domingo, 26 de mayo de 2002

La biometría en entredicho

Tras los acontecimientos del pasado 11 de Septiembre, muchas
organizaciones abogaron por el uso de medidas biométricas para mejorar
la seguridad en aeropuertos y lugares públicos, como estadios o parques
de atracciones. Las pruebas prácticas, sin embargo, muestran que el
valor de la tecnología biométrica actual es puro humo.
La biometría es la tecnología por medio de la cual la aceptación de un
individuo se realiza no mediante una clave que sólo él conoce o por una
llave que sólo él posee, sino por lo que es en sí mismo: huellas
dactilares, análisis facial, análisis de iris, reconocimiento de voz,
etc.

A pesar de presentar la tecnología como una panacea al problema de
claves inseguras o de pérdida o duplicación de elementos físicos de
seguridad, nunca se han señalado los problemas de la tecnología a la
hora de afrontar situaciones atípicas. ¿Qué ocurre, por ejemplo, si

* Un usuario confiable sufre una amputación del dedo, o daños en sus
yemas tras un fin de semana de bricolaje?

* Y si el usuario confiable sufre de ceguera parcial y no puede pasar el
escáner retiniano debido a sus cataratas y, como es de imaginar, no
existen mecanismos de autenticación de respaldo?

* Y si tras una larga noche tenemos ronquera y nuestra voz es
irreconocible?.

* Y si estamos afónicos o tenemos congestión nasal?.

Estas situaciones se pueden considerar atípicas, pero los sistemas
biométricos deben diseñarse para hacerles frente. En todo caso los
fabricantes nos dan la garantía de que en situaciones así lo peor que
puede ocurrir es que se le deniegue el acceso a un usuario legítimo,
pero que en ningún caso un atacante malicioso podrá colarse en el
sistema.

Más lamentable aún, muchas pruebas de campo recientes demuestran que,
incluso ante situaciones muy favorables, resulta trivial, en la mayoría
de los casos, provocar falsos positivos en los sistemas biométricos
evaluados. Es decir, que cualquier atacante puede pasar la verificación
de estos sistemas sin necesidad de poner en acción recursos
significativos.

En ese sentido la fiabilidad biométrica es muy inferior al de una
política de claves bien definida. Peor aún, proporcionan una sensación
de invulnerabilidad que, como se demuestra, es completamente irreal.



Jesús Cea Avión
jcea@hispasec.com


Más información:

Fun with Fingerprint Readers
http://www.counterpane.com/crypto-gram-0205.html#5

Gummi bears defeat fingerprint sensors
http://www.theregister.co.uk/content/55/25300.html

Biometric Access Protection Devices and their Programs Put to the Test
http://www.heise.de/ct/english/02/11/114/

Technology offers a feeling of security
http://www.usatoday.com/life/cyber/tech/2001/11/14/privacy-usat.htm

Face Recognition Technology Fails Again, ACLU Claims
http://www.technews.com/news/02/176621.html

Face-Scanning Loses by a Nose in Palm Beach
http://slashdot.org/article.pl?sid=02/05/27/0032212

Palm Beach Airport Won't Use Face-Scan Technology
http://www.mycfnow.com/orlpn/news/stories/news-148124920020526-160533.html

Slashback: Counterstrike, Identification, Patenxtortion
http://slashdot.org/article.pl?sid=02/05/16/1415230