¿Qué es la biometría?
La biometría es la medición y el análisis estadístico de las características físicas y de comportamiento únicas de las personas. La tecnología se utiliza principalmente para la identificación y el control de acceso o para identificar a las personas que están bajo vigilancia. La premisa básica de la autenticación biométrica es que cada persona puede ser identificada con precisión por rasgos físicos o de comportamiento intrínsecos. El término biométrico se deriva de las palabras griegas bio, que significa vida, y métrica, que significa medir.
¿Cómo funciona la biometría?
La autenticación por verificación biométrica es cada vez más común en sistemas de seguridad corporativa y pública, electrónica de consumo y aplicaciones de punto de venta. Además de la seguridad, la fuerza impulsora detrás de la verificación biométrica ha sido la conveniencia, ya que no hay contraseñas para recordar ni tokens de seguridad para llevar. Algunos métodos biométricos, como medir la marcha de una persona, pueden funcionar sin contacto directo con la persona que está siendo autenticada.
Los componentes de los dispositivos biométricos incluyen los siguientes:
- un lector o dispositivo de escaneo para registrar el factor biométrico que se está autenticando;
- un software para convertir los datos biométricos escaneados en un formato digital normalizado y comparar los puntos de coincidencia de los datos observados con los datos almacenados; y
- una base de datos para almacenar de forma segura los datos biométricos para su comparación.
Los datos biométricos pueden guardarse en una base de datos centralizada, aunque las implementaciones biométricas modernas a menudo dependen en su lugar de recopilar datos biométricos localmente y luego hash criptográficos para que la autenticación o identificación se pueda realizar sin acceso directo a los datos biométricos en sí.
Tipos de biometría
Los dos tipos principales de identificadores biométricos son características fisiológicas o características de comportamiento.
Los identificadores fisiológicos se refieren a la composición del usuario que se autentica e incluyen lo siguiente:
- reconocimiento facial
- huellas dactilares
- geometría de los dedos (el tamaño y la posición de los dedos)
- reconocimiento de iris
- reconocimiento de venas
- escaneo de retina
- reconocimiento de voz
- firmas digitales
Los identificadores de comportamiento incluyen las formas únicas en que actúan las personas, incluido el reconocimiento de patrones de escritura, los movimientos del ratón y los dedos, la interacción con el sitio web y las redes sociales patrones, marcha y otros gestos. Algunos de estos identificadores de comportamiento se pueden usar para proporcionar autenticación continua en lugar de una comprobación de autenticación única. Si bien sigue siendo un método más nuevo con calificaciones de confiabilidad más bajas, tiene el potencial de crecer junto con otras mejoras en la tecnología biométrica.
Este artículo forma parte de
¿Qué es la gestión de identidades y accesos? Guía de IAM
- , Que también incluye:
- Cómo crear una arquitectura de IAM eficaz
- 4 prácticas recomendadas esenciales de gestión de identidades y accesos
- 5 tendencias de IAM que configuran el futuro de la seguridad
Los datos biométricos se pueden usar para acceder a la información en un dispositivo como un teléfono inteligente, pero también hay otras formas de usar la biometría. Por ejemplo, la información biométrica puede guardarse en una tarjeta inteligente, donde un sistema de reconocimiento leerá la información biométrica de un individuo, mientras la compara con la información biométrica en la tarjeta inteligente.
Ventajas y desventajas de la biometría
El uso de la biometría tiene muchas ventajas y desventajas con respecto a su uso, seguridad y otras funciones relacionadas. La biometría es beneficiosa por las siguientes razones:
- difícil de falsificar o robar, a diferencia de las contraseñas;
- fácil y cómodo de usar;
- generalmente, lo mismo a lo largo de la vida de un usuario;
- intransferible; y
- eficiente porque las plantillas ocupan menos espacio de almacenamiento.
Las desventajas, sin embargo, incluyen las siguientes:
- Es costoso poner en funcionamiento un sistema biométrico.
- Si el sistema no logra capturar todos los datos biométricos, puede provocar errores en la identificación de un usuario.
- Las bases de datos que contienen datos biométricos aún se pueden piratear.
- Todavía pueden ocurrir errores como falsos rechazos y falsos aceptaciones.
- Si un usuario se lesiona, es posible que un sistema de autenticación biométrica no funcione, por ejemplo, si un usuario se quema la mano, es posible que un escáner de huellas dactilares no pueda identificarlo.
Ejemplos de biometría en uso
Aparte de que la biometría está en muchos teléfonos inteligentes en uso hoy en día, la biometría se utiliza en muchos campos diferentes. A modo de ejemplo, la biometría se utiliza en los siguientes campos y organizaciones:
- Aplicación de la ley. Se utiliza en sistemas de identificación de delincuentes, como los sistemas de autenticación de huellas dactilares o palm print.
- Departamento de Seguridad Nacional de los Estados Unidos. Se utiliza en las ramas de la Patrulla Fronteriza para numerosos procesos de detección, verificación de antecedentes y acreditación, por ejemplo, con sistemas para pasaportes electrónicos, que almacenan datos de huellas dactilares, o en sistemas de reconocimiento facial.
- Asistencia sanitaria. Se utiliza en sistemas como tarjetas nacionales de identidad para identificación y programas de seguro médico, que pueden usar huellas dactilares para la identificación.
- Seguridad aeroportuaria. Este campo a veces utiliza datos biométricos como el reconocimiento del iris.
Sin embargo, no todas las organizaciones y programas optarán por el uso de datos biométricos. Por ejemplo, algunos sistemas de justicia no utilizarán datos biométricos para evitar cualquier posible error que pueda ocurrir.
¿Cuáles son los problemas de seguridad y privacidad de la biometría?
Los identificadores biométricos dependen de la singularidad del factor considerado. Por ejemplo, las huellas dactilares generalmente se consideran muy únicas para cada persona. El reconocimiento de huellas dactilares, especialmente como se implementó en el Touch ID de Apple para iPhones anteriores, fue la primera aplicación ampliamente utilizada en el mercado masivo de un factor de autenticación biométrica.
Otros factores biométricos incluyen el reconocimiento de retina, iris, venas y escaneos de voz. Sin embargo, hasta ahora no se han adoptado ampliamente, en parte, porque hay menos confianza en la singularidad de los identificadores o porque los factores son más fáciles de falsificar y usar por razones maliciosas, como el robo de identidad.
La estabilidad del factor biométrico también puede ser importante para la aceptación del factor. Las huellas dactilares no cambian a lo largo de la vida, mientras que la apariencia facial puede cambiar drásticamente con la edad, la enfermedad u otros factores.
El problema de privacidad más importante del uso de la biometría es que los atributos físicos, como las huellas dactilares y los patrones de vasos sanguíneos de la retina, generalmente son estáticos y no se pueden modificar. Esto es distinto de los factores no biométricos, como las contraseñas (algo que uno conoce) y los tokens (algo que uno tiene), que se pueden reemplazar si se violan o se comprometen de otra manera. Una demostración de esta dificultad fueron los más de 20 millones de personas cuyas huellas dactilares se vieron comprometidas en la filtración de datos de la Oficina de Administración de Personal de los Estados Unidos de 2014.
La creciente ubicuidad de cámaras, micrófonos y lectores de huellas dactilares de alta calidad en muchos de los dispositivos móviles actuales significa que la biometría continuará convirtiéndose en un método más común para autenticar a los usuarios, particularmente a medida que Fast ID Online ha especificado nuevos estándares para la autenticación con biometría que admiten la autenticación de dos factores con factores biométricos.
Si bien la calidad de los lectores biométricos sigue mejorando, todavía pueden producir falsos negativos, cuando un usuario autorizado no es reconocido o autenticado, y falsos positivos, cuando un usuario no autorizado es reconocido y autenticado.
¿La biometría es segura?
Si bien las cámaras de alta calidad y otros sensores ayudan a habilitar el uso de datos biométricos, también pueden habilitar a los atacantes. Debido a que las personas no se protegen la cara, los oídos, las manos, la voz o la marcha, los ataques son posibles simplemente capturando datos biométricos de las personas sin su consentimiento o conocimiento.
Un ataque temprano a la autenticación biométrica de huellas dactilares se llamó el hack del oso gomoso, y se remonta a 2002, cuando investigadores japoneses, utilizando una confección a base de gelatina, mostraron que un atacante podía levantar una huella dactilar latente de una superficie brillante. La capacitancia de la gelatina es similar a la de un dedo humano, por lo que los escáneres de huellas digitales diseñados para detectar la capacitancia se verían engañados por la transferencia de gelatina.
Los atacantes determinados también pueden derrotar otros factores biométricos. En 2015, Jan Krissler, también conocido como Starbug, un investigador biométrico del Chaos Computer Club, demostró un método para extraer suficientes datos de una fotografía de alta resolución para derrotar la autenticación de escaneo de iris. En 2017, Krissler informó que había derrotado el esquema de autenticación del escáner de iris utilizado por el teléfono inteligente Samsung Galaxy S8. Krissler había recreado previamente la huella digital de un usuario a partir de una imagen de alta resolución para demostrar que el esquema de autenticación de huellas dactilares Touch ID de Apple también era vulnerable.
Después de que Apple lanzara el iPhone X, los investigadores tardaron solo dos semanas en eludir el reconocimiento facial Face ID de Apple utilizando una máscara impresa en 3D; Face ID también puede ser derrotado por personas relacionadas con el usuario autenticado, incluidos niños o hermanos.