UN MITO DE
ALGUNAS PELÍCULAS
Es conveniente desmentir uno de los grandes mitos de estos
modelos: la
vulnerabilidad a ataques de simulación. En cualquier película o
libro de
espías que se precie, siempre se consigue `engañar'
a autenticadores biométricos para conseguir acceso a
determinadas instalaciones mediante estos ataques: se simula la
parte del cuerpo a analizar mediante un modelo o
incluso utilizando órganos amputados a un cadáver o
al propio usuario vivo (crudamente, se le corta una mano o un
dedo, se le saca un ojo…para conseguir que el sistema permita
la entrada).
Evidentemente, esto sólo sucede en la
ficción: hoy en día cualquier sistema
biométrico – con excepción, quizás, de
algunos modelos basados en voz de los que hablaremos luego – son
altamente inmunes a estos ataques. Los analizadores de retina, de
iris, de huellas o de la geometría de la mano son capaces, aparte de
decidir si el miembro pertenece al usuario legítimo, de
determinar si éste está vivo o se trata de un
cadáver.
Verificación de voz
En los sistemas de
reconocimiento de voz no se intenta, como mucha gente piensa,
reconocer lo que el usuario dice, sino identificar una serie de
sonidos y sus características para decidir si el usuario
es quien dice ser. Para autenticar a un usuario utilizando un
reconocedor de voz se debe disponer de ciertas condiciones para
el correcto registro de los
datos, como
ausencia de ruidos, reverberaciones o ecos; idealmente, estas
condiciones han de ser las mismas siempre que se necesite la
autenticación.
Cuando un usuario desea acceder al sistema pronunciará
unas frases en las cuales reside gran parte de la seguridad del
protocolo; en
algunos modelos, los denominados de texto
dependiente, el sistema tiene almacenadas un conjunto muy
limitado de frases que es capaz de reconocer: por ejemplo,
imaginemos que el usuario se limita a pronunciar su nombre, de
forma que el reconocedor lo entienda y lo autentique. Como
veremos a continuación, estos modelos proporcionan poca
seguridad en comparación con los de texto independiente,
donde el sistema va `proponiendo' a la persona la
pronunciación de ciertas palabras extraídas de un
conjunto bastante grande.
De cualquier forma, sea cual sea el modelo, lo habitual
es que las frases o palabras sean características para
maximizar la cantidad de datos que se pueden analizar (por
ejemplo, frases con una cierta entonación,
pronunciación de los diptongos, palabras con muchas
vocales…). Conforme va hablando el usuario, el sistema registra
toda la información que le es útil; cuando
termina la frase, ya ha de estar en disposición de
facilitar o denegar el acceso, en función de
la información analizada y contrastada con la de la
base de
datos.
COLOCACIÓN DE VOZ
El principal problema del reconocimiento de voz es la inmunidad
frente a replay attacks, un modelo de ataques de
simulación en los que un atacante reproduce (por ejemplo,
por medio de un magnetófono) las frases o palabras que el
usuario legítimo pronuncia para acceder al sistema. Este
problema es especialmente grave en los sistemas que se basan en
textos preestablecidos: volviendo al ejemplo anterior, el del
nombre de cada usuario, un atacante no tendría más
que grabar a una persona que pronuncia su nombre ante el
autenticador y luego reproducir ese sonido para
conseguir el acceso; casi la única solución
consiste en utilizar otro sistema de autenticación junto
al reconocimiento de voz.
Por contra, en modelos de texto independiente,
más interactivos, este ataque no es tan sencillo porque la
autenticación se produce realmente por una especie de
desafío-respuesta entre el usuario y la máquina, de
forma que la cantidad de texto grabado habría de ser mucho
mayor – y la velocidad para
localizar la parte del texto que el sistema propone habría
de ser elevada -.
Otro grave problema de los sistemas basados en
reconocimiento de voz es el tiempo que el
usuario emplea hablando delante del analizador, al que se
añade el que éste necesita para extraer la
información y contrastarla con la de su base de datos;
aunque actualmente en la mayoría de sistemas basta con una
sola frase, es habitual que el usuario se vea obligado a
repetirla porque el sistema le deniega el acceso (una simple
congestión hace variar el tono de voz, aunque sea
levemente, y el sistema no es capaz de decidir si el acceso ha de
ser autorizado o no; incluso el estado
anímico de una persona varía su timbre…). A su
favor, el reconocimiento de voz posee la cualidad de una
excelente acogida entre los usuarios, siempre y cuando su
funcionamiento sea correcto y éstos no se vean obligados a
repetir lo mismo varias veces, o se les niegue un acceso porque
no se les reconoce correctamente.
Verificación de escritura
Aunque la escritura (generalmente la firma) no es una
característica estrictamente biométrica, como hemos
comentado en la introducción se suele agrupar dentro de
esta categoría; de la misma forma que sucedía en la
verificación de la voz, el objetivo
aquí no es interpretar o entender lo que el usuario
escribe en el lector, sino autenticarlo basándose en
ciertos rasgos tanto de la firma como de su rúbrica.
La verificación en base a firmas es algo que todos
utilizamos y aceptamos día a día en documentos o
cheques; no
obstante, existe una diferencia fundamental entre el uso de las
firmas que hacemos en nuestra vida cotidiana y los sistemas
biométricos; mientras que habitualmente la
verificación de la firma consiste en un simple análisis visual sobre una impresión
en papel, estática,
en los sistemas automáticos no es posible autenticar
usuarios en base a la representación de los trazos de su
firma. En los modelos biométricos se utiliza además
la forma de firmar, las características dinámicas
(por eso se les suele denominar Dynamic Signature
Verification, DSV): el tiempo utilizado para rubricar, las
veces que se separa el bolígrafo del papel, el
ángulo con que se realiza cada trazo…
Para utilizar un sistema de autenticación basado en firmas
se solicita en primer lugar a los futuros usuarios un
número determinado de firmas ejemplo, de las cuales el
sistema extrae y almacena ciertas características; esta
etapa se denomina de aprendizaje, y el principal
obstáculo a su correcta ejecución son los usuarios
que no suelen firmar uniformemente. Contra este problema la
única solución (aparte de una concienciación
de tales usuarios) es relajar las restricciones del sistema a la
hora de aprender firmas, con lo que se decrementa su
seguridad.
Una vez que el sistema conoce las firmas de sus
usuarios, cuando estos desean acceder a él se les solicita
tal firma, con un número limitado de intentos
(generalmente más que los sistemas que autentican mediante
contraseñas, ya que la firma puede variar en un individuo por
múltiples factores). La firma introducida es capturada por
un lápiz óptico o por una lectora sensible (o por
ambos), y el acceso al sistema se produce una vez que el usuario
ha introducido una firma que el verificador es capaz de
distinguir como auténtica.
Verificación de huellas
Típicamente la huella dactilar de un individuo ha
sido un patrón bastante bueno para determinar su identidad de
forma inequívoca, ya que está aceptado que dos
dedos nunca poseen huellas similares, ni siquiera entre gemelos o
entre dedos de la misma persona. Por tanto, parece obvio que las
huellas se convertirían antes o después en un
modelo de autenticación biométrico: desde el siglo
pasado hasta nuestros días se vienen realizando con
éxito
clasificaciones sistemáticas de huellas dactilares en
entornos policiales, y el uso de estos patrones fué uno de
los primeros en establecerse como modelo de autenticación
biométrica.
Cuando un usuario desea autenticarse ante el sistema situa su
dedo en un área determinada (área de lectura, no se
necesita en ningún momento una impresión en tinta).
Aquí se toma una imagen que
posteriormente se normaliza mediante un sistema de finos espejos
para corregir ángulos, y es de esta imagen normalizada de
la que el sistema extrae las minucias (ciertos arcos, bucles o
remolinos de la huella) que va a comparar contra las que tiene en
su base de datos; es importante resaltar que lo que el sistema es
capaz de analizar no es la huella en sí sino que son estas
minucias, concretamente la posición relativa de cada una
de ellas.
Está demostrado que dos dedos nunca pueden poseer
más de ocho minucias comunes, y cada uno tiene al menos 30
o 40 de éstas. Si la comparación de las posiciones
relativas de las minucias leídas con las almacenadas en la
base de datos es correcta, se permite el acceso al usuario,
denegándosele obviamente en caso contrario.
Los sistemas basados en reconocimiento de huellas son
relativamente baratos (en comparación con otros
biométricos, como los basados en patrones retinales); sin
embargo, tienen en su contra la incapacidad temporal de
autenticar usuarios que se hayan podido herir en el dedo a
reconocer (un pequeño corte o una quemadura que afecte a
varias minucias pueden hacer inútil al sistema).
También elementos como la suciedad del dedo, la presión
ejercida sobre el lector o el estado de la
piel pueden
ocasionar lecturas erróneas.
Otro factor a tener muy en cuenta contra estos sistemas
es psicológico, no técnico: hemos dicho en la
introducción que un sistema de autenticación de
usuarios ha de ser aceptable por los mismos, y generalmente el
reconocimiento de huellas se asocia a los criminales, por lo que
muchos usuarios recelan del reconocedor y de su uso
Verificación de patrones
oculares
Los modelos de autenticación biométrica
basados en patrones oculares se dividen en dos tecnologías
diferentes: o bien analizan patrones retinales, o bien analizan
el iris. Estos métodos se
suelen considerar los más efectivos: para una población de 200 millones de potenciales
usuarios la probabilidad de
coincidencia es casi 0, y además una vez muerto el
individuo los tejidos oculares
degeneran rápidamente, lo que dificulta la falsa
aceptación de atacantes que puedan robar este
órgano de un cadáver.
La principal desventaja de los métodos basados en
el análisis de patrones oculares es su escasa
aceptación; el hecho de mirar a través de un
binocular (o monocular), necesario en ambos modelos, no es
cómodo para los usuarios, ni aceptable para muchos de
ellos: por un lado, los usuarios no se fían de un
haz de rayos analizando su ojo, y por otro un examen de este
órgano puede revelar enfermedades o
características médicas que a muchas personas les
puede interesar mantener en secreto, como el consumo de
alcohol o de
ciertas drogas. Aunque
los fabricantes de dispositivos lectores aseguran que sólo
se analiza el ojo para obtener patrones relacionados con la
autenticación, y en ningún caso se viola la
privacidad de los usuarios, mucha gente no cree esta postura
oficial (aparte del hecho de que la información es
procesada vía software, lo que facilita introducir
modificaciones sobre lo que nos han vendido para que un lector
realice otras tareas de forma enmascarada). Por si esto fuera
poco, se trata de sistemas demasiado caros para la mayoría
de organizaciones, y
el proceso de
autenticación no es todo lo rápido que debiera en
poblaciones de usuarios elevadas. De esta forma, su uso se ve
reducido casi sólo a la identificación en sistemas
de alta seguridad, como el control de acceso
a instalaciones militares.
Retina
La vasculatura retinal (forma de los vasos
sanguíneos de la retina humana) es un elemento
característico de cada individuo, por lo que numerosos
estudios en el campo de la autenticación de usuarios se
basan en el reconocimiento de esta vasculatura.
En los sistemas de autenticación basados en
patrones retinales el usuario a identificar ha de mirar a
través de unos binoculares, ajustar la distancia
interocular y el movimiento de
la cabeza, mirar a un punto determinado y por último
pulsar un botón para indicar al dispositivo que se
encuentra listo para el análisis. En ese momento se
escanea la retina con una radiación
infrarroja de baja intensidad en forma de espiral, detectando los
nodos y ramas del área retinal para compararlos con los
almacenados en una base de datos; si la muestra coincide
con la almacenada para el usuario que el individuo dice ser, se
permite el acceso.
Iris
El iris humano (el anillo que rodea la pupila, que a
simple vista diferencia el color de ojos de
cada persona) es igual que la vasculatura retinal una estructura
única por individuo que forma un sistema muy complejo – de
hasta 266 grados de libertad – ,
inalterable durante toda la vida de la persona. El uso por parte
de un atacante de órganos replicados o simulados para
conseguir una falsa aceptación es casi imposible con
análisis infrarrojo, capaz de detectar con una alta
probabilidad si el iris es natural o no.
La identificación basada en el reconocimiento de iris es
más moderna que la basada en patrones retinales; desde
hace unos años el iris humano se viene utilizando para la
autenticación de usuarios . Para ello, se captura una
imagen del iris en blanco y negro, en un entorno correctamente
iluminado; esta imagen se somete a deformaciones pupilares (el
tamaño de la pupila varía enormemente en
función de factores externos, como la luz) y de ella se
extraen patrones, que a su vez son sometidos a transformaciones
matemáticas hasta obtener una cantidad de
datos (típicamente 256 KBytes) suficiente para los
propósitos de autenticación. Esa muestra,
denominada iriscode (en la figura se muestra una imagen de
un iris humano con su iriscode asociado) es comparada con
otra tomada con anterioridad y almacenada en la base de datos del
sistema, de forma que si ambas coinciden el usuario se considera
autenticado con éxito; la probabilidad de una falsa
aceptación es la menor de todos los modelos
biométricos .
Carlos C
 Página anterior | Volver al principio del trabajo | Página siguiente  |