Técnicas de seguridad biométricas
No siempre es suficiente el uso de contraseñas o tarjetas para obtener un nivel razonable de seguridad sobre la identidad del individuo que está intentando acceder a un sistema o a una instalación. Sin llegar a una imposible fiabilidad absoluta, las técnicas de identificación biométrica refuerzan las políticas de autenticación de las organizaciones, aportando mayores niveles de eficiencia.
La seguridad cobra cada día mayor importancia, no sólo por los perjuicios que su falta puede ocasionar (pérdida de datos, violación de la intimidad, daños económicos irreparables...), sino por otras consecuencias mucho más graves, como la pérdida de vidas humanas.
Las medidas de seguridad tradicionales se han mostrado ineficientes para evitar estas catástrofes y se buscan nuevas vías más sofisticadas que, de alguna manera, aporten, si no en un imposible cien por cien, altos grados de confianza. Prueba evidente de ello son, por ejemplo, los continuos ataques de virus que están sufriendo las empresas y los miles de millones de euros de pérdidas que les ocasionan; a pesar de tener instalados antivirus, firewalls y otros mecanismos de seguridad, los virus se cuelan y se difunden con gran rapidez por toda la organización, infectando y dejando fuera de servicio a numerosos ordenadores. Si esto sucede ahora, imaginemos que pasaría en un mundo inalámbrico en el que ni siquiera haga falta estar conectado mediante cable a una red; las consecuencias podrían ser devastadoras si no se tienen, actualizados y operativos, los mecanismos adecuados de protección.
Identificación automática y segura
Aparte de una política correcta de uso, la identificación automática y segura de los usuarios es un problema fundamental en los entornos de redes (Internet, intranets y extranets), y la utilización de claves secretas y/o tarjetas de identificación no es suficiente en algunos casos. Lo que se necesita es algo que pueda verificar sin lugar a dudas que uno es quién dice ser, justo lo que ofrece la biometría.
La autenticación (identificación segura) es el mecanismo más básico, y el primero que existe de protección de un sistema. Consiste en comprobar que un usuario es quien dice ser, y, comúnmente, se basa en el conocido par nombre de usuario/contraseña. Pero una autenticación tan simple deja mucho que desear, pues si alguien conoce ambos datos podría entrar en el sistema por nosotros falseando nuestra identidad, y tendría acceso a todas las aplicaciones para las que estemos autorizados. La biometría es la solución.
Las técnicas de identificación biométrica se han asociado con algo muy sofisticado y costoso, pero eso hoy en día no es así. La evolución tecnológica permite construir equipos sencillos y económicos, con un alto poder de procesamiento, que se pueden utilizar, por ejemplo, para leer las huellas dactilares, identificar la voz o escanear el iris. Así, pues, algunas aplicaciones biométricas para la identificación resultan muy eficientes y, una vez rota la barrera del precio, su extensión empieza a dispararse por todos los ámbitos, desde el profesional al doméstico.
Sistemas de autenticación
Los sistemas de autenticación se dividen en tres grandes grupos: sistemas basados en algo conocido (contraseña), sistemas basados en algo poseído (tarjeta inteligente) y sistemas biométricos (basados en características del individuo, como, por ejemplo, el trazo de la firma o una huella dactilar). Evidentemente, un sistema de autenticación puede y debe combinar varios de estos mecanismos para aumentar el nivel de seguridad, sobre todo si se usa una red de telecomunicaciones. Además, cualquier sistema de autenticación debe ser viable (es decir, económicamente rentable) y aceptado por los usuarios, ya que si no, se produciría su rechazo.
Si se consigue violar cualquiera de los sistemas de autenticación, un atacante podría tener acceso a parte o a todo el sistema (o las instalaciones), dependiendo del nivel de privilegio que tuviera asociado la persona a la que le robó la contraseña, la tarjeta o cualquiera de los objetos válidos para autenticación.
El rasgo es la clave
Para las funciones de autenticación, las técnicas biométricas entrarían dentro de la categoría de “algo poseído o algo que se hace”, que, en este caso particular, son nuestros propios rasgos personales, difícilmente reproducibles y que siempre llevamos con nosotros, o nuestra manera de comportarnos (por ejemplo, la firma).
Estas técnicas de identificación biométrica, frente a otras formas de autenticación personal, tienen la ventaja de que los patrones no pueden perderse o ser sustraídos, ni pueden ser usados por otros individuos en el caso de que lleguen a tener acceso a ella y conozcan el PIN. Por tanto, el problema de suplantación de identidad queda totalmente resuelto con el uso de patrones biométricos como medio de autenticación personal. Además, estos sistemas quizá sean los más cómodos de utilizar para los usuarios, ya que eliminan la necesidad de recordar contraseñas o números de identificación y la posibilidad de olvido en casa de la tarjeta o de la clave. Por otra parte, aunque también los rasgos físicos se pueden falsificar, resultan mucho más seguros en este sentido que, por ejemplo, las tarjetas inteligentes.
Determinadas situaciones se acomodan perfectamente al uso de la biometría, pero el motivo principal por el que no se han impuesto estos mecanismos es su elevado precio y su dificultad de mantenimiento, además de otros motivos tales como la tasa de falso rechazo (FRR, probabilidad de que el sistema rechace a un usuario válido, lo que provoca descontento entre los usuarios) y la tasa de falsa aceptación (FAR, probabilidad de que el sistema acepte como válido a un usuario que no lo es, lo que provoca algo más grave: inseguridad). Estos mecanismos se suelen utilizar (también como indicamos antes) acompañados de un nombre de usuario o una contraseña, o mejor aún, de ambas cosas.
Los dispositivos biométricos que se emplean para la identificación registran un aspecto exclusivo de una persona. Su funcionamiento es, a grandes rasgos, el siguiente: existe un mecanismo que captura una imagen de la característica a analizar (retina, iris, huella dactilar, palma de la mano, etc.), imagen de la que se extrae la información necesaria para compararla con la de la base de datos; finalmente, se decide si el usuario es válido o no.
Existe la creencia de que estos sistemas son fáciles de violar mediante ataques de simulación. Esto es totalmente falso, ya que, por ejemplo, el tejido ocular se degrada rápidamente a la muerte del individuo, de modo que el lector sería capaz de detectar si el ojo pertenece a un organismo vivo o a uno muerto. Sin embargo, si se podría realizar una fotografía de alta resolución del ojo humano y utilizarla con posterioridad, por lo que estos sistemas se utilizan en combinación con otros que prueben que el elemento utilizado está vivo, como es por ejemplo la circulación de la sangre (pulsaciones). También, las condiciones ambientales (polvo, luminosidad, humedad, etc.) pueden afectar a la precisión de los dispositivos biométricos de autenticación.
Así, en las técnicas de autenticación biométrica habrá que estudiar cuáles son sus características, clasi
La seguridad cobra cada día mayor importancia, no sólo por los perjuicios que su falta puede ocasionar (pérdida de datos, violación de la intimidad, daños económicos irreparables...), sino por otras consecuencias mucho más graves, como la pérdida de vidas humanas.
Las medidas de seguridad tradicionales se han mostrado ineficientes para evitar estas catástrofes y se buscan nuevas vías más sofisticadas que, de alguna manera, aporten, si no en un imposible cien por cien, altos grados de confianza. Prueba evidente de ello son, por ejemplo, los continuos ataques de virus que están sufriendo las empresas y los miles de millones de euros de pérdidas que les ocasionan; a pesar de tener instalados antivirus, firewalls y otros mecanismos de seguridad, los virus se cuelan y se difunden con gran rapidez por toda la organización, infectando y dejando fuera de servicio a numerosos ordenadores. Si esto sucede ahora, imaginemos que pasaría en un mundo inalámbrico en el que ni siquiera haga falta estar conectado mediante cable a una red; las consecuencias podrían ser devastadoras si no se tienen, actualizados y operativos, los mecanismos adecuados de protección.
Identificación automática y segura
Aparte de una política correcta de uso, la identificación automática y segura de los usuarios es un problema fundamental en los entornos de redes (Internet, intranets y extranets), y la utilización de claves secretas y/o tarjetas de identificación no es suficiente en algunos casos. Lo que se necesita es algo que pueda verificar sin lugar a dudas que uno es quién dice ser, justo lo que ofrece la biometría.
La autenticación (identificación segura) es el mecanismo más básico, y el primero que existe de protección de un sistema. Consiste en comprobar que un usuario es quien dice ser, y, comúnmente, se basa en el conocido par nombre de usuario/contraseña. Pero una autenticación tan simple deja mucho que desear, pues si alguien conoce ambos datos podría entrar en el sistema por nosotros falseando nuestra identidad, y tendría acceso a todas las aplicaciones para las que estemos autorizados. La biometría es la solución.
Las técnicas de identificación biométrica se han asociado con algo muy sofisticado y costoso, pero eso hoy en día no es así. La evolución tecnológica permite construir equipos sencillos y económicos, con un alto poder de procesamiento, que se pueden utilizar, por ejemplo, para leer las huellas dactilares, identificar la voz o escanear el iris. Así, pues, algunas aplicaciones biométricas para la identificación resultan muy eficientes y, una vez rota la barrera del precio, su extensión empieza a dispararse por todos los ámbitos, desde el profesional al doméstico.
Sistemas de autenticación
Los sistemas de autenticación se dividen en tres grandes grupos: sistemas basados en algo conocido (contraseña), sistemas basados en algo poseído (tarjeta inteligente) y sistemas biométricos (basados en características del individuo, como, por ejemplo, el trazo de la firma o una huella dactilar). Evidentemente, un sistema de autenticación puede y debe combinar varios de estos mecanismos para aumentar el nivel de seguridad, sobre todo si se usa una red de telecomunicaciones. Además, cualquier sistema de autenticación debe ser viable (es decir, económicamente rentable) y aceptado por los usuarios, ya que si no, se produciría su rechazo.
Si se consigue violar cualquiera de los sistemas de autenticación, un atacante podría tener acceso a parte o a todo el sistema (o las instalaciones), dependiendo del nivel de privilegio que tuviera asociado la persona a la que le robó la contraseña, la tarjeta o cualquiera de los objetos válidos para autenticación.
El rasgo es la clave
Para las funciones de autenticación, las técnicas biométricas entrarían dentro de la categoría de “algo poseído o algo que se hace”, que, en este caso particular, son nuestros propios rasgos personales, difícilmente reproducibles y que siempre llevamos con nosotros, o nuestra manera de comportarnos (por ejemplo, la firma).
Estas técnicas de identificación biométrica, frente a otras formas de autenticación personal, tienen la ventaja de que los patrones no pueden perderse o ser sustraídos, ni pueden ser usados por otros individuos en el caso de que lleguen a tener acceso a ella y conozcan el PIN. Por tanto, el problema de suplantación de identidad queda totalmente resuelto con el uso de patrones biométricos como medio de autenticación personal. Además, estos sistemas quizá sean los más cómodos de utilizar para los usuarios, ya que eliminan la necesidad de recordar contraseñas o números de identificación y la posibilidad de olvido en casa de la tarjeta o de la clave. Por otra parte, aunque también los rasgos físicos se pueden falsificar, resultan mucho más seguros en este sentido que, por ejemplo, las tarjetas inteligentes.
Determinadas situaciones se acomodan perfectamente al uso de la biometría, pero el motivo principal por el que no se han impuesto estos mecanismos es su elevado precio y su dificultad de mantenimiento, además de otros motivos tales como la tasa de falso rechazo (FRR, probabilidad de que el sistema rechace a un usuario válido, lo que provoca descontento entre los usuarios) y la tasa de falsa aceptación (FAR, probabilidad de que el sistema acepte como válido a un usuario que no lo es, lo que provoca algo más grave: inseguridad). Estos mecanismos se suelen utilizar (también como indicamos antes) acompañados de un nombre de usuario o una contraseña, o mejor aún, de ambas cosas.
Los dispositivos biométricos que se emplean para la identificación registran un aspecto exclusivo de una persona. Su funcionamiento es, a grandes rasgos, el siguiente: existe un mecanismo que captura una imagen de la característica a analizar (retina, iris, huella dactilar, palma de la mano, etc.), imagen de la que se extrae la información necesaria para compararla con la de la base de datos; finalmente, se decide si el usuario es válido o no.
Existe la creencia de que estos sistemas son fáciles de violar mediante ataques de simulación. Esto es totalmente falso, ya que, por ejemplo, el tejido ocular se degrada rápidamente a la muerte del individuo, de modo que el lector sería capaz de detectar si el ojo pertenece a un organismo vivo o a uno muerto. Sin embargo, si se podría realizar una fotografía de alta resolución del ojo humano y utilizarla con posterioridad, por lo que estos sistemas se utilizan en combinación con otros que prueben que el elemento utilizado está vivo, como es por ejemplo la circulación de la sangre (pulsaciones). También, las condiciones ambientales (polvo, luminosidad, humedad, etc.) pueden afectar a la precisión de los dispositivos biométricos de autenticación.
Así, en las técnicas de autenticación biométrica habrá que estudiar cuáles son sus características, clasi
