La biometría y sus riesgos en la empresa

0
109

La autenticación biométrica utiliza características humanas físicas o de comportamiento para identificar digitalmente a una persona para otorgar acceso a sistemas, dispositivos o datos. Ejemplos de estos identificadores biométricos son huellas digitales, patrones faciales, la voz o cadencia de escritura. Cada uno de estos identificadores se considera único para el individuo, y se pueden usar en combinación para garantizar una mayor precisión de identificación.

Debido a que la biometría puede proporcionar un nivel razonable de confianza en la autenticación de una persona con menos fricción para el usuario, tiene el potencial de mejorar drásticamente la seguridad de la empresa. Las computadoras y dispositivos pueden desbloquearse automáticamente cuando detectan las huellas digitales de un usuario aprobado. Las puertas de las salas de servidores se pueden abrir al reconocer las caras de los administradores de sistemas de confianza. Los sistemas de la mesa de ayuda pueden extraer automáticamente toda la información relevante cuando reconocen la voz de un empleado en la línea de soporte.

Según una encuesta reciente de Ping Identity, el 92% de las empresas clasifican la autenticación biométrica como «efectiva» o «muy efectiva» para proteger los datos de identidad almacenados en las instalaciones, y el 86% dice que es efectivo para proteger los datos almacenados en una nube pública. Otra encuesta, publicada el año pasado por Spiceworks, informa que el 62% de las empresas ya está utilizando la autenticación biométrica, y otro 24% planea implementarla en los próximos dos años.

Sin embargo, las empresas deben tener cuidado con la forma en que implementan sus sistemas de autenticación biométrica para evitar infringir la privacidad de los empleados o clientes, o exponer indebidamente información confidencial. Después de todo, si bien es fácil emitir una nueva contraseña cuando la anterior ha sido comprometida, no se puede emitir un nuevo globo ocular.

Según la encuesta de Spiceworks, el 48% cita los riesgos de los datos biométricos robados como un riesgo principal de seguridad de la tecnología. Otros obstáculos para la adopción incluyen costos, citados por el 67% de los encuestados; seguido de las preocupaciones de confiabilidad por el 59%.

De acuerdo con la encuesta Ping Identity, para las empresas que utilizan la biométrica específicamente para proteger la infraestructura de TI en la nube, SaaS, entornos locales e híbridos, las tasas de adopción son aún más bajas. Solo el 28% de las empresas utilizan la biometría en las instalaciones, y aún menos, el 22% la utiliza para aplicaciones en la nube.

Tipos de biometría
Un identificador biométrico es aquel que está relacionado con características humanas intrínsecas. Se dividen, a grandes rasgos, en dos categorías: identificadores físicos e identificadores de comportamiento. Los identificadores físicos son, en su mayor parte, inmutables e independientes del dispositivo:

  • Huellas digitales: Los escáneres de huellas digitales se han vuelto omnipresentes en los últimos años debido a su despliegue generalizado en los smartphones. Cualquier dispositivo que se pueda tocar, como la pantalla del teléfono, el mouse de la computadora o touchpad, o el panel de la puerta; tiene el potencial de convertirse en un escáner de huellas digitales fácil y conveniente. Según Spiceworks, el escaneo de huellas digitales es el tipo más común de autenticación biométrica en el mundo empresarial, utilizado por el 57% de las empresas.
  • Foto y video: Si un dispositivo está equipado con una cámara, se puede usar fácilmente para la autenticación. El reconocimiento facial y los escaneos de retina son dos enfoques comunes.
  • Reconocimiento fisiológico: El reconocimiento facial es el segundo tipo de autenticación más común, según Spiceworks, aplicado en el 14% de las empresas. Otros métodos de autenticación basados en imágenes incluyen el reconocimiento de la geometría de la mano, utilizado por el 5% de las compañías; el escaneo del iris o la retina; reconocimiento de la vena de la palma de la mano y el reconocimiento del oído.
  • Voz: Los asistentes digitales basados en voz y los portales de servicios telefónicos ya están utilizando el reconocimiento de voz para identificar a los usuarios y autenticar a los clientes. Según Spiceworks, el 2% utiliza el reconocimiento de voz para la autenticación dentro de la empresa.
  • Firma:Los escáneres de firmas digitales ya se usan ampliamente en las compras minoristas y en los bancos, y son una buena opción para situaciones en las que los usuarios y clientes esperan tener que firmar sus nombres.
  • ADN:En la actualidad, las exploraciones de ADN se utilizan principalmente en la aplicación de la ley para identificar a los sospechosos -y en las películas. En la práctica, la secuenciación del ADN ha sido demasiado lenta para un uso generalizado. Esto está empezando a cambiar. El año pasado, un escáner de mil dólares, que puede encontrar una coincidencia de ADN en minutos, llegó al mercado, y es probable que los precios sigan bajando.

Los identificadores de comportamiento son un enfoque más nuevo y, por lo general, se utilizan junto con otro método debido a una menor confiabilidad. No obstante, a medida que la tecnología mejora, estos identificadores de comportamiento pueden volverse más importantes. A diferencia de los identificadores físicos, que están limitados a un cierto conjunto fijo de características humanas, el único límite para los identificadores de comportamiento es la imaginación humana.

Hoy en día, este enfoque se usa a menudo para distinguir entre un humano y un robot. Esto puede ayudar a una empresa a filtrar el correo no deseado o detectar intentos de fuerza bruta de un nombre de usuario y contraseña. A medida que la tecnología mejora, es probable que los sistemas mejoren en la identificación precisa de individuos, pero que sean menos efectivos para distinguir entre humanos y robots. Aquí hay algunos enfoques comunes:

  • Patrones de escritura: Todos tienen un estilo de escritura diferente. La velocidad a la que escriben, el tiempo que tarda en ir de una letra a otra, el grado de impacto en el teclado.
  • Movimientos físicos: La forma en que alguien camina es exclusiva de un individuo y puede usarse para autenticar a los empleados en un edificio, o como una capa secundaria de autenticación para ubicaciones particularmente sensibles.
  • Patrones de navegación: Los movimientos del mouse y los dedos en trackpadso pantallas táctiles son exclusivos de las personas y relativamente fáciles de detectar con software, sin necesidad de hardware adicional.
  • Patrones de compromiso: Todos interactuamos con la tecnología de diferentes maneras. Cómo abrimos y usamos las aplicaciones, cuánto permitimos que se descargue nuestra batería, las ubicaciones y las horas del día en las que es más probable que usemos nuestros dispositivos, la forma en que navegamos en los sitios web, cómo inclinamos nuestros teléfonos cuando los sostenemos, o incluso la frecuencia con la que revisamos nuestras cuentas de redes sociales son características de comportamiento potencialmente únicas. Estos patrones de comportamiento pueden usarse para distinguir a las personas de los robots, hasta que los robots mejoren en imitar a los humanos. Y también se pueden utilizar en combinación con otros métodos de autenticación o, si la tecnología mejora lo suficiente, como medidas de seguridad independientes.

¿Qué tan confiable es la autenticación biométrica?
Las credenciales de autenticación, como escaneos de huellas digitales o grabaciones de voz, pueden filtrarse desde los dispositivos, desde los servidores de la empresa o el software utilizado para analizarlos. También hay un alto potencial de falsos positivos y falsos negativos. Es posible que un sistema de reconocimiento facial no reconozca a un usuario que usa maquillaje o anteojos, o que está enfermo o cansado. Las voces también varían.

Las personas suenan diferente cuando recién se despiertan, o cuando intentan usar su teléfono en un entorno público con bastante gente, o cuando están enojadas o impacientes. Los sistemas de reconocimiento pueden ser engañados con máscaras, fotos y grabaciones de voz, con copias de huellas digitales, o engañados por familiares o compañeros de confianza cuando el usuario legítimo está dormido.

Los expertos recomiendan que las empresas utilicen varios tipos de autenticación simultáneamente, y que aumenten rápidamente si ven señales de advertencia. Por ejemplo, si la huella digital coincide, pero la cara no, o si se accede a la cuenta desde un lugar inusual en un momento inusual, podría ser el momento preciso de cambiar a un método de autenticación de respaldo o un segundo canal de comunicación. Esto es particularmente crítico para transacciones financieras o cambios de contraseña.

¿Cuáles son los riesgos de privacidad de la autenticación biométrica?
Es posible que algunos usuarios no deseen que las empresas recopilen datos sobre, por ejemplo, la hora del día y los lugares donde normalmente usan sus teléfonos. Si se divulga tal información, podría ser utilizada por acosadores o, en el caso de las celebridades, por los periodistas de tabloides. Es posible que algunos usuarios no quieran que sus familiares o cónyuges sepan dónde están todo el tiempo.

Además, regímenes gubernamentales represivos o fiscales criminales que sobrepasan los límites, podrían abusar de la información. Poderes extranjeros podrían usar los datos en un intento de influir en la opinión pública. Los publicistas y anunciantes poco éticos podrían hacer lo mismo. El año pasado, se descubrió que una aplicación fitness recopilaba información sobre las ubicaciones de los usuarios y la exponía de una manera que revelaba la ubicación de las bases militares secretas de los EE.UU.

Cualquiera de estas situaciones podría resultar en una vergüenza pública importante para la empresa que recopiló los datos, multas reglamentarias o demandas colectivas. Si los escaneos de ADN se generalizan, dan lugar a una nueva área de problemas de privacidad, como la exposición a condiciones médicas y las relaciones familiares.

¿Qué tan seguros están los datos de autenticación biométrica?
La seguridad de los datos de autenticación biométrica es de vital importancia, incluso más que la seguridad de las contraseñas, ya que éstas se pueden cambiar fácilmente si llegan a ser expuestas. Sin embargo, una huella digital o escaneo de la retina es inmutable. La publicación de ésta u otra información biométrica podría poner a los usuarios en riesgo permanente y crear una exposición legal significativa para la empresa que pierde los datos.

«En el caso de una violación, se crea un desafío hercúleo porque las atribuciones físicas como las huellas digitales no pueden ser reemplazadas», comenta el experto en seguridad de datos, Kon Leong, CEO y cofundador de ZL Technologies, con sede en San José. «Los datos biométricos en manos de una entidad corrupta, tal vez un gobierno, también tienen implicaciones muy alarmantes pero reales».

Al final del día, cada empresa es responsable de sus propias decisiones de seguridad. No puede subcontratar el cumplimiento, pero puede reducir el costo del cumplimiento y las posibles repercusiones de una fuga, seleccionando al proveedor adecuado. Si una empresa pequeña o mediana usa, digamos, la tecnología de autenticación de Google o Apple y se da una violación de seguridad, es probable que Google o Apple sean los responsables.

Además, las compañías que no guardan las credenciales en archivos, cuentan con algunas protecciones legales. Por ejemplo, muchos minoristas pueden evitar costos de cumplimiento sustanciales manteniendo sus sistemas «fuera del alcance». La información de pago se cifra directamente en el terminal de pago y se dirige directamente a un procesador de pagos. Los datos sin procesar de la tarjeta de pago nunca tocan los servidores de la compañía, lo que reduce las implicaciones de cumplimiento y los potenciales riesgos de seguridad.

Si una empresa necesita recopilar información de autenticación y mantenerla en sus propios servidores, se deben aplicar las mejores medidas de seguridad. Eso incluye el cifrado tanto para los datos en reposo como para los datos en tránsito. Las nuevas tecnologías están disponibles para el cifrado en tiempo de ejecución, que mantiene los datos encriptados incluso mientras son utilizados.

El cifrado no es una garantía absoluta de seguridad, por supuesto, si las aplicaciones o los usuarios autorizados para acceder a los datos están comprometidos. Sin embargo, existen algunas formas en que las empresas pueden incluso evitar mantener los datos de autenticación encriptados en sus servidores.

Autenticación local o basada en dispositivo
El ejemplo más común de un mecanismo de autenticación local es el módulo de seguridad de hardware en un smartphone. La información del usuario, como un escaneo de huellas digitales, una imagen facial o una impresión de voz, se almacena dentro del módulo. Cuando se requiere autenticación, el lector de huellas digitales, la cámara o el micrófono recopilan la información biométrica y la envían al módulo donde se compara con la original. El módulo le dice al teléfono si la nueva información coincide o no con la que ya tiene almacenada.

Con este sistema, la información biométrica en bruto nunca es accesible para ningún software o sistema fuera del módulo, incluido el sistema operativo del teléfono. En el iPhone, esto se denomina enclave seguro y está disponible en todos los teléfonos con un chip Apple A7 o más nuevo. El primer teléfono con esta tecnología fue el iPhone 5S, lanzado en el 2013. También se encuentra disponible una tecnología similar en los teléfonos Android. Samsung, por ejemplo, comenzó a implementar el entorno de ejecución confiable ARM TrustZone con el smartphone Samsung S3.

Hoy en día, los módulos de seguridad de hardware de los smartphones se utilizan para proporcionar seguridad para Apple Pay, Google Pay y Samsung Pay, así como para autenticar aplicaciones de terceros. PayPal, por ejemplo, puede usar el sensor biométrico de un teléfono para la autenticación sin que PayPal vea los datos biométricos reales en sí. Square Cash, Venmo, Dropbox y muchas apps bancarias y de administración de contraseñas también aprovechan este mecanismo de autenticación.

Las empresas también pueden usar los lectores biométricos de los smartphones cuando sus usuarios o clientes tengan acceso a estos, sin tener que recopilar y almacenar información biométrica de identificación en sus propios servidores. Se dispone de tecnología similar para otros tipos de dispositivos, como tarjetas inteligentes, cerraduras de puertas inteligentes o escáneres de huellas digitales para PC.

Según Spiceworks, el reconocimiento de huellas digitales en el teléfono es el mecanismo de autenticación biométrica más común usado hoy en día. El 34% de las empresas utiliza el sensor de huellas digitales Touch ID de Apple. Además, el 14% de las empresas usa Apple Face ID, y el 7% usa Android Face Unlock.

La autenticación en smartphones ofrece importantes beneficios de usabilidad. Primero, los usuarios tienden a ser inmediatamente conscientes de si han perdido su Smartphone, y toman medidas rápidas para encontrarlo o reemplazarlo. Sin embargo, si extravían una credencial que solo usan para acceder a un edificio durante las horas de descanso, es posible que durante un tiempo no se den cuenta de que no la tienen.

Los fabricantes de smartphones también están en medio de una carrera armamentista para hacer que su tecnología sea mejor y más fácil de usar. Ninguna otra industria, o compañía individual, puede igualar la escala de la inversión móvil o las pruebas de usabilidad y seguridad que reciben los teléfonos.

Por último, la autenticación de teléfonos le ofrece a los usuarios máxima flexibilidad. Pueden optar por teléfonos con Face ID, escáneres de huellas digitales o reconocimiento de voz, o alguna otra tecnología nueva que aún no se haya inventado pero que dominará el mercado muy pronto. Sin embargo, el uso de un mecanismo de terceros como los smartphones de consumo hace que el proceso de autenticación esté fuera del control de la empresa.

Otra desventaja de la autenticación basada en dispositivos, en general, es que la información de identidad está limitada a ese único dispositivo. Si las personas usan una huella digital para desbloquear su smartphone, no pueden usar esa misma huella para desbloquear la puerta de su oficina sin autorizar por separado el bloqueo de la puerta, o para desbloquear su computadora sin autorizar por separado el escáner de huellas digitales de su PC.

Las compañías que necesitan autenticar usuarios o clientes en múltiples dispositivos y ubicaciones deben tener algún tipo de mecanismo centralizado para almacenar las credenciales de autenticación o aprovechar un dispositivo que el usuario lleva consigo en todo momento. Por ejemplo, las empresas pueden colocar el mecanismo de autenticación dentro de una insignia inteligente que los empleados usan en la oficina. También pueden usar un smartphone para autenticar al empleado y luego comunicar la confirmación de identidad a otros dispositivos y sistemas a través de Bluetooth, NFC, WiFi o Internet.

Tokenización o cifrado
Otro enfoque para permitir que los nuevos dispositivos reconozcan a los usuarios autorizados existentes es la tokenización, el cifrado de una vía o las funciones de hashing. Por ejemplo, la identificación de retina, voz o huella digital se usa para reconocer y autenticar a los empleados dondequiera que vayan dentro de la empresa; pero la compañía no busca tener los archivos de imagen o audio almacenados en servidores donde los hackers o empleados malintencionados puedan acceder.

En su lugar, la compañía usaría un dispositivo que, por ejemplo, escanea la cara o la huella digital de una persona, convierte esa imagen en un código único y luego envía ese código al servidor central para su autenticación. Cualquier dispositivo que use el mismo método de conversión podrá reconocer al empleado, y los datos de identificación sin procesar nunca estarán disponibles en ningún sistema. La desventaja de este enfoque es que la empresa luego se bloquea en un único mecanismo de autenticación propietario.

Maria Korolov, CSOOnline.com