La identificación biométrica no es tan segura como pensábamos.

Está muy de moda todo el tema de identificación a través de elementos biométricos y por eso decidimos realizar un artículo para hablar de estos y su funcionamiento, al igual que sus fallas y los niveles de seguridad que proveen.

Una de las razones por las cuales los sistemas biométricos no son 100% seguros es que no hay dos capturas de datos biométricos que produzcan resultados realmente idénticos. Entonces, funcionan de la siguiente forma: un sistema biométrico debe hacer una estimación de si dos muestras biométricas provienen del mismo individuo.

Las estimaciones pueden llevar tiempo y tenemos que tomar una decisión en términos de qué tan rápido queremos que ocurra esta estimación y, lo que es más importante, qué tan precisa debe ser. Si queremos que las comparaciones ocurran rápidamente, entonces debemos aceptar que más comparaciones pueden ser incorrectas y esto tendrá un impacto en las brechas de seguridad.

Y esta es una de las principales diferencias que tiene este sistema en comparación a las contraseñas. Las contraseñas no son estimaciones. De hecho, si la contraseña no tiene una coincidencia exacta, entonces no otorga acceso y este es un aspecto importante en pro de las mismas.

La biometría puede parecer bastante segura, pero como todo, puede ser objeto de ataques de delincuentes maliciosos.

Una persona que no está en el sistema intentará imitar a otra que sí lo está y, dado que estos sistemas están estimando resultados, entonces existe una alta probabilidad de que esto le pueda pasar a su empresa. Para evitar esto, una forma de asegurarse es no comprometer la seguridad de la empresa pidiendo un reconocimiento rápido en lugar de uno preciso. Tener resultados precisos sin importar cuánto tiempo lleve es más seguro.

Otro tipo de ataque es usando intercepción de datos. Este es un poco más técnico y más difícil de prevenir, sin embargo, es una posibilidad. Un atacante puede intentar modificar o interceptar la salida de datos del sensor. Se puede reproducir una muestra capturada previamente o se puede sustituir una muestra biométrica capturada con datos biométricos de una persona diferente en el momento de la inscripción.

En la misma línea de interceptación de datos, existe otra posibilidad en la que el atacante puede apuntar a los datos durante la transmisión, o almacenados por el sistema biométrico. Esto significa que una referencia biométrica en la base de datos de inscripción podría modificarse para incluir las características biométricas de un impostor.

También está el ataque de TI tradicional, en el que el atacante apunta al software utilizado para implementar la biometría. Por lo general, se realizan cuando la empresa tiene elementos o información de alto valor que pueden ser secuestrados. La respuesta para protegerse de este es confiar en los métodos tradicionales de seguridad de TI que no son específicos de los sistemas biométricos. Además, tener un equipo de TI listo para manejar cualquier intento de violar la seguridad es vital para proteger sus activos.

Se puede concluir entonces que, si bien los sistemas biométricos están muy de moda, no proveen la misma seguridad que una contraseña segura y única puede dar.

¿Con cuál te quedarías tu?