HayCanal.com

Las cuatro brechas de seguridad del lector de huellas y el reconocimiento facial

Las cuatro brechas de seguridad del lector de huellas y el reconocimiento facial

Desde que en 2013 Apple anunció que su nuevo iPhone contaría con un sensor para huellas digitales que permitiría desbloquear el teléfono, los usos de la biometría para identificar a personas en entornos digitales se han multiplicado.

La identificación por medio de características físicas del usuario que facilitan las tecnologías biométricas (ya sea mediante la huella dactilar, el iris, el reconocimiento facial o el reconocimiento de voz) ha dado pie a un sector de negocio en plena expansión. Así, el mercado global de la biometría tiene una tasa de crecimiento anual compuesto (CAGR, en la sigla en inglés) del 22,9 % y se calcula que entre 2016 y 2025 generará unos ingresos de 70.000 millones de dólares, según un informe de la Comisión Europea.

Entre los métodos de identificación biométrica, el acceso con huella dactilar es el más utilizado. «Es un sistema económico, fácil de usar, con una fiabilidad bastante buena, aunque no es del 100 %, y esto hace que cada vez esté más implantado», explica Helena Rifà, directora del máster universitario de Seguridad de las Tecnologías de la Información y las Comunicaciones de la Universitat Oberta de Catalunya (UOC).

De hecho, según un informe de Yóle Development que analizaba el mercado de los sensores biométricos, en 2016 el 91 % de los ingresos del sector provenían de tecnologías vinculadas a la huella digital. Además, es el mejor aceptado entre los usuarios, según una encuesta de 2019 de PYMNTS entre consumidores estadounidenses, que afirmaba que tres cuartas partes de ellos estaban satisfechos con la autenticación con huella dactilar. Entre sus limitaciones, está el hecho de que «si la mano está un poco húmeda ya no funciona bien», explica Jordi Serra, profesor de los Estudios de Informática, Multimedia y Telecomunicación de la UOC.

Por otra parte, el reconocimiento facial ha ido ganando peso en el sector. Apple en la actualidad basa en él la autenticación de sus teléfonos y también se ha implantado en el acceso a Windows. Incluso se aplica en entornos presenciales, como las pruebas piloto que se realizan en los autobuses de Madrid y en aeropuertos como el de Barajas. De hecho, está previsto que a finales de 2021 el 71 % de los aeropuertos incorporen estas tecnologías. «Es más seguro utilizar el reconocimiento facial en entornos controlados, como un autobús o un restaurante, puesto que se puede comprobar que en ese momento no se suplanta la identidad de otra persona», considera Rifà, que es investigadora del grupo de investigación KISON de la UOC.

De hecho, los expertos en ciberseguridad ven la biometría como «una tecnología de identificación muy útil como complemento de los métodos actuales basados en las contraseñas, porque todavía tiene importantes retos de seguridad y privacidad», según Rifà.

Serra, que también es investigador del grupo de investigación KISON de la UOC, coincide en que «la biometría, como cualquier otro método de autenticación, por sí sola no es del todo segura». Serra recuerda que un acceso totalmente seguro requiere que el sistema te pida tres tipos de factores de autenticación: «Algo que tú eres, algo que posees y algo que sabes; por ejemplo, que reconozca un rasgo físico tuyo, te pida un código que has recibido en el móvil y te pregunte la contraseña», explica el profesor.

«Muchos sistemas de seguridad, como los de los bancos, te piden dos factores, como por ejemplo la contraseña y un código que has recibido. En la actualidad, la contraseña se está sustituyendo por factores biométricos en muchos casos, porque es más cómodo para el usuario», explica Serra. De este modo, los usuarios evitan el fenómeno conocido como «fatiga de la contraseña». «Identificarse mostrando el dedo o el rostro es más usable, y esto se está priorizando por encima de la privacidad y la seguridad», considera Serra.

Según los expertos, los principales retos de seguridad y privacidad de la biometría son los siguientes:

1. La biometría no es un sistema inequívoco. A diferencia de la identificación con contraseña, pueden existir casos dudosos: «Una clave o la sabes o no la sabes, no existe duda alguna. Sin embargo, al crear un patrón de una huella digital o de los rasgos de un rostro, puede que la imagen captada coincida en gran medida con ellos, pero no sea del todo idéntica», explica Rifà. En estos casos hay que poner un umbral y tanto si se es muy estricto en el nivel de coincidencia como si no, se pueden generar problemas. «Si se es muy estricto, el sistema puede descartar a personas que deberían estar validadas y ser poco efectivo, pero si se es poco estricto, se puede validar a personas no autorizadas», explica la profesora. Además, pueden existir personas con rasgos físicos muy similares: «No está comprobado científicamente que las huellas dactilares sean únicas, y en el caso del rostro hay casos complicados, como el de los gemelos», considera el profesor Serra.

2. Los datos biométricos están más expuestos. Los rasgos de nuestro rostro son fáciles de conocer, ya que nos movemos por el espacio público y compartimos nuestras fotografías en espacios digitales. Incluso la huella digital se podría obtener a partir de imágenes, tal como ya consiguieron los piratas informáticos (hackers) de Chaos Computer en 2013 cuando crearon una copia de la huella dactilar de Ursula von der Leyen, que era ministra de Defensa de Alemania. «Obtener la imagen es relativamente sencillo, pero convertirla en un molde en 3D que funcione sobre el sensor ya no lo es tanto», aclara Serra.

Además, los sistemas biométricos de reconocimiento están evolucionando: «Actualmente, muchos sistemas de reconocimiento facial ya no te validan si no estás con los ojos abiertos y si no detectan un cierto movimiento, para evitar que pueda haber un fraude con una fotografía o una máscara facial», explica Serra. Otro ámbito en el que se está avanzando es lograr que el sistema pueda tener en cuenta los cambios faciales que son consecuencia del envejecimiento del usuario: «Las simulaciones que se hacen las personas del aspecto que tendrán cuando sean ancianos sirven para entrenar estos sistemas de reconocimiento», afirma el profesor.

3. Los rasgos físicos identificativos no pueden modificarse. Nuestra huella dactilar o nuestro iris tienen unas características permanentes, que no podemos cambiar. «Esto representa un problema si alguien consigue nuestros datos biométricos para hacer un uso fraudulento de ellos, puesto que, a diferencia de la contraseña, si un atacante puede conseguirlos, después no podemos modificarlos», explica Rifà. «Los sistemas deberían prever la opción de que podamos revocar, por ejemplo, una huella, de forma que si ha existido un problema de seguridad podamos activar el sistema con la imagen de otro dedo», recomienda Serra.

4. El uso de datos biométricos puede generar problemas de privacidad por la trazabilidad. «Si se extiende el uso de los datos biométricos y, por ejemplo, usas tu huella en muchos entornos, una persona con la plantilla de esta huella podría hacer consultas en varias bases de datos donde se haya registrado y saber dónde hemos estado», considera Rifà. Sin embargo, «para que nos pudieran trazar los movimientos, sería necesario, además del dato biométrico, que las otras bases de datos fueran accesibles a todos y solo pidieran este factor de autenticación», concreta Serra, que considera que «las cámaras que registran imágenes en la vía pública o la conexión GPS de los móviles son una vía mucho más directa de registro de nuestros movimientos».

Por lo tanto, a pesar del aumento exponencial del uso de estas tecnologías para autenticar a los usuarios en entornos digitales, «para garantizar la seguridad total y preservar la privacidad del usuario, el uso de tecnologías biométricas en la identificación y validación de las personas en entornos digitales debe investigarse más y mejor», considera Rifà. El uso simultáneo de más de un factor de autenticación es la mejor manera de garantizar nuestra seguridad. «En muchos sistemas que solo piden un factor de autenticación, el usuario puede activar otro, como que se reciba un código de validación en el teléfono», recuerda Serra.


Noticias que marcan tendencia en el sector IT

Últimas Noticias

Nombramientos