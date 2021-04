O controle de acesso é a base de toda segurança. As pessoas certas devem ter permissão para entrar e as pessoas erradas devem ser mantidas lá fora. Isso é feito confirmando – ou autenticando – a identidade da pessoa que busca o acesso e, em seguida, verificando se a pessoa está autorizada a entrar.

A autenticação é o processo de verificação de uma identidade, usando um ou vários fatores. Os diferentes fatores geralmente estão relacionados a algo que você conhece (como o nome de usuário e senha), algo que você possui (por exemplo o seu telefone, para onde uma senha única é enviada), ou algo que você é (uma forma de reconhecimento biométrico, como impressões digitais).

No entanto, se um criminoso adquire o ID de usuário ou senha de uma pessoa, e utiliza este dado para se passar por ela, o criminoso é automaticamente autorizado a ganhar o acesso. Portanto, estritamente falando, uma senha não autentica o usuário em si, ela simplesmente autoriza um dispositivo, independentemente de quem o está usando. Mas será que o mesmo se aplica à biometria?

A biometria facial pode ser roubada e adulterada?

No caso de uma biometria ser roubada, por exemplo, ela não pode ser alterada tão facilmente quanto uma senha roubada pode ser modificada. Mas e quanto às impressões digitais ou escaneamentos faciais usados para autenticar usuários em locais públicos? Eles podem ser uma ameaça à segurança dos dados e à privacidade das pessoas?

Reconhecimento facial em locais públicos

A biometria física há muito tempo é considerada uma alternativa segura e de baixo atrito, para fornecer aos usuários acesso aos sistemas. Especificamente, a biometria facial – muito apreciada por governos e agências que aplicam as leis, e que a usam para autenticar (ou, mais provavelmente, reconhecer) indivíduos -, pode resolver problemas de segurança fundamentais, pois é a pessoa que está sendo identificada. Mas será que é uma boa ideia usar a tecnologia para esse fim?

Quando organizações públicas ou governos usam reconhecimento biométrico, eles comparam a amostra digitalizada com enormes bancos de dados de escaneamento de controle. No entanto, isso só funciona como forma de reconhecimento e autenticação se a imagem digitalizada estiver incluída no banco de dados.

Em termos legais, isso significa que verificações de “inocentes” são incluídas nas verificações de criminosos conhecidos. Ele reverte o princípio de longa data de que as pessoas são inocentes até que se prove a culpa, porque presume que as pessoas são culpadas até que o banco de dados biométrico prove sua inocência.

Grandes bancos de dados de controles biométricos podem estar entre os principais alvos dos cibercriminosos

Embora seja difícil falsificar os dados biométricos, não devemos esquecer que grandes bancos de dados são sempre extremamente atrativos para os cibercriminosos.

Por esse motivo, não devemos esperar por um grande vazamento para avaliar os regulamentos de privacidade e os padrões de segurança do setor. Qualquer instituição, pública ou privada, que se envolver com autenticação biométrica, deve ser responsabilizada pelos dados pessoais dos usuários que armazena.

Deve-se ter em mente que, independentemente das melhores intenções, os dados podem inevitavelmente acabar em locais que não foram previstos, especialmente devido às ações dos cibercriminosos e governantes inescrupulosos. Portanto, é preciso sempre medir os riscos de onde eles podem acabar.

Mas e o meu celular?

A biometria tem obtido um sucesso razoável, por exemplo, na autenticação do proprietário de um telefone celular antes de permitir o acesso. A principal razão para isso é que o controle biométrico nunca sai do telefone.

Não há um banco de dados central de escaneamento de controle e não há problema de privacidade. Mas quando implementado em câmeras de locais públicos ou para cidades inteligentes, as ameaças são maiores.

Reconhecimento facial em câmeras de vigilância

Embora a tecnologia biométrica evolua a cada dia, ela não é infalível. Os especialistas confirmam que ainda há imprecisões e preconceitos raciais nela. Estudos sobre isto foram realizados no Reino Unido, pela organização de direitos humanos “Big Brother Watch”, analisando a taxa de falsos positivos de reconhecimento facial automatizado (Automated Facial Recognition, AFR) ou a vigilância facial implementada pela Polícia Metropolitana e pela Polícia do Sul do País de Gales, ambas no Reino Unido.

De acordo com o estudo, a AFR da Polícia Metropolitana teve uma taxa de falsos positivos de 98 por cento.

Das 104 vezes que o sistema policial combinou uma pessoa com a imagem de um criminoso procurado, 102 das correspondências identificaram a pessoa errada

Apenas duas pessoas foram identificadas corretamente. Por outro lado, o sistema da Polícia do País de Gales teve uma taxa de falsos positivos de 91 por cento. O sistema realizou 2.451 identificações incorretas e apenas 234 corretas, dentre as 2.685 vezes que o sistema combinou um rosto com um nome na lista observada. Com base nesses falsos positivos, a Polícia de Gales do Sul abordou 31 cidadãos inocentes e pediu a eles que fornecessem provas de sua identidade.

A regulamentação do uso do reconhecimento facial automático na aplicação da lei é uma área extremamente complexa e, se utilizada, manter essas informações seguras deve ser uma prioridade. Desde o fornecedor de câmeras até quem gerencia os dados, e como, onde e quando eles são armazenados, precisam ser considerados.

A biometria das pessoas não é uma senha, não pode ser alterada em caso de vazamento. Com o reconhecimento facial, trata-se da identidade das pessoas e as medidas de segurança são vitais. Avaliando tudo isso, é fácil chegar a conclusão de que o uso dessa tecnologia para fins de vigilância traz mais problemas do que benefícios.

Luis Corrons, colunista quinzenal do TecMundo, é Pesquisador Adjunto Sênior da Avast. Sempre atento às últimas notícias sobre cibersegurança, malware e darknet, Luis é veterano e palestrante do setor de segurança. Também é repórter da WildList, Chairman do Conselho de Diretores da Anti-Malware Testing Standards Organization (AMTSO) e membro do Conselho de Administração da MUTE (Malicious URLs Tracking and Exchange).