Blog de GlobalSign

01 sep 2016

¿Qué es Autenticación Biometrica?

Para comenzar a explicar los conceptos básicos y algunas de las ideas centrales relativas a la autenticación online de usuarios, creo que resulta útil abordar la autenticación biométrica. ¿Por qué? Según un estudio elaborado por Visa, dos tercios de los europeos preferirían usar una autenticación biométrica para sus pagos/transacciones a través de Internet. Se trata de una proporción notable e indica las preferencias de la mayoría de usuarios de Internet.

La denominada autenticación multifactorial hace referencia al uso de más de un factor para determinar la identidad de un usuario online. Un segundo factor ampliamente utilizado es el envío de un código SMS al número de teléfono registrado del usuario (lo que se denomina una contraseña única). Sin embargo, este método extendido ha sido objeto de muchas críticas y se ha demostrado su vulnerabilidad, por lo que ahora su uso ha sido desaconsejado por empresas como NIST(National Institute of Standards and Technology). En términos generales, los factores pueden clasificarse en tres categorías:

  • Algo que se sabe (por ejemplo, una contraseña)
  • Algo que se posee (por ejemplo, un dispositivo de claves, un teléfono o una tarjeta inteligente)
  • Algo que se es (por ejemplo, una huella dactilar)

La biométrica se encuadra en la categoría de "algo que se es". Las huellas dactilares son el factor biométrico más utilizado, debido a la proliferación de teléfonos inteligentes capaces de reconocer huellas dactilares. Otros factores biométricos serían el rostro, la retina, el latido del corazón, la voz, el comportamiento, etc. Quién sabe si un día incluso nuestro ADN será un factor de autenticación para Internet. Sin entrar en los detalles de la biométrica, recomiendo leer el artículo de FindBiometrics sobre la biométrica titulado "what are biometrics?"

¿Acceder a la banca online mediante las huellas dactilares?

Ahora que sabemos que podemos emplear los factores biométricos para facilitar el proceso de autenticación, podemos profundizar en su utilidad para la vida real.

Su iPhone no le proporciona acceso automático a su cuenta bancaria. Apple y los sistemas de banca son completamente independientes. ¿Cómo superamos esta separación para poder acceder a sus activos utilizando el dedo? El primer paso es contar con un proveedor de identidades como GlobalSign. El proveedor de identidades permite al banco aceptar métodos de autenticación distintos de sus propios generadores de contraseña única que el usuario posee en casa.

A continuación, es necesario descargar una app como MePin en el teléfono. Una vez descargada la app e iniciado el navegador para acceder a la banca online, procederemos con la denominada "federación dirigida por el usuario". Así, durante la fase de autenticación, el usuario se identifica usando sus credenciales de banca para, posteriormente, introducir otro dato, como su número de teléfono. El proveedor de identidades de la entidad bancaria envía entonces una petición de autenticación a la app del teléfono inteligente solicitando la huella dactilar del usuario. Al pulsar el círculo del iPhone se envía una respuesta al proveedor de identidades y voilá, el usuario utiliza la huella dactilar para autenticarse y acceder a la banca online sin necesidad de usar el dispositivo de clave.

¿Pero se basa el proceso exclusivamente en la biométrica?

Al considerar el proceso anterior, quizá se tenga la impresión de que la huella dactilar es la responsable de desbloquear la seguridad y acceder al sitio web. Sin embargo, no es así. En el escenario anterior, la huella dactilar sustituye a un código PIN. La app incorpora una clave privada (PKI) que permite al usuario firmar criptográficamente el mensaje de respuesta que se envía al proveedor de identidades. Esta clave puede protegerse mediante código PIN, huella dactilar o reconocimiento facial. El anterior es el método adecuado para implementar la autenticación biométrica en los servicios online. La información biométrica no abandona el dispositivo.

Ventajas de la autenticación biométrica

Si pensamos en un usuario medio, sus conocimientos en materia de seguridad son limitados y confían en que sea el banco el que vele por su seguridad. Su interés se limita a la comodidad y usabilidad. Todos estamos de acuerdo en que cambiar cada 90 días las contraseñas complejas puede ser una pesadilla. Sin duda, los dispositivos de contraseña única que generan secuencias numéricas de 6-8 dígitos resultan especialmente poco prácticos.

La biométrica que emplea algo que se tiene en la mano docenas de veces al día, ya sea por Pokémon o por WhatsAapp, resulta mucho más cómoda para realizar las autenticaciones. La practicidad es indiscutible y su aceptación y usabilidad por parte del usuario es también muy superior a la de cualquier otro método disponible en el mercado.

Desventajas de la autenticación biométrica

La crítica más frecuente a la biométrica es que no se puede modificar, algo que es verdad, salvo en limitadas excepciones.  Además, la denominada biométrica cancelable prevé la distorsión de las características biométricas y su reconstrucción en una nueva plantilla.

Otro punto álgido es la privacidad. Algunos usuarios pueden mostrarse reacios a participar en un programa biométrico, ya que pueden considerar que "revelar" su información biométrica es algo muy personal que constituye una violación de su privacidad.

En el ámbito de la seguridad de la información nada está protegido al 100%. Los analistas de seguridad han demostrado que es relativamente sencillo engañar a un sensor biométrico. Naturalmente, los proveedores de soluciones de autenticación biométrica han mejorado sus sistemas de software para impedir, por ejemplo, el uso de imágenes estáticas de un rostro para realizar un reconocimiento facial.

La mayor ventaja de la autenticación biométrica es su comodidad de uso. Sin embargo, mi recomendación es utilizar la biométrica para desbloquear algún otro elemento (por ejemplo, una clave privada PKI), que será el empleado en última instancia para la autenticación.

Lo invitamos a ver nuestro webinar: PKI para el Internet de Todas las Cosas

Share this Post

Subscribe to our Blog