Pegatinas en las mejillas para burlar el reconocimiento facial
Investigadores de Huawei demuestran cómo burlar un popular algoritmo de reconocimiento facial "ocultando" el rostro tras un parche de papel impreso
El auge de los sistemas de reconocimientos facial, aplicables en el mundo real y en el software, ha dado lugar a una carrera entre quienes desarrollan algoritmos que detectan rostros y quienes desarrollan sistemas que evaden los algoritmos que detectan rostros.
El último ejemplo lo han desarrollado investigadores del Centro de Investigación de Huawei de Moscú, que se las han ingeniado para burlar un algoritmo de código abierto muy utilizado para detectar rostros en imágenes fijas o de vídeo.
La detección del rostro es el primer paso del reconocimiento facial, previo a la aplicación de cualquier sistema de identificación diseñado para comparar el rostro detectado con una base de datos de rostros, explican los investigadores.
Relacionado: Cómo desactivar (o activar) el reconocimiento facial de Facebook.
Un código QR impreso y pegado en el rostro
Para evitar que ese algoritmo (y solo ese) detecte cuándo hay un rostro en la imagen —captada por una cámara de seguridad, por ejemplo— los investigadores «pusieron el algoritmo en su contra»: programaron un algoritmo que generaba una suerte de códigos QR superpuestos en la imagen de los rostros de los investigadores. El sistema fue cambiando el patrón del código QR hasta que el algoritmo de reconocimiento facial fue incapaz de reconocer la presencia de un rostro.
A continuación los investigadores imprimieron las etiquetas generadas por el «contraalgoritmo» y se los pegaron físicamente en el rostro: como resultado el sistema de detección de rostros fue incapaz de detectar su presencia aun colocándose directamente frente a la cámara.
Los investigadores avisan de que su sistema sólo es aplicable a este desarrollo de código abierto en concreto. «Pero eso no significa que sea un desarrollo inútil —dice en One Zero— porque muchas de las herramientas de reconocimiento facial más utilizadas se basan en software de código abierto que está disponible para todos,» y para los que se puede aplicar por tanto el mismo método.
Relacionado: Un yo virtual casi idéntico para burlar el reconocimiento facial.
Un método funcional pero que no válido con cualquier sistema de reconocimiento
Los investigadores también hacen notar que el patrón del código QR es único para cada persona. Es decir, el código QR que impide que el algoritmo detecta la presencia de un rostro no funciona con otro rostro. «Cada etiqueta de evasión es única para cada persona.»
Como suele suceder con este tipo de ataques fue efectiva no es transferible a otros algoritmos o sistemas diferente. En este caso, además, se puede corregir con una actualización de software, «lo que significa que es probable que Huawei lo haya estudiado para evitarlo en sus sistemas de inteligencia artificial.»
Antes ya se han desarrollado otras técnicas de ataques adversariales diseñados para engañar a la inteligencia artificial, incluyendo camisetas que funcionan como capa de invisibilidad o imágenes reconstruidas artificialmente para que, mientras que a los ojos de una persona es un objeto o alguien determinado, a «ojos» de la visión artificial resulta algo indeterminado e incluso totalmente diferente, tanto como lo puede ser un gato de un aguacate.