A pesar que la autentificación por usuario/contraseña sigue siendo (y posiblemente seguirá siendo durante mucho tiempo) el modo más habitual para identificarnos, los últimos años han puesto de manifiesto que estos requieren evolucionar. Quizás no eliminarlos por completo, pero al menos a combinarlos con otros. Los usuarios y contraseñas están bien, pero tienen demasiados problemas con los que lidiar, las brechas de seguridad son cada vez mayores y públicas, y vemos más despistes por parte de las grandes empresas (Recordemos de nuevo el reciente caso de Facebook).

En el mundo real no hay nada parecido que se asemeje a usuarios/contraseñas, es una invención digital por la necesidad de autentificarnos en sistemas informáticos. En el mundo real usamos otros medios. El DNI por descontado, así como nuestra firma, son nuestras principales formas de identificarnos, pero todos sabemos que cuando se requieren medidas de seguridad mejoradas, son solo una pieza más. Es entonces cuando aparecen los sistemas biométricos.

Recordemos de nuevo, un sistema para ser seguro, debe de requerir tres cosas fundamentales de nosotros: Una cosa que seamos, Una cosa que tengamos y una Cosa que sepamos.

Los sistemas biométricos nos aportan esencialmente dos características que los hacen únicos:

1º. Nos aportan la primera necesidad: Una cosa que seamos.
2º. Son extremadamente cómodos, rápidos, simples (a veces transparentes) y relativamente seguros.


Que es un sistema biométrico

La biometría versa precisamente de las diferentes técnicas, patrones, algoritmos, tecnología… que permiten de algún modo parametrizar rasgos físicos de los seres vivos de un modo único y fiable, los cuales pueden ser usados para su autentificación. Posiblemente los sistemas biómetricos más conocidos son desde los lectores de huellas dactilares, escáneres de iris/faciales… y si queremos sistemas más sofisticados que entren dentro de la ciencia ficción pero viables, la propia sangre, temperatura corporal…

En el mundo real los sistemas biométricos se han usado desde hace décadas, además de las películas de ciencia ficción. A nosotros mismos llega un momento al cumplir años que para hacernos el carnet de Identidad debemos de suministrar nuestras huellas dactilares.

La complejidad técnica, los altos costes y los requerimientos técnicos que históricamente han tenido los sistemas biométricos, han hecho que hayan sido usado solo en organizaciones concretas, o en lugares de alta seguridad.

Pero algo pasó. Como pasa en nuestra sociedad, cuando algo no interesa apenas avanza tecnológicamente, pero cuando al público general le gusta y se consume a grandes dosis, la tecnología se dispara, se necesite o no. Y agarraos, porque la biometría ha venido para quedarse, y no solo en el ámbito digital, pronto veremos tarjetas de crédito con lectores de huellas y escáneres faciales en diferentes lugares para, de forma automática, detectarnos e identificarnos.

A día de hoy, hay que decir que encontramos lectores en cualquier lado, el soporte de los sistemas operativos es tal que prácticamente el 100% de los terminales móviles que se venden a día de hoy los llevan, pero incluso en los entornos de escritorio, cada vez más y no solo en ámbito empresarial, los vemos. En este aspecto hay que alabar enormemente los esfuerzos por parte de Microsoft con Windows 10, y el increíble soporte en cuanto a seguridad se refiere: TPM, Windows Hello, Bitlocker… y muy recientemente, en la actualización que llegará en unos días/semanas, FIDO2 de forma nativa. Entraremos en algunas de esas tecnologías más adelante.

Vamos a hablar de métodos biométricos, fundamentalmente de los Lectores de Huella dactilar y de los escáner faciales/iris puesto que a día de hoy son los más predominantes. También los problemas y ventajas que entrañan, y alguna cosilla más


Lectores de Huellas Dactilares

No se puede decir que un lector de huellas dactilar sea nuevo, llevan con nosotros muchas décadas. Sin embargo, ha sido a lo largo de los últimos 6 años con los dispositivos móviles cuando la tecnología se ha implantado prácticamente en todos lados en la sociedad actual. Desde hace unos años es la moda, y lo que parecía algo tan exótico y tan singular propio más bien de las películas de James Bond, hoy en día los tenemos incluso en los terminales de gama baja.

Hay que decir que los lectores de huellas a día de hoy, distan enormemente de los lectores de hace años. Históricamente lectores de huellas han funcionado siempre como un medio óptico, literalmente un “escáner”. Actualmente encontramos hasta tres tipo de lectores de huellas:

-Ópticos:
Los primeros que llegaron, y hasta hace tan solo unos pocos años los que podían encontrarse. Eran relativamente grandes, caros… Fueron también los primeros que se empezaron a montar en algunos portátiles, aunque estos usaban un sensor más pequeño por el que era necesario desplazar por encima el dedo para que realizar una lectura “completa.

El modo de funcionamiento de los lectores de huellas óptico era/es el más simple de todos. El dedo se apoyaba por lo general en un cristal que conformaba a su vez un prisma, por otro de los lados se emitía una fuente de luz para iluminar el dedo, y en el otro lado del prisma se colocaba un sensor de imagen. La luz incidía en el dedo y rebotaba hacia el sensor, y este recogía la información. Las huellas como sabemos tienen surcos y crestas (y otras anomalías), con lo que la luz incide de forma diferente en cada parte.

De todos los lectores de huellas son los menos fiables, básicamente lo que recoge el lector es algo así como una “fotografía” del dedo, fácil de suplantar, sin información de profundidad. A día de hoy es muy raro encontrarlos en el mercado, y tampoco se implantaron prácticamente en los móviles. Recientemente no obstante, se han empezado a usar en estos para poder incluirlos debajo de las pantallas

-Capacitativos:
Representan la mayoría de los lectores actuales, tanto en dispositivos móviles como en forma de pequeños (micro) dispositivos USB. La miniaturización de componentes y el desarrollo de algoritmia moderna ha permitido la creación de lectores de huellas que pueden instalarse prácticamente sin ocupar espacio, pero aplicando un concepto totalmente diferente al de los lectores ópticos. Además, a su modo, son capaces de obtener información de profundidad, y por su modo de funcionamiento son muy difíciles de engañar.

En este caso el lector en sí mismo no es más que una matriz muy grande de pequeñísimos condensadores. Estos condensadores experimentan diferenciales de carga cuando el dedo los toca, y la circuitería existente recoge con precisión estos pequeños cambios en la carga de los condensadores. No será igual aquel condensador que esté en contacto con el dedo completamente, al que está en un surco y no hay nada que lo roza, salvo el aire.

Todos estos datos se procesan, y se puede crear un “mapa” de características únicas de cada dedo. No vale una fotocopia de un dedo para engañarlo, se requeriría una superficie igualmente tridimensional con la misma morfología que el dedo de origen, lo cual si bien es cierto no es imposible, si es muy complicado

-Ultrasónicos:
La joya de la corona de los lectores actuales. Los encontramos en teléfonos de alta gama, también se venden en formato mini-usb como el de la foto. Son más seguros aun que los anteriores, más precisos y más complicados de suplantar.

en este caso, en vez de ser la luz lo que incide en la huella son ondas ultrasónicas que rebotan en la superficie del dedo, mandando de vuelta información sobre la estructura del dedo. Las ondas penetran de forma eficaz el aire que hay entre la superficie del lector y los surcos, obteniendo información mucho más exacta

No podemos saber si seguirán evolucionando, lo cierto es que hemos pasado de lectores “inseguros” voluminosos y caros, a lectores rápidos, eficaces y seguros, que podemos encontrar casi en cualquier lado a día de hoy, no solo en los dispositivos móviles.

Pero no todo es positivo. Los lectores de huellas, como veremos al final, también tienen sus propios problemas. no podremos depender de él en exclusividad, y además, tampoco podemos olvidar, que por bueno que sea el sistema, siempre cabe la posibilidad de engañarlo.


Escáner Facial/Iris

Aunque hasta hace muy los lectores de huellas dactilares no estaban en nuestro entorno,todos los conocíamos bien, en algún momento dado los habíamos tenido que usar, o al menos los habíamos visto. En cambio, los escáneres faciales o de iris aun parecen sonar a ciencia ficción.

A nadie se le escapa que en organismos de alta seguridad se han usado desde hace muchos años, sobre todo los escáneres de iris/retina. A fin de cuenta es otro distintivo único que tienen las personas, al igual que la huella dactilar, no hay dos iguales, lo que nos asegura, en teoría siempre, la inequivocidad. Pero han tenido el mismo problema, grandes, muy caros, sin estandarizar… y realmente, bastante inseguros si los comparásemos con los que tenemos a día de hoy.

Si a día de hoy hablamos de Escáner Facial, muchos posiblemente no nombrarán correctamente al que, muy posiblemente, sea responsable original de la tecnología actual en reconocimiento facial puesta a consumo. No, no fue ni Samsung con su increíble escáner de retina, ni mucho menos Apple con su llamado Face ID. Fue Microsoft, hace ya 9 años, en 2010, y el lanzamiento de Kinect. Para quien o lo recuerde, Kinect fue un accesorio que Microsoft creó para sus XBOX, para dotarlas de un dispositivo de seguimiento corporal.

Kinect fue el precursor de la tecnología que a día de hoy se usa a diario para el reconocimiento facial. De echo, Face ID de Apple es en esencia una versión en miniatura (y obviamente menos prestaciones) de Kinect, y lo mismo ocurre para otros dispositivos que implementan sistemas similares, como Xiaomi Mi8. Paralelamente existen tecnologías similares con resultados muy parecidos, más o menos sofisticados, pero funcionamiento similar, y pese a que todos digan que su sistema es el mejor, la mayoría poco tienen que envidiar al vecino.

Vamos a ver ahora algunas de estas tecnologías:

-Escáner de Retina tradicional
Sin duda alguna los primeros que aparecieron, hace ya muchos muchos años, empleado en sistemas de seguridad avanzados. Básicamente eran sistemas fotográficos del iris delas personas, en los que prácticamente se pegaba el ojo a la lente. La lente tomaba una fotografía del ojo y los algoritmos hacían el resto para la identificación de los patrones del ojo con los almacenados. No existen dos ojos iguales, pero este sistema resultó poco “fiable”, sobre todo en los tiempos modernos, dada la posibilidad de engañar los escáneres con fotografías de gran resolución.

-Escáner de Retina IR
A día de hoy los escáner de retina existentes hacen uso de iluminación ocular por infrarrojos, antes de tomar la imagen del iris. Esto mejora considerablemente la seguridad y la identificación. Usando luz infrarroja se puede revelar mucho mucho mejor la textura del ojo. sin solaparse la pigmentación, y teniendo una estructura mucho más firme y clara.

Este es el tipo de Escáner que por ejemplo encontramos en los últimos terminales de Samsung. Mejoran considerablemente los anteriores, y realmente el Iris es ideal desde un punto de vista biométrico, dado que la estructura del ojo es extremadamente compleja. Pero esas ventajas, al menos a día de hoy, no logran superar las desventajas. En primer lugar, en teoría, es relativamente sencillo engañar a un escáner de retina. Por otro lado el alcance del escáner se ve muy limitado dada la necesidad de tomar una imagen clara y de alta resolución. La tecnología tiene aun mucho camino que puede recorrer, pero a día de hoy aun prevalece, desde mi opinión, la tecnología de reconocimiento facial.

-Escáner Facial tradicional
Similar al escáner de Retina tradicional. En este caso en vez de usar como imagen/patrón el iris, se usa la cara completa. Una cámara/sensor realiza una captura. A través de esa captura, una serie de algoritmos parametrizan desde la morfología de la cara, la iluminación, arrugas, defectos… incluso pueden analizar la pigmentación. Todo eso se procesa, y se compara con los patrones inicialmente almacenados. La premisa es la misma, no hay dos caras iguales

Por la mismas razones que los escáneres de retina, esta tecnología nunca ha sido demasiado segura. En entornos de Consumo, fue en este caso Google el que la puso de moda, con su “Face Unlock” para Android. Aun se usa en muchos terminales, y pese a las limitaciones que tiene la tecnología, el sistema funcionaba. El primer problema, no obstante, fue de nuevo lo fácil que resultaba burlar el sistema, y fotografías colocadas de forma inteligente era suficiente. De ahí a que Google implementase el parpadeo… Otro gran problema es la imposibilidad de usar estos escáneres sin fuentes de luzz importantes. Tecnología muy simple por requerir sólo una lente/camara, pero demasiados problemas.

-Escáner Facial IR
Usa una aproximación similar a la del escáner de retina IR. En este caso se requiere un dispositivo bastante más sofisticado, no es un solo sensor quien toma una imagen. En este caso se requiere un dispositivo similar a Kinetic, por lo general se usan 2 sensores separados, un sensor RGB y otro IR (cercano a IR). Por otro lado se requiere de emisores IR.

Estos escáneres eliminan los problemas de los escáneres Faciales tradicionales. Al usar IR, la tecnología permite ser usada en entornos de baja luminosidad, incluso en oscuridad total. También permite parametrizar mejor cualquier rasgo facial. Y por último, al estar ambos sensores separados, permiten también, en parte, hacer estereoscopia. No permite recrear una cara en 3D, pero puede aportar igualmente información de profundidad, que es usada para evitar el uso de fotografías y otros medios para burlarlos.

Son el tipo de Escáneres faciales más comunes a día de hoy, son rápidos y funcionan bastante bien. Se están empezando a sustituir por escáneres 3D, en lo personal por una cuestión de marketing, más que por seguridad.

-Escáner Facial IR-3D
Su funcionamiento es también similar al IR, y es lo que están empezando a añadir algunas empresas a sus teléfonos. Al igual que Kinetic, en esta ocasión se opta por un sistema más complejo pero igualmente efectivo. En vez de analizar la morfología y otros de una imagen 2D, aun teniendo información de profundidad, se opta por intentar reconstruir, virtualmente, una cara, y de esa reconstrucción, parametrizarla, y guardar dichos datos para la autentificación.

Esto se logra de un modo similar a los escáneres IR. En este caso hace falta también un, llamado, emisor de puntos, básicamente un emisor IR que “proyecta” sobre la cara miles de puntos, que son recogidos luego por un sensor IR, conociendo la profundidad de cada uno de esos puntos, y por ende teniendo un mapa tridimensional de la parte delantera de la cara.

Sobre el papel este tipo de escáneres debería de ser más seguro por añadir una mayor estructura a la parametrización, pero a efectos prácticos el resultado es similar a escáneres más baratos IR. Desde que apareciesen los primeros terminales móviles con ellos, ya han aparecido 2-3 generaciones diferentes de este tipo de escáneres. Si en lo que respecta a escáneres de huellas la cosa está actualmente más estable, los escáneres faciales aun están en vías de crecimiento, no apostaría por que tecnología facial va a predominar los próximos años, si escáneres 3D, IR o incluso los de iris. Todos tienen sus pros y sus contras.


Consideraciones Finales

Como veremos en el siguiente capítulo, los sistemas biométricos son una gran ayuda, pero no están exentos de problemas, y por lo general debemos de usarlos con sistemas dobles. A eso hay que sumarle que, mientras que suplantar un sistema digital como una clave privada es en la práctica inviable, suplantar o engañar a las cámaras y escáneres es más factible.

La mejor variable que mide la viabilidad de los modos biométricos es el FAR, por ser también la más peligrosa. El FAR, False Accept Rate, es un dato que proporciona el fabricante, y hace referencia a que porcentaje tiene dicho hardware de causar un falso positivo. Existen también falsos negativos, FRR, es decir, nos identifican mal y tenemos que reautentificarnos, pero esto no causa mayor problema desde un punto de vista de la seguridad, aunque cuanto mayor sea, mayor incomodidad para nosotros.

Un FAR de un 50% implicaría que cada dos intentos en la autentificacion sin que estemos registrados en el sistema, la autentificación nos concederá un acceso incorrectamente, lo cual es el peor de los casos.

Un FRR de un 50% en un sistema en el que sí estuviésemos registrado, implicaría que cada dos intentos en la autentificación el sistema no sería capaz de identificarnos en uno de ellos. Cuantas veces el lector del móvil no es capaz de reconocer la huella? Eso es un FRR alto.

Dependiendo del entorno donde nos encontremos y el grado de seguridad que se requiera, es lógico jugar con estos dos valores, requerir dispositivos y sistemas que cumplan como máximo un FAR/FRR concreto. Hay que tener en cuenta también la usabilidad, no es lo mismo un sistema que tarde en reconocernos 10 segundos que otro de 1 segundo, el de 10 segundos podría captar y analizar mucha más información, a expensas de tener que esperar 10 segundos.

Microsoft, por ejemplo, estipula que el FAR de los sistemas biométrico por huella, deberían de estar en el 0,001%-0,002% dependiendo del tipo de lector de huella, es decir, uno o dos falsos positivos entre cien mil intentos. Para el reconocimiento facial lo sitúa directamente en el 0,001%. Por otro lado, el FRR debe de ser menor al 10% (fallar menos que 1 vez de cada 10), mientras que en los sistemas faciales el FRR debería de ser menor al 5%.

Un FAR de 0,001% puede parecer algo muy bajo, pero recordemos de nuevo que estamos en la era tecnológica, y tal es así que expertos e investigadores de todo el mundo han ido sistemáticamente demostrando que es “posible” falsificar huellas dactilares y engañar a los escáneres Faciales/Retina. Aunque parezca increíble, los medios biométricos que tanto hemos visto en la ciencia ficción como los que hemos visto, son infinitamente más sencillos de vulnerar que un sistema criptográfico digital para la autentificación (veremos algunos en otros capítulos).

Hay que tener claro que eso no significa que los sistemas biométricos no sean buenos o “seguros”, lo que significa que es bueno usarlos como un medio más en la cadena del Que Somos, Que tenemos, Que sabemos, no como medio único. Veremos estas cuestiones más adelante.