Hacerse «mayor» en cinco minutos: guía para quienes no quieren que los algoritmos vean su rostro
Detectan una brecha en el principal sistema de verificación de Interne
Los usuarios encontraron una manera de eludir la verificación de edad en servicios populares y confirmar automáticamente la mayoría de edad sin realizar un escaneo real del rostro. Se trata de un mecanismo que se usa en plataformas como Discord, Twitch, Kick y Snapchat a través del servicio externo de verificación de edad k-id. Los desarrolladores de la herramienta de evasión publicaron la descripción del método y afirmaron que permitía «confirmar» la edad adulta en cualquier sitio con esa verificación.
La esencia del esquema se basaba en las particularidades del funcionamiento del proveedor de verificación de edad. En lugar de enviar la grabación de video del rostro al servidor, el sistema transmite solo datos operativos y parámetros numéricos obtenidos durante el análisis de la imagen. Esto se considera más seguro para la privacidad, pero, como se descubrió, abre la posibilidad de falsificación. Los autores de la herramienta afirmaron que el servidor acepta un conjunto de parámetros técnicos y no puede distinguir con fiabilidad una verificación real de una generada.
Según ellos, antes falsificar esos datos era bastante sencillo, sin embargo el socio del servicio k-id, que se encarga del reconocimiento facial, reforzó la protección después de la aparición del primer bypass similar. La versión antigua de la herramienta dejó de funcionar. Tras la decisión de Discord de hacer obligatoria la verificación de edad para todos los usuarios, los investigadores retomaron el análisis del mecanismo.
Estudiaron las solicitudes de red y notaron que una verificación correcta envía un bloque de datos cifrados con campos operativos adicionales, incluidas la marca de tiempo y el vector de inicialización. Este bloque se forma mediante el algoritmo de cifrado AES-GCM y una clave derivada de varios parámetros de sesión. Los autores del bypass afirmaron que pudieron reproducir este esquema y aprendieron a generar los mismos campos en solicitudes falsas.
A continuación, la verificación, según se afirma, se apoya en matrices de resultados numéricos del análisis facial. Esos valores pasan por varias etapas de filtrado y procesamiento estadístico. Los investigadores hallaron una manera de generar conjuntos de números verosímiles que superan las comprobaciones del servidor. Además, se tienen en cuenta condiciones adicionales, por ejemplo la coincidencia del nombre de la cámara con la lista de dispositivos del usuario y la consistencia de las marcas temporales en todas las etapas del procedimiento.
Tras la primera publicación, el proveedor de la tecnología añadió silenciosamente comprobaciones adicionales de parámetros interrelacionados que describen el movimiento y la apertura de los ojos durante el escaneo. Sin embargo, los autores de la herramienta afirmaron que lograron eludir también esa restricción. Ahora informan que el método ya está cerrado por una actualización del servicio y que se trabaja en una nueva variante de evasión.
Todo el código fuente fue publicado en acceso abierto. Los representantes de los servicios de verificación de edad, en el momento de la publicación, no comunicaron si cuentas reales de usuarios se vieron afectadas ni si se planean cambios adicionales en la protección.