¿Cuánto necesito cambiar mi rostro para evitar el reconocimiento facial?

¿Cuánto necesito cambiar mi rostro para evitar el reconocimiento facial?

Nuestros datos biométricos están disponibles gratuitamente para cualquier persona que tenga un modelo de IA y una cámara. El software de reconocimiento facial es una tecnología tan generalizada que enviamos nuestros datos cada vez que pasamos por la seguridad del aeropuerto o entramos en una farmacia. Uno empieza a preguntarse si es posible ocultar nuestros rasgos faciales o, en el extremo, cambiar nuestra apariencia hasta tal punto que engañe al algoritmo de IA.

¿No podrías simplemente usar una máscara N95, una bufanda y gafas de sol para esquivar al Gran Hermano? Hasta ahora, la mejor manera de evitar que el reconocimiento facial te detecte es evitar las cámaras. Pero esa tarea pronto podría volverse casi imposible. Los expertos en privacidad advierten que es posible que ya estemos perdiendo en la protección de nuestros datos biométricos. Pronto, la única defensa real puede ser la regulación federal.

Cynthia Rudin

Gilbert, Louis y Edward Lehrman, profesor distinguido de informática; Departamentos de Ciencias de la Computación, Ingeniería Eléctrica e Informática, Ciencias Estadísticas, Matemáticas y Bioestadística y Bioinformática; Universidad de Duke

Creo que, de manera realista, no se podría cambiar su rostro para engañar al reconocimiento facial de última generación. Creo que durante la pandemia cambiaron los sistemas para depender en gran medida de la forma de los ojos de las personas, porque muchas personas llevaban máscaras sobre la nariz y la boca. Honestamente, no sé cómo la gente podría cambiar de manera realista la forma de sus ojos para engañar a estos sistemas. Si usaras gafas de sol y luego te hicieras algo en la cara (tal vez usar una máscara o un maquillaje espectacular), entonces sería más difícil detectar tu cara, pero eso es hacer trampa en la pregunta: eso no es cambiar tu cara, ¡solo es ocultarla!

Pero digamos que hiciste algo dramático para cambiar tu rostro, algo realmente dramático, para que un sistema de reconocimiento facial no te reconociera. Quizás sería algún tipo de cirugía plástica. Bueno, ¿entonces qué? En cuanto tu cara acabe en Internet con tu nombre (piensa en un amigo que te etiqueta en las redes sociales o en ti dando una conferencia que aparece online), entonces todos los sistemas de reconocimiento facial que buscan personas en Internet podrán identificarte de todos modos.

Y ahora tu cara no coincidirá con tu licencia de conducir ni con tu pasaporte, por lo que viajar te resultará realmente difícil. Entonces, sinceramente, ¿para qué molestarse? En cualquier caso, me alegra que hayas hecho esta pregunta, porque muestra lo inútil que es evitar que otras personas capturen nuestros datos biométricos. Pedirles a nuestros gobiernos que creen leyes para protegernos es mucho más fácil que cambiar nuestra cara dramáticamente todo el tiempo.

Walter Scheerer

Dennis O. Doughty Profesor Colegiado de Ingeniería; Departamento de Ingeniería y Ciencias de la Computación; Universidad de Notre Dame

La respuesta a la pregunta de cuánto se debe alterar su apariencia para evitar el reconocimiento facial depende de la forma en que se utilice el algoritmo de reconocimiento facial. En biometría humana, existen dos modos comunes de hacer coincidir identidades: 1 a 1 y 1 a muchos. En el modo 1 a 1, se realiza una verificación de que la identidad reclamada de la persona frente a la cámara coincide con una foto previamente registrada de esa identidad en la base de datos del sistema. Este escenario ha sido común durante muchos años para la autenticación informática de alta seguridad y las investigaciones policiales, pero ahora es común en otros contextos de cara al consumidor, como el embarque de un vuelo internacional en el aeropuerto. En el modo 1 a muchos, una fotografía de un sujeto desconocido se compara con un conjunto de fotografías de identidades de interés previamente registradas. Este modo se utiliza con frecuencia en entornos de vigilancia basados ​​en vídeo, incluidas operaciones policiales y de inteligencia gubernamental.

Evadir el modo 1 a 1 en un entorno controlado (por ejemplo, en una sala de registro de la cárcel local) es muy difícil. Se han logrado avances importantes en los algoritmos de reconocimiento facial mediante el uso de sofisticadas redes neuronales artificiales, que logran precisiones de coincidencia notablemente altas en una amplia gama de apariencias para un solo individuo. Si la foto adquirida tiene una pose frontal, con expresión neutra, buena iluminación y fondo controlado, las técnicas básicas de evasión como cosméticos, añadir/quitar vello facial, cambiar de peinado, etc., no funcionarán. Investigaciones recientes han examinado el impacto de la cirugía plástica en el reconocimiento facial, y si bien las alteraciones drásticas y antiestéticas de la estructura facial pueden funcionar de alguna manera, los procedimientos cosméticos más comunes no tienen un impacto tan grande como podría pensarse.

Evadir el modo 1 a muchos en un entorno de vigilancia no controlada es un poco más fácil: no es necesario recurrir a medidas quirúrgicas. Incluso las mejores redes neuronales luchan con fotografías de baja calidad que carecen de píxeles ricos en información del rostro humano, especialmente cuando se comparan con una gran lista de identidades potenciales. Por tanto, el primer paso es negarle al algoritmo esos píxeles ocluyendo la cara. Cúbrase la cara en los casos en que esto no sea sospechoso, por ejemplo, use una bufanda en invierno, gafas de sol en un día soleado. Los sombreros de ala ancha también son una confusión, ya que pueden ocultar la frente y el cabello y proyectar una sombra en la cara. Pasarse la mano por la cara también es bueno para esto. El segundo paso es mirar hacia abajo mientras estás en movimiento para que cualquier cámara cercana no capture una buena imagen frontal de la cara. En tercer lugar, si uno puede moverse rápidamente, eso podría causar desenfoque de movimiento en la foto capturada; considere trotar o andar en bicicleta.

Mi mejor consejo práctico para la evasión: sepa dónde se está implementando el reconocimiento facial y simplemente evite esas áreas. Sin embargo, el tiempo que este consejo siga siendo útil depende de qué tan extendida se vuelva la tecnología en los próximos años.

Los algoritmos actuales son bastante tolerantes con cambios sutiles en la apariencia facial, ya sean inocentes (p. ej., acné, hinchazón leve) o no (p. ej., botox).

Xiaoming Liu

Anil K. y Nandita K. Profesor Titulado Jain; Ingeniería y Ciencias de la Computación (CSE), Facultad de Ingeniería; Universidad Estatal de Michigan

En primer lugar, mi definición de “evitar el reconocimiento facial” significa que un sistema de reconocimiento facial (FRS) no reconoce el rostro de un sujeto cuando el sujeto es capturado por una cámara.

Hay algunas formas de fallar “proactivamente” una FRS:

1. Ataques físicos adversarios. La mayoría de los modelos de IA son vulnerables a ataques adversarios, es decir, una modificación menor de la muestra de datos de entrada puede hacer fallar por completo un sistema de IA. Lo mismo se aplica a FRS. La clave aquí es aprender una “modificación menor” específica para que dicha modificación pueda fallar en FRS. Por ejemplo, CMU tiene un documento sobre el diseño de gafas especiales que pueden fallar en un FRS. Podrías imaginar que alguien pueda seguir una idea similar para diseñar una bufanda, una máscara facial o incluso un bigote que también puede fallar en FRS.

2. También puede cambiar proactivamente su apariencia facial para que FRS lo reconozca como otra persona. Una forma común es aplicar maquillaje. Sin embargo, es complicado responder la pregunta, es decir, dónde y cuánta cantidad de maquillaje debo aplicar para poder fallar FRS. La respuesta depende en gran medida del tema. La razón es que la apariencia facial de algunos individuos es más común y más similar a la de otros, por lo que una modificación relativamente pequeña del maquillaje podría ser suficiente para reconocerlo erróneamente como otra persona. Por el contrario, si la apariencia del rostro de un individuo es única, entonces se necesitarían muchas más modificaciones en el maquillaje. Una aplicación interesante podría ser la siguiente: una aplicación interactiva para teléfono inteligente mira mi cara a través de la cámara del teléfono, me dice dónde debo empezar a maquillarme y, de forma iterativa, me da instrucciones sobre dónde y tal vez de qué color de maquillaje, para que los demás no me reconozcan. FRS con maquillaje mínimo. Además del maquillaje, también se puede utilizar una mascarilla facial de alto coste, aunque puede ser más común en las películas de Hollywood.

Como podrá ver, la probabilidad de reprobar con éxito la FRS también se correlaciona de alguna manera con la cantidad de esfuerzo que realiza el sujeto. El enfoque 1 es más fácil para los usuarios, pero no demasiado confiable, especialmente cuando a uno le gusta diseñar un ataque adversario “universal”, como por ejemplo unas gafas para todos. El enfoque 2 es más personalizado y funciona mejor, pero requiere más esfuerzo.

Kevin W. Bowyer

Profesor de Ciencias de la Computación e Ingeniería de la Familia Schubmehl-Prein; Universidad de Notre Dame

La respuesta es: “depende”. Depende (al menos) del algoritmo de coincidencia de rostros utilizado y del umbral utilizado con ese algoritmo.

Para comprender mejor, comience con el hecho de que el reconocimiento facial consiste en comparar dos imágenes y decidir si los rostros en las imágenes son (a) lo suficientemente similares como para ser la misma persona, o (b) lo suficientemente diferentes como para provenir de diferentes personas.

Cada algoritmo de reconocimiento facial es un método particular para calcular un “vector de características” (generalmente llamado “incrustación” en estos días) a partir de una imagen de una cara, y un método para comparar dos vectores de características para dar un valor de cuán similares son. Una imagen de una sola cara podría reducirse a una lista de 512 números (el “vector de características” o “incrustación”). Los vectores de características de dos imágenes de caras podrían compararse y dar un resultado de similitud entre 0 y 100, o entre -1 y +1. El 100 o el +1 solo resultarían si compararas dos copias de la misma imagen; Sería un resultado inusual de ver en la práctica.

Imaginemos que estamos utilizando un algoritmo de reconocimiento facial de última generación y un valor de similitud que se encuentra en el rango de -1 a +1. Los valores de similitud para comparaciones entre todo tipo de pares de imágenes de diferentes personas pueden estar centrados alrededor de 0,0 o ligeramente por encima de eso. Los valores de similitud para comparaciones entre todo tipo de pares de imágenes de la misma persona pueden estar centrados alrededor de 0,8 o ligeramente por encima de eso. Si la adquisición de imágenes para la aplicación está bien controlada, tal vez como la fotografía de una licencia de conducir, entonces el valor promedio de similitud para dos imágenes de la misma persona será mayor. Si la adquisición de imágenes está menos controlada, tal vez como imágenes tomadas de cuadros de video cuando la gente entra a una tienda, entonces el valor promedio de similitud para dos imágenes de la misma persona será menor.

Alguien decidirá un valor umbral que se utilizará para el reconocimiento. Si se selecciona el valor 0,7 como umbral, cuando se comparan dos imágenes y su similitud es inferior a 0,7, el sistema dice que deben ser imágenes de diferentes personas. Si el valor es igual o superior a 0,7, el sistema dice que deben ser imágenes de la misma persona.

En este punto, podemos ver que la pregunta original: “¿Cuánto necesito cambiar mi apariencia para evitar el reconocimiento facial?” se puede reformular como “¿Cuáles son las mejores cosas que se pueden hacer para reducir el valor de similitud de mi nueva imagen en comparación con mi imagen anterior?”

Hay muchas cosas que podrías hacer. Podrías ponerte gafas de sol oscuras, cambiar tu peinado y seguir luciendo natural. Es posible que hagas alguna expresión facial exagerada, pero probablemente no parezca natural. Es posible que evites mirar directamente a la cámara para que la nueva foto quede fuera de ángulo. Más drásticamente, podría ganar o perder peso. O podrías aplicar cosméticos para “cambiar tu apariencia”. Ninguna de estas cosas puede garantizar que no coincida con su foto anterior. No necesariamente sabes qué foto antigua tuya se usará para compararla con tu nueva foto, o qué algoritmo se usará, o qué umbral se usará. Si supiera todas esas cosas, podría experimentar con el enfoque más eficaz.