Cuando me dieron la oportunidad de escribir en este blog sobre los sistemas con tecnología biométrica y su aplicación a la seguridad, recordé haber leído hace unos meses un artículo publicado por Mat Honan en Wired titulado “Kill the Password: Why a String of Characters Can’t Protect Us Anymore”o lo que es lo mismo “Mata a la contraseña: Por qué una cadena de caracteres ya no puede protegernos más”.
Parece claro que en un mundo en el que nos encontramos permanentemente online o “en la nube”, dónde todos los días necesitamos acceder a un nuevo servicio con nuestra cuenta de correo electrónico como login y cada vez guardamos más datos e información personal en un número casi ilimitado de redes sociales y dispositivos…, una simple (o compleja) cadena de caracteres no es suficiente.
Si además, queremos destacarnos como usuarios TICs aplicados, y pretendemos seguir las reglas más elementales sobre el uso de contraseñas: que todas las contraseñas sean diferentes, no escribirlas nunca en ningún sitio, cambiarlas periódicamente, no relacionarlas con ningún dato personal fácilmente accesible, etc. La tarea de gestionar las contraseñas (y, por lo tanto, no lo olvidemos, gestionar el acceso a nuestra información) puede resultar abrumadora.
El resultado es que la mayoría de las personas optan por lo más cómodo… poniéndoselo muy fácil a los hackers.
En otros ámbitos, como el de las operaciones en cajeros automáticos bancarios, no hace falta explicar que un simple PIN de 4 dígitos, requiere de poca inventiva y esfuerzo por parte de aquellos que quieran utilizarlo de forma ilícita (una vez sustraída, ilícitamente también, nuestra tarjeta, eso sí).
Como último ejemplo, mencionar que en los sistemas de control de acceso a instalaciones, el simple uso de un código o tarjeta de identificación no permite garantizar que la persona a la que se ha proporcionado el acceso sea realmente el “usuario” asociado con dicho código o tarjeta, ya que el código o tarjeta pueden haber sido sustraídos, perdidos o prestados.
Por supuesto, el usuario no es el único responsable de las carencias de seguridad en el acceso a servicios, contenidos o instalaciones, sino que las empresas proveedoras y responsables de estos servicios deben facilitar y poner a disposición de los usuarios métodos más seguros de autentificación y control de acceso.
A estas alturas del artículo, espero haberos convencido ya de que un sistema de autenticación o control de acceso basado únicamente en algo que “sabemos” o en algo que “tenemos” es claramente insuficiente en determinadas ocasiones. La tendencia que se está siguiendo últimamente es la utilización combinada de dos o más métodos de autenticación, en función del nivel de seguridad requerido.
A grandes rasgos, podríamos considerar una combinación de los siguientes elementos:
- Algo que el usuario sabe, como una contraseña.
- Algo que el usuario posee, como una tarjeta.
- Algo que el usuario es: una característica física del mismo.
Es aquí donde introducimos el concepto de sistema de identificación biométrico, ya que los expertos señalan que la combinación de técnicas biométricas con otros sistemas de reconocimiento, es habitualmente un aspecto clave para el éxito de los sistemas de autenticación. Según el informe realizado por INTECO:
“El futuro pasa por la utilización de la doble identificación: biométrica y no biométrica”
En definitiva, lo que hace la Biometría son una serie de medidas de características específicas que permiten la identificación de personas utilizando dispositivos electrónicos, mediante la comparación de estas características físicas específicas de cada persona con un patrón conocido y almacenado en una base de datos.
Entrando algo más en detalle, las técnicas biométricas existentes pueden clasificarse en función de la tipología del rasgo humano analizado, que puede ser fisiológico o conductual.
Entre los sistemas biométricos fisiológicos más desarrollados podemos encontrar: reconocimiento de huella dactilar, de iris, de retina, facial, geometría de la mano, geometría de las venas de la mano o del dedo, etc.
Entre los sistemas biométricos conductuales o de comportamiento más desarrollados podemos encontrar: el reconocimiento de voz, de firma, de escritura de teclado, de la manera de andar, etc.
Según INTECO, el reconocimiento de huella dactilar, en un primer lugar destacado, y el reconocimiento de iris son las técnicas actualmente más maduras en el sector de la biometría, así como también las que tienen un mayor grado de implantación en el mercado.
En general, las técnicas biométricas presentan las siguientes ventajas:
- Aumento de la seguridad, ya que los rasgos biométricos se encuentran exclusivamente ligados a su legítimo usuario,lo que limita la posibilidad de fraudes y de suplantación de identidad. Asímismo, el uso de la biometría resulta de gran utilidad en la lucha contra el crimen.
- Reducción de costes de mantenimiento.
- Aumento de la eficiencia, ya que eligiendo la tecnología biométrica más adecuada es posible aumentar la eficiencia de los procesos y reducir los tiempos de espera de los usuarios.
- Reducción del fraude internoen las empresas y en organismos públicos ya que se evita la imputación de horas de trabajo inexistentes.
- Aumento de la comodidadpara los usuarios finales.
Aunque, evidentemente, cada técnica biométrica cuenta con sus puntos fuertes y débiles, por lo que la decisión de cual implantar dependerá de un análisis de sus características y del caso de aplicación.
En el caso de Ayesa, nuestra oferta de valor incluye la integración de sistemas biométricos como mecanismo de autenticación integrado con nuestra aplicación de control de acceso y presencia RODAS.NET.