Durante años, la industria de la identidad digital se ha centrado en una única pregunta crítica: "¿Es real la cara que aparece ante la cámara?". Hemos creado sólidas defensas contra los ataques de presentación.

Este proceso se denomina Detección de Ataques de Presentación (PAD). Nos ayuda a encontrar falsificaciones físicas como fotos, máscaras y vídeos deepfake. Esto era el equivalente digital de un guardia de seguridad comprobando los documentos de identidad en la puerta principal.

Pero, ¿y si el intruso no intenta burlar al guardia? ¿Y si han encontrado una nueva forma de atacar? Podrían entrar directamente en el edificio y saltarse la puerta principal.

Esta es la realidad de los ataques por inyección, una amenaza más avanzada que deja obsoleta la seguridad tradicional centrada en las cámaras. Nos enorgullece anunciar que OZ Forensics ha obtenido una nueva certificación para la detección de ataques de inyección (IAD). El conocido BixeLab verificó de forma independiente esta certificación, siguiendo el avanzado estándar CEN/TS 18099. Esta certificación refuerza el compromiso de Oz con la máxima protección contra las formas más avanzadas de ataques.

De los carnés falsos a las bases de datos pirateadas: La evolución del fraude

Para comprender la gravedad de este cambio, utilicemos una analogía con el control de fronteras:

• Ataque de presentación (PAD): Un delincuente intenta cruzar una frontera utilizando un pasaporte falso de alta calidad. El trabajo del agente fronterizo consiste en escrutar el documento físico y a la persona que lo presenta, centrándose en sus rasgos faciales. Toda la seguridad se centra en este único punto de interacción. Esto es lo que pretenden probar normas como la ISO 30107-3.

• Ataque de inyección (IAD): Un ciberdelincuente elude por completo al agente fronterizo. Hackea la base de datos de aduanas desde una ubicación remota e inserta un registro digital fraudulento de datos biométricos que lo incluye como viajero autorizado. Así pueden atravesar las puertas automatizadas sin presentar ningún documento. El sistema se ha visto comprometido desde dentro.

Esto es precisamente lo que ocurre en un ataque de inyección digital. Los estafadores pueden sortear la cámara del dispositivo. Inyectan datos dañinos, como imágenes o vídeos pregrabados, en el flujo de datos de la aplicación.

Su cámara no puede ver nada. El ataque se produce a nivel de código. Se dirige al núcleo del sistema de reconocimiento facial.

El auge de las técnicas avanzadas de fraude

Desde principios de este año, hemos observado un aumento significativo de los ataques avanzados realizados por estafadores profesionales equipados con tecnología para eludir la mayoría de las soluciones de liveness. Entre ellos se incluyen intentos que combinan deepfakes con técnicas de inyección, métodos de mezcla, inyecciones parciales, ataques basados en espejos, inyecciones en dispositivos iOS e incluso sofisticadas inyecciones de ruido en vídeos.

Aunque los ataques de inyección son técnicamente más complejos, su frecuencia ya es al menos comparable a la de los ataques de presentación. Además, su alto potencial de automatización y escalabilidad los hace especialmente peligrosos, lo que indica un riesgo continuo de crecimiento del número de este tipo de ataques.

CEN/TS 18099: La nueva norma para una nueva amenaza

Aunque la ISO 30107-3 sigue siendo una norma crucial para los PAD, la aparición de los ataques por inyección exigía un nuevo punto de referencia más específico. La especificación técnica europea CEN/TS 18099 se creó precisamente con este fin: probar la resistencia de los sistemas biométricos frente a estos ataques internos a nivel de datos.

Nuestra evaluación por parte del laboratorio acreditado BixeLab fue una guerra simulada, en la que nuestros SDK de OzLiveness (Web, iOS, Android) fueron sometidos a un aluvión de sofisticadas técnicas de DAI, incluidas salidas de cámaras virtuales, ataques impulsados por emuladores y manipulación directa de la API. El objetivo era garantizar que nuestra tecnología de detección de liveness ofreciera una protección completa.

Los resultados confirman una defensa hermética:

• 0% APCER (Tasa de error de clasificación de presentación de ataques): Ningún paquete de datos fraudulento, independientemente del método, consiguió vulnerar la integridad de nuestro sistema. El túnel digital se bloqueó siempre.

  
  

• 0% BPCER (tasa de error de clasificación de presentación de buena fe): La inteligencia de nuestro sistema demostró ser tan precisa que nunca marcó los datos de usuarios legítimos como una amenaza, garantizando una experiencia de usuario sin fricciones.

  
  

Qué significa esto para su estrategia de seguridad

Esta certificación proporciona algo más que otra capa de medidas de seguridad; ofrece un nuevo paradigma de confianza para todo su proceso de verificación biométrica.

1. Seguridad más allá del sensor: Ya no se trata sólo de proteger el campo de visión de la cámara, sino toda la cadena de datos y la información personal confidencial que transporta.

   
   

2. Una defensa proactiva: No se trata de ponerse al día con el fraude de ayer. Se trata de garantizar un proceso de incorporación seguro que esté preparado para los sofisticados ataques sistémicos que definirán los próximos cinco años.

   
   

3. Confianza verificable y cumplimiento normativo: En un mercado saturado de reclamos de "seguridad impulsada por IA", esta validación de terceros proporciona una prueba concreta de resistencia contra una amenaza específica y avanzada, ayudándole a satisfacer las estrictas demandas de cumplimiento normativo.

El control de seguridad se ha desplazado. Las amenazas ya no están sólo en la puerta principal. Con esta defensa certificada contra ataques de inyección, OZ Forensics garantiza que toda su infraestructura digital, construida sobre biometría facial avanzada, es segura desde la lente hasta el libro mayor.

👉 Descubra cómo nuestra tecnología con certificación DAI puede proteger su negocio desde dentro. Póngase en contacto con nosotros para una demostración.