El otro día, mi compañero Xavi lanzó un boletín una-al-dia sobre suplantación biométrica.
Lo que hasta ahora parecía solo posible en las películas de cine, empieza a ser estudiado como una posible amenaza: engañar los sistemas de identificación biométricos mediante suplantación.
La suplantación biométrica no es ninguna novedad. De hecho, cualquiera que haya visto películas donde intervienen sistemas informáticos casi seguro que ha visto algún ejemplo. Desde los más clásicos (cortar el dedo para acceder a los sistemas protegidos mediante huella digital o grabar la contraseña en una cinta magnetofónica) a los más ‘sofisticados’ de utilizar una lentilla para imitar el iris.
En el pasado algunas de estas ‘hazañas cinematográficas’ han sido realizadas en entornos de laboratorio. Ya hace años se demostró como muchos sistemas de reconocimiento de huella digital podían ser fácilmente suplantados (afortunadamente no era necesario cortar el dedo del usuario; un molde del dedo realizado con gelatina era más que suficiente).
No obstante, el último aviso sobre la posibilidad de realizar una suplantación biométrica ha venido de la laboratorio de biometría de Deloitte & Touch: no es necesario el dedo, basta con disponer de la huella digital, algo que solemos dejar en virtualmente cualquier sitio. Para protegerse ante esta amenaza, algunos sistemas lectores verifican que la huella suministrada tiene pulso, evitando así la lectura de dedos y huellas artificiales.
Por ahora son únicamente pruebas de concepto a nivel de laboratorio: recoger una huella digital y utilizarla para suplantar a un usuario a través de un lector biométrico. No obstante, cabe recordar que los sistemas biométricos no son habitualmente utilizados por lo que los incentivos para los atacantes son reducidos. Ahora bien, la utilización de un sistema de protección biométrico también suele ser un indicador que allí hay algo de valor.
La lección importante que debe aprenderse de esto es que la biometría trata con un elemento que no es secreto: hay elementos visibles que pueden ser registrados (cara, iris…); la voz puede grabarse; por allí donde pasamos solemos dejar muestras de ADN y huellas digitales.
En consecuencia, la biometría es un mal sustituto de los sistemas de identificación, pero puede ser útil en sistemas de autenticación de doble factor: no sólo es necesario demostrar que el dedo es nuestro, también deberemos asegurar que sabemos algo, como una contraseña o un PIN.Más Información:
The Future of Crime – Biometric Spoofing?
http://it.slashdot.org/article.pl?sid=06/07/21/1248204&from=rssScientists pore over biometric-spoofing tests
http://news.zdnet.co.uk/hardware/emergingtech/0,39020357,39243463,00.htmBody Check. Biometric Access Protection Devices and their Programs Put to the test
http://www.heise.de/ct/english/02/11/114/Impact of Artificial Gummy Fingers on Fingerprint Systems
http://web.mit.edu/6.857/OldStuff/Fall03/ref/gummy-slides.pdf
http://cryptome.org/gummy.htm
En su blog, el cual os recomiendo sigáis, tenéis la versión en catalán del boletín. Me ha parecido un tema muy original.
Felicidades, Xavi :)