Cómo un reportero de la BBC y su hermano mellizo lograron engañar al sistema de reconocimiento de voz del banco HSBC

BBC MundoTecnología

El momento en que un reportero de la BBC logra engañar al sistema de reconocimiento de voz de HSBC

"El sistema de identificación por voz de HSBC hace que la banca telefónica sea más segura que nunca", se lee en el sitio web de la entidad bancaria multinacional con sede en Reino Unido.

"Tu voz es tan única como tu huella digital", aseguran. Y añaden que es "muy fácil crear tu propia "huella vocal".

"La próxima vez que llames, no habrá contraseñas... sólo necesitarás repetir una corta y sencilla frase. No te preocupes si no la recuerdas, nosotros te explicaremos qué decir".

15 millones de clientes de HSBC en Reino Unido ya usan este nuevo sistema de reconocimiento de voz.

Y la institución financiera quiere que lo utilicen sus 50 millones de clientes en todo el mundo, empezando por Estados Unidos, Canadá, México, Hong Kong y Francia, donde estará disponible a finales de año, anunció la compañía.

• HSBC: el banco que ha sobrevivido a 150 años de guerras, revoluciones y escándalos

Sin embargo, puede que esta tecnología biométrica no sea tan segura como dice ser.

El periodista del programa de tecnología BBC Click, Dan Simmons, y su hermano mellizo, Joe, hicieron un experimento para ponerlo a prueba... Y lograron burlar el sistema sin gran esfuerzo.

Derechos de autor de la imagenMATT CARDY/GETTY IMAGES

Image captionHSBC tiene 50 millones de clientes en todo el mundo.

"Muy alarmante"

HSBC introdujo esta nueva tecnología en 2016 explicando que permitiría analizar hasta 100 características diferentes de la voz humana para verificar la identidad de cada usuario.

Para crear la cuenta sólo tienes que proporcionar tu fecha de nacimiento y después decir la frase"Mi voz es mi contraseña".

Lo verdaderamente alarmante es que el banco me dio 7 intentos para imitar la voz de mi hermano

Joe Simmons (hermano gemelo de Dan)

Así fue como Dan Simmons creó una cuenta en HSBC y se registró usando el nuevo sistema de identificación por voz.

Pero la entidad financiera le permitió a su mellizo acceder a la cuenta a través del teléfono, lo cual logró imitando la voz de su hermano.

Si bien es cierto que Joe no pudo extraer dinero de la cuenta de Dan, sí logró tener acceso a los balances y transacciones recientes. Incluso le ofrecieron la oportunidad de hacer transferencias de dinero entre diferentes cuentas.

"Lo verdaderamente alarmante es que el banco me dio siete intentos para imitar la voz de mi hermano y poder equivocarme antes de conseguir acceder, la octava vez que lo intenté", dice Joe.

"¿Podrían los hackers tratar de intentarlo tantas veces como quieran hasta conseguirlo?", se pregunta.

Image captionEl banco promociona esta tecnología como "un sistema seguro" y dice que "cada voz es única".

Por otra parte, un investigador de BBC Click descubrió que el sistema de reconocimiento de voz de HSBC le permitió acceder a su cuenta tras haber fallado deliberadamente en 20 ocasiones diferentes durante 12 minutos.

Esta sería la primera vez que se logra engañar a este método de seguridad por voz.

HSBC supo sobre este experimento, pero no quiso hacer comentarios sobre cómo ha funcionado hasta ahora su sistema de huella vocal.

"La seguridad y protección de las cuentas de nuestros clientes es de suma importancia para nosotros", declaró un vocero de la firma financiera.

"(El sistema de reconocimiento de voz) Voice IDes un método muy seguro de autenticación de clientes".

• Cómo funciona la tecnología que usa tu voz como contraseña

"Los gemelos tienen una huella vocal similar, pero la introducción de esta tecnología ha permitido una reducción significativa en el número de fraudes y ha probado ser más segura que los números PIN, contraseñas y frases memorizadas".

El banco dijo que "revisará" las formas de hacer que su sistema de identificación sea más precisa a raíz de la investigación de la BBC.

Cuenta abierta

"Estoy impactado", le dijo a la BBC Mike McLaughin, de la compañía de seguridad británica Firstbase Technologies.

Derechos de autor de la imagenTHINKSTOCK

Image captionTwins are used to check that voice-based ID systems can pick out individuals

"No debería permitirse que esto ocurra. Otra persona no debería tener acceso a tu cuenta bancaria".

"Las voces son únicas, pero si el sistema permite demasiadas discrepancias en la huella vocal no es seguro", explicó el especialista. "Y eso parece ser lo que sucedió aquí".

Vladimiro Sassone, experto en ciberseguridad de la Universidad de Southampton, Reino Unido, dice que, en general, la biometría puede ser una medida de seguridad efectiva pero hay riesgos si las empresas confían demasiado en algo que no es seguro al 100%.

"En principio, no debería hacer espacio para ningún tipo de error", le dijo Sassone a la BBC.

"Debería ser bueno en el primer intento. La identificación por voz no es como un sistema de contraseñas; no puedes olvidar tu voz o introducir la voz equivocada".

Las voces son únicas, pero el sistema permite demasiadas discrepancias en la huella vocal, por lo tanto, no es seguro

Vladimiro Sassone, experto en ciberseguridad de la Universidad de Southampton

"Luego de dos intentos, los sistemas deberían ser capaces de decir si es la correcta o no y avisar al banco y al usuario si se tratan de hacer más intentos".

Sassone dice que los sistemas de verificación biométrica -a través de la voz, rostro o huellas dactilares- deberían ponérselo más difícil a los hackers para no poder ser copiadas o imitadas por los criminales.

• ¿Pueden realmente "hackear" tus huellas dactilares usando tus fotos en internet?
• ¿Podrá tu rostro ser utilizado en tu contra?

"Si tienes que probar que no fuiste tú quien accedió a tu cuenta -que fue un imitador o un software informático- ¿cómo vas a hacerlo?", dijo el especialista.

Y agregó: "Especialmente si el banco asegura que el sistema es perfecto".

Derechos de autor de la imagen1JOE

Image captionHSBC dijo que analizó hasta 100 características diferentes para crear su sistema "Voice ID".

El experto en seguridad Alan Woodward, de la Universidad de Surrey, en Reino Unido, dice que es peligroso confiar en una característica biológica de una persona para verificar su identidad, incluso aunque se trate de un rasgo único.

"La seguridad biométrica se ha intentado copiar muchas veces", explica Woodward.

"Hemos visto huellas dactilares reproducidas con todo tipo de cosas, desde ositos de goma hasta fotografías de manos de personas".

"La biometría debe evolucionar a medida que surgen opciones que la amenazan. La seguridad es una cuestión de medidas y contramedidas".

Woodward considera que HSBC necesita reevaluar su tecnología e, idealmente, añadir otro "factor" que junto a la huella vocal permita identificar a la persona, "como un número PIN".

Derechos de autor de la imagenDEEPBLUE4YOU

Image captionSe han llegado a copiar huella dactilares usando moldes hechos con ositos de goma.

Pero no es la habilidad humana para engañar a sistemas informáticos lo único que preocupa a los gigantes tecnológicos.

La startup canadiense Lyrebird está buscando maneras de imitar la voz de alguien usando simplemente varios minutos de una grabación.

Uno de sus fundadores, el mexicano José Sotelo, dice que no tiene ninguna duda de que esto tendrá "implicaciones" en los sistemas de identificación de voz.

"Estamos trabajando con investigadores de seguridad para averiguar cuál es la mejor forma de hacerlo", le dijo Sotelo a la BBC.

"Esta es una de las razones por las cuales no hemos publicado nada todavía. Es una aplicación alarmante pero creemos que tenemos que tener cuidado y no asustarnos de la tecnología, y que tenemos que intentar sacarle el mejor provecho".

"Una idea que estamos considerando es hacer una especie de marca de agua de las muestras de audio que producimos para poder identificar inmediatamente si fuimos nosotros quienes generamos esa muestra".