Sistemas biométricos de… ¿seguridad?

Ya sean contraseñas, imágenes, datos personales o la propia identidad, nuestra información privada es nuestra, y no tiene por qué tener acceso a ella nadie que no queramos, pero aquí aparece un punto de inflexión, porque ¿cuánta de esta información estamos protegiendo y cuanta estamos descuidando  detrás de falsas promesas de seguridad?

Con esta duda nacen las investigaciones sobre nuevos métodos de protección de nuestros datos y si aunamos estas investigaciones con los avances actuales en las industrias tecnológicas, llegamos rápidamente a imaginar cómo proteger nuestros datos con algo único como es nuestra identidad física.  Se comienzan a extender los sistemas de seguridad basados en las características biométricas del usuario consumidor.

Se definen los sistemas de seguridad biométrica que utilizan estas características, como el conjunto de métodos automatizados que se utilizan para el reconocimiento inequívoco de los seres humanos, basado en características físicas o conductuales.

Al principio, cuando se hablaba  de un sistema de seguridad biométrico nos hacía pensar en grandes empresas o en  películas de ciencia ficción, algo que nos parecía muy lejano, pero hoy en día, todo el mundo tiene información privada que quiere proteger, y  todo lo que protegemos, es susceptible de ser atacado. Hemos comenzado a guardar información en diferentes plataformas, en bancos, en el ordenador, en una tableta o en un Smartphone, cada vez nuestra información está más distribuida y tiene un mayor acceso.  De ahí a que lo hayamos adaptado los sistemas de seguridad a una creciente gama de utilidades, acceso a dispositivos móviles, servicios financieros o medios de autentificación.

El sistema de seguridad biométrico puede sufrir variaciones pero  por lo general, suele constar de cinco equipos coordinados entre ellos. El primero es el sensor que se encarga de capturar los  datos biométricos, de este pasan a un par de maquinas que extraen las características de los datos capturados y las comparan con su base de datos de usuarios registrados y de ahí finalmente van a un dispositivo que los interpreta y da o niega el acceso.

1
*Etapas por donde pasa la información de un sistema biométrico

La mayoría de expertos alertan que esta tecnología que ya está promovida por gobiernos y grandes corporaciones, encierra grandes riesgos para la privacidad y la ciberseguridad, por ser vulnerable como ocurre con  cualquiera de las modalidades digitales.

En este caso, el nivel de vulnerabilidad de nuestros datos es mayor y aumenta el riesgo comparado con otro tipo de datos, puesto que una contraseña robada, se puede cambiar, pero no puedes cambiar tus huellas dactilares o cualquiera de tus datos biométricos, con lo que tenemos que ser muy cautelosos con ellos.

Como no es posible reemplazar  datos biométricos, el delincuente que quiera acceder a la información guardada, ha de encontrar vulnerabilidad en el sistema.

2
*puntos de vulnerabilidad en el sistema de datos biométrico

El sujeto que quiere atacar el sistema, suele optar por la suplantación de la persona (spoofing), lo que se basa en obtener un acceso a los datos biométricos del usuario y realizar una copia sintética de los datos obtenidos. Suelen hacerse moldes de látex para el caso de las huellas dactilares, por ejemplo. Este es el camino más corriente, aunque como todos hemos visto en ficción y seguro que la realidad no se escapa, también hay quien opta por la amputación del miembro original.

Otra de las acciones empleada en este tipo de delitos es la ofuscación biométrica, consiste en falsear o conseguir enmascarar los datos originales para que el sistema no reconozca al individuo, puede utilizarse en tus propios datos para ocultarlos de los organismos de seguridad, por ejemplo la modificación de las huellas dactilares aunque también suele utilizarse para conseguir un ataque de denegación de servicio para una posible extorsión posterior del usuario, normalmente el ataque consiste en atacar con muchos datos y mucho ruido para conseguir que baje el umbral de aceptación y así aumentar la tasa de falsos aceptados. Con ello se satura el sistema y puede aceptar muestras biométricas ilícitas como licitas suplantando así la identidad del usuario.

Hay muchas otras formas de atacar este sistema, se pueden atacar cada uno de los puntos vulnerables del proceso, desde el primer punto en la extracción de datos utilizando falsos datos biométricos, como las huellas o el reconocimiento facial con fotografías, lentes de contacto o grabaciones de voz. Se pueden utilizar paquetes falsos de información en varios de los puntos del sistema y así cuando los introduzcamos serán interpretados como correctos y garantizan el acceso. Incluso se puede acceder físicamente al hardware del sistema y capturar datos temporales para posterior utilización.

Siendo conscientes de esto, la industria está continuamente investigando sobre cómo mejorar la seguridad e impenetrabilidad del sistema, hoy por hoy se han propuesto algunas soluciones para los principales sistemas de reconocimiento biométrico utilizados.En los últimos días se están investigando los sistemas de autentificación multifactor, en los que se piden varios mecanismos de autentificación a la vez. En añadir a las imágenes o a las huellas marcas de agua en forma de ruido para dificultar su falsificación. La seguridad por desconocimiento, si no se conocen detalles del diseño y su implementación, difícilmente podrá ser atacado. Algunas empresas optan por implementar la seguridad con agentes y personas de control presenciales en la identificación. La mayoría de sistemas actuales están usando los estándares aplicables a organización, como ISO 9001, relacionados con el funcionamiento y la seguridad de los sistemas informáticos.

3

Como se imagina, este es un tema de actualidad en el que continuamente están surgiendo aplicaciones  e interrogantes. Hay algunas aplicaciones propuestas de suma delicadeza, como la utilización de este tipo de sistemas en guarderías para autentificar a los adultos y su accesibilidad a los niños.

Algunos hospitales se han sumado a esta tecnología para acceder a historiales de pacientes de una manera más eficaz. E incluso ya hay empresas que han implementado un sistema biométrico para fichar a la entrada o a la salida para mejorar el control de los horarios y la productividad. No hace falta decir que irán en aumento las utilidades y con ellas puede que las vulnerabilidades.

Ya han sido documentados algunos casos alarmantes de este tipo. En 2011 las autoridades de Israel descubrieron  que su base de datos biométrica nacional había sido robada por el crimen organizado, contenía datos de fechas de nacimiento, registros médicos y números de la seguridad social de aproximadamente nueve millones de personas, los cuales fueron a parar a la intranet profunda “deep web”.

En estados unidos existe una de las mayores bases de datos biométricos del mundo la NGI (Identificación de siguiente generación), perteneciente al FBI, pero esta base de datos también suscita preocupación, en este ultimo Junio, una coalición de 45 organizaciones le pidió al congreso de estados unidos que revisaran esta NGI par su supervisión por sugerir que el FBI almacena volúmenes enormes de información personal y millones de personas pueden quedar expuestas a violación de privacidad por ello.

El banco mejicano Inbursa, aplica desde éste ultimo septiembre el uso de una fotografía “selfie” para acceder a sus servicios en línea, esta es la nueva tendencia en tecnología conocida como FacePhi, a la que también se han sumado otras entidades bancarias, la pionera en España ha sido  BBVA permitiendo desde el pasado Noviembre por primera vez en nuestro país, abrir una cuenta bancaria mediante un “selfie”.

Como vemos, todas las grandes empresas de internet están invirtiendo muchísimo dinero en biometría facial, pero se destaca Facebook, por haber comprado en 2012 por unos 100 millones de dólares, una start-up israelí, Face.com. Esta empresa ya de por sí practicaba con el reconocimiento facial, pero a raíz de esta compra, mejora la función de etiquetas sugeridas, es capaz de reconocer e identificar a todas las personas en las imágenes compartidas mediante algoritmos biométricos y exhorta al usuario a etiquetar a sus amigos. Un gran ejemplo de la vulnerabilidad regalada que estamos ofreciendo libremente en la red.

Debido a estas pequeñas suspicacias surge la necesidad de aumentar la regulación legal de este tipo de tratamiento de datos. Durante la 31ª reunión anual de la conferencia internacional de comisionados par a la privacidad y protección de datos de 2009, algunas organizaciones de la sociedad civil lanzaron la declaración de Madrid sobre privacidad, la cual tiene diez recomendaciones, de las cuales la novena consiste en una solicitud de ampliación del tiempo de desarrollo e implementación de estos nuevos sistemas de vigilancia de masas, con reconocimiento facial, imágenes de escáner de cuerpo entero, identificaciones biométricas y etiquetado con tecnología RFID( transmiten datos de la identidad mediante ondas radiales) y que a su vez estén sujetos a evaluaciones completas y transparentes por autoridades independientes.

Aunque esta invitación cayó en oídos sordos. De hecho para este año la consultora estadounidense Gartner estima que el 30% de las empresas utilizarán sistemas de identificación biométrica de sus empleados. Para el 2018 se esperan aproximadamente unos 3.400 millones de usuarios de telefonía móvil inteligente utilizaran su biometría para desbloquear sus dispositivos, ya sean dedos, caras ojos o voces.

Bien pudieran parecer historias  ficticias sacadas de  guiones de la conocida y exitosa serie Black Mirror, pero desgraciadamente esa crítica social cada día es más una realidad a la que deberíamos ir preparándonos. Teniendo en cuenta que hoy por hoy la fiabilidad nunca es del 100%, ¿estamos seguros de que queremos compartir lo único que nos pertenece realmente, aquello que nos hace únicos?

Publicado por:

barbara-perfil

Sistemas biométricos de… ¿seguridad? –
(c) – Bárbara Albors

Webgrafía:

https://www.exabyteinformatica.com/uoc/Biometria/Biometria_ES/Biometria_ES_(Modulo_6).pdf

http://www.proceso.com.mx/464952/sistemas-biometricos-identificacion-los-ciber-riesgos

http://www.abogados.com.ar/la-biometria-aplicada-a-la-prevencion-y-a-la-investigacion-de-los-delitos-informaticos/11802

Documentos facilitados por el Dr. Marcos Faúndez Zanuy del departamento de telecomunicaciones y arquitectura de computadores de la escuela politécnica de Mataró.

Imágenes:

http://vanessavelasquez1525.blogspot.com.es/2010/11/investigacion-forense.html

http://www.proceso.com.mx/464952/sistemas-biometricos-identificacion-los-ciber-riesgos

Imágenes facilitadas por el Dr. Marcos Faúndez Zanuy del departamento de telecomunicaciones y arquitectura de computadores de la escuela politécnica de Mataró.

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s