lunes, 24 de julio de 2006

Suplantación biométrica

Lo que hasta ahora parecía solo posible en las películas de cine,
empieza a ser estudiado como una posible amenaza: engañar los sistemas
de identificación biométricos mediante suplantación.

La suplantación biométrica no es ninguna novedad. De hecho, cualquiera
que haya visto películas donde intervienen sistemas informáticos casi
seguro que ha visto algún ejemplo. Desde los más clásicos (cortar el
dedo para acceder a los sistemas protegidos mediante huella digital
o grabar la contraseña en una cinta magnetofónica) a los más
'sofisticados' de utilizar una lentilla para imitar el iris.

En el pasado algunas de estas 'hazañas cinematográficas' han sido
realizadas en entornos de laboratorio. Ya hace años se demostró
como muchos sistemas de reconocimiento de huella digital podían
ser fácilmente suplantados (afortunadamente no era necesario cortar
el dedo del usuario; un molde del dedo realizado con gelatina era más
que suficiente).

No obstante, el último aviso sobre la posibilidad de realizar una
suplantación biométrica ha venido de la laboratorio de biometría de
Deloitte & Touch: no es necesario el dedo, basta con disponer de la
huella digital, algo que solemos dejar en virtualmente cualquier sitio.
Para protegerse ante esta amenaza, algunos sistemas lectores verifican
que la huella suministrada tiene pulso, evitando así la lectura de
dedos y huellas artificiales.

Por ahora son únicamente pruebas de concepto a nivel de laboratorio:
recoger una huella digital y utilizarla para suplantar a un usuario
a través de un lector biométrico. No obstante, cabe recordar que los
sistemas biométricos no son habitualmente utilizados por lo que los
incentivos para los atacantes son reducidos. Ahora bien, la utilización
de un sistema de protección biométrico también suele ser un indicador
que allí hay algo de valor.

La lección importante que debe aprenderse de esto es que la biometría
trata con un elemento que no es secreto: hay elementos visibles que
pueden ser registrados (cara, iris...); la voz puede grabarse; por
allí donde pasamos solemos dejar muestras de ADN y huellas digitales.
En consecuencia, la biometría es un mal sustituto de los sistemas de
identificación, pero puede ser útil en sistemas de autenticación de
doble factor: no sólo es necesario demostrar que el dedo es nuestro,
también deberemos asegurar que sabemos algo, como una contraseña o
un PIN.


Xavier Caballé
xavi@hispasec.com


Más información:

The Future of Crime - Biometric Spoofing?
http://it.slashdot.org/article.pl?sid=06/07/21/1248204&from=rss

Scientists pore over biometric-spoofing tests
http://news.zdnet.co.uk/hardware/emergingtech/0,39020357,39243463,00.htm

Body Check. Biometric Access Protection Devices and their Programs Put to
the test
http://www.heise.de/ct/english/02/11/114/

Impact of Artificial Gummy Fingers on Fingerprint Systems
http://web.mit.edu/6.857/OldStuff/Fall03/ref/gummy-slides.pdf
http://cryptome.org/gummy.htm