La empresa de tecnología que utiliza la popular aplicación de mensajería Snapchat para verificar la edad ante la inminente prohibición de las redes sociales para menores de 16 años dice que sus métodos son seguros, pero los expertos en ciberseguridad no están del todo convencidos.
Las restricciones del gobierno federal que prohíben el acceso a las redes sociales a niños menores de 16 años entrarán en vigor mañana.
Snapchat se basa en k-ID con sede en Singapur para la verificación de edad y ofrece a los usuarios tres métodos para demostrar que tienen más de 16 años:
- Se envía un mensaje “Sí/No” desde un banco a través de ConnectID, lo que se facilita mediante la comunicación de empresa a empresa con k_ID.
- Un usuario puede escanear una identificación emitida por el gobierno (pasaporte, licencia de conducir u otra identificación emitida por el gobierno), y k-ID escaneará y validará el documento de identificación y la edad.
- Los usuarios pueden tomarse una selfie y k-ID estima el rango de edad.
“Sin almacenamiento, sin preocupaciones”, dice la empresa
K-ID afirmó que “no se almacenan datos”, por lo que la gente no tiene que preocuparse por los piratas informáticos.
“Se escanea el documento de identidad de una persona y se realiza una comprobación de selfies para garantizar que se trata de la persona real. Estas imágenes se eliminan inmediatamente”, dijo un portavoz de k-ID.
“Ese es el único propósito del sistema.
“Luego, a los usuarios se les ofrece la oportunidad de guardar su señal de edad (la verificación de edad del usuario por parte de la compañía) como AgeKey. Esto permite al usuario demostrar su edad sin tener que verificarse nuevamente”.
Para la opción de estimación de la edad facial (verificación de selfie), el experto en ciberseguridad Rumpa Dasgupta dijo: Si el modelo realmente funcionaba completamente en el dispositivo y la aplicación no cargaba ninguna imagen, ninguna imagen llegaba al servidor.
“Esto elimina las violaciones de seguridad del lado del servidor para este método en particular”, afirmó el Dr. Dasgupta.
“Sin embargo, los usuarios aún deben confiar en la implementación de la aplicación y la plataforma del dispositivo”.
“Una aplicación maliciosa, comprometida o mal implementada podría transmitir imágenes a pesar de la política establecida”.
Incluso sin almacenamiento a largo plazo, todavía existen riesgos
Para la opción de escaneo de identificación más comparación de rostros selfie, k-ID indicó que las imágenes se eliminaron inmediatamente después de la verificación y solo se guardó el resultado de aprobación/rechazo.
Pero el Dr. Dasgupta dijo que este método generalmente requiere transferir las imágenes a un verificador, a menos que el proveedor utilice verificación pura en el dispositivo o cifrado sólido del lado del cliente.
“Cuando las imágenes se envían a un sistema remoto, quedan expuestas durante el transporte y durante el procesamiento, incluso si no se almacenan a largo plazo”, dijo.
“La eliminación inmediata reduce el riesgo a largo plazo pero no elimina la exposición a corto plazo.“
Uno de los otros problemas al estimar la edad facial es la precisión, según el experto en ciberseguridad Paul Haskell-Dowland.
“Tal vez sean más específicos acerca de cómo lo hacen, pero sugeriría que si ese fuera el caso, nos basaríamos únicamente en la apariencia visual y no necesitaríamos una identificación emitida por el gobierno”, dijo el profesor Haskell-Dowland.
“Si fuera realmente un método fiable, no tendríamos que demostrar nuestra edad para comprar alcohol, cigarrillos u otros productos restringidos por edad; simplemente tendríamos una cámara en la tienda y nos ahorraríamos toda la molestia de tener que lidiar con identificaciones”.
“No hacemos estas cosas porque en realidad se necesita un enfoque más confiable, pero tal vez hayan invertido en él y tengan una tecnología fantástica y, de ser así, deberían patentarla y ponerla a disposición de todas las demás organizaciones”.
K-ID dijo que no tiene tecnología de estimación de edad en sí, pero que ha “orquestado una serie de proveedores para que las personas puedan decidir por sí mismas cómo quieren hacer una verificación de edad”.
El método de cuenta bancaria utilizado por ConnectID plantea un menor riesgo de privacidad porque no hay imágenes involucradas y solo se envía una confirmación de edad “sí/no”.
Sin embargo, el banco y ConnectID seguirán viendo metadatos que indican que el usuario ha solicitado verificación de edad para un servicio en particular.
El Dr. Dasgupta dijo que la afirmación de k-ID de que “no hay datos almacenados que puedan ser pirateados” es precisa “sólo suponiendo que todos los proveedores sigan las prácticas de implementación correctas, eliminen los datos según lo prometido y no retengan información identificable”.
“El riesgo real en materia de protección de datos depende en gran medida de la implementación técnica y del comportamiento del respectivo proveedor”, afirmó.
About The Author
