BACKGROUND IMAGE: iSTOCK/GETTY IMAGES

Evaluar Conozca los pros y contras de las tecnologías, productos y proyectos que está considerando.

Sexy, pero estúpida: La seguridad biométrica requiere balancear riesgos

Cuando se trata de biometría, la seguridad coexiste con la estupidez, a menos que los implementadores se tomen el tiempo para comprender los límites, según Adam Englander en RSAC 2018.

La confianza en los controles de seguridad biométricos puede ser lo más novedoso, especialmente por la forma en que una huella dactilar o una mirada pueden eliminar la fricción de las transacciones del consumidor. Pero depender en ellos sin entender cómo funcionan es una estrategia equivocada, según Adam Englander.

Englander, arquitecto jefe de productos de autenticación multifactor en Iovation Inc., una empresa de prevención y autenticación de fraude con sede en Portland, Oregón, lo expresó de manera más franca en su sesión en RSA Conference 2018, titulada "Biometría: Sexy, Segura y... Estúpida". Al explicar por qué la biometría es súbitamente tan popular, también ofreció un contrapunto a parte del entusiasmo generado por la popularización de la autenticación biométrica por parte de Apple, Microsoft y Samsung.

"La mayoría de la gente probablemente esté aquí porque la biometría es sexy. Es algo nuevo y candente", dijo Englander. La biometría es "sexy como un Tesla", porque "los coches eléctricos han existido por más de 100 años, pero nadie los quería hasta que salió el Tesla", agregó. Si bien los autos eléctricos anteriores funcionaban, no funcionaban tan bien para la mayoría de los usuarios. Entonces, no fue hasta que Tesla salió con un automóvil que fue efectivo y atractivo que despegó el mercado de autos eléctricos.

A diferencia de los autos eléctricos, Englander observó que los hallazgos arqueológicos de tabletas de arcilla con huellas dactilares demuestran que la biometría ha estado en uso durante aproximadamente 4.000 años, cuando los contadores antiguos presionaban sus pulgares en las tabletas de arcilla para indicar que ellos fueron los que hicieron el trabajo.

¿Cuál fue la diferencia para la biometría? Englander argumentó que es su utilidad recientemente descubierta para permitir pagos a través de dispositivos móviles lo que ha hecho que la biometría sea "realmente sexy".

Si una transacción requiere ingresar una contraseña, que en un teléfono puede consumir mucho tiempo y requiere concentración para hacerlo bien, la transacción se ralentiza hasta el punto en que la persona que lo hace podría pensarlo dos veces antes de completarla. "En una compra por impulso, tuve esos dos o tres segundos extra para pensar, que no es lo que los minoristas quieren", dijo Englander. Los minoristas quieren que solo haga la compra, y si puede hacerlo simplemente mirando un teléfono o presionando un dedo, eso es "realmente increíble".

"Otra cosa buena acerca de la biometría es que no puede robarse sin saberlo", dijo Englander. "Se pueden copiar, como muchas otras cosas, pero no se pueden robar. Probablemente me percataría si me faltara el pulgar; probablemente me percataría si me faltara el iris".

Los tokens o contraseñas de seguridad que se han anotado se pueden robar sin que el propietario se dé cuenta. Al igual que no se pueden tomar sin que uno se dé cuenta, la biometría no se puede transferir: un usuario no puede compartir su huella digital o su cara con otros usuarios.

Seguridad biométrica: intrínsecamente estúpida

Englander dijo que los factores biométricos son "inherentemente estúpidos" por varias razones, comenzando por el hecho de que "la biometría no evoluciona". Si bien uno de los puntos fuertes de la biometría es que proporcionan suficiente complejidad para ser útiles para la autenticación, no hay forma de aumentar la complejidad de un factor biométrico como una huella dactilar. "No hay forma de poner más remolinos en tu pulgar", señaló Englander. Además, la biometría no puede cambiarse a menos que sea un "evento catastrófico", como la pérdida de un dedo o una mano, o una desfiguración facial por alguna lesión.

Lo que significa, dijo Englander, es "que el valor neto de la biometría aumenta con el tiempo".

A diferencia de las contraseñas, que los administradores del sistema pueden cambiar después de una violación, los datos biométricos nunca se pueden cambiar; por lo tanto, continúan creciendo en valor, incluso si están encriptados.

"La biometría tiene un defecto importante: Hay una cosa llamada Ley de Moore que dice que la potencia de cálculo va a aumentar en un porcentaje cada año, pero su biometría no", dijo Englander. Y las personas cuyas huellas dactilares se vieron comprometidas en el incumplimiento de 2015 de la Oficina de Administración de Personal de EE.UU. nunca pueden depender de que sus huellas dactilares sean un método seguro de autenticación. "Hasta que mueran, las credenciales ahora están comprometidas".

Cómo hacer biometría de manera inteligente

Dada la naturaleza estática de los factores biométricos, puede ser imprudente depender completamente de ellos para la autenticación. Pero hacer de la biometría "la manera inteligente" al entender sus fortalezas y debilidades puede allanar el camino para una autenticación más segura.

En primer lugar, Englander recomendó utilizar la autentificación multifactor verdadera (MFA), incorporando la biometría como uno de los tres factores para la autenticación. Pero la verdadera AMF, advirtió, requiere al menos tres factores:

  • Inherencia. "Lo que eres" o el factor biométrico;
  • Conocimiento. "Lo que sabes", generalmente una contraseña; y
  • "Lo que tienes", generalmente una especie de token.

"Sin los tres, no hay verdadera AMF", señaló.

"Tres es mejor que uno", dijo Englander, señalando que si tiene tres factores, incluso si el factor biométrico se ha visto comprometido, los otros factores pueden cambiar. Si el único factor considerado es el biométrico, eso no es seguro. Pero incluso cuando se utiliza un biométrico comprometido con otros dos factores, todos juntos pueden producir un resultado fuertemente autenticado, incluso si ninguno de los factores individuales por sí mismos puede ser completamente confiable.

"Todas estas cosas juntas por sí mismas no son super seguras. Pero si las juntas, son fantásticamente seguras", dijo.

Otra forma de hacer la seguridad biométrica de la manera inteligente es descentralizar el almacenamiento. Si no lo hace, Englander dijo, "está poniendo en riesgo a sus usuarios", porque los atacantes preferirían violar un almacén centralizado de datos biométricos que tratar de apuntar a las personas de a una por vez.

Descentralizar significa "distribuir el riesgo" para evitar la posibilidad de robar un millón de identificaciones a la vez. Si una organización aún almacena credenciales de forma centralizada, Englander dijo: "Como consumidor, debo confiar en que usted los está almacenando bien". Otra forma de descentralizar la biometría es utilizar la nueva API WebAuthn de la FIDO Alliance para la autorización web, que ya es compatible con los navegadores para proporcionar un MFA seguro.

Finalmente, Englander recomendó utilizar el aprendizaje automático para ser inteligente a la hora de determinar los riesgos y qué nivel de autenticación se necesita para los diferentes intentos de autenticación. En otras palabras, al autenticar a un usuario que está intentando realizar una transferencia financiera, el sistema debería requerir un grado mucho más alto de confianza en la autenticación y usar tres factores. Por otro lado, otorgar acceso a una pieza de contenido pago a un usuario que acaba de autenticar cinco minutos antes desde el mismo dispositivo podría no requerir más autenticación.

Este artículo se actualizó por última vez en mayo 2018

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close