Vista previa del material en texto
Estudio sobre las tecnologías biométricas aplicadas a la seguridad Página 1 de 100 Observatorio de la Seguridad de la Información Estudio sobre las tecnologías biométricas aplicadas a la seguridad OBSERVATORIO DE LA SEGURIDAD DE LA INFORMACIÓN Estudio sobre las tecnologías biométricas aplicadas a la seguridad Página 2 de 100 Observatorio de la Seguridad de la Información Edición: Diciembre 2011 El “Estudio sobre las tecnologías biométricas aplicadas a la seguridad” ha sido elaborado por el siguiente equipo de trabajo del Observatorio de la Seguridad de la Información de INTECO: Pablo Pérez San-José (dirección) Eduardo Álvarez Alonso (coordinación) Susana de la Fuente Rodríguez Laura García Pérez Cristina Gutiérrez Borge Correo electrónico del Observatorio de la Seguridad de la Información: observatorio@inteco.es La presente publicación pertenece al Instituto Nacional de Tecnologías de la Comunicación (INTECO) y está bajo una licencia Reconocimiento-No comercial 3.0 España de Creative Commons, y por ello está permitido copiar, distribuir y comunicar públicamente esta obra bajo las condiciones siguientes: • Reconocimiento: El contenido de este informe se puede reproducir total o parcialmente por terceros, citando su procedencia y haciendo referencia expresa tanto a INTECO como a su sitio web: www.inteco.es. Dicho reconocimiento no podrá en ningún caso sugerir que INTECO presta apoyo a dicho tercero o apoya el uso que hace de su obra. • Uso No Comercial: El material original y los trabajos derivados pueden ser distribuidos, copiados y exhibidos mientras su uso no tenga fines comerciales. Al reutilizar o distribuir la obra, tiene que dejar bien claro los términos de la licencia de esta obra. Alguna de estas condiciones puede no aplicarse si se obtiene el permiso de INTECO como titular de los derechos de autor. Nada en esta licencia menoscaba o restringe los derechos morales de INTECO. http://creativecommons.org/licenses/by-nc/3.0/es/ El presente documento cumple con las condiciones de accesibilidad del formato PDF (Portable Document Format). Así, se trata de un documento estructurado y etiquetado, provisto de alternativas a todo elemento no textual, marcado de idioma y orden de lectura adecuado. Para ampliar información sobre la construcción de documentos PDF accesibles puede consultar la guía disponible en la sección Accesibilidad > Formación > Manuales y Guías de la página http://www.inteco.es mailto:observatorio@inteco.es� http://creativecommons.org/licenses/by-nc/3.0/es/� http://www.inteco.es/Accesibilidad/Formacion_6/Manuales_y_Guias/guia_accesibilidad_en_pdf� http://www.inteco.es/� Estudio sobre las tecnologías biométricas aplicadas a la seguridad Página 3 de 100 Observatorio de la Seguridad de la Información ÍNDICE 1 INTRODUCCIÓN Y OBJETIVOS ..............................................................................10 1.1 Presentación ......................................................................................................10 1.2 Estudio sobre las tecnologías biométricas aplicadas a la seguridad ..................12 2 DISEÑO METODOLÓGICO ......................................................................................15 2.1 Fase 1: Búsqueda y análisis documental. ..........................................................15 2.2 Fase 2: Consulta a expertos ..............................................................................16 2.3 Fase 3: Elaboración del informe de conclusiones finales del proyecto ...............21 2.4 Fase 4: Elaboración de una guía práctica dirigida a usuarios ............................21 3 INTRODUCCIÓN A LAS TECNOLOGÍAS BIOMÉTRICAS .......................................22 3.1 Antecedentes .....................................................................................................22 3.2 Conceptos clave ................................................................................................23 3.3 Tipos, técnicas y tecnologías aplicadas a la biometría .......................................28 3.4 Comparativa de técnicas y tecnologías biométricas ...........................................39 4 ANÁLISIS DE LOS PROCESOS DE IDENTIFICACIÓN ...........................................45 4.1 Análisis de las técnicas aplicadas y tipos de identificación ................................45 4.2 Sistemas de autenticación de doble factor .........................................................47 5 BENEFICIOS DE LA UTILIZACIÓN DE LAS TECNOLOGÍAS BIOMÉTRICAS .........50 5.1 Para las entidades usuarias ...............................................................................50 5.2 Para los usuarios finales ....................................................................................52 6 USOS Y APLICACIONES DE LAS TECNOLOGÍAS BIOMÉTRICAS ........................55 6.1 Aplicaciones actuales ........................................................................................56 6.2 Aplicaciones en fase de desarrollo ....................................................................60 7 CASOS DE ÉXITO ...................................................................................................62 Estudio sobre las tecnologías biométricas aplicadas a la seguridad Página 4 de 100 Observatorio de la Seguridad de la Información 7.1 Acceso rápido a fronteras aeroportuarias (España) ...........................................62 7.2 Gestión de ayudas públicas (Polonia) ................................................................65 8 MARCO REGULATORIO .........................................................................................68 8.1 Normativa legal ..................................................................................................68 8.2 Informes Jurídicos y jurisprudencia ....................................................................72 8.3 Estándares internacionales ................................................................................76 9 GESTIÓN DE RIESGOS ..........................................................................................79 9.1 Amenazas y vulnerabilidades en los procesos ...................................................79 9.2 Métodos de solución y prevención .....................................................................84 10 CONCLUSIONES .................................................................................................87 10.1 Conclusiones generales .....................................................................................87 10.2 Fortalezas y oportunidades ................................................................................88 10.3 Debilidades y posibles riesgos ...........................................................................89 11 RECOMENDACIONES .........................................................................................90 11.1 Recomendaciones dirigidas a las organizaciones ..............................................90 11.2 Recomendaciones dirigidas a la industria ..........................................................92 11.3 Recomendaciones dirigidas a las Administraciones Públicas ............................93 11.4 Recomendaciones para legisladores y agentes de estandarización ..................94 ANEXO I: BIBLIOGRAFÍA ................................................................................................95 ANEXO II: ÍNDICES DE TABLAS, GRÁFICOS E ILUSTRACIONES ...............................97 Índice de tablas ............................................................................................................97 Índice de gráficos .........................................................................................................97 Índice de ilustraciones ..................................................................................................97Estudio sobre las tecnologías biométricas aplicadas a la seguridad Página 5 de 100 Observatorio de la Seguridad de la Información PUNTOS CLAVE INTECO, con la misión de aportar valor y desarrollar la Sociedad del Conocimiento a través de proyectos en el marco de la innovación y la tecnología, publica el Estudio sobre las tecnologías biométricas aplicadas a la seguridad. En el mercado existen múltiples soluciones biométricas diferenciadas tanto por la técnica que emplean como por la funcionalidad que ofrecen, sin embargo todas ellas están orientadas al reconocimiento de personas físicas. Esta finalidad última supone el tratamiento de datos de carácter personal, por lo que la privacidad se convierte en un aspecto especialmente relevante en el ámbito de la biometría. La metodología utilizada para la realización del estudio y la consecuente publicación del presente informe está fundamentada en dos aspectos complementarios. En primer lugar, se basa en el análisis documental, para lo cual se han inventariado las fuentes de información que disponen y publican estudios, informes o trabajos relacionados con la biometría y se han analizado las principales conclusiones de aquellos informes que contienen información actual y útil para realizar este estudio. Paralelamente, se ha consultado mediante entrevista a diferentes actores de la industria de la biometría a nivel mundial, involucrando a fabricantes, distribuidores, expertos en derecho, consultores e investigadores. Así mismo, se ha realizando un análisis detallado de dos casos de éxito reconocidos internacionalmente. Esta diversidad de colectivos participantes en el estudio permite, junto al análisis de los informes y reportes, conocer el estado actual de los sistemas biométricos desde diferentes puntos de vista, identificando así los principales puntos a favor y oportunidades y los puntos en contra y posibles riesgos que afrontan actualmente. I. Introducción a las tecnologías biométricas El análisis documental ha permitido la identificación de las principales técnicas biométricas existentes. Si bien algunas de ellas aún se encuentran en estados de madurez insuficientes para poder encontrarse en el mercado de una forma eficiente y razonable en cuanto a costes, muchas otras se encuentran suficientemente maduras y ofrecen actualmente soluciones de autenticación en muy diversos ámbitos. Las técnicas biométricas existentes se clasifican en función del rasgo humano analizado, el cual puede ser fisiológico –donde encontramos el reconocimiento de huella dactilar, de iris, de retina y de rostro, entre otros– o de comportamiento –donde se encuentran el reconocimiento de voz, de firma o de la manera de andar, entre otros–. Estudio sobre las tecnologías biométricas aplicadas a la seguridad Página 6 de 100 Observatorio de la Seguridad de la Información El estudio revela que el reconocimiento de huella dactilar y el reconocimiento de iris son las técnicas actualmente más extendidas en el sector de la biometría. Los principales motivos de la expansión de ambas técnicas, se basan principalmente en que se trata de métodos de autenticación muy poco intrusivos con los usuarios finales y en que ambas técnicas fueron de las primeras en ser concebidas, lo que ha permitido por un lado su mayor desarrollo y evolución hacia una reducción de costes de implementación, y por otro lado, la confianza por parte de los ciudadanos que reduce la resistencia inicial al uso de nuevas tecnologías. II. Análisis de los procesos de identificación basados en biometría El progresivo avance de las tecnologías biométricas ha supuesto la progresión de la forma unimodal a sistemas de autenticación de doble factor, que pueden incorporar más de una tecnología biométrica –biometría bimodal– o combinar el uso de la biometría con otros sistemas como tarjetas de identificación o contraseñas. Es por ello que los expertos señalan que la combinación de técnicas biométricas con otros sistemas de reconocimiento, es habitualmente un aspecto clave para el éxito de los sistemas de autenticación. III. Beneficios de la utilización de las tecnologías biométricas La aplicación de tecnologías biométricas reporta diferentes beneficios, tanto para las organizaciones como para los propios usuarios. Los beneficios para las entidades se centran en el aumento de los niveles de seguridad, la reducción de las posibilidades de fraude interno y la reducción en los costes de mantenimiento de los sistemas de seguridad y autenticación. Por su parte, los usuarios pueden ver como aumenta su comodidad al no tener que recordar múltiples y complejas contraseñas, podrán realizar tramitaciones remotas con mayor seguridad y en el caso de operaciones presenciales podrán ver reducidos los tiempos de espera. Por otra parte, su privacidad puede verse reforzada si el acceso a sus datos personales se realiza mediante autenticación biométrica. IV. Usos y aplicaciones de las tecnologías biométricas Independientemente de la técnica empleada, los sistemas biométricos son utilizados en muy diversos entornos y con muy diversas finalidades. En base a las entrevistas realizadas, la principal finalidad para la cual se utilizan sistemas biométricos es el control de acceso (tanto físico como lógico) a edificios, zonas restringidas y sistemas de información. Sin embargo, en el mercado actualmente se encuentran técnicas biométricas empleadas con objetivos como el control de presencia, el control de fronteras, la lucha contra el fraude y la investigación de delitos. Estudio sobre las tecnologías biométricas aplicadas a la seguridad Página 7 de 100 Observatorio de la Seguridad de la Información La utilización de sistemas de reconocimiento basados en biometría supone grandes beneficios para las organizaciones o entidades que los implantan en aspectos como la reducción de costes, el aumento de la seguridad y la eficiencia, y la mejora de la imagen corporativa. También supone grandes beneficios para los usuarios finales en relación a su comodidad, reducción de tiempos de espera, posibilidad de realizar tramitaciones remotas y mayor salvaguarda de su privacidad entre otras. Se puede destacar también una serie de aplicaciones en fase de desarrollo que han sido identificadas en el análisis documental y comentadas por los expertos que han colaborado en el proceso de consulta. Actualmente se están desarrollando soluciones para facilitar la autenticación a distancia, verificar diferentes medios de pago y mejorar los sistemas de control parental y de vigilancia en general. Es especialmente reseñable el desarrollo que se está produciendo de sistemas biométricos para la autenticación de usuarios que realizan transacciones mediante teléfonos móviles. V. Casos de éxito En el presente estudio, se han seleccionado dos casos de éxito específicos, principalmente por su diversidad en cuanto a finalidad y tecnología empleada: • Acceso rápido a fronteras aeroportuarias en España. • Gestión de ayudas públicas en Polonia. En ambos casos destaca la comodidad para los usuarios que ha supuesto la implantación de sistemas biométricos, y la eficiencia conseguida por parte de las organizaciones, las cuales han podido destinar sus recursos, que previamente destinaban al reconocimiento de personas, a otras funciones. VI. Marco regulatorio Los datos biométricos son considerados datos de carácter personal por las diferentes autoridades nacionales y europeas de protección de datos. Es por ello que deben aplicarse los principios establecidos en la Ley Orgánica de Protección de Datos de Carácter Personal y las medidas de seguridad establecidas en su Reglamento de Desarrollo. En el presente informe se puede observar una recolección de legislación y jurisprudencia de aplicación señalados por los expertos consultados así como los principales estándares asociados a cada técnica biométrica. Según señalan los expertos la regulación actual en Españaen materia de protección de datos es suficiente para regular el ámbito de la biometría. Sin embargo, de cara a unificar criterios y atender a una especial sensibilidad de la población, podría ser conveniente Estudio sobre las tecnologías biométricas aplicadas a la seguridad Página 8 de 100 Observatorio de la Seguridad de la Información desarrollar una regulación específica para la biometría. Para ello, se debería evitar una normativa excesivamente rígida que impida o dificulte el uso de la biometría o que no se pueda adaptar fácilmente a los futuros desarrollos. Paralelamente, los expertos también señalan la conveniencia de avanzar en la regulación legislativa relativa a la suplantación de identidad, una de las mayores amenazas identificadas. Por otro lado, se observa en la jurisprudencia analizada la criticidad de la necesidad de dar cumplimiento al deber de información establecido en la LOPD por parte de las entidades que implantan sistemas de reconocimiento biométrico para sus empleados. VII. Gestión de riesgos No obstante, en la elaboración del presente estudio se han identificado un conjunto de amenazas y vulnerabilidades intrínsecamente ligados a la utilización de tecnologías de reconocimiento basadas en biometría. En este sentido, los expertos destacan principalmente las siguientes: • Idoneidad de la implantación: Es necesario un análisis previo para llevar a cabo la implantación de sistemas apropiados. • Suplantación de identidad: Como en todo sistema de autenticación, es una de las principales amenazas. • Alteración de rasgos: En ocasiones, voluntaria o involuntariamente los rasgos biométricos de las personas pueden verse alterados. • Aceptación cultural: La idiosincrasia cultural de cada país puede suponer un inconveniente para la implantación de determinados sistemas de reconocimiento. • Desconocimiento: En ocasiones las entidades que podrían estar interesadas desconocen la calidad o el abanico de productos y utilidades disponibles. • Percepción negativa: Percepción de ausencia de privacidad por parte de los usuarios. Con el objetivo de gestionar los riesgos identificados, los expertos señalan métodos se solución y prevención de los mismos que facilitan la implantación exitosa de sistemas biométricos. En este sentido, cabe destacar la detección de vida, la utilización de biometría en movimiento, el almacenamiento seguro de muestras, la formación de los usuarios finales y la realización de un análisis previo a la implantación. Estudio sobre las tecnologías biométricas aplicadas a la seguridad Página 9 de 100 Observatorio de la Seguridad de la Información VIII. Recomendaciones y buenas prácticas Por último, durante el proceso de elaboración del presente estudio se ha recopilado un conjunto de recomendaciones dirigidas a los diferentes actores del sector de la biometría donde cabe destacar las siguientes. • Realización de un análisis detallado previo a la implantación. • Utilización de tecnología de calidad. • Informar y formar a los usuarios de los sistemas. • Garantizar la seguridad de los datos biométricos. • Alineamiento entre mercado e investigadores. • Divulgación hacia la ciudadanía e inversión en desarrollo de nuevas tecnologías. Estudio sobre las tecnologías biométricas aplicadas a la seguridad Página 10 de 100 Observatorio de la Seguridad de la Información 1 INTRODUCCIÓN Y OBJETIVOS 1.1 PRESENTACIÓN 1.1.1 Instituto Nacional de Tecnologías de la Comunicación El Instituto Nacional de Tecnologías de la Comunicación, S.A. (INTECO), es una sociedad estatal adscrita al Ministerio de Industria, Turismo y Comercio a través de la Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información. INTECO es un centro de desarrollo de carácter innovador y de interés público de ámbito nacional que se orienta a la aportación de valor, a la industria y a los usuarios, y a la difusión de las nuevas tecnologías de la información y la comunicación (TIC) en España, en clara sintonía con Europa. Su objetivo fundamental es servir como instrumento para desarrollar la Sociedad de la Información, con actividades propias en el ámbito de la innovación y el desarrollo de proyectos asociados a las TIC, basándose en tres pilares fundamentales: la investigación aplicada, la prestación de servicios y la formación. La misión de INTECO es aportar valor e innovación a los ciudadanos, a las PYMES, a las Administraciones Públicas y al sector de las tecnologías de la información, a través del desarrollo de proyectos que contribuyan a reforzar la confianza en los servicios de la Sociedad de la Información en nuestro país, promoviendo además una línea de participación internacional. Para ello, INTECO desarrolla actuaciones en las siguientes líneas: • Seguridad Tecnológica: INTECO está comprometido con la promoción de servicios de la Sociedad de la Información cada vez más seguros, que protejan los datos personales de los interesados, su intimidad, la integridad de su información y eviten ataques que pongan en riesgo los servicios prestados. Y por supuesto que garanticen un cumplimiento estricto de la normativa legal en materia de TIC. Para ello coordina distintas iniciativas públicas en torno a la seguridad de las TIC, que se materializan en la prestación de servicios por parte del Observatorio de la Seguridad de la Información, el Centro de Respuesta a Incidentes de Seguridad en Tecnologías de la Información (INTECO-CERT) con su Centro Demostrador de Tecnologías de Seguridad, y la Oficina de Seguridad del Internauta, de los que se benefician ciudadanos, PYMES, Administraciones Públicas y el sector tecnológico. • Accesibilidad: INTECO promueve servicios de la Sociedad de la Información más accesibles, que supriman las barreras de exclusión, cualquiera que sea la dificultad o carencia técnica, formativa, etc., incluso discapacidad, que tengan sus Estudio sobre las tecnologías biométricas aplicadas a la seguridad Página 11 de 100 Observatorio de la Seguridad de la Información usuarios. Y que faciliten la integración progresiva de todos los colectivos de usuarios, de modo que todos ellos puedan beneficiarse de las oportunidades que ofrece la Sociedad de la Información. Asimismo desarrolla proyectos en el ámbito de la accesibilidad orientados a garantizar el derecho de ciudadanos y empresas a relacionarse electrónicamente con las AA.PP. • Calidad TIC: INTECO promueve unos servicios de la Sociedad de la Información que cada vez sean de mayor calidad, que garanticen unos adecuados niveles de servicio, lo cual se traduce en una mayor robustez de aplicaciones y sistemas, un compromiso en la disponibilidad y los tiempos de respuesta, un adecuado soporte para los usuarios, una información precisa y clara sobre la evolución de las funcionalidades de los servicios, y en resumen, servicios cada vez mejores. En esta línea impulsa la competitividad de la industria del Software a través de la promoción de la mejora de la calidad y la certificación de las empresas y profesionales de la ingeniería del software. • Formación: la formación es un factor determinante para la atracción de talento y para la mejora de la competitividad de las empresas. Por ello, INTECO impulsa la formación de universitarios y profesionales en las tecnologías más demandadas por la industria. 1.1.2 Observatorio de la Seguridad de la Información El Observatorio de la Seguridad de la Información se inserta dentro de la línea estratégica de actuación de INTECO en materia de Seguridad Tecnológica. Nace con el objetivo de describir de manera detallada y sistemática el nivel de seguridad y confianza en la Sociedad de la Información y de generar conocimiento especializado en la materia. De este modo, se encuentra al servicio de los ciudadanos, las empresas y las administraciones públicas españolas para describir, analizar, asesorar y difundir la cultura de la seguridad de la informacióny la e-confianza. El Observatorio ha diseñado un Plan de Actividades y Estudios con el objeto de producir conocimiento especializado y útil en materia de seguridad por parte de INTECO, así como de elaborar recomendaciones y propuestas que definan tendencias válidas para la toma de decisiones futuras por parte de los poderes públicos. Dentro de este plan de acción se realizan labores de investigación, análisis, estudio, asesoramiento y divulgación que atenderán, entre otras, a las siguientes estrategias: • Elaboración de estudios e informes propios en materia de seguridad de las Tecnologías de la Información y la Comunicación, con especial énfasis en la Seguridad en Internet. Estudio sobre las tecnologías biométricas aplicadas a la seguridad Página 12 de 100 Observatorio de la Seguridad de la Información • Seguimiento de los principales indicadores y políticas públicas relacionadas con la seguridad de la información y la confianza en el ámbito nacional e internacional. • Generación de una base de datos que permita el análisis y evaluación de la seguridad y la confianza con una perspectiva temporal. • Impulso de proyectos de investigación en materia de seguridad TIC. • Difusión de estudios e informes publicados por otras entidades y organismos nacionales e internacionales, así como de información sobre la actualidad nacional y europea en materia de la seguridad y confianza en la Sociedad de la Información. • Asesoramiento a las Administraciones Públicas en materia de seguridad de la información y confianza, así como el apoyo a la elaboración, seguimiento y evaluación de políticas públicas en este ámbito. 1.2 ESTUDIO SOBRE LAS TECNOLOGÍAS BIOMÉTRICAS APLICADAS A LA SEGURIDAD El presente estudio surge de la necesidad de conocer el nivel de desarrollo y confianza de las tecnologías biométricas así como su capacidad para afrontar los riesgos existentes y sus futuras líneas de desarrollo. Para la realización del mismo se plantean una serie objetivos que se desarrollan a continuación. 1.2.1 Objetivos generales El objetivo general de este estudio es el análisis de las técnicas biométricas existentes, sus diferentes usos y aplicaciones, amenazas y vulnerabilidades a las que están expuestas las tecnologías biométricas. Este análisis se basará en la percepción de expertos en diversos campos así como en la documentación ya publicada. Otro objetivo de este análisis es la propuesta de recomendaciones de actuación o buenas prácticas a usuarios, pequeñas y medianas empresas, industria y Administraciones Públicas para impulsar el cumplimiento de estándares, el conocimiento y el desarrollo de la biometría. 1.2.2 Objetivos específicos Los anteriores objetivos se desglosan operativamente en los siguientes objetivos específicos que permiten, además, orientar la estructura temática del presente informe. Estudio sobre las tecnologías biométricas aplicadas a la seguridad Página 13 de 100 Observatorio de la Seguridad de la Información Introducción a las tecnologías biométricas • Describir el concepto de biometría, los antecedentes existentes así como conceptos clave relacionados. • Identificar los tipos de tecnologías biométricas existentes en el mercado. • Establecer una comparativa de las diferentes tecnologías identificadas, clasificándolas en función de su grado de madurez y de implantación en el mercado, considerando también, entre otros, aspectos como la relación coste/beneficio. Análisis de los procesos de identificación basados en biometría • Describir las técnicas aplicadas y los tipos de identificación. • Comparar las tecnologías biométricas frente a otros tipos de sistemas de identificación describiendo las posibles ventajas. • Analizar la autenticación de doble factor en relación a la biometría. Beneficios de la utilización de las tecnologías biométricas • Identificar las ventajas que la biometría reporta a los usuarios • Identificar los puntos clave del beneficio para las organizaciones al implantar sistemas biométricos. Usos y aplicaciones de las tecnologías biométricas • Analizar e identificar las principales aplicaciones actuales de la biometría. • Identificar los diferentes sectores de especial relevancia en el ámbito biométrico. • Estudiar las posibilidades de expansión a otras áreas de la tecnología a medio plazo. • Conocer las áreas de investigación que resulten interesantes para el desarrollo e implantación de tecnologías biométricas en el mercado. Regulación: legislación y estándares internacionales desarrollados • Identificar y analizar la legislación actualmente aplicable. • Identificar los estándares internacionales existentes. Estudio sobre las tecnologías biométricas aplicadas a la seguridad Página 14 de 100 Observatorio de la Seguridad de la Información Gestión de riesgos • Identificar las amenazas y vulnerabilidades que puedan comprometer la seguridad o la confianza en estos procesos. • Analizar los métodos de solución y prevención que permiten gestionar los riesgos identificados previamente. Recomendaciones • Conocer las buenas prácticas relativas a los momentos de decisión e implantación de tecnologías biométricas en pequeñas y medianas empresas. • Analizar el uso de estándares, auto-regulación y áreas de desarrollo en la industria biométrica. • Identificar políticas de instauración y concienciación recomendables para las Administraciones Públicas. Estudio sobre las tecnologías biométricas aplicadas a la seguridad Página 15 de 100 Observatorio de la Seguridad de la Información 2 DISEÑO METODOLÓGICO Esta investigación se ha desarrollado siguiendo un enfoque cualitativo al tiempo que se han utilizado datos cuantitativos procedentes de otras investigaciones como complemento. Las fases en que se ha abordado han sido: • Fase 1: Recopilación y estudio de informes. • Fase 2: Entrevistas a expertos, sesión de trabajo y aportación 2.0. • Fase 3: Elaboración del informe de conclusiones finales del proyecto. • Fase 4: Elaboración de una guía práctica dirigida a usuarios sobre seguridad y confianza en el uso de las tecnologías biométricas. 2.1 FASE 1: BÚSQUEDA Y ANÁLISIS DOCUMENTAL. Esta etapa ha abarcado el análisis de la situación actual de las tecnologías biométricas en relación a su grado de madurez, ventajas, inconvenientes, así como las tendencias futuras en función de la industria o el sector. Para la consecución de estos objetivos se han inventariado las fuentes de información que disponen y publican estudios, informes y/o trabajos relacionados con la biometría. Finalmente, se han analizado y extraído las principales conclusiones de aquellos informes que contienen información actual y útil para el presente estudio. Es importante destacar que una gran parte de estas publicaciones pertenecen a entidades públicas o privadas cuyo ámbito de estudio se sitúa en Norteamérica (Estados Unidos y Canadá) u otros países europeos más desarrollados desde el punto de vista del objeto del presente estudio. En el Anexo I: Bibliografía se incluye una relación de las publicaciones consideradas en la realización del informe. Todas ellas son propiedad de las siguientes entidades: • Air University • Central Institute of Technology of Kokrajhar • Centre for European Policy Studies • Complete Consultants Worldwide • Computer Law & Security Review • Deloitte • École Polytechnique Fédérale de Lausanne • European Commitee for Standarization Estudio sobre las tecnologías biométricas aplicadas a la seguridad Página 16 de 100 Observatorio de la Seguridad de la Información • Forrester • Gartner • Institute of Electrical and Electronics Engineer • Iqra University • Michigan State University • National Institute of Standards and Technology (NIST) • Sri Jayachamarajendra College of Engineering • Trub AG • Unión Europea • Universidad Carlos III de Madrid • Universidad de Deusto • Universidaddel País Vasco • Università di Bologna • University of Arkansas • University of Kebangsaan 2.2 FASE 2: CONSULTA A EXPERTOS Esta fase del proyecto se ha destinado a consultar la opinión de expertos sobre los diferentes ámbitos de análisis propuestos para el estudio. 2.2.1 Selección de expertos Los perfiles que han abarcado los expertos participantes en la investigación son los siguientes: • Fabricantes de sistemas biométricos: ofrecen la visión del fabricante de este tipo de sistemas, aportando especialmente su perspectiva sobre el desarrollo del mercado, las debilidades y barreras actuales además de las expectativas que tiene la industria. Pueden aportar su conocimiento sobre el marco regulatorio actual y los estándares. • Distribuidores de sistemas biométricos: aportan la visión desde un punto de vista de negocio y demanda de clientes en cuanto al mercado actual de sistemas biométricos, las necesidades de los clientes y las barreras a la que se enfrentan a la hora de acceder a este tipo de soluciones. • Integradores / consultores: contribuyen a la investigación con su experiencia en la implantación de sistemas biométricos, sobre todo desde el punto de vista de las buenas prácticas de seguridad y de los riesgos que se deben tener en cuenta en el momento de la adopción de estas tecnologías. También pueden complementar la visión existente sobre las necesidades de los clientes y el uso que actualmente están teniendo las tecnologías biométricas. Estudio sobre las tecnologías biométricas aplicadas a la seguridad Página 17 de 100 Observatorio de la Seguridad de la Información • Expertos en seguridad informática: brindan una visión más objetiva sobre el uso y aplicación de las tecnologías biométricas respecto a la seguridad de la información, identificación de personas y control de accesos. También resulta relevante su conocimiento sobre los riesgos y debilidades de este tipo de tecnologías y las buenas prácticas a tener en cuenta para su despliegue y uso eficaz. • Expertos en derecho en nuevas tecnologías: ofrecen al estudio su visión desde el punto de vista jurídico sobre las precauciones y/o limitaciones existentes en la aplicación de este tipo de tecnologías. • Usuarios finales: aportan al estudio la experiencia del cliente final a la hora de adoptar tecnologías biométricas y las posibles necesidades que pueden cubrir con las mismas. Su participación ayuda también a analizar las barreras de entrada existentes y obtener una visión sobre el grado de aplicación de las mismas en la actualidad. Aquellos usuarios que hayan abordado proyectos de implantación de este tipo de tecnologías ayudarán a contemplar el catálogo de buenas prácticas. • Investigadores / académicos: contribuyen con su opinión sobre el futuro de este tipo de tecnologías y los condicionantes existentes en relación a su evolución y adecuación a nuevas necesidades. También aportan al proyecto su visión sobre otro tipo de aplicaciones que pueden tener estas tecnologías. • Expertos internacionales: brindan al proyecto una visión integral del estado de desarrollo de estas tecnologías fuera del ámbito nacional y la evolución que puede tener esta industria de manera más global. También aportan conocimiento sobre cuáles son los líderes desde un punto de vista de fabricación e implantación de soluciones biométricas. • Casos de éxito: ofrecen ejemplos sobre implantaciones de soluciones biométricas (tanto a pequeña escala como despliegues más significativos) ilustrando el proceso de adopción de este tipo de tecnologías y analizando los beneficios aportados por su implantación. Se señalan a continuación las instituciones y profesionales que han colaborado en la realización del estudio: • Agnitio. Javier Castaño y Marta García-Gomar, Socio fundador y Directora de tecnología. • Avalon Biometrics. Ion Otazua y Javier Pérez, Strategic account manager y Project manager. Estudio sobre las tecnologías biométricas aplicadas a la seguridad Página 18 de 100 Observatorio de la Seguridad de la Información • ByTech. Sebastián González Andino, Responsable del departamento de firmware. • Caixa Penedés. Mario Torres, Analista de seguridad. • Centro per la Scienza, la Società e la Cittadinanza de Roma. Emilio Mordini, Director. • Consiglio Nazionalle delle Ricerche (CNR). Mario Savastano, Senior researcher. • Deloitte Abogados. Norman Heckh, Director. • Deloitte. Srini Subramanian, Director. • Escuela Universitaria de Mataró. Marcos Faúndez, Director. • Ganetec. Jesús Tejedor, Ramón Llorca y Miquel Mora, R & D Software engineers y Gerente. • Grupo Comex. Juan García e Ignacio Vilalta, Director de operaciones y Calidad. • Grupo Spec. Maria del Carmen González Hernández y Antonio Tomasa, Directora comercial y Director de I+D. • Guardia Civil. José Juan Lucena Molina, Teniente Coronel. • Hitachi. Peter Jones, Business Manager. • HR Access. Cristina Sirera, Responsable jurídico. • Icarvision. Alejandro Haro, Director comercial. • Indra. David Pérez, Gerente de seguridad. • Mobbeel. José Luis Huertas, Director general. • National Institute of Standards and Technology (NIST). Dr. Elaine Newton, Senior Advisor for Identity Technologies. • San José State University. Jim Wayman, Director del departamento ‘National Biometric Test Center’. • Tredess. Alfonso Represa, Jefe de Producto Video Supervisión. • Universidad Autónoma de Madrid. Ignacio Garrote, Profesor. Estudio sobre las tecnologías biométricas aplicadas a la seguridad Página 19 de 100 Observatorio de la Seguridad de la Información • Universidad Autónoma de Madrid. Javier Ortega-García, Director del ATVS – Área de Tratamiento de Voz y Señales. • Universidad Carlos III de Madrid. Raúl Sánchez Reillo, Director del GUTI - Grupo Universitario de Tecnologías de Identificación. • Universidad de las Palmas de Gran Canaria. Miguel Ángel Ferrer y Carlos Travieso, Investigadores. • VaniOS. Jorge Urios, CEO. Desde INTECO se les agradece su colaboración y disponibilidad. 2.2.2 Realización de entrevistas Las entrevistas desarrolladas con los expertos han seguido el siguiente guión: a) Presentación y detalles del experto: presentación, principales campos de actuación y experiencia en proyectos biométricos. b) Madurez de las tecnologías biométricas: general y según tecnologías y sectores. Referencia a casos de éxito conocidos. c) Regulación aplicable: opinión sobre la legislación y las estandarizaciones existentes y las necesidades futuras al respecto. d) Riesgos y amenazas de las tecnologías biométricas: inconvenientes a la hora de la implantación, aspectos de mejora, amenazas, controles compensatorios y causa de las vulnerabilidades de las tecnologías biométricas. e) Recomendaciones: beneficios de la implantación de tecnologías biométricas y recomendaciones a usuarios, industria, legisladores y Administraciones Públicas. f) Opinión de los ciudadanos: percepción general de los ciudadanos sobre las tecnologías biométricas. g) Futuro de las tecnologías biométricas: visión sobre el futuro a medio y largo plazo, líneas de investigación más interesantes y sectores proclives a la implantación. 2.2.3 Investigación cualitativa 2.0 Como complemento a la fase cualitativa estrictu sensu, para ampliar la participación de otros especialistas así como recabar la opinión de otros interesados en la materia se ha realizado una consulta a foros profesionales mediante la promoción de debates en LinkedIn, una de las mayores redes profesionales del mundo en Internet. Estudio sobre las tecnologías biométricas aplicadas a la seguridad Página 20 de 100 Observatorio de la Seguridad de la Información Así, dentro del grupo “Biometrics Network & Forum”’ – grupo existente con anterioridad a esta investigación y constituido por 3.000 profesionales de la biometría – se han lanzado una serie de preguntas acerca de experiencia, casos de éxito, barreras en laimplementación y futuro de la biometría. Las conclusiones al respecto se han sumado a las ya obtenidas en las entrevistas realizadas. 2.2.4 Sesión de trabajo La fase de investigación cualitativa se ha completado con una sesión de trabajo en la que se han expuesto las principales conclusiones obtenidas durante la investigación para su valoración por parte del panel de expertos. Para la realización de esta sesión de análisis de conclusiones se ha empleado una herramienta software (Power Vote), de fácil uso, que permite gestionar reuniones en grupo de forma interactiva, explorando las distintas opiniones y posibilidades que se van planteando y obteniendo aquellas consideraciones que cuentan con mayor aceptación (gracias a un la utilización de unos terminales de votación inalámbricos que utilizan los asistentes a la reunión para analizar cada aspecto a debatir). Además, a partir de la preparación inicial de los temas a tratar en la reunión es posible añadir, modificar o eliminar información a medida que avanza el debate, en función de los hechos recogidos. Esta característica facilita la gestión de reuniones de forma dinámica y flexible, permitiendo obtener conclusiones en tiempo real. Se plantearon un total de 18 conclusiones que fueron valoradas y votadas por los siguientes expertos: • Javier Castaño (Agnitio) • Ion Otazua y Javier Pérez (Avalon Biometrics) • Sebastián González (Bytech) • Raúl Alonso (Carlos III de Madrid) • Norman Heckh (Deloitte Abogados) • Ramón Llorca (Ganetec) • Daniel Cuesta (Indra) • Pablo Pérez (INTECO) • Jorge Urios (VaniOS) Estudio sobre las tecnologías biométricas aplicadas a la seguridad Página 21 de 100 Observatorio de la Seguridad de la Información Las conclusiones obtenidas en esta sesión se han tenido en cuenta para refrendar aspectos detectados y aclarar determinadas cuestiones. 2.3 FASE 3: ELABORACIÓN DEL INFORME DE CONCLUSIONES FINALES DEL PROYECTO Una vez finalizadas las etapas correspondientes a los trabajos de investigación, se documentan y exponen las conclusiones alcanzadas en el informe final. En la elaboración del presente informe se recoge el análisis y las conclusiones de la investigación, junto con las recomendaciones de actuación dirigidas a los usuarios, a la industria y a las Administraciones Públicas. 2.4 FASE 4: ELABORACIÓN DE UNA GUÍA PRÁCTICA DIRIGIDA A USUARIOS En paralelo a la realización del estudio sobre el nivel de desarrollo y confianza de las tecnologías biométricas, y aprovechando los resultados del mismo, se ha elaborado una guía divulgativa con la intención de dar a conocer las diferentes tecnologías biométricas, sus diferentes usos y aplicaciones, los riesgos a los que están expuestas y desarrollar un catálogo de buenas prácticas y recomendaciones. Estudio sobre las tecnologías biométricas aplicadas a la seguridad Página 22 de 100 Observatorio de la Seguridad de la Información 3 INTRODUCCIÓN A LAS TECNOLOGÍAS BIOMÉTRICAS 3.1 ANTECEDENTES La biometría es un método de reconocimiento de personas basado en sus características fisiológicas o de comportamiento. Se trata de un proceso similar al que habitualmente realiza el ser humano reconociendo e identificando a sus congéneres por su aspecto físico, su voz, su forma de andar, etc. En la actualidad, la tecnología ha permitido automatizar y perfeccionar estos procesos de reconocimiento biométrico, de forma que tienen multitud de aplicaciones y finalidades –y especialmente aquellas relacionadas con la seguridad– algunas de las cuales se expondrán a lo largo del presente informe. Los primeros antecedentes de los que se tiene referencia sobre la biometría datan de hace más de mil años en China, donde los alfareros comenzaron a incluir sus huellas dactilares en los productos que realizaban como símbolo de distinción o firma, lo que les permitía diferenciarse del resto. Sin embargo, no fue hasta finales del siglo XIX cuando Alphonse Bertillon –antropólogo francés que trabajó para la policía– comenzó a dar a la biometría el carácter de ciencia, profesionalizando su práctica. Basaba su teoría en que una cierta combinación de medidas del cuerpo humano era invariable en el tiempo, lo que permitió dar solución al problema de identificar a los criminales convictos a lo largo de toda su vida. El sistema de Bertillon o “Antropometría”, que incluía, entre otras, medidas como el largo y ancho de la cabeza o la longitud del pie izquierdo y del antebrazo, se comenzó a utilizar comúnmente a lo largo de todo el mundo. Sin embargo, su efectividad se puso en duda al presentarse algunos problemas en el uso de diferentes medidas y, especialmente, por las dificultades en la diferenciación de sujetos extremadamente similares como los gemelos. Esta desacreditación hizo que Sir Edward Henry, Inspector General de la Policía de Bengala, buscase otras técnicas y se interesase por las investigaciones de Sir Francis Galton, el cual utilizaba la huella dactilar como método de identificación. Primero en Bengala y posteriormente en Londres (1901), Sir Edward Henry estableció su oficina de huella dactilar exitosamente y consiguió rápidamente la aceptación de la comunidad a nivel mundial. Así, los métodos utilizados en oriente desde siglos atrás fueron introducidos exitosamente en occidente. Ya a comienzo de los años 70, Shearson Hamil, una empresa de Wall Street, instaló Identimat, un sistema de identificación automática basado en huella dactilar que se utilizó Estudio sobre las tecnologías biométricas aplicadas a la seguridad Página 23 de 100 Observatorio de la Seguridad de la Información para el control de acceso físico a instalaciones, siendo la primera solución biométrica de uso comercial. Desde entonces se ha investigado mucho en el campo de la biometría, detectándose multitud de rasgos biométricos diferentes a la huella dactilar. A día de hoy, el avance en el conocimiento de dichos rasgos y sus correspondientes ventajas e inconvenientes, unido a las posibilidades que ofrece la tecnología, hacen que la biometría se considere uno de los elementos clave en cuanto a las técnicas de identificación y seguridad en el futuro. 3.2 CONCEPTOS CLAVE Cuando se aborda la biometría, se hace referencia a una tecnología puntera, sobre la cual no mucha gente tiene conocimientos precisos. Es por ello que es conveniente señalar y aclarar aquellos conceptos que se consideran esenciales para la comprensión del funcionamiento de los sistemas biométricos. A continuación se identifican una serie de conceptos básicos y comunes a todas las tecnologías biométricas. 3.2.1 Componentes de un sistema biométrico Los principales componentes que se pueden identificar en un sistema biométrico son: • Sensor: Es el dispositivo que captura los rasgos o características biométricas. Dependiendo de los rasgos biométricos que se quieran registrar y convertir en datos digitales, se necesitarán los sensores adecuados. A continuación se muestra una tabla con algunos de los diferentes tipos de sensores utilizados para algunas de las tecnologías biométricas que se tratarán más adelante. Tabla 1: Sensores según tipos de tecnología biométrica Tecnología Dispositivo de captura Huella dactilar Periférico de escritorio, tarjeta PCMCIA o lector integrado. Reconocimiento de voz Micrófono o teléfono Reconocimiento facial Cámara de video o cámara integrada en un PC Reconocimiento de iris Cámara de infrarrojos Reconocimiento de retina Unidad propietaria de escritorio o de pared Reconocimiento de la geometría de la mano Unidad propietaria de pared o de pie Reconocimiento de firma Tableta de firma, puntero sensor al movimiento Reconocimiento de escritura de teclado Teclado Estudio sobre las tecnologías biométricas aplicadas a la seguridad Página 24 de 100 Observatorio de la Seguridad de la Información • Repositorio: Es la base de datos donde se almacenan las plantillas biométricasinscritas para su comparación. Debería protegerse en un área física segura, así como ser cifrada y firmada digitalmente. • Algoritmos: Usados para la extracción de características (procesamiento) y su comparación. Las tres funciones básicas asociadas a ellos son: registro, verificación e identificación. 3.2.2 Registro en el sistema En la mayor parte de los casos, los usuarios deben registrar su identidad en el sistema antes de hacer uso de él. Esto se realiza por medio de la obtención de los parámetros biométricos. Este proceso es el de registro y se compone de tres fases distintas: • Captura: Se recogen los parámetros biométricos. Estos parámetros varían en cada tecnología, como se observa en la siguiente tabla. Tabla 2: Parámetros considerados en cada tecnología biométrica Tecnología Muestra biométrica Huella dactilar Imagen o minucia de la huella dactilar Reconocimiento de voz Grabación de voz Reconocimiento facial Imagen facial Reconocimiento de iris Imagen del iris Reconocimiento de retina Imagen de la retina Reconocimiento de la geometría de la mano Imagen en 3-D de la parte superior y lateral de mano y dedos Reconocimiento de firma Imagen de la firma y registro de medidas relacionadas con la dinámica Reconocimiento de escritura de teclado Registro de las teclas pulsadas y registro de medidas relacionadas con la dinámica • Procesamiento: Se genera una plantilla con las características personales de los parámetros capturados. La siguiente tabla muestra los diferentes rasgos extraídos. Estudio sobre las tecnologías biométricas aplicadas a la seguridad Página 25 de 100 Observatorio de la Seguridad de la Información Tabla 3: Características extraídas en cada técnica biométrica Tecnología Característica extraída Huella dactilar Ubicación y dirección del final de las minucias o formas de las huellas Reconocimiento de voz Frecuencia, cadencia y duración del patrón vocal. Reconocimiento facial Posición relativa y forma de la nariz, posición de la mandíbula Reconocimiento de iris Surcos y estrías del iris Reconocimiento de retina Patrones de los vasos sanguíneos de la retina Reconocimiento de la geometría de la mano Altura y anchura de los huesos y las articulaciones de los dedos y de la mano Reconocimiento de firma Velocidad, orden de los trazos, presión y apariencia de la firma Reconocimiento de escritura de teclado Secuencia de teclas y pausas entre pulsaciones • Inscripción: La plantilla procesada se guarda en un medio de almacenamiento adecuado. Una vez que la inscripción está completa, el sistema puede autenticar a las personas mediante el uso de esta plantilla. Para ello se sigue el procedimiento que se señala en el siguiente esquema: Gráfico 1: Proceso de inscripción en el registro Identidad de usuario Sensor Pre-procesamiento Extractor de características Generador de plantillas Plantillas guardadas Información biométrica Plantilla del usuario Inscripción Estudio sobre las tecnologías biométricas aplicadas a la seguridad Página 26 de 100 Observatorio de la Seguridad de la Información 3.2.3 Autenticación La autenticación es el proceso mediante el cual se captura una muestra biométrica del individuo para su comparación con las plantillas ya registradas. Esta autenticación puede realizarse de dos maneras diferentes, identificación y verificación, que conviene distinguir: • Identificación: Consiste en la comparación de la muestra recogida del usuario frente a una base de datos de rasgos biométricos registrados previamente. No se precisa de declaración inicial de su identidad por parte del usuario, es decir, el único dato que se utiliza es la muestra biométrica recogida en el momento de uso, sin apoyo de un registro anterior ni un nombre de usuario o cualquier otro tipo de reconocimiento. Este método requiere de un proceso de cálculo complejo, puesto que se ha de comparar esta muestra con cada una de las anteriormente almacenadas para buscar una coincidencia. El proceso desarrollado es el siguiente: Gráfico 2: Proceso de identificación en la autenticación • Verificación: En este caso, sin embargo, el primer paso del proceso es la identificación del individuo mediante un nombre de usuario, tarjeta o algún otro método. De este modo se selecciona de la base de datos el patrón que anteriormente se ha registrado para dicho usuario. Posteriormente, el sistema Identificación Sensor Información biométrica Pre-procesamiento Extractor de características Generador de plantillas Plantilla Coincidencia (n coincidencias) Identificación del usuario o no Plantillas guardadas Todas las plantillas Estudio sobre las tecnologías biométricas aplicadas a la seguridad Página 27 de 100 Observatorio de la Seguridad de la Información recoge la característica biométrica y la compara con la que tiene almacenada. Es un proceso simple, al tener que contrastar únicamente dos muestras, en el que el resultado es positivo o negativo: Gráfico 3: Proceso de verificación en la autenticación 3.2.4 Toma de decisiones El proceso de toma de decisiones en la biometría consta de cuatro etapas: • Búsqueda de coincidencias: Comparación de las muestras biométricas para determinar el grado de similitud o correlación entre ellas. • Cálculo de una puntuación: Para la comparación de datos biométricos se calcula un valor numérico que indica el grado de similitud o correlación entre las muestras. Los métodos de verificación tradicionales (contraseñas, PINs, etc.) son binarios, es decir, ofrecen una respuesta positiva o negativa. Este no es el caso en la mayoría de sistemas biométricos. La mayor parte los sistemas biométricos se basan en algoritmos de búsqueda de coincidencias que generan una Verificación Sensor Información biométrica Pre-procesamiento Extractor de características Generador de plantillas Plantilla Coincidencia Verdadero/Falso Identidad declarada Plantillas guardadas Plantilla declarada Estudio sobre las tecnologías biométricas aplicadas a la seguridad Página 28 de 100 Observatorio de la Seguridad de la Información puntuación. Esta puntuación representa el grado de correlación entre la muestra a autenticar y la de registro. • Comparación con el umbral establecido: El umbral es un número predefinido, normalmente por el administrador del sistema biométrico, que establece el grado de correlación necesario para que una muestra se considere similar a otra. Si la puntuación resultante de la comparación de muestras supera el umbral, las muestras se consideran coincidentes, aunque las muestras en sí no sean necesariamente idénticas. Esto se debe a la inclusión en el análisis de las posibles deficiencias en la captura de las muestras. • Decisión: Resultado de la comparación entre la puntuación y el umbral. Las decisiones que puede tomar un sistema biométrico incluyen: coincidencia, no coincidencia e inconcluyente (el sistema no es capaz de determinar si la muestra recogida es coincidente o no). Dependiendo del sistema biométrico implementado, una coincidencia puede permitir el acceso, una no coincidencia restringirlo y una muestra inconcluyente puede solicitar al usuario otra muestra. 3.2.5 Funcionamiento del sistema El funcionamiento y fiabilidad del sistema se puede valorar mediante una serie de tasas: • Tasa de error de adquisición (Failure To Adquire rate): Proporción de ocasiones en las que el sistema no es capaz de capturar una muestra de calidad suficiente para ser procesada. • Tasa de error de registro (Failure To Enrol rate): Proporción de la población para la cual el sistema biométrico no es capaz de generar muestras de calidad suficiente. • Tasa de falso negativo (False Rejection Rate): Proporción de ocasiones en las que el sistema no vincula a un individuo consu propia plantilla biométrica existente en el registro. • Tasa de falso positivo (False Acceptance Rate): Proporción de ocasiones en las que un sistema vincula erróneamente a un individuo con la información biométrica existente de otra persona. 3.3 TIPOS, TÉCNICAS Y TECNOLOGÍAS APLICADAS A LA BIOMETRÍA Las tecnologías biométricas se definen como métodos automáticos utilizados para reconocer a personas sobre la base del análisis de sus características físicas o de comportamiento. Estudio sobre las tecnologías biométricas aplicadas a la seguridad Página 29 de 100 Observatorio de la Seguridad de la Información Dependiendo de la técnica biométrica empleada, los parámetros considerados son diferentes: surcos de la huella dactilar, geometría de la mano, imagen facial, etc. De estos parámetros se extrae un patrón único para cada persona, que será utilizado para posteriores comparaciones. Fundamentalmente se distinguen dos grupos de tecnologías biométricas en función de la metodología utilizada: aquellas que analizan características fisiológicas de las personas y aquellas que analizan su comportamiento. 3.3.1 Tecnologías biométricas fisiológicas Las tecnologías biométricas fisiológicas se caracterizan por considerar parámetros derivados de la medición directa de algún rasgo estrictamente físico del cuerpo humano a la hora de identificar personas. Huella dactilar La identificación basada en huella dactilar es la más antigua de las técnicas biométricas y ha sido utilizada en un gran número de aplicaciones debido a que la mayoría de la población tiene huellas dactilares únicas e inalterables. Es el rasgo biométrico más utilizado para autenticación y tiene la mayor gama de tecnologías de captura, con distintas características de funcionamiento. Asimismo, tiene como ventajas su alta tasa de precisión y que habitualmente los usuarios tienen conocimientos suficientes sobre su utilización. Existen dos tipos de técnicas de búsqueda de coincidencias entre muestras de huella dactilar: • Basadas en minucias: Esta técnica basa su mecanismo de autenticación en las “minucias”, es decir, en determinadas formas fácilmente identificables existentes en la huella dactilar. Así, se registra el tipo de minucia y su posición dentro de la huella, estableciendo una serie de mediciones. De esta forma, el modelo o plantilla correspondiente a cada usuario es un esquema en el que se indican las minucias que se han de detectar, su posición y las distancias que separan unas de otras. Estudio sobre las tecnologías biométricas aplicadas a la seguridad Página 30 de 100 Observatorio de la Seguridad de la Información Ilustración 1: Minucias de una huella dactilar No obstante, existen algunas dificultades asociadas a este método. Por un lado, no es sencillo extraer de forma precisa las mencionadas minucias cuando la calidad de la muestra no es buena. Por otro lado, no se tiene en cuenta el patrón global de crestas y surcos. • Basadas en correlación: Mediante la utilización de esta técnica se analiza el patrón global seguido por la huella dactilar, es decir, el esquema general del conjunto de la huella en lugar de las minucias. Esta técnica no requiere de un registro tan preciso, pero su principal inconveniente es que se ve afectada por la traslación y la rotación de la imagen. Ilustración 2: Técnica de correlación El pequeño tamaño de los receptores, su fácil integración (pudiendo ser incluidos de forma sencilla en teclados), y su usabilidad, así como los bajos costes asociados a los mismos, convierten a la huella dactilar en una tecnología muy útil para su implantación en oficinas y hogares. Paralelamente y de manera independiente a la técnica utilizada para la búsqueda de coincidencias, existen diferentes tipos de sensores: Estudio sobre las tecnologías biométricas aplicadas a la seguridad Página 31 de 100 Observatorio de la Seguridad de la Información • Sensores ópticos: Son los más comunes en el mercado y cuentan con una superficie de cristal donde se coloca el dedo, lentes, un prisma, una fuente de luz y una cámara. La cámara se basa en tecnologías CCD (Charge-Coupled Device) o CMOS (Complementary Metal Oxide Semiconductor) siendo ambos tipos de silicio y similares en cuanto a sensibilidad. La cámara consta de varios cientos de miles de píxeles situados en forma de malla que, cuando se ven estimulados con la luz que incide sobre ellos, almacenan una pequeña carga de electricidad, transportando a los circuitos de procesamiento de la cámara la muestra recibida. • Sensores capacitivos: Están compuestos en la superficie de un circuito integrado de silicona que dispone de una malla de capacitores que miden las diferencias de voltaje en el contacto con la superficie dactilar. Estos sensores sólo trabajan con pieles sanas normales, ya que no son operativos cuando se utilizan sobre pieles con zonas duras, callos o cicatrices. La humedad, la grasa o el polvo también pueden afectar a su funcionamiento. Reconocimiento facial El reconocimiento facial es una técnica mediante la cual se reconoce a una persona a partir de una imagen o fotografía. Para ello, se utilizan programas de cálculo que analizan imágenes de rostros humanos. El proceso de registro dura entre 20 y 30 segundos, tiempo en el cual se toman varias fotografías de la cara. Idealmente, la serie de imágenes debería incluir diferentes ángulos y expresiones faciales, para permitir una búsqueda de coincidencias más precisa. Ilustración 3: Reconocimiento facial Estudio sobre las tecnologías biométricas aplicadas a la seguridad Página 32 de 100 Observatorio de la Seguridad de la Información Los cuatro métodos principales empleados por los proveedores de reconocimiento facial se describen a continuación: 1. Eigenface: Podría traducirse como "cara de uno mismo". Es una tecnología patentada en el Massachusetts Institute of Technology (MIT) que utiliza imágenes bidimensionales en escala de grises que representan características distintivas de una imagen facial. 2. Análisis de características locales: Es la tecnología más utilizada en el reconocimiento facial. Esta tecnología está relacionada con Eigenface, pero es capaz de adaptarse mejor a los cambios en la apariencia o aspecto facial (sonriendo, frunciendo el ceño, etc.). El análisis de características locales (Local Feature Analysis) utiliza docenas de características de las diferentes regiones de la cara y también incorpora la ubicación relativa de estos rasgos. Las pequeñas características extraídas son bloques de construcción y, tanto el tipo de bloques como su disposición, se utilizan para identificar y/o verificar. 3. Neural Network Mapping: En este método las redes neuronales emplean un algoritmo para determinar la similitud de las características únicas de la muestra adquirida y de la obtenida en el registro, utilizando tantas partes de la imagen facial como sea posible. 4. Procesamiento automático de la cara (Automatic Face Processing): Es una tecnología más rudimentaria, que utiliza las ratios de distancia entre las características de fácil adquisición, tales como los ojos, la punta de la nariz y las comisuras de la boca. Aunque en general no es tan robusto como los demás métodos, la AFP puede ser más eficaz cuando la captura de imagen es frontal en condiciones de poca luz. A diferencia de otros sistemas biométricos, el reconocimiento facial puede ser utilizado para la vigilancia, habitualmente mediante cámaras de video. Es por ello que, en este caso, no es necesaria una inversión en dispositivos específicos. Uno de los principales inconvenientes que presenta esta técnica es su escasa resistencia al fraude, puesto que una persona puede modificar visualmente su cara de manera sencilla, como por ejemplo, utilizando unas gafas de sol o dejándose crecer la barba. Asimismo, debe considerarse que el rostro de las personas varía con la edad. Estudiosobre las tecnologías biométricas aplicadas a la seguridad Página 33 de 100 Observatorio de la Seguridad de la Información Reconocimiento de iris El iris es la parte pigmentada del ojo que rodea la pupila. Este método utiliza las características del iris humano con el fin de verificar la identidad de un individuo. Los patrones de iris vienen marcados desde el nacimiento y rara vez cambian. Son extremadamente complejos, contienen una gran cantidad de información y tienen más de 200 propiedades únicas. El escaneado de iris se lleva a cabo mediante una cámara de infrarrojos especializada –situada por lo general muy cerca de la persona– que ilumina el ojo realizando una fotografía de alta resolución. Este proceso dura sólo uno o dos segundos y proporciona los detalles del iris que se localizan, registran y almacenan para realizar futuras verificaciones. Es importante señalar que no existe ningún riesgo para la salud, ya que al obtenerse la muestra mediante una cámara de infrarrojos, no hay peligro de que el ojo resulte dañado en el proceso. Una vez tomada la muestra, es esencial la correcta ubicación y aislamiento del iris en la imagen, ya que en caso de no realizarse adecuadamente, las interferencias generadas por el exceso de información que provocan las pestañas, reflejos y las pupilas podrían resultar en problemas en el funcionamiento del sistema. Por ello, y previamente a la comparación de la muestra, se realiza un pre-procesamiento de la imagen – habitualmente aplicación de filtros y máscaras – para aliviar de carga computacional necesaria al proceso de reconocimiento. La comparación entre muestras de iris se realiza utilizando la distancia de Hamming1 El hecho de que los iris de los ojos derecho e izquierdo de cada persona sean diferentes y que los patrones sean difíciles de capturar, tienen como consecuencia que el reconocimiento de iris sea una de las tecnologías biométricas más resistentes al fraude. para extraer las diferencias entre las imágenes pre-procesadas. Un valor inferior al umbral establecido, relativo a la distancia máxima entre las imágenes, supone una coincidencia entre los patrones comparados. 1 La distancia de Hamming es un método de medición de las diferencias entre dos elementos. Se define como el número de caracteres que deberían modificarse para transformar un elemento en otro referente, o lo que es lo mismo, el número de caracteres que les diferencia teniendo en cuenta la magnitud de cada de las desigualdades. De este modo se puede medir el número de errores que se deberían dar para que una muestra se interpretase como coincidente o diferente a otra. Estudio sobre las tecnologías biométricas aplicadas a la seguridad Página 34 de 100 Observatorio de la Seguridad de la Información Reconocimiento de la geometría de la mano Esta tecnología utiliza la forma de la mano para confirmar la identidad del individuo. Su aceptación por parte de los usuarios es muy elevada, ya que no requiere información detallada de los individuos. Ilustración 4: Reconocimiento de la geometría de la mano Por otro lado, se trata de una técnica que es preferible que sea utilizada para la verificación de personas y no recomendada para la identificación, a no ser que sea combinada con otras características mediante sistemas biométricos bimodales. Para la captura de la muestra, se debe colocar la mano sobre la superficie de un lector. La posición se determina mediante cinco guías que sitúan correctamente la mano para la captura. Una serie de cámaras toman imágenes en 3-D de la mano desde diferentes ángulos. Se trata de un proceso rápido y sencillo. El dispositivo de escaneo de mano puede procesar las imágenes 3-D en 5 segundos o menos y la verificación de la mano dura menos de 1 segundo. Las características extraídas incluyen las curvas de los dedos, su grosor y longitud, la altura y la anchura del dorso de la mano, las distancias entre las articulaciones y la estructura ósea en general. No tienen en cuenta detalles superficiales, tales como huellas dactilares, líneas, cicatrices o suciedad, así como las uñas, que pueden variar de tamaño en un breve período de tiempo. Si bien es cierto que la estructura de los huesos y las articulaciones de la mano son rasgos relativamente constantes, otras circunstancias, como una inflamación o una lesión, pueden variar la estructura básica de la mano dificultando la autenticación. A Estudio sobre las tecnologías biométricas aplicadas a la seguridad Página 35 de 100 Observatorio de la Seguridad de la Información pesar de que la tecnología descrita es relativamente precisa, no se basa en un conjunto de datos tan rico como una huella dactilar o un patrón de iris. Reconocimiento de retina El escáner biométrico de la retina se basa en la utilización del patrón de los vasos sanguíneos contenidos en la misma. El hecho de que cada patrón sea único (incluso en gemelos idénticos, al ser independiente de factores genéticos) y que se mantenga invariable a lo largo del tiempo, la convierten en una técnica idónea para entornos de alta seguridad. Ilustración 5: Reconocimiento de retina Pese a que su tasa de falsos positivos sea prácticamente nula, esta tecnología tiene un inconveniente considerable ya que es necesaria la total colaboración por parte del usuario al tratarse de un proceso que puede resultar incómodo. La toma de la muestra se realiza a partir de la pupila, lo que requiere que el usuario permanezca inmóvil y muy cerca del sensor durante la captura de la imagen. No obstante, al realizarse la captura de esta muestra mediante una cámara de infrarrojos, no existe el riesgo de que el ojo resulte dañado en el proceso. Si bien es una de las tecnologías que aparentemente pueden llegar a ofrecer mejores resultados y mayor seguridad, la baja aceptación por parte de los usuarios, así como el alto coste de los dispositivos, hacen que la utilización de esta tecnología se limite a instalaciones militares, nucleares o laboratorios. Reconocimiento de la geometría de las venas Esta tecnología se basa en la estructura de las venas de la mano o del dedo. De forma similar al iris o a la retina, la geometría de las venas se define antes del nacimiento y es diferente incluso en gemelos idénticos. En el proceso de captura de la muestra, el sensor infrarrojo obtiene una imagen del patrón de las venas, a partir del cual se genera una plantilla biométrica. http://www.google.com/imgres?q=retina&um=1&hl=en&biw=1178&bih=682&tbs=iur:fc&tbm=isch&tbnid=39yT1lyTqie7vM:&imgrefurl=http://www.flickr.com/photos/bike/2635107055/&docid=vQA4VOwV8ria-M&w=500&h=332&ei=gvyTToizBPTb4QSCmoGVCA&zoom=1� Estudio sobre las tecnologías biométricas aplicadas a la seguridad Página 36 de 100 Observatorio de la Seguridad de la Información Ilustración 6: Reconocimiento de venas de la mano Como características más reseñables de esta técnica destacan la unicidad, universalidad y permanencia de estos rasgos junto a la no necesidad de contacto en el momento de tomar la muestra. Adicionalmente, al tratarse de un órgano interno, resulta más complejo realizar cualquier variación sobre el mismo. No obstante, existen condiciones externas, como la realización de ejercicio físico y diferentes enfermedades (diabetes, arterioesclerosis o tumores) que pueden afectar a la apariencia de los vasos sanguíneos. Se trata de una tecnología relativamente reciente. Tras su adopción por parte de algunos bancos japoneses y polacos en cajeros automáticos (uno de los casos de éxito tratados en el presente estudio) está comenzando a ser implantada por las empresas, especialmente en el sector sanitario donde un método de autenticación en lugares estériles, incluso cuando los usuarios utilicen guantes médicos, resulta de gran utilidad. Otras tecnologías fisiológicas Adicionalmente a los sistemas ya descritos existen tecnologías que seencuentran en un estado de desarrollo incipiente. Entre ellos se encuentran principalmente los siguientes: • Líneas de la palma de la mano: La imagen de la palma de la mano de un individuo consiste en una serie de surcos y pliegues. De forma similar a algunos sistemas de reconocimiento de huella dactilar, esta técnica utiliza minucias para buscar coincidencias. Su uso está, por el momento, bastante limitado a la investigación forense. • A.D.N.: Se toma una muestra de tejido de un individuo para la extracción del A.D.N. (Ácido Desoxirribonucleico) del núcleo de una célula. Esta técnica resulta adecuada para el uso forense pero no para la identificación en tiempo real debido a la complejidad del proceso y al tiempo necesario para extraer una huella Estudio sobre las tecnologías biométricas aplicadas a la seguridad Página 37 de 100 Observatorio de la Seguridad de la Información genética a partir de una muestra de tejido. Este sistema tiene inconvenientes asociados ya que los gemelos idénticos comparten A.D.N. y de una muestra se puede obtener información sobre la raza y la salud de un individuo, datos de carácter personal especialmente sensibles. • Forma de las orejas: La identificación se realiza a partir de la forma de las orejas del individuo. Se toma como muestra una imagen infrarroja de la misma. Esta técnica no requiere de la colaboración del usuario y permite la identificación a media distancia. • Piel: Se toma una imagen de la superficie de la piel. Esta imagen se clasifica usando el algoritmo de análisis de la textura de la superficie de la piel que tiene en cuenta una serie de características aleatorias y genera una plantilla. 3.3.2 Tecnologías biométricas de comportamiento Las tecnologías biométricas de comportamiento se caracterizan por considerar en el proceso de autenticación rasgos derivados de una acción realizada por una persona. Por tanto, incluyen la variable tiempo, ya que toda acción tiene un comienzo, un desarrollo y un final. Reconocimiento de voz Junto con el reconocimiento facial, el reconocimiento locutor es un método natural de identificación. Es un proceso realizado a diario por los individuos para reconocer a un conocido en una llamada telefónica o al oír una voz. Estas aplicaciones usan redes neuronales para aprender a identificar voces. Los algoritmos deben medir y estimar la similitud para devolver un resultado o una lista de posibles candidatos. La autenticación se complica debido a factores como el ruido de fondo, la calidad de la muestra y su duración, por lo que siempre es necesario considerar un margen de error. Actualmente existen dos métodos de verificación que se usan dependiendo de la naturaleza y objetivo de la aplicación: • Verificación no-restringida: Utiliza una conversación normal como muestra. • Verificación restringida: Es el método más común. La muestra se limita a determinadas palabras, frases cortas o expresiones. Por esta razón, las tasas de error se reducen considerablemente. Además, al estar basada la verificación en locuciones de poca duración, el sistema responde de manera más rápida. A pesar de que siguen existiendo dificultades para reconocer la forma natural de hablar de ciertos individuos, esta tecnología cuenta con la ventaja de que el dispositivo de adquisición es simplemente un micrófono (integrados desde hace años en teléfonos y ordenadores personales), por lo que no requiere inversiones adicionales. Estudio sobre las tecnologías biométricas aplicadas a la seguridad Página 38 de 100 Observatorio de la Seguridad de la Información No obstante, la voz no es tan única o permanente como otras características, lo cual implica que la precisión de este método es menor. La utilización de este método está más extendida en sistemas de respuesta por voz y en centros de atención de llamadas telefónicas (call centers) que en el control de acceso físico a edificios o a redes y equipos informáticos. Reconocimiento de firma Esta técnica analiza la firma manuscrita para confirmar la identidad del usuario. Cabe la posibilidad de que existan ligeras variaciones en la firma de una persona, pero la consistencia creada por el movimiento natural y la práctica a lo largo del tiempo crea un patrón reconocible que hace que pueda usarse para la identificación biométrica. Existen dos variantes a la hora de identificar a las personas según su firma: • Comparación simple: se considera el grado de parecido entre dos firmas, la original y la que está siendo verificada. • Verificación dinámica de firma: se realiza un análisis de la forma, la velocidad, la presión de la pluma o bolígrafo y la duración del proceso de firma. No se considera significativa la forma o el aspecto de la firma, sino los cambios en la velocidad y la presión que ocurren durante el proceso, ya que sólo el firmante original puede reproducir estas características. La firma es y ha sido durante muchos años una de las técnicas más habituales de identificación de las personas, es por ello que goza de una gran aceptación entre la ciudadanía. Reconocimiento de escritura de teclado Esta técnica se basa en la existencia de un patrón de escritura en teclado que es permanente y propio de cada individuo. De este modo, se mide la fuerza de tecleo, la duración de la pulsación y el periodo de tiempo que pasa entre que se presiona una tecla y otra. La principal ventaja de esta técnica es que la inversión necesaria en sensores es prácticamente nula, ya que los teclados de ordenador están presentes en múltiples aspectos de nuestra vida cotidiana y, además, están altamente aceptados por la población, que hace uso de ellos a diario. De este modo los costos de implantación se centrarían en el software. No obstante, el patrón de escritura puede verse afectado por aspectos como el nivel de fatiga, estrés, distracción, postura del usuario y del teclado. También se debe tener en Estudio sobre las tecnologías biométricas aplicadas a la seguridad Página 39 de 100 Observatorio de la Seguridad de la Información cuenta la población que no está habituada al uso de teclados y cuyo patrón de escritura se modificaría rápidamente a causa del aprendizaje. Adicionalmente a su uso como método de autenticación, también puede ser empleado para la monitorización. De esta manera se podría prevenir el uso no autorizado de terminales no supervisados así como obtener evidencias de auditoría. Reconocimiento de la forma de andar Este método toma como referencia la forma de caminar de una persona. Este acto se graba y se somete a un proceso analítico que genera una plantilla biométrica única derivada de dicho comportamiento. El dispositivo de captura es una cámara estándar, por lo que no se requiere una gran inversión. Adicionalmente, este sistema permite la identificación a distancia. Ilustración 7: Reconocimiento de la forma de andar Esta tecnología está todavía en desarrollo y no ha alcanzado aún los niveles de rendimiento necesarios para ser implantada de manera similar al resto de tecnologías biométricas 3.4 COMPARATIVA DE TÉCNICAS Y TECNOLOGÍAS BIOMÉTRICAS Las tecnologías biométricas señaladas comparten, en su mayoría, el mismo objetivo. Es por ello que puede establecerse una comparación entre ellas en función de diferentes aspectos que se describirán a continuación, identificando para cada uno de ellos las tecnologías que más destacan y las que menos desarrolladas están. Estudio sobre las tecnologías biométricas aplicadas a la seguridad Página 40 de 100 Observatorio de la Seguridad de la Información 3.4.1 Criterios de evaluación Los parámetros utilizados para evaluar una tecnología biométrica incluyen: • Grado de aceptación: Disposición de los usuarios a utilizar una tecnología biométrica. Este factor está relacionado con lo intrusiva que se considere una técnica por parte de los individuos. Es necesario a su vez considerar los factores sociales y culturales que