador y los eliminan con un programa haciéndolo indistinguible del audio auténtico. 

En una prueba reciente como Amazon Connect, lograron un porcentaje de éxito del 10% en un ataque de 4 segundos, porcentaje que aumentó a más del 40% en 30 segundos. 

Hay que destacar que este sistema de Amazon es bastante bueno, ya que la cosa cambia con sistemas menos sofisticados: un porcentaje de éxito del 99% tras 6 intentos.

Kassis afirma que aunque la autenticación por voz es obviamente mejor que no tener ninguna medida de seguridad adicional, las contramedidas existentes contra la suplantación de identidad son muy deficientes. 

"La única forma de crear un sistema seguro es pensar como un atacante. Si no lo haces, estás esperando a que te ataquen", apunta.

"Al demostrar la inseguridad de la autenticación por voz, esperamos que las empresas que confían en la autenticación por voz como único factor de autenticación se planteen implantar medidas de autenticación adicionales o más fuertes", agrega Urs Hengartner, profesor de informática supervisor de Kassis.