La biometría no resuelve todos los problemas de autenticación

Actualmente la violación de datos y cuentas está a la orden del día. Uno de los métodos de seguridad más utilizados es el uso de un usuario y contraseña. Sin embargo, está solución no siempre es todo lo efectiva que deseamos, y hay otras opciones disponibles. Una de ellas es la biometría, que puede ser por ejemplo el uso de las huellas dactilares, aunque pueda parecer más segura que un método tradicional, también tiene sus inconvenientes. Hoy en RedesZone os vamos a explicar los puntos fuertes y puntos débiles de la utilización de biometría.

Lo primero que vamos a hacer es conocer brevemente qué es la biometría, y sus métodos de acceso más comunes. Luego hablaremos de la autenticación biométrica, que sigue creciendo a pasos agigantados con la intención de reemplazar a las contraseñas. No obstante, como veremos más adelante, también presenta sus propios inconvenientes.

Qué es la biometría y métodos más populares de acceso

La biometría podríamos definirla como la toma de medidas estandarizadas de los seres vivos para identificarlos. También, dentro de las tecnologías de la información (TI) tenemos la autentificación biométrica, que es la aplicación de técnicas matemáticas y estadísticas sobre los rasgos físicos o de conducta de un individuo, para su identificación. En resumen, se trata de una forma de verificar la identidad de esa persona.

Los métodos más comunes para realizar la autenticación biométrica son los siguientes:

• La huella dactilar.
• Reconocimiento de iris.
• Reconocimiento facial.
• La biometría vascular basada en la extracción de un patrón biométrico a partir de la geometría del árbol de venas del dedo.
• Reconocimiento de la voz.
• La escritura y la firma.

En el proceso de identificación, los rasgos biométricos son comparados con los de un conjunto de patrones previamente guardados. Hay que señalar que no implica tener que conocer la identidad del presunto individuo. Lo que se hace es tomar una nueva muestra de datos biométricos del nuevo usuario, y compararla con los patrones ya registrados.

Los sistemas de seguridad tradicional están fallando

En la actualidad, están aumentando las violaciones de datos de forma constante. Esto ha repercutido en que el sistema tradicional basado en contraseña no esté en su mejor momento. La razón principal por la que se están produciendo estas brechas de seguridad es, en gran medida, por la reutilización de las contraseñas. La solución por la que han optado algunas empresas es sustituir esas contraseñas por la autenticación biométrica.

Consecuencia de ello se ha elevado la biometría, como una solución de autenticación superior a las contraseñas. No obstante, la biometría también tiene sus problemas. Los revisaremos a fondo, y a continuación, veremos que presenta un conjunto de desafíos importante.

La biometría no puede reemplazarse

El gran inconveniente que tiene la biometría es que, una vez que un acceso biométrico está comprometido, no puede sustituirse. Vamos a poner un ejemplo para que se vea claro: imaginemos por un momento que nuestros datos faciales de rostro, huella dactilar o iris se vieran expuestos. En ese sentido, si se compromete la información biométrica de una persona, cualquier cuenta que utilice este método de autenticación está en riesgo, ya que no hay forma de revertir el daño porque no se puede cambiar.

Por lo tanto, como la biometría es para siempre, es muy importante que las empresas hagan lo más difícil posible a los ciberdelincuentes descifrar el algoritmo donde se guarda la información biométrica. Una forma de hacerlo sería mediante la utilización de un algoritmo hash sólido, y no almacenando ningún dato en texto sin formato.

La explotación de la biometría facial

Cada día estamos más expuestos en Internet, y a veces no nos damos cuenta de las consecuencias. Por ejemplo, la información facial podríamos obtenerla online mediante una foto que se haya publicado en una red social o en cualquier web. Un dato a considerar, es que, si las comparamos con las contraseñas, éstas siempre serán privadas a menos que sean robadas.

Gracias a esa foto, con la tecnología adecuada podríamos replicar los parámetros biométricos del rostro de una persona. Además, no sólo podría afectar al reconocimiento facial, también podría afectar a la voz (que se podría sacar de un vídeo), o a otros sistemas.

Las limitaciones de los equipos actuales

El problema está en que, a pesar de que tenemos bastantes dispositivos con escáneres biométricos, muchos de los que utilizamos habitualmente no admiten la autenticación biométrica. La biometría ahora mismo no es algo habitual en ordenadores de sobremesa o portátiles, ya que generalmente no incluyen lectores biométricos. También, otro factor que debemos tener en cuenta, es que a la hora iniciar sesión en una web con un navegador, la utilización de la biometría todavía es muy limitada. En este sentido, hasta que los equipos y navegadores de Internet sean compatibles la autenticación biométrica, tiene muy pocas posibilidades.

En cuanto a los dispositivos inteligentes como los smartphones con Android o iOS, tienen una autenticación biométrica en las que las credenciales de autenticación son almacenadas localmente. Sin embargo, este enfoque en el que no se almacenan las firmas biométricas sensibles en los servidores, nos excluye de la posibilidad de utilizarlo en otros lugares. En el caso de querer implementarlo, tendríamos que volver a registrarnos con credenciales como un nombre de usuario y contraseña. Además, antes de que se pueda volver a habilitar la autenticación biométrica, también el nuevo dispositivo debería tener esa tecnología. En resumen, para una autenticación biométrica vamos a necesitar un modelo diferente en donde el patrón biométrico se guarde en un servidor.

El problema de los cambios biométricos

Otra cosa que se debe tener en cuenta es la posibilidad de cambios en la biometría. La posibilidad de cambios en la biometría es un hecho que puede afectar a los trabajadores. Una quemadura en un dedo puede afectar a nuestra huella digital, o una lesión que desfigure el rostro pueden ser algunos ejemplos. Sin duda, se trata de un problema potencial importante. Nos referimos en el caso en que la autenticación biométrica fuese el único método de autenticación en uso y no existiese un respaldo disponible.

También hay que hablar de las amenazas de suplantación de identidad. Los ciberdelincuentes han conseguido que los escáneres validen las huellas dactilares mediante el uso de moldes o réplicas de huellas dactilares, o también de rostros de usuarios válidos. A pesar de que esta tecnología ha mejorado mucho, todavía está lejos de ser perfecta.

Qué debemos hacer si ocurre una infracción biométrica

En el hipotético caso de que ocurriese una infracción relacionada con la autenticación biométrica, podríamos correr muchos peligros. En el momento que el atacante obtiene acceso puede cambiar los inicios de sesión para estas cuentas y bloquear al trabajador fuera de su propia cuenta.

Por este motivo, es muy importante la actuación de la empresa, que tiene la responsabilidad de alertar inmediatamente a los usuarios para que tomen medidas oportunas para minimizar el riesgo. En el momento en el que se produce una infracción, tanto las empresas como sus trabajadores deben apagar inmediatamente la biometría en sus dispositivos. A continuación, deben volver a los valores predeterminados que generalmente es la utilización de un sistema de credenciales basado en usuario y contraseña.

La mejor forma de que las organizaciones garanticen su seguridad es adoptar un enfoque de seguridad por capas. La facilidad de uso de la biometría hace que sea una opción atractiva, tanto para empresas como para usuarios. No obstante, si dependemos sólo de la autenticación biométrica es una estrategia de alto riesgo ya que hay que tener en cuenta los inconvenientes y riesgos mencionados anteriormente.

El artículo La biometría no resuelve todos los problemas de autenticación se publicó en RedesZone.