Biométricos: ¿son realmente seguros?

Siempre he sido una persona que le han llamado la atención los biométricos. Incluso tengo una PDA que tiene un detector de huella digital para poder acceder a la información. No sé si es por seguridad o para hacer más difícil mi acceso a mi información, ya que hay veces que tengo que detener el celular con el hombro mientras paso mi dedo para que mi PDA me autentique.
Hace algún tiempo, por ahí de Mayo del 2002, leyendo las miles de noticias diarias de seguridad que llegan hasta mi buzón de correo; recibí una noticia que llamó mi atención. Un científico japonés había podido violar los biométricos de detección de huella digital usando herramientas caseras para hacer un dedo del material usado para hacer los famosos ositos de goma.
Usando herramientas que puede encontrar a su alrededor como cámara digital, software de manipulación de imágenes y una impresora, pudo engañar a un detector de huella digital. Hoy en día algunos biométricos tienen la posibilidad de detectar la temperatura para que si el dedo llega sin el dueño del dedo, éste no pueda ser autenticado.
Pero hay tantos sistemas biométricos que podríamos mencionar algunos muy conocidos como los detectores de huella digital, detectores de retina o de iris, detectores de geometría de la mano, de geometría de la cara, hasta llegar a los que siguen en desarrollo y pueden sonar como broma como los biométricos que detectan patrones de escritura del teclado, los cuales miden el tiempo promedio de una persona al teclear ciertas frases en el teclado; el de patrones de voz, o reconocimiento de escritura.
Pero pasemos a la parte de seguridad. El problema hoy en día de la implementación de estos sistemas va desde el punto de los falsos positivos, los falsos negativos, el rechazo al cambio hasta incluso el proceso de entrenamiento del software.
Estos dispositivos pueden brindar desde seguridad para una oficina hasta un centro de procesamiento de datos, pero realmente hay un posible mal concepto de cómo deberían ser implementados.
Uno de los problemas al cual me he enfrentado, es el hecho de que estos dispositivos deben de ser elegidos según el entorno donde se van a usar.
Imagine una empresa que se dedica a la fabricación de partes metálicas, en esta empresa no podríamos implementar un dispositivo detector de huella digital, ya que las personas que manipulan los metales están siempre expuestas a las cortaduras en los dedos, lo cual no podría identificarlos.
También hablando de los falsos positivos y los falsos negativos; estos son factores determinantes a que un dispositivo acepte o niegue el acceso a una persona por medio de un biométrico. Si usted es una persona autorizada y el sistema no lo reconoce, es un falso negativo. Si llega una persona no autorizada y el sistema le da acceso, es entonces un falso positivo. Esta relación es otro de los puntos clave de su sistema de autenticación. El sistema debe validar a quien queremos que acceda únicamente.
Pero entonces, ¿cómo fortalecer los sistemas biométricos para que acepten únicamente a quien queremos dar acceso?
Es muy sencillo, oriente su sistema para que de más falsos positivos que falsos negativos. Eso haría que existe la “remota” posibilidad de que una persona no autorizada sea autorizada. Los biométricos pueden ser vistos, como en este ejemplo, para identificar y autorizar al mismo tiempo al usuario. Lo que tendríamos que pensar para poder ayudar a fortalecer el sistema es dejar que el biométrico sea un elemento únicamente de autenticación.
Imagine ahora que tiene el mismo sistema, pero entonces al llegar usted coloca un PIN o su número de empleado. Al terminar, el sistema le pide autenticar ese número con su huella digital. En este momento tenemos dos factores para realizar la autenticación.
¿Quiere más seguridad?
Entonces imagine, usted llega con una tarjeta de proximidad al sistema de autenticación. Al pasar la tarjeta cerca del lector, lo reconoce y le pide su contraseña de entrada. Si usted digitó su contraseña correctamente, le pide su huella digital para poder acceder al sistema.
Pero entonces, ¿seguridad o comodidad?
En el primer ejemplo, usted tiene que dedicar de 10 a 30 segundos en ser autenticado. En el segundo de 20 a 50 y en el tercero hasta casi un minuto.
Lo más seguro es que cuando haya llegado a este punto, usted esté pensando en un sistema de control de acceso a una oficina. Ahora, imagine que puede realizar este mismo procedimiento para acceder a una PDA, a una computadora, a una VPN o incluso a su portal financiero.
Un sistema biométrico puede llegar a ayudar a la seguridad y afectar la comodidad, pero el buen resultado se encuentra cuando podemos balancear entre la seguridad y la comodidad de quienes vamos a autenticar.

Andrés Velázquez es Consultor Independiente de Seguridad Informática para varias empresas en diferentes puntos de Latinoamérica. Cuenta con varias certificaciones en el área de Seguridad Informática a nivel mundial como la “Certified Information Systems Security Professional (CISSP)”, la certificación en “Creación y Administración de Equipos de Respuesta a Incidentes de Seguridad Informática (CSIRT)” y está certificado como Auditor Líder en el estándar Británico BS-7799-2. Es miembro de la Mesa Directiva de la Asociación Latinoamericana de Profesionales de la Seguridad Informática (ALAPSI), de la Asociación Internacional de Crímenes de Alta Tecnología (High Technology Crime International Association) y del Grupo de Delitos Cibernéticos de México (DC México) dependiente de la Policía Federal Preventiva. Adicionalmente, ha desarrollado el portal DoDoMex Internet Security (www.dodomex.com) para promover la cultura de seguridad en Internet.

Agosto 2004

Deja una respuesta

Tu dirección de correo electrónico no será publicada.