¿Qué es la biometría?

Biometría para dummies: así es como las contraseñas o las llaves quedarán en el olvido

samsung-pay-02

La biometría es un término que, a estas alturas, es reconocible para la mayor parte de los usuarios de productos tecnológicos. Independientemente del nivel de conocimientos tecnológicos que se posean, relacionamos la biometría con el reconocimiento y autenticación de los usuarios a partir de parámetros relacionados con nuestro cuerpo.

Sea la huella dactilar, el iris, la voz o el rostro entre otros patrones de reconocimiento, cada uno de nosotros es único y diferente del resto de la humanidad en esos elementos biológicos y la tecnología se aprovecha de esta unicidad para desarrollar sistemas de autenticación robustos y seguros, a prueba de hackers.

La palabra “biometría” viene del griego “bios” (vida) y “metron” (medida). Literalmente sería medir la vida. Un poco exagerado, aunque responde bien a la realidad de sus métodos. Un sistema de reconocimiento biométrico, captura el rasgo biológico correspondiente al método de autenticación que use nuestro dispositivo, lo modela estadísticamente a partir del análisis de un número variable de características diferenciadoras, y guarda ese patrón en una zona (generalmente) segura del sistema, encriptado y a prueba de técnicas como el clonado o la modificación por parte de hackers.

figure-1-deep-perceptual-mapping-dpm-densely-computed-features-from-the-visible

Posteriormente, el sistema biométrico se limita a capturar la huella dactilar, la cara, el iris o el parámetro que sea, lo convierte en un modelo estadístico y lo compara con el patrón guardado en la zona segura del sistema. Si el parecido supera un umbral dado, el sistema reconocerá al usuario como legítimo y concederá permisos para entrar en el sistema, abrir una app, acceder a una carpeta de archivos protegida, realizar una compra online, autorizar un pago o la actividad que sea.

Los orígenes

La biometría es bastante anterior a los móviles con reconocimiento de huella dactilar. Ya hace décadas se usaban métodos de autenticación basados en la geometría de la palma de la mano. Y civilizaciones ancestrales como la China en el siglo XIV usaban la impresión de la palma de la mano para diferenciar entre jóvenes y adultos (fuente, Wikipedia ).

De un modo innato, el ser humano usa la biometría como método para reconocer a otras personas. Por la voz, el reconocimiento facial, o incluso la morfología del cuerpo, somos capaces de identificar a las personas que conocemos a través de sus rasgos.

La tecnología lo único que ha hecho es adaptar esta metodología a los componentes electrónicos y digitales con los que puede jugar, añadiendo la variable del software y los procesadores.

Métodos biométricos

El sistema de identificación por excelencia, y que ha hecho que la biometría llegue a una audiencia muy amplia gracias a la integración en los smartphones, es el del reconocimiento de la huella dactilar. A día de hoy, incluso móviles con precios en torno a los 200 € llevan el reconocimiento de huella.

Junto a él, hay otros que han tenido más o menos éxito: el reconocimiento facial se intentó hace años ya, y el reconocimiento de iris también se ha usado en móviles de ZTE el pasado año como el Axon Mini, o incluso Samsung en el malogrado Note 7.

windows-hello-ifixit-mpo6dktoukvodici-huge

Microsoft tiene en su tecnología Windows Hello un potente método de reconocimiento facial 3D, que combina el uso de una cámara infrarroja con otra cámara convencional para identificar al usuario en cualquier condición de luz de un modo rápido y sin errores.

En ámbitos más allá de las tecnologías de la información, la biometría se lleva usando desde hace tiempo para el control de accesos. Primero en empresas y entornos corporativos, y ahora ya en el ámbito doméstico. Aún no ha llegado a Europa, pero en países asiáticos como Hong Kong, apenas se usan las tradicionales llaves de casa. Las cerraduras tienen control de acceso mediante códigos numéricos y lectores de huella dactilar.

La voz también se usa, aunque es una tecnología sujeta a más imprevistos y condicionantes que otros métodos. La identificación del iris y la retina son sumamente fiables, pero precisan de métodos de detección complejos.

Hay otros sistemas en los que se usan los patrones de las venas y capilares, que también son únicos para cada individuo. E incluso se pueden usar sistemas basados en el ADN, con una probabilidad de que dos personas tengan el mismo perfil biométrico de menos de uno en cien millardos. En este caso, la dificultad radica en diseñar un sistema de detección en tiempo real, claro está.

La estadística y la biometría

La biometría no es una ciencia exacta. Es decir, un sistema biométrico no tiene la certeza de que “alguien es alguien”. Pero sí maneja probabilidades de que el usuario o la persona que se está autenticando sea quien pretende ser y no otra persona.

Es decir, por seguro que pueda ser un sistema biométrico, siempre existe la posibilidad de que haya un falso positivo o un falso negativo. Realmente lo que más importa de cara a la seguridad es que no haya falsos positivos. Si un sistema no nos reconoce a la primera no es tan grave: a la segunda o la tercera como mucho sabrá que somos nosotros. Pero si identifica positivamente a quien no es, tenemos un problema. Por este motivo, los sistemas se diseñan de modo que pequen de “precavidos”. De ahí que en muchas ocasiones (sí, muchas aunque no nos demos cuenta), el sistema no nos identifique a la primera. Pero es tan rápido y tan fácil volver a poner el dedo en el sensor de huella, o mirar a la cámara del móvil o el ordenador, que sigue siendo más ágil que escribir una contraseña y no le damos mayor importancia.

fingerprint-htc-max-blackhat

El “truco” está en establecer un punto de corte estadístico más o menos exigente para que el sistema identifique positivamente a un usuario. En la práctica existen estándares y normas que regulan los baremos que un sistema biométrico tiene que cumplir para que pueda usarse en determinados entornos. Dependiendo de las exigencias, los sistemas biométricos tendrán que estar certificados para que las probabilidades de identificar positivamente o negativamente a los usuarios sean mayores que un cierto umbral.

Estos estándares también se ocupan de definir formatos para registrar los patrones biométricos, APIs para desarrollar aplicaciones biométricas, sistemas de encriptación, etcétera. Prácticamente nada se deja al azar en cuanto a lo que biometría se refiere.

La seguridad en biometría

Una de las grandes preguntas que nos hacemos cuando pensamos en la autenticación mediante sistemas biométricos es si se trata de un sistema seguro. La usurpación de identidad usando una foto en vez del rostro, por ejemplo, para engañar a un sistema de identificación facial, es una de las posibilidades que podemos barajar de cara a ser más listos que la tecnología.

En la práctica, los primeros sistemas de autenticación facial de Google, allá por el año 2011 con la versión Ice Cream Sandwich, eran “crackeables” con una foto. Los sistemas de autenticación se basaban en imágenes 2D, pero los que se usan ahora con infrarrojos usan sistemas 3D en los que las fotos no tienen utilidad.

grace_engage_bezpieczenstwo_1200x675

Al mismo tiempo, los datos biométricos han ido moviéndose a zonas encriptadas y seguras del sistema, más allá del propio kernel del sistema operativo. Es decir, si alguien consigue permisos de root en un dispositivo, ya no podrá acceder a los datos de nuestra huella o nuestro rostro.

La falsificación de las huellas dactilares con materiales tan comunes como la plastilina es un hecho. Ya se han hecho demostraciones en las que un molde de plastilina ha servido para acceder al sistema mediante la falsificación de la huella dactilar. De todos modos, es un método rebuscado, nada evidente y que no supone un problema para el 99% de los usuarios.

La solución pasa por diseñar sensores de huella que capturen los patrones con un resolución mayor, algo en lo que ya están trabajando los fabricantes de sensores.

huawei-mate-s_fingerprint

Estadísticamente hablando, sigue siendo posible que haya falsos positivos, pero para que se den, habría que estar dejando el móvil expuesto al acceso de centenares de miles de personas para que hubiera la certeza de que alguna iba a ser autenticada incorrectamente. En el día a día es tan improbable que suceda, que para el 99% de la población es un método totalmente seguro.

El nivel de seguridad actual de los dispositivos biométricos es razonablemente alto para la mayor parte de los usos cotidianos, y ofrece un nivel de comodidad superior al de otros métodos de identificación como la contraseña, el pin o los patrones.

El futuro

Las asignaturas pendientes en biometría pasan por aumentar el nivel de seguridad de los sistemas actuales, como el de la definición de los lectores de huella, o las cámaras de reconocimiento facial. Hay sistemas que además, añaden otros factores de identificación como el de la textura de la piel o los patrones de bifurcaciones de los vasos sanguíneos, por no hablar de los sistemas basados en ADN, al más puro estilo Gattaca.

zsc7ntfsbxsxmdam9d1q

Además, es probable que veamos llegar la biometría a otras gamas de dispositivos, incluyendo las cerraduras de las casas, que empezarán a añadir sistemas de lectura de huella, iris o reconocimiento facial como complemento para las llaves. Los sistemas de compra también es factible que los empiecen a añadir. No hay ningún sistema cien por cien seguro, pero la biometría añade un elemento mucho más personal e intransferible a los sistemas tradicionales.

En Nobbot | Contraseña, pin, huella dactilar… ¿Cómo nos identificarán los dispositivos en el futuro? 

Foto | Research Gate 

Foto | Despiece de Surface Pro 4 en iFixit

Foto | Blackhat, Fingerprits On Mobile Devices, Abusing and Leaking