Punto de vista del Instituto de Biometría: ¿parodia o prueba?

0 77 4 minutos de lectura

La seguridad de la tecnología biométrica está en el centro de atención y las partes interesadas deben tener una visión equilibrada de sus fortalezas y vulnerabilidades, dice Isabelle Moeller, directora ejecutiva del Instituto de Biometría. A medida que proliferan las implementaciones, la credibilidad de la tecnología se basa en la voluntad de la industria de colaborar a nivel mundial.

El Oxford English Dictionary ofrece dos definiciones para el verbo ‘spoof’: ‘Hacer que (algo) parezca tonto por medio de la parodia; para enviar ‘ y ‘Hacer inútil un sistema proporcionándole información falsa. ‘

Lamentablemente, en lo que respecta a la suplantación de las tecnologías de seguridad biométrica, solo se aplica esta última y hay poco de qué reírse. El reciente aumento de las implementaciones biométricas en los servicios al consumidor ha confirmado la suplantación de identidad como una vulnerabilidad que necesita una gestión cuidadosa. Una amplia variedad de grupos de interés especializados, amistosos o no, tienen como misión exponer las limitaciones de cada solución que se lanza al mercado. De hecho, los detractores utilizan rutinariamente fallas de alto perfil para sugerir que la biometría como modo de seguridad es un negocio demasiado arriesgado para que valga la pena. Están equivocados.

Es el sistema, hombre

Como ocurre con todos los tipos de tecnologías de seguridad, los puntos débiles de la biometría han generado una carrera entre quienes crean y aplican las soluciones y quienes buscan socavarlas. A medida que se lanzan nuevas soluciones, se identifican debilidades y se desarrollan contramedidas.

En mayo, un reportero de la BBC, con la ayuda de su hermano gemelo, ‘crackeado’ el sistema de reconocimiento de voz de un banco de la calle principal, lo que demuestra la inseguridad del sistema. El punto débil aquí, sin embargo, se debió más a cómo se implementó la solución que a una falla de la tecnología de reconocimiento en sí. Todos los sistemas biométricos tienen algunas vulnerabilidades (vale la pena señalar que el sensor de huellas dactilares del iPhone fue Hackeado con éxito solo una semana después del lanzamiento). Lo que importa es cómo se mitigan estas vulnerabilidades.

En general, hay dos factores que determinan qué tan efectiva es una solución biométrica, y ambos requieren algunas compensaciones antes de que se pueda alcanzar una solución utilizable.

En primer lugar, la solución es tan buena como los datos biométricos que registra y luego vuelve a capturar cada vez que el usuario se autentica. La ‘imagen’ recapturada puede verse afectada por una miríada de factores según el modo que se utilice. El ruido ambiental puede interferir con el reconocimiento de voz, por ejemplo, las pestañas pueden oscurecer la imagen del iris, las diferentes condiciones de la piel pueden afectar las huellas dactilares, etc.

En segundo lugar, el proceso de emparejamiento también depende de cuán estrictamente se establezcan los parámetros de la solución. Insistir en un grado demasiado alto de similitud entre la imagen almacenada y presentada crea demasiados ‘falsos negativos’, donde se niega el acceso al usuario genuino y el sistema se vuelve inutilizable.

También vale la pena recordar que un pirata informático nunca necesita replicar la imagen biométrica de un individuo de manera absoluta, solo necesita replicar lo suficiente para engañar al sistema. Por lo tanto, si el proceso de comparación no es lo suficientemente riguroso, entonces resultan ‘falsos positivos’, donde se otorga acceso a usuarios fraudulentos y se anula el punto del sistema.

Siempre hay un equilibrio que alcanzar. ¿Cómo debe concluir el sistema que tiene suficientes datos verificables para confirmar la identidad del usuario?

Caballos de carreras

La elección de la modalidad biométrica tiene un gran impacto aquí. Las variaciones entre diferentes datos biométricos significan que algunos se adaptan mejor a casos de uso particulares que otros. Las huellas dactilares, por ejemplo, dejan una imagen latente en la superficie de captura de datos, lo que las hace excelentes para la identificación de delincuentes. Dicho esto, la propia imagen latente se puede copiar, replicar y utilizar en un ataque de suplantación de identidad. Los iris, por otro lado, no dejan rastros replicables, lo que los hace mucho menos útiles en aplicaciones criminales. Gracias a la revolución del intercambio social, las imágenes digitales de los rostros de las personas son muy fáciles de obtener, particularmente en los países desarrollados, lo que significa que las soluciones biométricas faciales tienen que trabajar más duro que nunca para verificar su sujeto, utilizando mapeo 3D y técnicas de detección de vida.

Las tecnologías están respondiendo. En un futuro cercano, el uso de sensores multiespectrales nuevos y más baratos (que capturan simultáneamente múltiples imágenes biométricas dentro de un espectro estrecho) mejorará en gran medida la capacidad de la industria para detectar datos biométricos falsos. En los sistemas automatizados de control de fronteras que utilizan el reconocimiento facial, por ejemplo, los sensores infrarrojos ahora pueden determinar si se está utilizando una máscara.

Grandes apuestas, cada vez más alto

La creciente popularidad de los sistemas de reconocimiento de voz e iris presenta nuevos desafíos. Siri, Cortana y Alexa están ganando terreno y cuando las aplicaciones bancarias y de pago comienzan a utilizar el reconocimiento de iris para otorgar acceso a la cuenta del usuario, lo que está en juego aumenta significativamente y las motivaciones de los ladrones seguramente se intensificarán en consecuencia.

Aunque mejorar la detección de suplantación de identidad es importante, intentar perseguir una técnica anti-suplantación de identidad perfecta para cualquier biométrico es una tontería. Por más que lo intente la industria, no puede resultar negativo; nunca puede decir que un dispositivo de captura sea completamente infalible, simplemente porque no se puede probar con el universo ilimitado de técnicas de suplantación de identidad actuales y futuras.

Con la facilidad viene la responsabilidad

En términos de la experiencia del usuario final, la biometría es excelente; son rápidos, convenientes, confiables y, posiblemente, son intocables por cualquier otra tecnología de seguridad orientada al consumidor actual. De hecho, la instalación habilitada por la biometría está impulsando implementaciones masivas en una gran cantidad de dispositivos y servicios; algo que está destinado a continuar, a pesar de sus vulnerabilidades.

Todo esto se suma a un punto importante. Una única solución biométrica no es una ‘solución milagrosa’ y, en muchos casos, debe implementarse como un factor en una solución de autenticación multifactor, una que está cuidadosamente diseñada y parametrizada para mitigar los riesgos de falla asociados con el caso de uso al que se aplica.

Con este fin, la credibilidad de la biometría, junto con la seguridad de aquellos que utilizan sus tecnologías, estará determinada por la capacidad de la industria para identificar y adherirse a las mejores prácticas.

Si bien el marco legal y la creación de políticas para la privacidad de los datos biométricos sigue siendo un asunto de los legisladores, ya existen principios rectores comercialmente independientes para el diseño, implementación y operación de tecnologías biométricas. Son el producto de la colaboración internacional entre académicos, gobiernos, proveedores y otras partes interesadas clave en el Instituto de Biometría.

Solo compartiendo experiencias de implementación en vivo, estableciendo principios rectores, creando pautas de mejores prácticas y promoviendo el uso responsable de la biometría a nivel mundial, la industria realmente puede afirmar que representa los intereses de los usuarios finales. La biometría puede ser perfecta, pero nuestro uso no lo es. A medida que la adopción de tecnologías biométricas continúa acelerándose, es nuestra responsabilidad colectiva asegurarnos de lograr el equilibrio adecuado entre brindar una excelente experiencia de usuario y mitigar los riesgos de seguridad en el camino.
Por Isabelle Moeller, directora ejecutiva, Biometrics Insitute

Punto de vista del Instituto de Biometría: ¿parodia o prueba?

El Oxford English Dictionary ofrece dos definiciones para el verbo ‘spoof’: ‘Hacer que (algo) parezca tonto por medio de la parodia; para enviar ‘ y ‘Hacer inútil un sistema proporcionándole información falsa. ‘

Deja una respuesta Cancelar la respuesta

Los piratas informáticos atacan a los proveedores de salud y exigen un rescate

Cómo ver Netflix gratis para siempre

Yara Gambirasio: las etapas de la amarilla hasta la captura del presunto culpable

Estúpidos trucos terminales: el loro de baile de ASCII Party

Efecto Instagram pelado

Cómo comprobar qué versión de PostgreSQL se está ejecutando desde CLI

Lista de los mejores canales de Telegram 2023

Cómo ver la televisión sin antena

Cómo eliminar Microsoft AutoUpdate de Mac

Cómo eliminar el icono de círculo con + signo en Android

Cómo descargar videos de YouTube con subtítulos

Las soluciones de todos los capítulos de Adventure Escape Mysteries

Cómo otorgar privilegios de root a un usuario en Linux

Problemas para cargar el teléfono: triángulo amarillo con signo de interrogación

Cómo instalar Eclipse IDE en Ubuntu 20.04

Cómo ver IPTV con VLC: guía completa

El Oxford English Dictionary ofrece dos definiciones para el verbo ‘spoof’: ‘Hacer que (algo) parezca tonto por medio de la parodia; para enviar ‘ y ‘Hacer inútil un sistema proporcionándole información falsa. ‘

Publicaciones relacionadas

Avast lanza nuevas soluciones móviles y para PC para proteger la privacidad

¿Cómo pueden las empresas protegerse contra amenazas de seguridad desconocidas?

Las cámaras DSLR son vulnerables al ataque de ransomware según los investigadores.

Londres es la tercera ciudad más vigilada del mundo, según una investigación

Deja una respuesta Cancelar la respuesta

Los piratas informáticos atacan a los proveedores de salud y exigen un rescate