La biometría es cada vez más utilizada como una capa avanzada en muchos sistemas de seguridad personales y empresariales. Gracias a los identificadores únicos de tu biología y tus comportamientos, este podría parecer un método infalible.
Sin embargo, la identidad biométrica ha hecho que muchas personas se vuelvan cautelosas a la hora de usarla como método exclusivo de autenticación.
La ciberseguridad moderna está enfocada en la reducción de los riesgos para esta solución de seguridad avanzada: las contraseñas tradicionales son un punto débil en los sistemas de seguridad desde hace mucho tiempo.
La biometría busca responder a esta problemática al vincular la prueba de identidad con nuestros cuerpos y patrones de comportamiento.
En este artículo se exploran los fundamentos del uso de la biometría en ciberseguridad. Para simplificarlo, responderemos a algunas preguntas habituales acerca de la biometría, empezando por el básico:
¿Qué es la biometría?
Una definición breve: la biometría incluye las medidas biológicas, o características físicas, que se pueden utilizar para identificar a las personas.
Por ejemplo, la clasificación de huellas dactilares, el reconocimiento facial y los exámenes de retina son todas formas de tecnología biométrica, pero estas son solo las opciones más conocidas.
Los investigadores afirman que la forma de las orejas, la manera en que las personas se sientan y caminan, los olores corporales únicos, las venas de las manos e incluso las contorsiones faciales son otros identificadores únicos.
Estas características también son parte de la biometría.
Tres clases de seguridad biométrica
Aunque puede tener otras aplicaciones, la biometría suele usarse en ámbitos de seguridad y se puede clasificar a grandes rasgos en estos tres grupos:
- La biometría biológica utiliza rasgos a un nivel genético y molecular. Entre otros, características como el ADN o la sangre, a los que puede accederse a través de una muestra de fluidos corporales.
- La biometría morfológica involucra la estructura de tu cuerpo. Los rasgos más físicos, como los ojos, las huellas dactilares o la forma de la cara pueden mapearse para su uso en análisis de seguridad.
- La biometría de comportamiento se basa en patrones únicos de cada persona. La manera en la que caminas, hablas o incluso tipeas en un teclado pueden servir como indicaciones de tu identidad, si estos patrones se rastrean.
¿Cómo funciona la seguridad biométrica?
La identificación biométrica tiene un papel creciente en la seguridad cotidiana. Las características físicas son relativamente fijas e individuales, incluso en el caso de gemelos.
La identidad biométrica única de cada persona puede utilizarse para reemplazar o al menos respaldar los sistemas de contraseña para computadoras, teléfonos y salas o edificios con acceso restringido.
Una vez que los datos biométricos se obtienen y mapean, se guardan para compararse con intentos de acceso futuros. En la mayoría de los casos, estos datos se cifran y almacenen dentro del dispositivo o en un servidor remoto.
Los escáneres biométricos son equipos de hardware que se utilizan para registrar biometría para la verificación de identidad. Estos escaneos se comparan con la base de datos almacenada para aprobar o rechazar el acceso al sistema.
En otras palabras, la seguridad biométrica hace que tu cuerpo se convierta en la "clave" para desbloquear el acceso.
La biometría se utiliza en gran medida debido a que ofrece dos beneficios principales:
- Comodidad de uso: los datos biométricos siempre están contigo y no puedes perderlos ni olvidarlos.
- Dificultad de robo o suplantación de identidad: los datos biométricos no pueden robarse como las contraseñas o claves.
Si bien estos sistemas no son perfectos, son una gran promesa para el futuro de la ciberseguridad.
Ejemplos de seguridad biométrica
Estos son algunos ejemplos habituales de seguridad biométrica:
- Reconocimiento de voz;
- Lectura de huellas dactilares;
- Reconocimiento facial;
- Reconocimiento de iris;
- Sensores de frecuencia cardíaca.
En la práctica, la seguridad biométrica ya tuvo usos efectivos en muchas industrias.
La biometría avanzada se utiliza para proteger documentos confidenciales y objetos de valor. Citibank ya utiliza el reconocimiento de voz, y el banco británico Halifax está probando dispositivos que monitorean los latidos cardíacos para verificar la identidad de los clientes. Incluso Ford está considerando colocar sensores biométricos en los automóviles.
La biometría se está incorporando en los pasaportes electrónicos en todo el mundo.
En Estados Unidos, los pasaportes electrónicos cuentan con un chip que contiene el iris, la huella dactilar o una fotografía digital del rostro del portador, así como tecnología que evita que lectores de datos no autorizados realicen lecturas completas (y superficiales) de los datos del chip.
A medida que se adoptan más de estos sistemas de seguridad, tenemos una mejor idea de las ventajas y desventajas de su uso en tiempo real.
¿Los escáneres biométricos son seguros? Mejoras y preocupaciones
Los escáneres biométricos se están volviendo cada vez más sofisticados. Incluso puedes encontrar biometría en los sistemas de seguridad telefónica.
Por ejemplo, la tecnología de reconocimiento facial del iPhone X de Apple proyecta 30 000 puntos infrarrojos sobre el rostro del usuario para realizar una autenticación por coincidencia de patrones. La posibilidad de cometer un error en la identificación con la biometría del iPhone X es de una en un millón, según Apple.
El smartphone LG V30 combina reconocimiento facial y de voz con análisis de huellas dactilares, y mantiene los datos en el teléfono para mayor seguridad. CrucialTec, un fabricante de sensores, ofrece escáneres de huellas dactilares vinculados con sensores de frecuencia cardíaca para procurar una autenticación de dos etapas. Esto ayuda a garantizar que no se puedan utilizar huellas dactilares clonadas para acceder a sus sistemas.
El desafío radica en que los escáneres biométricos, incluidos los sistemas de reconocimiento facial, no son infalibles. Investigadores de la Universidad de Carolina del Norte en Chapel Hill descargaron fotos de 20 voluntarios de redes sociales y las utilizaron para construir modelos 3D de sus rostros. Los científicos lograron vulnerar la seguridad de cuatro de los cinco sistemas de seguridad analizados.
Los casos de clonación de huellas dactilares son abundantes. En un ejemplo presentado en la conferencia de ciberseguridad Black Hat, se demostró que se puede clonar una huella digital de manera confiable en casi 40 minutos con un costo de tan solo USD 10, simplemente mediante una impresión de huella dactilar en plástico de modelado o en cera de vela.
Desde Alemania, miembros del Chaos Computer Club lograron falsificar el lector de huellas dactilares TouchID del iPhone en menos de dos días desde su lanzamiento. Para desbloquear el iPhone 5s, los integrantes del grupo simplemente utilizaron una huella dactilar fotografiada en una superficie de vidrio.
Biometría: preocupaciones acerca de la privacidad y la identidad
La autenticación biométrica resulta conveniente, pero los defensores de la privacidad temen que este tipo de seguridad vaya en desmedro de la privacidad personal. La preocupación es que se recopilen datos personales con demasiada facilidad y sin el debido consentimiento.
El reconocimiento facial ya es común en ciudades chinas, en las que sus ciudadanos usan esta tecnología para realizar compras de rutina, mientras que la ciudad de Londres es conocida por contar con numerosas cámaras de circuito cerrado.
En la actualidad, Nueva York, Chicago y Moscú están vinculando sus cámaras de circuito cerrado con bases de datos de reconocimiento facial para ayudar a la policía local en su lucha contra la delincuencia. Para reforzar estos avances tecnológicos, la Universidad Carnegie Mellon está desarrollando una cámara capaz de analizar el iris de las personas en medio de multitudes desde una distancia de 10 metros.
En 2018, se introdujo el reconocimiento facial en el aeropuerto de Dubái, donde los viajeros son fotografiados por 80 cámaras a medida que pasan a través de un túnel en un acuario virtual.
Otros aeropuertos de todo el mundo también cuentan con cámaras de reconocimiento facial, como los de Helsinki, Ámsterdam, Minneapolis-St. Paul y Tampa. Pero como toda esa información se debe almacenar en algún lugar, son cada vez más los temores que suponen la vigilancia constante y el uso indebido de los datos.
Preocupaciones de seguridad de los datos biométricos
Un problema más inmediato radica en que los hackers ven las bases de datos de información personal como objetivos. Por ejemplo, cuando se pirateó la Oficina de gestión de personal de EE. UU. en 2015, los ciberdelincuentes se apoderaron de las huellas dactilares de 5.6 millones de empleados del gobierno, lo que los dejó vulnerables ante el robo de identidad.
Almacenar datos biométricos en un dispositivo (funciones TouchID o Face ID del iPhone) se considera más seguro que confiarlos a un proveedor de servicios, incluso si los datos están cifrados.
Este riesgo es similar al que supone una base de datos de contraseñas, en la que los hackers pueden vulnerar el sistema y robar los datos con seguridad ineficaz. Las repercusiones, sin embargo, son bastante diferentes.
Si una contraseña se ve amenazada, se puede cambiar. Los datos biométricos, en cambio, seguirán siendo los mismos invariablemente.
Maneras de proteger la identidad biométrica
Debido a los riesgos a la privacidad y la seguridad, se deben tomar medidas de protección adicionales en los sistemas biométricos.
El acceso no autorizado se hace más difícil cuando los sistemas requieren varios medios de autenticación, como la detección de gestos naturales (como el parpadeo) y la correspondencia de muestras codificadas con usuarios dentro de dominios cifrados.
Con objeto de frustrar los ataques malintencionados, algunos sistemas de seguridad también incluyen en los datos biométricos características adicionales como la edad, el sexo y la altura.
El programa Unique ID Authority of India Aadhaar de la India es un buen ejemplo de esto. Iniciado en 2009, el programa de autenticación multietapa incorpora escaneos del iris y de las huellas dactilares de ambas manos (10 dedos), así como reconocimiento facial.
Esta información se vincula a una única tarjeta de identificación emitida a cada uno de los 1200 millones de habitantes de la India. Pronto, esta tarjeta será obligatoria para quienes accedan a servicios sociales en la India.
La biometría es un buen reemplazo para los nombres de usuario, como parte de una estrategia de autenticación de dos factores. Comprende lo siguiente:
- Algo que eres (biometría);
- Algo que tienes (como un token de hardware);
- Algo que sabes (como una contraseña).
La autenticación de dos factores es una combinación poderosa, en especial a medida que el uso de dispositivos IoT aumenta. Al adoptar un enfoque de protección por capas, los dispositivos de Internet protegidos se vuelven menos vulnerables a las filtraciones de datos.
Asimismo, usar un administrador de contraseñas para almacenar contraseñas tradicionales puede darte una medida de seguridad adicional.
Puntos clave de la biometría
En resumen, la biometría sigue siendo un método de identificación de identidad cada vez más utilizado por los sistemas de ciberseguridad.
La protección combinada de firmas físicas o de comportamiento junto con otras formas de autenticación proporciona una de las mejores estrategias de seguridad conocidas.
Al momento, es como mínimo mejor que el uso de una contraseña basada en caracteres como método único de verificación.
La tecnología biométrica ofrece soluciones de seguridad muy contundentes. A pesar de los riesgos, los sistemas son convenientes y difíciles de duplicar.
Además, estos sistemas continuarán su desarrollo durante un largo tiempo en el futuro.
Artículos relacionados:
- ¿Qué es el adware?
- ¿Qué es un troyano?
- Datos y preguntas frecuentes sobre virus informáticos y malware
- Spam y Phishing