Noticias

¿Pueden la identificación biométrica sustituir a las contraseñas?

La identificación biométrica lleva ya bastantes años postulándose como la gran alternativa a las contraseñas. Es más, si revisas nuestra hemeroteca, podrás comprobar que hace ya más de ocho años te hablamos de 10 alternativas biométricas a las contraseñas. Y es que resulta comprensible que busquemos algún sistema que nos evite tener que recordar contraseñas seguras, o recurrir a un gestor de contraseñas que, aunque en general fiable, no lo es tanto como nos gusta pensar.

El problema es que la identificación biométrica tampoco es la panacea. Por ejemplo, hace solo unos días supimos que con una impresora 3D y un poco de pegamento es posible engañar a varios sistemas de identificación mediante huella dactilar. Algo un tanto preocupante si tenemos en cuenta que cada vez son más los dispositivos, servicios y apps que incorporan estos sistemas para autenticar los accesos de sus usuarios. La empresa de seguridad Malwarebytes ha publicado una interesante estudio en el que analiza las principales opciones de identificación biométrica a día de hoy, planteando sus pros y sus contras. Veamos algunos de ellos.

 

Identificación mediante huella dactilar

Sin duda el sistema de identificación biométrica más popular, y también el más veterano. Hace más de quince años que fabricantes de portátiles empezaron a incorporarlos (aunque, curiosamente, luego se produjo un parón en este sentido), y algo más recientemente dió el salto a dispositivos portátiles, en los que ha permanecido con fuerza durante bastantes años. Y eso por no hablar de sistemas de control de acceso, en los que su presencia hace bastantes años que es más que significativa.

En el lado positivo tenemos que es una tecnología muy desarrollada, bastante fiable para muchos casos y, además, razonablemente económica. Sin embargo una implementación deficiente del software responsable de la identificación puede dar lugar a identificaciones erróneas, así como abrir la puerta a falsificaciones de huellas como la que mencionamos anteriormente. Además, puede verse afectada por el deterioro físico, ya sea fruto del paso del tiempo, o de cualquier tipo de accidente.

 

Reconocimiento de voz

Podemos distinguir dos tipos de reconocimiento vocal, dependiente e independiente del hablante. En el primero, como ya puedes imaginar, el sistema es sometido  un entrenamiento para ser capaz de reconocer la voz de una persona en concreto. Esto es más complejo de lo que parece, puesto que debe ser capaz de distinguir entontaciones, diferentes acentos y elementos ambientales que puedan afectar a la percepción del sonido por parte del dispositivo de reconocimiento.

Por su parte, el independiente del habla no necesita pasar por ese por ese proceso, ya que el elemento de identificación no es la voz de una persona, sino un conjunto predeterminado de palabras y frases. Dicho de otra manera, en realidad se trata de una contraseña, solo que en vez de tener que escribirla con un teclado, debes pronunciarla frente a un micrófono.

La principal ventaja del primero es que es muy, muy complicado engañar a un sistema bien entrenado. Sin embargo cualquier problema en el habla de la persona a identificar puede traducirse en la pérdida total de efectividad del sistema. En cuanto al segundo sistema, su universalidad es, a la vez, ventaja y desventaja. Además, por problemas durante el desarrollo de estos sistema, tienen a identificar peor la voz de mujeres y personas de color. Y cualquier sonido intenso en el entorno puede impedir su correcto funcionamiento.

 

Reconocimiento del iris

Probablemente el más hollywoodense de los sistemas de identificación biométrica, la identificación biométrica mediante escáner de iris es, según sus defensores, más rápida y fiable que la basada en la huella dactilar. El escaneo del iris generalmente se realiza con una luz infrarroja invisible que pasa sobre el iris, en la que se leen, analizan y digitalizan patrones y colores únicos para compararlos con una base de datos de plantillas de iris almacenadas, ya sea para identificación o verificación.

Una de las principales ventajas de este sistema, además de su fiabilidad, es su flexibilidad. A diferencia de la identificación mediante huella dactilar o por voz, el sensor de iris puede realizar lecturas tanto a corta distancia como desde lejos, así como de pie y en movimiento. Claro, en esta ventaja también radica un inconveniente, y es que hablamos de un sistema que puede ser empleado para identificar a personas sin su conocimiento.

Los escáneres de iris, especialmente aquellos que se comercializan como herméticos o inquebrantables, no han escapado del radar de los cibercriminales. De hecho, tales afirmaciones a menudo alimentan su motivación para probar que la tecnología está equivocada. En 2019, eyeDisk, la supuesta «unidad flash USB no descifrable»,  fue hackeada.

 

Reconocimiento facial

La llegada de FaceID a los dispositivos de Apple supuso el pistoletazo de salida en la llegada de este sistema al gran público. Sin embargo este sistema ya tiene bastantes años a sus espaldas, y el nivel de precisión que puede llegar a ofrecer este sistema es, como ya saben los usuarios de iPhone, sorprendentemente alto. Buena parte del avance de esta tecnología se relaciona, claro, con la identificación facial tan empleada de un tiempo a esta parte en redes sociales para automatizar el etiquetado de las personas que aparecen en ella.

Al igual que con los escáneres de iris, una preocupación de los defensores de la seguridad y la privacidad es la capacidad de la tecnología de reconocimiento facial para usarse en combinación con cámaras públicas (u ocultas) que no requieren conocimiento o consentimiento de los usuarios. Esto, combinado con la falta de regulaciones específicas nos vuelve a mostrar un ejemplo de tecnología que se ha adelantado mucho a nuestra capacidad para  definir su uso ético . La precisión es otro punto de discusión, y múltiples estudios han respaldado su imprecisión, especialmente  al identificar personas de color .

 

Biometría conductual

También conocida como conductometría, esta modalidad implica la lectura de patrones de comportamiento medibles con el fin de reconocer o verificar la identidad de una persona. A diferencia de otros datos biométricos mencionados aquí, y que se obtienen en una exploración rápida y única (biometría estática), la biometría conductual se basa en el monitoreo continuo y la verificación de rasgos y microhábitos.

Gracias a este sistema es posible estar permanentemente identificado, y por lo tanto disfrutar de un acceso instantáneo y sin pasos intermedios a aquello que protege el sistema biométrico. Por ejemplo para acceder a la app del servicio de banca online de tu entidad, tan solo tendrías que sacar el teléfono del bolsillo, abrir la app y ya estarás autenticado. No debes preocuparte por realizar el proceso de identificación, ya que en realidad llevas haciéndolo durante todo el día.

Al igual que cualquier otra modalidad biométrica, el uso de la biometría del comportamiento plantea problemas de privacidad. Sin embargo, los datos recopilados por una aplicación biométrica de comportamiento ya están siendo recopilados por los operadores de dispositivos o redes, lo cual ya está regulado por las leyes de privacidad estándar. Otra ventaja para los defensores de la privacidad: los datos de comportamiento no se definen como identificables personalmente, aunque se están considerando para la regulación.

El principal problema, claro, es qué ocurre cuando se introducen en nuestro día a día elementos que se salen de la normalidad, o si directamente nuestro estilo de vida es excepcionalmente variado. En esos casos, salvo que el sistema sea capaz de encontrar el orden dentro del caos, es muy posible que este sistema de identificación biométrica no sea capaz de identificar adecuadamente al usuario.

 

Identificación mediante ADN

Quizá el más revolucionario de los sistemas de identificación biométrica es la identificación personal gracias a su ADN, un campo en el que ya están trabajando investigadores de todo el mundo. Esto puede sonar bien en el papel, pero como la idea sigue siendo puramente teórica, los usuarios conscientes de la privacidad probablemente necesitarán mucho más convencimiento antes de considerar usar su propio ADN para fines de verificación.

Las ventajas de un sistema como este son evidentes: ¿cómo suplantar algo tan único como nuestro ADN? Un sistema bien diseñado y capaz de eludir trampas como las que ya nos presentó Gattaca hace 33 años podría ser un muro contra intentos de acceso no autorizados. Sin embargo, ¿en realidad solo nosotros tenemos muestras de nuestro ADN? Lo cierto es que no, en realidad vamos repartiéndolas todo el día y por todas partes. Un sistema capaz de detectar presencia de todo tipo de restos humanos (desde saliva a pelo) podría emplearse para dibujar, sobre un mapa, todos nuestros desplazamientos diarios. Un fallo en el sistema de validación y alguien que sepa dónde tomamos café ya tendría el trabajo hecho.

Por otra parte, el ADN no solo nos identifica, también cuenta muchísimas cosas sobre nosotros. Tantas que cualquier persona preocupada por la privacidad se echaría a temblar si mañana le dijeran que debe dejar muestras de ADN para acceder a un espacio reservado o a su app de banca electrónica. En este campo debe evolucionar considerablemente la regulación, y a ser posible antes de que empiecen a desarrollarse sistemas capaces de ofrecer un servicio como este.

 

Entonces… ¿identificación biométrica o contraseñas?

Esta es, claro, la pregunta del millón, ¿qué sistema es mejor? Por norma general, y debido a los múltiples problemas de seguridad que hemos conocido en las claves escritas, tendemos a pensar que los sistemas biométricos son más fiables. A este respecto la responsabilidad es compartida, puesto que con una política adecuada de gestión de las contraseñas, éstas resultan bastante seguras para la mayoría de los supuestos. Además, con los sistemas de autenticación multifactor (MFA), especialmente el muy popular 2FA, se añade una capa extra de protección que protege el acceso aunque la contraseña se vea comprometida.

Por otra parte hay un elemento de flexibilidad en las contraseñas que no ofrece ningún sistema de identificación biométrica: la flexibilidad. Si sabemos que una contraseña se ha visto comprometida tan solo tendremos que cambiarla por otra. Ahora bien, ¿qué ocurre si alguien ha conseguido, por ejemplo, recopilar las muestras vocales necesarias para colarse en un sistema? ¿Tendrá la persona afectada que cambiar de voz? ¿O de iris? ¿De ADN? Si nuestro elemento de identificación biométrica se ve comprometido, debemos asumir que lo estará para siempre.

Esto, que no se me malinterprete, no significa que los sistemas biométricos sean inseguros. Ni mucho menos. Sobre lo que quiero poner el punto es en que tampoco son tan seguros como parece figurar en el imaginario colectivo. En realidad, y como ya te contamos al hablar de gestión de accesos seguros, el punto dulce surge en la combinación de elementos de autenticación. Por ejemplo un acceso protegido con una combinación de contraseña, tarjeta RFID e identificación biométrica (de cualquiera de los que hemos visto aquí) sería una auténtica pesadilla para cualquier atacante y, por lo tanto, exactamente lo que estamos buscando.

La entrada ¿Pueden la identificación biométrica sustituir a las contraseñas? es original de MuySeguridad. Seguridad informática.

Powered by WPeMatico

Gustavo Genez

Informático de corazón y apasionado por la tecnología. La misión de este blog es llegar a los usuarios y profesionales con información y trucos acerca de la Seguridad Informática.