Se supone que la biometría es una de las bases de un sistema de autenticación moderno. Pero muchas implementaciones biométricas (ya sean huellas dactilares o reconocimiento facial) pueden ser tremendamente inexactas, y lo único universalmente positivo que se puede decir sobre ellas es que son mejores que nada.

Además, y esto puede ser crítico, el hecho de que la biometría se perciba erróneamente como muy precisa puede ser suficiente para disuadir ciertos intentos de fraude.

Hay una variedad de razones prácticas por las que la biometría no funciona bien en el mundo real, y un artículo reciente de un especialista en seguridad cibernética de KnowBe4, un proveedor de capacitación en concientización sobre seguridad, agrega una nueva capa de complejidad al problema de la biometría.

Roger Grimes, un evangelista de defensa en KnowBe4, escribió en LinkedIn sobre las calificaciones de evaluación del Instituto Nacional de Estándares y Tecnología (NIST). Como explicó, “Cualquier proveedor biométrico o creador de algoritmos puede enviar su algoritmo para su revisión. NIST recibió 733 presentaciones para su revisión de huellas dactilares y más de 450 presentaciones para sus revisiones de reconocimiento facial. Los objetivos de precisión del NIST dependen del examen y del escenario que se esté probando, pero el NIST busca un objetivo de precisión de alrededor de 1:100 000, lo que significa un error por cada 100 000 pruebas.

«Hasta ahora, ninguno de los candidatos presentados está cerca», escribió Grimes, resumiendo los hallazgos del NIST. «Les meilleures solutions ont un taux d’erreur de 1,9 %, ce qui signifie près de deux erreurs pour 100 tests. : 100 000 et certainement loin des chiffres annoncés par la plupart des fournisseurs J’ai été impliqué dans de nombreux déploiements biométriques à grande échelle et nous constatons des taux d’erreurs bien plus élevés – faux positifs ou faux négatifs – que même ce que le NIST voit dans le meilleur des cas tests de conditions de laboratoire de scénarios Je vois régulièrement des erreurs à 1: 500 o menos.

Deja que eso se hunda por un momento.

En las pruebas independientes, muchos datos biométricos simplemente no cumplen con precisión lo que prometen. Además de eso, muchos proveedores, incluidos Apple (iOS) y Google (Android), toman decisiones de marketing en sus configuraciones, donde eligen qué tan estricta o indulgente es la autenticación. No quieren que a muchas personas se les bloquee incorrectamente el acceso a sus teléfonos, por lo que eligen hacerlo menos estricto, lo que efectivamente da luz verde para que más personas no autorizadas accedan al dispositivo.

¿Recuerda esos videos que muestran teléfonos que dejan entrar a los hijos o hermanos de un usuario de teléfono cuando se usa el reconocimiento facial? Esa es una gran razón por la cual.

Otro factor clave es la precisión teórica frente a la precisión real. Considere dos métodos populares de autenticación de teléfonos: reconocimiento facial y reconocimiento de huellas dactilares. En teoría, el reconocimiento facial es mucho más exigente porque puede tener en cuenta una mayor cantidad de puntos de datos. En la práctica, sin embargo, esto a menudo no sucede.

¿Has visto niños o hermanos accediendo al teléfono a través de la huella digital? El reconocimiento facial tiene que lidiar con la iluminación, los cosméticos, el cambio de cabello y docenas de otros factores. Nada de esto entra en juego cuando se utiliza el reconocimiento de huellas dactilares.

También hay un problema de distancia. Con el reconocimiento facial, un dispositivo debe estar a una distancia precisa de la cara para leerlo con precisión, ni demasiado cerca ni demasiado lejos. Personalmente, uso un iPhone con Face ID y, por lo general, veo fallas el 60 % de las veces. Luego ajusto un poco la diferencia y, si tengo suerte, mi teléfono se desbloquea. (Nuevamente, esto no es un problema con las huellas dactilares).

Nota: ¿Por qué muchas aplicaciones bancarias tratan los escaneos de cheques (sí, algunas empresas todavía usan cheques) de manera más sofisticada? La aplicación generalmente le pedirá que «acerque el teléfono» o «retroceda» antes de tomar la imagen de control. ¿Por qué el reconocimiento facial no puede hacer lo mismo?

También tenga en cuenta que, desde la perspectiva de la autenticación, muchas implementaciones biométricas son una broma. ¿Por qué? Porque cuando falla la autenticación biométrica, el acceso es por defecto en el código PIN de un teléfono.

En otras palabras, si un ladrón quiere eludir la biometría, todo lo que tiene que hacer es fallar una o dos veces y luego lidiar con el PIN más fácil de descifrar. ¿De qué sirve? Está claro que los principales proveedores de teléfonos usan la biometría menos para autenticación o ciberseguridad que por conveniencia. Es una forma de acceder a un dispositivo sin tener que ingresar un PIN.

Tan flojo como suena, Grimes argumenta que la situación es probablemente peor. “Las pruebas del NIST son los mejores escenarios. Todos ellos son terriblemente inexactos. La seguridad se promete en exceso en casi todas las situaciones”, dijo en una entrevista.

Grimes también expresó su preocupación por la naturaleza inmutable de la biometría. Si se compromete una contraseña o un PIN, es fácil generar una nueva contraseña o PIN. Incluso un token físico puede ser reemplazado. ¿Qué sucede si la biometría se ve comprometida? No puedes cambiar fácilmente tu cara, tu retina, tu voz o tus huellas dactilares.

“Una vez robados, ¿cómo los recuperas? Grimes dijo, y agregó que los datos biométricos de ingeniería inversa son completamente posibles.

El problema fundamental aquí es la percepción y la caracterización. Estos esfuerzos biométricos, tal como se implementan actualmente, son poco más que conveniencia. (No me malinterpreten; como una persona perezosa por naturaleza, estoy locamente enamorado de la comodidad). Pero se ofrecen como amigables con la seguridad cibernética. Y como resultado, los usuarios y tecnólogos confiarán en la biometría como medida de protección.

Hay muchas formas de implementar la biometría de forma segura. Los escaneos de retina generalmente son seguros y las huellas dactilares funcionan bien para las personas que tienen huellas dactilares escaneables correctamente. Pero la biometría de voz, actualmente utilizada por varias instituciones financieras, sigue siendo demasiado fácil de falsificar.

Esto nos lleva de nuevo a las decisiones de parametrización. Si los parámetros son lo suficientemente estrictos, incluso el reconocimiento facial puede convertirse en un mecanismo de seguridad. En resumen, la biometría es una gran conveniencia. Como defensa de la seguridad, la mayoría de las implementaciones actuales no son suficientes.

Derechos de autor © 2022 IDG Communications, Inc.

Share This