CIBERSEGURIDAD

El problema de la autenticación biométrica.

Por Josh Horwitz, director de operaciones de Enzoic

Se espera que el mercado biométrico se eleve a casi $ 33 mil millones para 2022, ya que la tecnología se anuncia como una solución a prueba de balas para frustrar a los piratas informáticos. Los consumidores ven la biometría de manera favorable, ya que es una forma fácil de iniciar sesión en sus cuentas, lo que está ayudando a acelerar su adopción generalizada. Sin embargo, existen riesgos inherentes que deben destacarse. A diferencia de las contraseñas y otros métodos de autenticación, la biometría es estática, no es determinista, está orientada al público y, para colmo, no todos los usuarios tienen dispositivos con capacidad biométrica.

Piénsalo; no puedes cambiar tu huella dactilar o tu rostro. Si se expone información biométrica, cualquier cuenta en la que utilice este método de autenticación está en riesgo y no hay forma de revertir el daño.

Un ejemplo reciente de una brecha que expuso información biométrica es Biostar 2, donde la base de datos se encontró desprotegida y sin cifrar. Como resultado, los piratas informáticos ahora podrían tener acceso a las huellas dactilares y los patrones faciales de las personas asumiendo que esta información se vendió o comercializó en la web oscura.

Otro desafío con la biometría es que, actualmente, no todos los dispositivos tienen capacidades biométricas. Según Pew Research, mientras que el 96% de los estadounidenses usan un teléfono móvil, aproximadamente el 19% de ellos no usan un teléfono inteligente. Además, casi el 74% de los adultos estadounidenses poseen una computadora de escritorio o portátil, pero muchos de esos dispositivos son dispositivos más antiguos y no incluyen lectores biométricos. Si bien esperamos que las capacidades biométricas se incorporen en más dispositivos en el futuro, no es una característica que todos puedan adoptar hoy. Como resultado, las organizaciones deben ofrecer otras opciones de autenticación además de la biometría.

A algunos marcos de ciberseguridad también les preocupa la biometría como método de autenticación independiente. Según NIST, la tasa de coincidencia falsa biométrica (FMR) no proporciona confianza en la autenticación del suscriptor de forma aislada y no tiene en cuenta los ataques de suplantación de identidad. La biometría también es probabilística, mientras que los otros factores de autenticación son deterministas, como las contraseñas. Esto significa que la biometría controla el acceso con la probabilidad de una coincidencia en lugar de una coincidencia del 100%. Además, las características biométricas no son un secreto, por lo que pueden falsificarse. La información facial se puede obtener en línea o mediante una foto de alguien. Con el auge de la tecnología de falsificación profunda, esto será aún más fácil de falsificar. Las huellas dactilares se pueden extraer fácilmente de objetos como una taza de café que alguien toca en la oficina o en lugares públicos. Dado que son de cara al público y no se pueden modificar, esto presenta un riesgo de seguridad significativo.

Al igual que con otros tipos de autenticación, una vez que un ciberdelincuente obtiene acceso, puede cambiar los inicios de sesión de estas cuentas y bloquear al usuario legítimo fuera de su cuenta. Esto impone la responsabilidad a los usuarios, así como a la empresa, de tomar medidas inmediatas para mitigar el riesgo. Si hay una infracción, los usuarios deben apagar inmediatamente los datos biométricos en sus dispositivos y volver a los valores predeterminados, que suelen ser contraseñas o códigos de acceso.

Depender únicamente de la autenticación biométrica es una estrategia de autenticación de alto riesgo para todas las partes. Las organizaciones no deben tener miedo de utilizar la biometría como parte de su estrategia de seguridad de administración de identidad, pero también deben incorporar otros elementos de seguridad para mitigar el riesgo potencial.

Además, las organizaciones deben tratar los datos biométricos de la misma forma que las credenciales y contraseñas de usuario tradicionales. Esto significa que los datos biométricos no deben almacenarse en texto sin formato y se debe utilizar un algoritmo hash sólido para dificultar al máximo a los piratas informáticos descifrar el algoritmo en caso de que se produzca una infracción.

Entonces, ¿qué otros pasos deberían adoptar las organizaciones además de la biometría?

La biometría como segundo factor de autenticación: NIST 800-63b recomienda que la biometría puede ser parte de la autenticación multifactor (MFA) en lugar de ser la única forma de acceder a las cuentas. El primer factor puede ser iniciar sesión con la selección de credenciales ejecutándose en segundo plano, el segundo paso puede ser una confirmación biométrica de segundo factor en lugar de escribir un código o algún otro trabajo manual requerido por el usuario. La combinación de los dos métodos de control de credenciales de baja fricción del usuario más MFA basado en biometría crea dos capas de seguridad mientras se mantiene una experiencia de usuario óptima.

Autenticación adaptable: esta es una forma en que se puede configurar e implementar la autenticación de dos factores. Estos sistemas cruzan la dirección IP, la geolocalización, la reputación del dispositivo y otros comportamientos para asignar una puntuación de riesgo a una sesión de inicio de sesión entrante y aumentar los factores de autenticación en consecuencia. Para aumentar la efectividad, tienden a ser agresivos, a menudo agregando factores de autenticación adicionales que pueden aumentar la frustración y el abandono del cliente. Como resultado, la autenticación adaptativa debe usarse con prudencia.

Detección de credenciales expuestas: implemente una herramienta de detección de credenciales que compare las credenciales del cliente (combinaciones de nombre de usuario y contraseñas) con una base de datos que contiene miles de millones de registros comprometidos. La herramienta debe ejecutarse continuamente en segundo plano para garantizar que las credenciales o contraseñas comprometidas no estén en uso.

Autenticación basada en contraseña: si la biométrica falla o se viola, debería volver a la autenticación basada en contraseña de forma predeterminada. Sin embargo, se deben seguir las mejores prácticas para la seguridad de las contraseñas para garantizar que las contraseñas no se vean comprometidas ni se puedan adivinar fácilmente.

Almacene las contraseñas de forma segura: almacenar contraseñas o datos biométricos en texto sin formato es un gran error de ciberseguridad. El hash, donde las empresas codifican contraseñas y datos biométricos mediante un algoritmo matemático, es la respuesta a este problema. Las organizaciones deben asegurarse de que su estrategia de hash utilice algoritmos robustos que hagan casi imposible que los piratas informáticos reviertan el hash y lean los datos en texto sin formato.

La simplicidad y conveniencia de la biometría asegurarán que su uso continúe aumentando. Sin embargo, debido a los riesgos asociados, las organizaciones deben implementarlo de manera selectiva y asegurarse de tener otras capas de seguridad en su lugar en caso de compromiso o en caso de que los usuarios no tengan lectores biométricos. Por ejemplo, en situaciones con un cociente de alto riesgo, como una autorización bancaria o de seguridad, la autenticación biométrica es una excelente opción cuando se combina con otras medidas de seguridad. El uso de datos biométricos para actividades de bajo riesgo como los juegos o para acceder a las máquinas expendedoras es un riesgo innecesario.

Las organizaciones no deben tener miedo de agregar datos biométricos a su arsenal de seguridad, pero deben reconocer que no es infalible. Para mitigar el riesgo, las empresas deben implementar un enfoque en capas y utilizar la biometría de forma selectiva como parte de la estrategia general de gestión de identidad. Esto garantizará que otros dispositivos de seguridad dificulten que los malos actores exploten la situación en caso de que se produzca una violación de los datos biométricos.

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
Cerrar