En los últimos años ha crecido la necesidad de verificar telemáticamente la identidad de una persona. Por ejemplo, hoy en día es posible abrir una cuenta bancaria sin necesidad de salir de nuestras casas u obtener un certificado digital sin necesidad de acreditar nuestra identidad acudiendo a una oficina. Este proceso de verificación de la identidad suele consistir en que el usuario se ponga delante de la cámara de su dispositivo sosteniendo su carné de identidad. Este reciente método de acreditar la identidad ha abierto la puerta a nuevos ataques, como el uso de un vídeo pregrabado para suplantar la identidad de una persona. En este caso, un atacante que disponga de un vídeo de la víctima sosteniendo su carné de identidad puede utilizarlo para abrir una cuenta en un exchange de criptomonedas o solicitar una línea de crédito de forma fraudulenta. Lo único que necesita hacer el atacante es inyectar ese vídeo en el proceso de vídeo identificación. La forma más sencilla es utilizando un programa que simule una cámara web (como OBS Studio) o empleando una tarjeta capturadora de vídeo externa. En el caso de las tarjetas capturadoras, como el sistema operativo las identifica como dispositivos de vídeo, lo único que se necesita es otro equipo que reproduzca el vídeo que se desea inyectar a través de la tarjeta. Otro método común de inyección de vídeo es el uso de emuladores, en concreto, emuladores de Android. En este caso, el vídeo a inyectar es reproducido a través de la cámara del dispositivo Android emulado. Desde el punto de vista de la aplicación de vídeo identificación, el vídeo proviene directamente de la cámara de un dispositivo Android. El objetivo de la charla es mostrar cómo es posible detectar el uso de cámaras virtuales, tarjetas capturadoras de vídeo y emuladores de Android. La solución desarrollada está hecha para aplicaciones web de vídeo identificación. Esto limita en gran medida la cantidad de información que se puede obtener sobre los equipos de los usuarios si se compara con una solución que se ejecute de forma nativa en el sistema operativo en lugar de en un navegador web. Es importante destacar que el sistema de detección no utiliza el flujo de vídeo en ningún momento. La información que se utiliza para la identificación es la configuración proporcionada por el dispositivo de vídeo en uso. Esta información incluye parámetros como el nombre de la cámara, la resolución, la nitidez o el zoom. Tras analizar varios programas que simulan cámaras web, se descubrió que el número de parámetros ofrecidos mediante Javascript suelen ser menores cuando se trata de una cámara virtual que cuando se trata de una cámara genuina. Esta discrepancia permite su identificación. Por lo tanto, la solución desarrollada comprueba la existencia o no de determinados parámetros clave para detectar una posible inyección de vídeo. Además, para que la detección de emuladores Android sea más precisa, también se analizan distintos parámetros de WebGL. La solución desarrollada fue puesta a prueba con 12 portátiles diferentes de 3 fabricantes distintos y 18 móviles diferentes de 7 fabricantes. En todos los casos, la solución detectó correctamente las cámaras como genuinas. También se puso a prueba con 9 programas de cámaras virtuales (tanto de Windows como de Linux), con 1 tarjeta capturadora de vídeo y con 3 emuladores de Android y la solución las detectó todas como cámaras virtuales.
Speakers: