En este artículo se aborda un área de gran crecimiento en seguridad de la información denominada biometría. La biometría por sí sola no es la solución pero es una parte esencial de ella.

Se analiza su definición mono y multimodo. Se examinan los requisitos o criterios a la hora de evaluar sistemas biométricos. Finalmente se identifican y analizan las amenazas a la seguridad que pueden actuar sobre un sistema biométrico. Desde las primeras aplicaciones comerciales del reconocimiento de la huella dactilar en torno a 1984 se han sucedido a gran velocidad infinidad de nuevos sistemas y aplicaciones cada vez más sofisticadas en el mercado.

La potencia cada vez mayor que ofrece la microelectrónica y los computadores hace posible que hoy en día sea una realidad creciente el despliegue real de sistemas biométricos de reconocimiento tanto de verificación-autenticación como de identificación (de conjunto abierto y de universo cerrado). Los costos de la tecnología biométrica van descendiendo, mientras que la fiabilidad, eficiencia y velocidad son mayores lo cual permite que cada vez haya mayor número de dispositivos biométricos como una parte importante de nuestros negocios y de nuestras vidas. Las necesidades de los seres humanos crecen, se pide más movilidad en la vida y en los negocios, se demanda más seguridad en la sociedad inteligente, se exige un mayor grado de conveniencia, etc. La biometría es capaz de dar respuesta al creciente número de aplicaciones demandadas, así en la vida diaria en el contexto del control de acceso físico a instalaciones-infraestructuras clave como instalaciones milita-res/gubernamentales, control de inmigración en aeropuertos (por ejemplo, el INSPASS (Immigration and Naturalization Service Passenger Accelerated Service System) instalado en los principales aeropuertos USA se basa en la tecnología de verificación de la geometría de la mano, desarrollado por la compañía (Recognition Systems, Inc.), CPDs (Centros de Proceso de Datos), etc., por ejemplo para proteger contra acciones terroristas; en el control de acceso a activos como viviendas y vehículos particulares, cajeros automáticos (ATM) como medida de protección contra robos, fraudes en cajeros, etc.; en el control de acceso a la propia información como acceso a servidores, PCs, redes, PDAs, teléfonos móviles, etc. como medida de protección contra accesos no autorizados.

El uso de la biometría no es el principal elemento que contribuye a los riesgos de seguridad y privacidad sino una implementación inapropiada o inadecuada. La biometría tiene el potencial de utilizarse en cualquier aplicación donde la autenticación, verificación e identificación se precisen y sólo es una cuestión de tiempo el poderlos encontrar y usar en nuestras vidas diarias (hogar, trabajo, transportes, diversión, acceso a cuestiones municipales, sociales, de gobierno, sanitarias, etc.).

'

Un sistema biométrico es no intrusivo si el individuo no necesita contacto físico con un sensor o no tiene una connotación negativa.

Un sistema biométrico es intrusivo si necesita que el individuo toque un sensor, se coloque un sensor cerca de su cuerpo o participe de una manera que no es confortable desde un sentido emocional o psicológico. Un sistema biométrico es cooperativo si el individuo desea estar identificado positivamente y proporciona información pertinente (por ejemplo su nombre de usuario, contraseña, PIN, token USB, tarjeta inteligente, etc.). Un sistema biométrico es no cooperativo si el individuo no proporciona asistencia en el proceso (por ejemplo, un sistema de reconocimiento facial en un aeropuerto).

Caracterización de la biometría

La tecnología biométrica es una de las áreas de más rápido crecimiento de las ciencias de la computación que trata de la representación, almacenamiento, matching (o comparación), síntesis y visualización de información biométrica fisiológica (patrón del iris, geometría de la mano), como de comportamiento (forma de caminar, de escribir, de hablar, de teclear, de mover los labios). La biometría puede definirse de diferentes formas: (1) Según el ISO es una característica física o un rasgo de comportamiento de una persona medible utilizado para reconocer la identidad o verificar la identidad declarada de una persona inscrita. Así mismo, según el ISO un sistema biométrico es un sistema automatizado capaz de: (i) Capturar una muestra biométrica de un usuario final. (ii) Extraer datos biométricos de dicha muestra. (iii) Comparar los datos biométricos con los contenidos en una o varias plantillas de referencia. (iv) Decidir como de bien coinciden. (v) Indicar si ha sido realizada o no una identificación o verificación de la identidad. (2) Es una tecnología que verifica la identidad de una persona utilizando información biométrica concreta del individuo como distribución de venas de la palma, huellas dactilares, venas del dedo (o FV, Finger Vein; la autenticación FV de la compañía Hitachi se ha adoptado con éxito en el 75% de las sucursales bancarias de Japón, lo que hace el sistema biométrico dominante desplegado por el sector de banca japonés), rasgos faciales, patrón de la oreja, firma manuscrita o trazas biológicas como DNA (Ácido Desoxirribonucleico) en sangre o saliva.

La biometría engloba tanto rasgos físicos-fisiológicos de una persona como son la geometría de sus manos, patrón del iris (un producto comercial es BM-ET300 Iris Entry System de la compañía Panasonic), patrón de la retina de sus ojos, etc. como rasgos de comportamiento como son la forma de firma manuscrita, huella de la voz, la manera de andar, etc. (3) Es una tecnología que confirma la identidad de una persona comparando en tiempo real los patrones de características físicas/fisiológicas/biológicas/de comportamiento de la persona con registros/plantillas/modelos de computador inscritos relativos a dichos patrones. (4) Es una tecnología que utiliza características físicas o de comportamiento de un individuo que pueden medirse y que se comparan para verificar o identificar de forma precisa a un individuo. (5) Es el estudio de los métodos para el reconocimiento, de forma única, de las personas en base a uno o más rasgos físicos o de comportamiento intrínsecos. (6) Es la identificación de seres vivos basada en características fisiológicas y/o de comportamiento. (7) Es el uso automatizado de características fisiológicas o de comportamiento para determinar o verificar una identidad.

Biometría multimodal. Sistemas multibiométricos

Los sistemas biométricos multimodales o multibiométricos utilizan la información de diferentes biometrías, por ejemplo de huella dactilar y la forma de la mano o bien las huellas de diversos dedos de diferentes manos, etc. La fusión de datos biométricos puede producirse en diferentes niveles: (i) Fusión a nivel de sensor con múltiples sensores (por ejemplo detector de huella dactilar de tipo capacitivo y de tipo óptico. O bien, con diferentes rasgos biométricos, por ejemplo sensor de huella dactilar y sensor de forma de firmar sobre una tableta. O bien con diversas instancias, por ejemplo con el dedo índice y el dedo medio. O bien con instancias repetidas, por ejemplo el dedo índice dos veces. O bien con diversos algoritmos, por ejemplo uno basado en minucias y otro basado en banco de filtros). (ii) Fusión a nivel de extracción de características. (iii) Fusión a nivel de comparación. (iv) Fusión a nivel de decisión.

Los sistemas biométricos multimodales ganan cada día popularidad debido a la mejora de su rendimiento. En un sistema de verificación permiten mejorar la precisión y en un sistema de identificación permiten mejorar la velocidad de respuesta del sistema. Los sistemas biométricos multimodales basados en combinar modalidades no correlacionadas (por ejemplo huella dactilar y rostro o dos dedos de una persona) mejoran el rendimiento en comparación con los que combinan de modalidades correlacionadas (por ejemplo comparadores de diferentes huellas dactilares). Los sistemas biométricos multimodales pueden también tomar huellas del mismo dedo en instantes de tiempos subsiguientes.

Requisitos fundamentales

Los principales requisitos biométricos a la hora de poder comparar entre sí diversos sistemas biométricos son: (1) Universalidad. Todas las personas deben tener la(s) característica(s) a utilizar en el sistema biométrico. Un individuo manco carece de una mano. (2) Unicidad. Debe ser improbable que dos personas compartan dicha característica biométrica. La estatura, el peso, el color de pelo o de ojos evidentemente no son características únicas de las personas. (3) Permanencia. La característica biométrica utilizada debe ser invariante con el tiempo. Una huella dactilar no suele variar con el tiempo salvo heridas. El DNA y el patrón del iris son las características más invariantes, le sigue la retina, le sigue la geometría de la mano y dedos y la característica menos permanente es la voz seguida de la forma de teclear y de firmar. (4) Obtenible. Debe ser fácil y discreta su obtención cuantitativa y recogida. (5) Rendimiento. Se debe utilizar una tecnología precisa, rápida y robusta. (6) No sorteable. Incapaz de burlarse o saltársela. (7) Aceptable por el usuario. Tecnología aceptada y aprobada que asegure por adelantado que no ofenda a los usuarios. La selección de la correcta biometría es un problema complicado que implica más factores que sólo la precisión. Depende del costo, de las tasas de error, de la velocidad de computación, de la capacidad de adquisición, de la privacidad y de la facilidad de uso.

(iv) El impostor presenta una muestra biométrica con ruido, de calidad pobre o nula intentando una comparación con una plantilla biométrica de calidad regular o débil.

(v) El impostor utiliza una imagen biométrica residual dejada en el sistema biométrico (normalmente una huella dactilar latente) intentando suplantar al último usuario autorizado.

(vi) El impostor presenta su propia muestra biométrica después de que la plantilla biométrica del impostor se haya: (a) Proporcionado de una portadora de datos personales falsificada, por plantillas del sistema biométrico por inscripción ilegal. (b) Añadido ilegalmente directamente a la base de datos de almacenamiento. (c) Insertado ilegalmente directamente en el subsistema de comparación.

(vii) El impostor monta un ataque de intento repetido que no es detectado a través de los registros de auditoría.

(3) Amenazas relacionadas con los subsistemas de captura y extracción. Pueden identificarse varios casos:

(i) El impostor intercepta una muestra biométrica autorizada durante la transmisión entre los subsistemas de captura y extracción de características.

(ii) El impostor inserta una muestra biométrica autorizada directamente en el subsistema de extracción de características, por ejemplo utilizando ataque de repetición, de este modo se salta el subsistema de captura.

(4) Amenazas durante la verificación relacionadas con los subsistemas de extracción y comparación. Pueden identificarse varios casos:

(i) El impostor intercepta las características biométricas extraídas durante la transmisión entre los subsistemas de extracción y comparación. (

ii) El impostor inserta características biométricas extraídas directamente en el subsistema de comparación.

(5) Amenazas relacionadas con el almacenamiento de plantillas y el subsistema de extracción durante el proceso de inscripción-registro. Pueden identificarse varios casos:

(i) Un usuario autorizado presenta una muestra biométrica nula, de calidad pobre, con ruido y altamente variable o modifica su propio comportamiento o presenta una muestra artificial intentando inscribir una plantilla biométrica débil.

(ii) Un usuario no autorizado se inscribe: (a) Error de administrador, por ejemplo credenciales no adecuadamente verificadas. (b) La plantilla de usuario autorizado interceptada y reemplazada con una plantilla del impostor durante el proceso de inscripción-registro.

(6) Amenazas relacionadas con el almacenamiento de plantillas/BIR. Pueden identificarse varios casos:

(i) La plantilla biométrica del impostor es bien: (a) Proporcionada sobre una portadora de datos personales falsificados (por ejemplo una tarjeta inteligente), o bien (b) Se coloca ilegalmente en la base de datos de almacenamiento de plantillas del sistema biométrico; bien se crea una nueva cuenta de usuario autorizado para el impostor o bien la plantilla del usuario existente se reemplaza por la plantilla del impostor.

(ii) El impostor roba la plantilla biométrica de un usuario autorizado del almacenamiento de plantillas o de otro sistema biométrico.

(iii) El atacante modifica o borra las plantillas biométricas del almacenamiento.

(iv) El impostor intercepta una plantilla biométrica autorizada durante la transmisión entre los subsistemas de extracción de características y de almacenamiento de plantillas.

(7) Amenazas relacionadas con la recuperación de plantillas. Pueden identificarse varios casos:

(i) El impostor intercepta una plantilla biométrica autorizada durante la transmisión entre los subsistemas de almacenamiento de plantillas y de comparación.

(ii) El impostor inserta su propia plantilla biométrica directamente en el subsistema de comparación.

(8) Amenazas al gestor de recursos / administrador. Pueden identificarse varios casos:

(i) Un usuario autorizado hostil o un impostor puede adquirir los privilegios de administrador a través de: (a) Medios no biométricos, por ejemplo coacción, contraseña, sistema de backup, método de autenticación alternativa o un proceso de manipulación de excepciones. (b) Medios biométricos como los presentados en este perfil.

(ii) Un administrador no hostil (bajo coacción o no intencionadamente) o un usuario autorizado hostil o un impostor que ha adquirido los privilegios de administrador: (a) Modifica incorrectamente el umbral de comparación. (b) Modifica incorrectamente los privilegios de usuario. (c) Se le permite acceso no autorizado al almacenamiento de plantillas. (d) Se le permite modificación no autorizada del rastro-registro de auditoria. (e) Inscribe-registra un usuario no autorizado.

(iii) El administrador falla a la revisión adecuada y responde a las anomalías del rastro de auditoría.

(iv) El atacante modifica el umbral de comparación.

(9) Amenazas a la gestión de política / usuario. Pueden identificarse varios casos:

(i) El impostor se autentica como usuario autorizado a través de medios no biométricos como por ejemplo coacción, confabulación, contraseña, sistema de backup, método de autenticación alternativa o procedimiento de manipulación de excepciones.

(10) Amenazas a la gestión de política. Pueden identificarse varios casos:

(i) Inadecuada recogida de datos de auditoría para detectar ataques como los de intentos repetitivos.

(ii) El atacante modifica el identificador de usuario. (

11) Amenazas a la gestión de política / portal. Pueden identificarse varios casos:

(i) El atacante inserta una señal apropiada de “conceder privilegios” directamente en el portal, de este modo se salta todo el sistema biométrico.

(ii) El atacante corta la alimentación eléctrica al sistema biométrico, con lo cual bien: (a) El sistema falla en modo “abierto” o “inseguro” permitiendo accesos no autorizados o bien, (b) El sistema falla en modo “cerrado” o “seguro” no permitiendo accesos autorizados, en este caso el atacante estaría consiguiendo una denegación de servicios o ataque DoS.

(iii) El atacante vence al sistema de backup, al método de autenticación alternativo o al proceso de manipulación de excepciones: (a) Durante una operación normal o (b) Después de un fallo del sistema en modo seguro.

(12) Amenazas relacionadas con el portal. Pueden identificarse varios casos:

(i) El atacante gana acceso no autorizado con ayuda voluntaria o involuntaria (coacción, confabulación, piggybackking) a los privilegios de un usuario autorizado después de que el usuario haya sido autenticado.

(ii) El usuario gana acceso a privilegios no autorizados después de que los privilegios hayan sido incorrectamente modificados.

(13) Amenazas a todos los componentes hardware. Es decir amenazas al sensor biométrico, al hardware del portal, a los circuitos integrados, al hardware de entrada/salida, al computador, etc. Pueden identificarse varios casos:

(i) El atacante altera, modifica, se salta, o desactiva uno o más componentes hardware.

(ii) El atacante explota una “puerta trasera” del hardware, fallo del diseño, condiciones medioambientales o modo de fallo.

(iii) El atacante inunda uno o más componentes hardware con ruido, por ejemplo con señales de tipo electromagnético o acústico.

(iv) El impostor intercep-ta/inserta plantillas biométricas autorizadas procedentes de uno o más componentes hardware.

(14) Amenazas a todos los componentes software/firmware. Pueden identificarse varios casos:

(i) El atacante altera, modifica, se salta o desactiva uno o más componentes software o firmware ejecutables.

(ii) El atacante explota posibles “puertas traseras” del software o firmware (microprogramación), de un algoritmo caprichoso, de un fallo en el diseño o de un modo de fallo.

(iii) Un virus (malware o código malicioso) se introduce premeditadamente o fortuitamente en el sistema.

(iv) El impostor intercepta/inserta plantillas biométricas autorizadas procedentes de uno o más componentes software o firmware.

(15) Amenazas a todas las conexiones incluidas las amenazas de red. Pueden identificarse varios casos:

(i) El atacante altera, modifica, se salta o desactiva uno o más conexiones entre componentes.

(ii) El impostor intercepta o inserta una plantilla o una muestra biométrica cuando se está transmitiendo entre subsistemas o componentes.

Consideraciones finales

Nuestro grupo de trabajo lleva investigando casi dos décadas en torno a la biometría. Ha sintetizado diversos mecanismos, analizado despliegues en muy diversos entornos y evaluado posibles amenazas, implantando las contramedidas correspondientes.

Más información o presupuesto

Este artículo se enmarca en las actividades desarrolladas dentro del proyecto LEFIS-APTICE (financiado por Socrates 2005-2007. European Commission).

Autor:

Prof. Dr. Javier Areitio Bertolín

Catedrático de la Facultad de Ingeniería. ESIDE.

Director del Grupo de Investigación Redes y Sistemas. Universidad de Deusto .