Escolar Documentos
Profissional Documentos
Cultura Documentos
Para entenderlo mejor, la biometría es el nombre general que recibe cualquier tipo de medición y cálculo
corporal. La identificación biométrica verifica que "tú eres tú" basado en las medidas de tu cuerpo. La
autenticación biométrica va un paso más allá y usa esa información para compararlo con una base de datos,
en donde previamente se han almacenado los datos del sujeto a autenticar.
Simplificando: la identificación biométrica es como un vecino que mira a través del agujero de la puerta a dos
personas que golpearon la puerta. El vecino decide cuál de ellos es David en función de la altura, el color del
pelo, el color de los ojos, etc. La autenticación biométrica es el vecino que mira a través del agujero y, si se
trata de David, lo deja entrar. Si no es, la puerta permanece cerrada.
El concepto es sencillo, lo complicado es la tecnología detrás de esto y lo que trataremos en esta extensa
explicación de autenticación biométrica, una tecnología fascinante con una adopción significativa en el
presente y un gran potencial en el futuro.
Lo importante a tener en cuenta es que la coincidencia entre los dos conjuntos de datos tiene que ser casi
idéntica pero no exactamente idéntica. Esto se debe a que es casi imposible que dos datos biométricos
coincidan al 100%. Por ejemplo, se puede tener un dedo ligeramente sudoroso o una pequeña cicatriz que
cambia el patrón de impresión.
Diseñar el proceso para que no requiera una coincidencia exacta disminuye en gran medida la posibilidad de
un falso negativo (el dispositivo no reconoce la huella dactilar) pero también aumenta las probabilidades de
que una huella dactilar falsa se considere genuina (un atacante haciéndose pasar por el usuario real).
TouchID de Apple no almacena la imagen real de la huella digital, sino una representación matemática de la
misma. Entonces, incluso si un atacante alcanza esta representación matemática, no puede realizar
ingeniería inversa para revelar la imagen real de la huella dactilar. No solo eso, sino que los datos de las
huellas dactilares en sí están cifrados.
Como señala este investigador, TouchID puede ser atacando, pero sigue siendo un método muy seguro de
autenticación biométrica. Para que alguien hackee un iPhone usando sensores TouchID, necesitarían una
copia realmente buena de la huella dactilar de alguien. Esto les permitiría acceder al teléfono, pero no a una
copia de su huella digital, por lo que es diferente al robo de una contraseña.
Además, ni siquiera el sistema operativo del dispositivo puede acceder directamente a los datos de las huellas
dactilares, y mucho menos una aplicación. Igualmente, Apple se ha alejado de la autenticación de escaneo
de huellas dactilares y ha comenzado a reemplazar TouchID por FaceID.
Los teléfonos con Android operan bajo pautas similares. Almacenan los datos de la huella digital en una parte
segura del procesador principal llamada Trusted Execution Environment (TEE). El TEE está aislado de otras
partes del procesador y no interactúa directamente con las aplicaciones instaladas. Al igual que con los
dispositivos Apple, los datos de huellas digitales se almacenan en un estado cifrado. Además, la eliminación
de un usuario del dispositivo también debería eliminar las huellas dactilares almacenadas en él.
¿Escáneres de ojos?
Los investigadores de seguridad consideran el ojo como una de las partes más confiables del cuerpo para
realizar la autenticación biométrica ya que la retina y el iris permanecen casi sin cambios durante toda la vida
de una persona.
Un escáner de retina iluminará los complejos vasos sanguíneos del ojo de una persona utilizando luz
infrarroja, haciéndolos más visibles que el tejido circundante. Al igual que las huellas dactilares, no habrá
dos personas que tengan el mismo patrón de retina.
Un escáner de iris se basa en fotos o videos de alta calidad de uno o ambos iris de una persona. Los iris
también son únicos para el individuo.
En la fase de alta/inscripción/enrolamiento, el escáner hace una fotografía del iris del sujeto a enrolar, usando
tanto la luz normal como la luz infrarroja para capturar detalles que de otro modo no serían visibles. Después
que el dispositivo registra el iris de la persona, elimina todos los detalles innecesarios, como las pestañas, y
luego transforma esa información en datos matemáticos, la cifra, y la almacena.
Durante la verificación, el escáner de iris emite nuevamente luz infrarroja para detectar esos detalles ocultos.
Debido a que un escáner de iris suministra su propia luz, también funciona en condiciones de poca luz u
oscuridad.
Reconocimiento de voz
El mayor problema con el reconocimiento de voz es lo fácil que es crear una reproducción de alta calidad de
la voz de una persona. Incluso los teléfonos inteligentes de baja calidad pueden registrar con precisión la voz
de una persona, con inflexiones, tono y acentos.
Por otro lado, el reconocimiento de orador, a diferencia del reconocimiento de voz, busca identificar quién
está hablando y no lo que se dice específicamente.
Para identificar al orador, un software especializado descompondrá las palabras en paquetes de frecuencias
llamados formato. Estos paquetes incluyen el tono de un usuario, y juntos forman la impresión de voz del
sujeto.
Cuando se trata de dispositivos de consumo, la activación de la voz puede parecer incómoda (por ejemplo,
hablar con Siri en el metro).
Esto no ha impedido que estas tecnologías ganen adopción general. Por ejemplo, el éxito que han logrado
Amazon Echo, Google Home y otros parlantes con control de voz integrados en muchas casas inteligentes.
La experiencia de autenticación biométrica de este tipo de dispositivos es increíble para los usuarios.
Estas características pueden ser fácilmente engañados con maquillaje, máscaras o, en algunos casos,
simplemente obstruyendo parte de su rostro. Aquí es donde las imágenes térmicas y otras tecnologías
intensificaron el juego hasta que llegamos a este punto: el de la adopción generalizada de sistemas como el
Apple FaceID.
El iPhone FaceID usa más de 30.000 puntos de infrarrojos para mapear el rostro, luego se crea un mapa 3D
de las características de la cara. Este mapa, como en el caso de Touch ID, se envía a Secure Enclave en la CPU
para compararlo con el ya almacenado en el dispositivo. ¿El resultado? El teléfono es desbloqueado
simplemente mirándolo.
Apple ha dicho que hay un uno en un millón de posibilidades de que alguien más desbloquee un iPhone
usando FaceID. Por supuesto, eso sonó como un desafío para los expertos en seguridad y un investigador de
Vietnam engañó a FaceID con una máscara impresa en 3D hecha de silicona y cinta de papel.
Un escáner de geometría de mano mide el grosor de la palma, la longitud y el ancho de los dedos, la distancia
de los nudillos, etc. Las ventajas de este tipo de sistema son su bajo costo, facilidad de uso y discreción.
También tiene algunas desventajas importantes: el tamaño de una mano puede variar a lo largo del tiempo
y los problemas de salud pueden limitar los movimientos. Más importante aún, una mano no es única, por lo
que el sistema tiene poca precisión.
Desventaja: las "huellas dactilares maestras" pueden engañar a muchos teléfonos y escáneres
Cuando se registra una huella digital por primera vez, el dispositivo le pedirá múltiples presiones desde
diferentes ángulos. Estas muestras se usarán como el conjunto de datos original para comparar con los
intentos de desbloqueo posteriores.
Sin embargo, los sensores de teléfonos inteligentes son pequeños, por lo que a menudo dependen de
coincidencias parciales de huellas dactilares.
Los investigadores han descubierto que un conjunto de 5 "huellas dactilares maestras" puede explotar estas
coincidencias parciales y abrir alrededor del 65% de los dispositivos. Es probable que el número disminuya
en las condiciones de la vida real, pero una tasa abierta de incluso 10% a 15% es enorme y puede exponer
millones de dispositivos.
En uno de las mayores fugas de información jamás ocurridos, la Oficina de Administración de Personal de EE.
UU. Filtró 5.6 millones de huellas dactilares de empleados. Para las personas involucradas, una parte de su
identidad siempre estará comprometida. En la Revista CPO, exploran más riesgos del uso de datos
biométricos, especialmente en el contexto de la aplicación de la ley.
Una vez que crea el dedo falso, todo lo que tiene que hacer es colocarlo en el escáner, presionar con el dedo
para conducir la electricidad y luego usar el teléfono desbloqueado.
Un bloqueo de huella digital es inútil si alguien roba el teléfono, y luego simplemente levanta la impresión
desde el dispositivo.
Para dispositivos iOS, esto significa "romper" Secure Enclave. Técnicamente, esto es posible, pero está más
allá del alcance de un delincuente común y corriente. Los pocos hackings confirmados han sido realizados
por Cellebrite. Aún así, el software y la experiencia podrían alcanzar el mercado masivo y llegar a las manos
de los "Script Kiddies".
En el caso de los dispositivos Android, los investigadores han demostrado que es posible engañar al entorno
de ejecución de confianza proporcionado por Qualcomm al cargar una aplicación personalizada, que luego
ejecuta un escalamiento de privilegios hasta que obtiene un mayor acceso al Trusted Execution Environment
(TEE).
Afortunadamente para nosotros los usuarios, un cibercriminal necesitaría mucha experiencia para hackear
el teléfono de esa manera.