Es una realidad que, en los tiempos que corren, nuestro rostro, voz y huellas digitales se están convirtiendo en factores estelares del cuidado de la identidad del ciudadano.
Ya sea a través de los lectores locales de cada dispositivo o de software independientes del hardware de nuestro teléfono, lo cierto es que ya es común desbloquear una aplicación usando la huella o bien, sonriéndole a la cámara. Alrededor de estos novedosos métodos se crearon mitos sobre los que es necesario hacer ciertas aclaraciones.
Los lectores de huellas o aplicaciones de reconocimiento facial son sistemas propios del teléfono y hasta el momento, nadie puede asegurar que los datos biométricos capturados pueden salir del mismo: están diseñados para ser ejecutados, y brindar funcionalidades, únicamente dentro del dispositivo. Si bien es verdad que cualquier desarrollador de aplicaciones móviles puede hacer uso de los mismos, el acceso se da con la finalidad de comprobar que la persona que puso su huella o está frente a la cámara es, efectivamente, “alguno de los usuarios autorizados en el teléfono”. Aun así, el desarrollador no puede garantizar la identidad específica del usuario.
Aclarado este punto, existen también mitos sobre el acceso a la información utilizando técnicas de hacking, emulando al ciudadano, el dueño real del dispositivo, o bien robando los datos biométricos, en muchos casos llamado “minucia”. Es clave abordar esta problemática desde tres perspectivas:
Tecnológico. Dos grandes compañías de renombre internacional, como son Apple y Samsung, vieron vulnerados sus sistemas biométricos sólo días después del lanzamiento, con técnicas que imitan al dueño o usuario enrolado en el sistema. Por otro lado, el hardware de la mayoría de los dispositivos no puede evaluar si la huella proviene de un dedo que tiene vida o de una máscara, un muñeco o un video en definición 4K, dado capturan imágenes en dos dimensiones (2D).
Transaccional. Para definir correctamente el nivel de riesgo de dicha implementación, hay que evaluar el tipo de transacciones a ser autorizadas con este método de autenticación de identidad, las funcionalidades provistas al usuario y qué modificaciones de datos personales, confidenciales y de propiedad permitirá realizar.
Impacto. Sin embargo, una vez vulnerado el sistema de reconocimiento, ya sea de huella o rostro, el impacto es mucho más bajo de lo que se cree, dado que sólo garantiza el acceso a las transacciones más comunes del teléfono, generalmente asociadas a un comportamiento muy personal.
El objetivo principal de esta clase de implementaciones es evitar ataques masivos y el robo de datos biométricos o confidenciales, o bien, librerías con miles de millones de caras de todo el mundo.
Acerca de VU – http://www.vusecurity.com Es una compañía especialista en el desarrollo de software de ciberseguridad, con foco en la prevención del fraude y protección de la identidad. Su misión es entregar experiencias digitales sin fricción y seguras tanto para ciudadanos, como compañías. Es la única empresa de la región alineada a las buenas prácticas en materia de autenticación internacional, miembro de FIDO Alliance, OATH y OIC. Fundada en 2007, cuenta con oficinas en Argentina, Chile, Uruguay, Ecuador, Colombia, Costa Rica, México y Perú.
Síguenos en las redes sociales:
Facebook: https://www.facebook.com/vusecllc/
Twitter: https://twitter.com/vusecurity
LinkedIn: https://www.linkedin.com/company/vu-security-sa
Autor: Sebastian Stranieri
Conecta