CEN/TS 18099: La norma que demuestra la resistencia a los ataques de inyección

En nuestra publicación anterior, exploramos cómo las las directrices actualizadas sobre identidad digital NIST SP 800-63-4 están elevando el listón de la verificación biométrica. iProov fue el primer proveedor en demostrar resistencia a deepfakes en virtud de las nuevas directrices.

Un requisito destacó en las directrices del NIST: las organizaciones ahora deben demostrar resistencia tanto a los ataques de presentación y ataques deepfake . Es en esta última categoría donde muchos proveedores guardan silencio.

NIST, la Agencia de la Unión Europea para la Ciberseguridad (ENISA), la ANSSI de Francia y la BSI de Alemania han alertado sobre los riesgos de los ataques de inyección. Nuestra propia inteligencia sobre amenazas muestra que aumentaron un 740 % en iOS en 2025. A diferencia de los ataques de presentación, que requieren una presencia física, los ataques de inyección pueden automatizarse y escalarse a miles de intentos simultáneamente.

La norma CEN/TS 18099 proporciona finalmente el marco de validación independiente para demostrar la resistencia a los ataques de inyección de deepfakes, yendo más allá de las afirmaciones de los proveedores.

Por qué era necesario el nuevo estándar

La detección de ataques de presentación (PAD) cuenta con marcos de pruebas bien establecidos. La norma ISO/IEC 30107 define cómo evaluar si un sistema biométrico puede detectar fotos, máscaras y reproducciones de vídeo mostradas ante una cámara. 

La certificación PAD se ha convertido en algo imprescindible; los ataques de inyección son cada vez más sofisticados. Un proveedor puede tener la certificación PAD y seguir sin tener ninguna resistencia a los ataques de inyección. Los dos vectores de ataque requieren metodologías de prueba fundamentalmente diferentes. La norma ISO 30107 no se diseñó para abordar esta categoría de amenazas.

Cuando analizamos cómo abordan los ataques de inyección los distintos proveedores, las respuestas suelen clasificarse en tres categorías: documentación de pruebas internas, diagramas arquitectónicos con flechas tranquilizadoras o programas de «recompensas por spoofing» en entornos que no son de producción. Estas evaluaciones suelen basarse en marcos propietarios no desarrollados por organismos de normalización reconocidos, lo que significa que los resultados no se pueden comparar entre distintas soluciones.

Esto es importante porque los ataques de inyección están diseñados para evadir la detección. No activan las mismas alertas que los ataques de presentación. Las organizaciones pueden sufrir compromisos sistemáticos sin saberlo. La incorporación sigue funcionando, las métricas de conversión parecen saludables y el fraude se extiende silenciosamente hasta que alguien pide pruebas.

Los ataques de inyección son sofisticados porque operan en dos frentes simultáneamente: el mecanismo de entrega está diseñado para ser invisible para la aplicación, mientras que el contenido inyectado está diseñado para engañar cualquier control que se encuentre en el otro extremo; defenderse contra uno sin el otro deja a las organizaciones expuestas.

El Comité Europeo de Normalización (CEN) reconoció esta laguna y desarrolló la norma CEN/TS 18099: la primera especificación técnica formal dedicada a probar los sistemas biométricos contra ataques de inyección. 

Cómo funciona la norma CEN/TS 18099

La norma distingue entre dos componentes de un ataque de inyección:

• Método de ataque por inyección (IAM): Cómo se lleva a cabo el ataque. Esto incluye explotar bibliotecas de software, manipular el tráfico de red, utilizar emuladoreso conectarse a funciones del sistema para interceptar y sustituir datos biométricos.
• Instrumento de ataque por inyección (IAI): Lo que se entrega. La cara sintética, el vídeo deepfake o la secuencia de imágenes manipuladas que el atacante quiere que el sistema acepte como auténticas.

Los evaluadores intentan establecer múltiples métodos de ataque contra el sistema objetivo. Cuando los métodos de ataque tienen éxito, utilizan una serie de instrumentos de ataque para evaluar las capacidades de detección.

Este enfoque en dos etapas revela dónde operan realmente las defensas. Algunos sistemas pueden permitir que se establezcan métodos de ataque, pero detectan los instrumentos maliciosos. Otros pueden bloquear la vía de ataque en sí, impidiendo por completo la entrega de los instrumentos. La distinción es importante para comprender la profundidad de la protección proporcionada.

¿Qué reveló la evaluación de la solución de iProov?

iProov sometió Dynamic Liveness a una evaluación independiente realizada por Ingenium Biometric Laboratories, un centro acreditado según la norma ISO/IEC 17025 que actúa como laboratorio biométrico independiente del Reino Unido para la Autoridad Nacional de Seguridad Protectora. Las pruebas se llevaron a cabo de acuerdo con los requisitos de detección de ataques de inyección de nivel 4 de Ingenium, que superan el nivel más alto de la norma CEN/TS 18099 (CEN High) en cuanto a alcance y rigor.

Ingenium Nivel 4 se basa en los requisitos descritos en la norma CEN/TS 18099 y ofrece una mayor garantía gracias a pruebas ampliadas y tipos de ataques complejos. La evaluación de 40 días analizó al menos tres métodos distintos de ataque por inyección y quince instrumentos de ataque. 

Durante las pruebas, no se pudo establecer con éxito ningún método de ataque por inyección. Debido a que las vías de ataque fueron bloqueadas, el laboratorio nunca llegó a entregar los instrumentos de ataque. Las caras sintéticas y los vídeos deepfake no tenían ningún destino.

Esto representa una postura de seguridad fundamentalmente diferente. En lugar de intentar detectar contenido malicioso después de que entre en el sistema, Dynamic Liveness evita que se establezca la vía de inyección desde el principio.

Es importante destacar que este nivel de protección se logró sin sacrificar la experiencia del usuario. La tasa de error de clasificación de presentaciones auténticas (BPCER, por sus siglas en inglés), es decir, la tasa a la que se rechaza incorrectamente a usuarios legítimos, fue de solo el 1,3 %, muy por debajo del umbral del 15 % exigido por la norma.

Dynamic Liveness es la primera y única solución que ha obtenido la evaluación Ingenium Nivel 4.

Más allá del CEN: el panorama general de la validación

La norma CEN/TS 18099 aborda específicamente los ataques de inyección, pero una garantía de identidad completa requiere una validación en múltiples categorías de amenazas. Para las organizaciones que establecen criterios de adquisición basados en la norma NIST 800-63-4, el panorama completo incluye:

• Validación PAD: Conformidad con la norma ISO/IEC 30107-3 mediante pruebas acreditadas (como iBeta Niveles 1 y 2) y Certificación FIDO de verificación facial para ataques de presentación, incluidos los deepfakes presentados.
• Validación IAD: Evaluación CEN/TS 18099 para la resistencia a ataques de inyección.
• Seguridad operativa: Certificaciones ISO 27001, SOC 2 y CSA STAR para la protección de datos y los procesos de seguridad.
• Inclusividad: Conformidad con WCAG 2.2 AA y la Sección 508, el estándar de mejores prácticas para la accesibilidad en las experiencias digitales.

En conjunto, proporcionan la base empírica que exige el NIST: no se trata de afirmaciones de los proveedores, sino de una validación por parte de terceros en todo el panorama de amenazas al que se enfrentan las organizaciones.

Reflexiones finales sobre la norma CEN/TS 18099 y la «brecha de validación» 

La norma CEN/TS 18099 representa el punto de referencia para las pruebas de ataques por inyección, pero la orientación normativa es global. La norma ISO 25456, actualmente en fase de desarrollo, ampliará los requisitos de detección de ataques por inyección a nivel internacional. Las organizaciones que se alineen ahora se posicionarán por delante de la presión normativa, en lugar de tener que apresurarse cuando se endurezcan los requisitos.

Para los arquitectos de seguridad, los equipos de compras y los responsables de cumplimiento normativo, la pregunta ha cambiado: ya no basta con preguntar si un proveedor cuenta con detección de deepfakes. La pregunta es si pueden demostrar, mediante pruebas independientes y alineadas con los estándares, que su solución derrota los ataques de inyección de deepfakes que ahora se destacan en las Directrices de identidad digital del NIST.

La pregunta que pone en tela de juicio las afirmaciones de los proveedores es sencilla: ¿qué laboratorio independiente ha probado esa capacidad, con qué estándar y a qué nivel? Si no hay una respuesta publicada, la capacidad no está verificada. Se da por supuesta.

Con iProov, las pruebas se publican, la metodología es transparente y los resultados están disponibles para su revisión. 

¿Puede decir lo mismo su proveedor actual?

• Para obtener más información sobre la evaluación CEN/TS 18099 de iProov o solicitar el informe independiente de Ingenium, póngase en contacto con nosotros.
• Más información sobre las certificaciones biométricas y de identidad y por qué son importantes.