Tecnología

El reconocimiento facial tiene un punto débil de seguridad

las imágenes antagonistas engañan a los sistemas de reconocimiento facial
Escrito por Lara Olmo

Un grupo de investigadores de Google ha comprobado lo fácil que puede resultar engañar a un sistema de reconocimiento facial modificando las imágenes con un algoritmo.

Dicen que el ser humano es una máquina casi perfecta, pero en los últimos años él mismo se ha encargado de diseñar otras que le superan en muchas de sus facultades. Como por ejemplo la visión: a día de hoy ya hay máquina que superan el rendimiento humano en reconocimiento facial y de objetos, algo que puede tener aplicaciones en la conducción, la vigilancia o para desbloquear smartphones.

Sin embargo, recientemente varios investigadores de Google y el centro de investigaciones OpenAI han reparado que esta visión superhumana podría tener un punto débil: los algoritmos en los que se basa pueden ser engañados modificando elementos de imágenes que en cambio nosotros los humanos detectaríamos a simple vista.

El reconocimiento facial de emociones al alza

Estas fotos modificadas se conocen con el nombre de imágenes antagonistas y representan un verdadero problema para los sistemas de reconocimiento facial. Esos cambios no tienen por qué ser pronunciados, sino pequeños detalles como marcas sutiles en el rostro de una persona, pero que pueden hacer que la máquina lo interpreta como un individuo distinto.

Para demostrarlo, un equipo de Google capitaneado por Brain Alexey Kurakin ha realizado un experimento consistente en probar la eficacia de un algoritmo de visión automática con parte de una base de datos de 50.000 fotos para después ponerlo a clasificar otra parte de esa base de datos.

Este algoritmo es el Inception v3, uno de los mejores sistemas de visión que existen y cuya tasa de error se sitúa en el del 3,46%; comparándolo con la de los humanos, que es de alrededor del 5%, sirve para hacerse una idea de su exactitud.

Esas 50.000 imágenes fueron medicadas de tres maneras distintas. Primero con un algoritmo que las cambiaba sutilmente, después reiteraron este proceso para que las imágenes cambiaran aún más y el tercero con un algoritmo antagonista que las modificaba para predisponer al sistema de visión a equivocarse en la clasificación, de forma que guardara el menor parecido posible con la clasificación correcta. Hasta el punto de confundir un perro con un avión.

Los aeropuertos de EE.UU. implantará tecnología de reconocimiento facial

Al emplear el algoritmo Inception v3 para clasificarlas, las dos alteraciones sencillas redujeron significativamente la precisión de las tasas de errores pero el tercer cambio redujo la precisión del sistema a cero. Lo que demuestra que los algoritmos de imágenes antagonistas realmente representan una amenaza en el mundo real.

Hay que tener en cuenta además que en el mundo real es muy difícil que un rostro se mantenga totalmente inalterable, sobre todo a lo largo del tiempo.

Y queda bastante trabajo por hacer. El equipo de Kurakin quiere desarrollar imágenes antagonistas para otros tipos de sistemas de visión y lograr que sean aún más eficaces. Los sistemas de reconocimiento facial son relativamente recientes, por lo que no se conocen en profundidad qué mecanismos existen para engañarlos, cómo se crean las imágenes antagonistas ni cómo protegerse contra este tipo de ataque.

 

Vía | technologyreviews.es

Sobre el autor de este artículo

Lara Olmo

Periodista 2.0 con inquietudes marketeras. Innovación, redes sociales, tecnología y marcas desde una perspectiva millenial. Vinculada al mundo startup. Te lo cuento por escrito, en vídeo, con gráficos o como haga falta.