Análisis de seguridad de la autenticación biométrica

Si tienes un teléfono inteligente que se lanzó en la última década, es muy probable que estés utilizando autenticación biométrica (como usar tu huella digital o un escaneo facial) para desbloquear tu dispositivo.

Y podemos ver por qué. ¿Por qué gastar tu tiempo escribiendo contraseñas y códigos manualmente cuando puedes desbloquear tus dispositivos en milisegundos simplemente… siendo tu mismo?

Pero aunque el valor de mercado biométrico está previsto que alcance los 55.420 millones de dólares para finales de 2027, muchas organizaciones dudan en adoptar la tecnología para proteger las cuentas y aplicaciones críticas del lugar de trabajo. Y una pregunta clave en la mente de muchos profesionales de la seguridad es qué tan confiable y segura es la tecnología cuando se trata de proteger más datos de alto valor.

Después de todo, cuando un pirata informático roba tu contraseña, puede cambiarla. Pero, ¿qué pasa si te roban la huella dactilar ?

Entonces, ¿son seguras las tecnologías de autenticación biométrica en un entorno más empresarial? ¿Y las organizaciones como la suya deberían confiar en ellas para proteger sus cuentas y datos más confidenciales?

A lo largo de este artículo, veremos qué es la autenticación biométrica, cómo funciona, cuáles son los riesgos de usarla y qué la convierte en un método seguro para autenticar a los usuarios.

¿Qué es la autenticación biométrica?

La autenticación biométrica es un método de verificación de identidad que se basa en mediciones de características biológicas vivas.

Atrás quedaron los días en que los escáneres de huellas dactilares y los motores de reconocimiento facial eran tecnologías que veíamos exclusivamente en la pantalla o leíamos en novelas de ciencia ficción: las tecnologías biométricas ahora son parte de la vida cotidiana, integradas en teléfonos inteligentes, computadoras portátiles e incluso automóviles.

Mediante la autenticación biométrica, un sistema puede determinar si un usuario es realmente quien dice ser escaneando las crestas únicas de sus huellas dactilares, examinando los micro patrones en sus comportamientos de escritura o analizando casi cualquier rasgo que muestre un usuario que sea distintivo, repetible y medible.

Pero si bien existe una amplia gama de características que se pueden medir para autenticar las identidades de los usuarios, generalmente podemos dividirlas en dos categorías: biometría fisiológica y biometría conductual.

Biometría fisiológica y conductual

La biometría fisiológica se basa en las características físicas de un usuario, como sus huellas dactilares, estructuras faciales, geometría de la mano y patrones de venas.

La biometría de comportamiento, por otro lado, se basa en las características de comportamiento de un usuario, como el ritmo de pulsación de teclas, la tracción del mouse y la forma en que habla o camina.

Si bien la biometría fisiológica se usa más comúnmente en la tecnología de consumo popular, la biometría conductual está ganando terreno gradualmente en industrias de mayor seguridad, como finanzas, negocios y gobierno.

Esto se debe a que la biometría del comportamiento es más difícil de imitar, lo que la hace un poco más segura que la biometría fisiológica.

¿Cómo funciona?

Expliquemos esto usando un escenario con el que esperamos que todos estemos familiarizados: las contraseñas.

Cuando un usuario se registra en un servicio utilizando una contraseña, esa contraseña queda registrada en la base de datos del sistema. A partir de ese momento, al iniciar sesión, el usuario debe ingresar una contraseña que coincida al 100%, carácter por carácter, con la contraseña almacenada en la base de datos para que se le otorgue acceso a su cuenta; de lo contrario, se le negará.

La autenticación biométrica funciona de manera similar. Cuando un usuario se inscribe en un sistema mediante la autenticación biométrica, el sistema captura su «plantilla» biométrica, con la que se comparará cada uno de sus futuros intentos de inicio de sesión. Excepto que lo que viene a continuación es donde la autenticación biométrica difiere de las contraseñas.

Cuando se trata de características biométricas, las coincidencias al 100% son imposibles. En cambio, cada vez que un usuario intenta iniciar sesión con sus datos biométricos, el sistema compara la nueva medición con la plantilla biométrica registrada en el archivo y genera una especie de “puntaje de riesgo” para el usuario en ese momento en particular.

Esta puntuación determina la probabilidad de que sea la misma persona que se registró inicialmente. Si la puntuación del usuario se encuentra dentro de un umbral establecido, se le otorga acceso. Si no es así, bueno, ya sabes cómo va.

Entonces, se podría decir que las características biométricas son como contraseñas que los usuarios usan en sus cuerpos. Pero son contraseñas increíblemente difíciles de cambiar e imposibles de olvidar.

Seguridad

Hay varios beneficios clave de implementar la autenticación biométrica, en términos de seguridad. Explorémoslos.

La autenticación biométrica se basa en un sistema probabilístico

Anteriormente mencionamos que los métodos tradicionales de autenticación, como las contraseñas, requieren una coincidencia del 100 % de carácter por carácter para permitir que un usuario acceda a una cuenta o aplicación determinada. Esto es lo que llamamos un método determinista de autenticación de usuarios.

Los métodos probabilísticos, por su parte, se basan en la probabilidad de que el usuario que intenta acceder a un determinado dispositivo o aplicación sea la misma persona que el usuario registrado en el fichero.

Y, aunque los métodos deterministas pueden parecer más seguros (después de todo, ¿no es la autenticación basada en una coincidencia del 100 % más segura que la autenticación basada en la probabilidad de que esté dejando entrar al usuario correcto?), pueden presentar un problema de seguridad importante debido a que son fáciles de imitar.

Cuando se trata de contraseñas, un sistema otorgará acceso a cualquier persona que pueda ingresar la contraseña correcta, lo que significa que cualquier delincuente que pueda robar o descifrar una contraseña tiene acceso instantáneo a una cuenta, sin hacer preguntas. Hay una razón por la que las contraseñas débiles son responsables del 77 % de todas las infracciones en la nube, después de todo.

Los métodos probabilísticos de autenticación, por otro lado, en realidad son más seguros porque se centran en autenticar a los usuarios correctos, en lugar de centrarse en el 100% de coincidencias en los datos. Y también es mucho más difícil imitar un dato vivo que fluctúa y cambia constantemente que imitar datos fijos y estáticos.

Los umbrales determinan la seguridad y la precisión

La seguridad y precisión de una solución de autenticación biométrica está muy influenciada por sus umbrales.

Como cubrimos anteriormente, los umbrales determinan qué tan alto o bajo puede fluctuar el puntaje de seguridad de un usuario. Y los administradores pueden configurar los umbrales para que se adapten a las necesidades de su organización.

Por ejemplo, cuanto más estrictos establezcas sus umbrales, más seguro y preciso será tu sistema. Pero esto también aumenta la probabilidad de que a tus usuarios se les niegue falsamente el acceso a sus propias cuentas, lo que brinda una tasa de rechazo falso (FRR) más alta. Esto también será particularmente frustrante para tus usuarios y podría llevarlos a tomar atajos con la seguridad y buscar prácticas más fáciles pero menos seguras para obtener acceso a sus cuentas.

Por otro lado, cuanto más indulgentes sean tus umbrales, menos seguros y precisos serán. Y también aumenta ligeramente la posibilidad de que el usuario equivocado se autentique falsamente en una cuenta determinada, lo que le otorga una tasa de aceptación falsa (FAR) más alta. Pero esto proporciona una experiencia de usuario mejor y más fluida, y reduce la posibilidad de que a los usuarios se les niegue el acceso falsamente.

Es importante que logres el equilibrio adecuado según tu caso de uso particular y si necesitas un sistema más seguro o un sistema más fácil de usar.

El sistema evoluciona con cada inicio de sesión

Los sistemas de autenticación biométrica se vuelven más inteligentes, más fuertes y más precisos con cada inicio de sesión. Por lo tanto, si un pirata informático logra de alguna manera imitar uno de los rasgos biométricos de sus usuarios y obtener acceso a una cuenta, el sistema evolucionará para que no pueda hacerlo por segunda vez.

Si un pirata informático obtiene acceso a una cuenta protegida con contraseña, por otro lado, puede continuar haciéndolo hasta que el usuario se dé cuenta y cambie su contraseña. En este sentido, el uso de la autenticación biométrica limita el daño que puede causar un atacante al reducir el riesgo de una violación repetida.

Los datos biométricos se almacenan de forma segura

Una parte clave de cómo funciona la autenticación biométrica es que cada nuevo escaneo se compara con los datos que ya están registrados para un usuario en particular.

Y esos datos biométricos se almacenan como un valor numérico encriptado en lugar de datos sin procesar. Entonces, incluso si un delincuente lograra piratear una base de datos biométrica, solo vería datos encriptados, lo cual es casi imposible de aplicar ingeniería inversa.

Los datos biométricos se pueden almacenar de varias maneras seguras:

En el dispositivo

Una de las formas más seguras de almacenar datos biométricos es almacenarlos localmente en dispositivos de usuarios finales como teléfonos inteligentes y computadoras portátiles. Por ejemplo, los datos biométricos de los usuarios de Apple se cifran y almacenan en el Enclave seguro de su dispositivo, que está aislado del servidor, la red, el sistema operativo y las aplicaciones del dispositivo, y significa que los datos nunca salen del dispositivo durante la autenticación.

Esto es particularmente seguro, porque significa que los datos se almacenan localmente en lugar de en un servidor en una gran base de datos.

Fichas de hardware portátiles

Otro método particularmente seguro de almacenar datos es almacenarlos en un token de hardware portátil, como una tarjeta de seguridad, un mando a distancia o una unidad USB. Estos funcionan de manera similar al almacenamiento en el dispositivo, ya que toda la información biométrica se almacena localmente y nunca sale del dispositivo.

Una ventaja de usar tokens de hardware portátiles es que imponen inherentemente la autenticación de dos factores (2FA), ya que un usuario debe presentar algo que tiene (el token de hardware) junto con algo que es (un escaneo biométrico) para autenticar su identidad. Un inconveniente podría ser que los usuarios deban presentar el token de hardware cada vez que necesiten autenticar su identidad.

Servidores de bases de datos biométricos

Para casos de uso corporativo, puede ser preferible almacenar datos biométricos dentro de bases de datos en servidores externos basados ​​en la nube, en lugar de hacerlo localmente. Esto se debe a que es la opción más rentable, permite a los administradores otorgar y revocar permisos y permite a los usuarios autenticarse en cualquier dispositivo desde cualquier lugar, en lugar de estar vinculados a su dispositivo o token.

Por otro lado, este método es el más vulnerable a los ciberataques, ya que los datos se transfieren a través de la red para ser verificados, dejándolos en riesgo durante la transmisión. Esta es la razón por la cual los datos deben cifrarse, porque si están comprometidos, es imposible leerlos sin la clave de descifrado.

Almacenamiento Distribuido

El almacenamiento de datos distribuido esencialmente proporciona lo mejor de ambos mundos y funciona cifrando los datos biométricos, dividiéndolos y almacenándolos tanto externamente en servidores como localmente en dispositivos.

Un beneficio clave de almacenar datos de esta manera es que un pirata informático necesitaría obtener acceso tanto al almacenamiento local como al servidor externo para comprometer los datos.

Riesgos de usar la autenticación biométrica

Hay cosas buenas y malas en todo, y la autenticación biométrica no es una excepción. Como todo en la vida, el uso de datos biométricos tiene sus riesgos.

Algunos riesgos de usar la autenticación biométrica incluyen:

Coincidencias falsas

Si bien es poco común, es posible que haya coincidencias falsas, como mencionamos anteriormente. Esto puede suceder cuando un sistema reconoce falsamente a una persona desconocida y le otorga acceso.

Esto incluso aparece como una posibilidad en las páginas de soporte de productos de Apple. Sin embargo, la probabilidad de una coincidencia falsa al usar Face ID es de una en un millón, mientras que la probabilidad de que alguien descifre un código de acceso de cuatro dígitos es mucho mayor, de una en diez mil.

Falsos rechazos

Los rechazos falsos, por otro lado, pueden ocurrir cuando no se reconoce a un usuario legítimo y se le niega falsamente el acceso a sus dispositivos o cuentas.

Pero esto suele ser más molesto que un problema grave y puede corregirse fácilmente. Para combatir las denegaciones falsas, te recomendamos que habilites modos alternativos de acceso a través de la autenticación multifactor, de modo que los usuarios genuinos tengan acceso incluso si no se reconocen sus datos biométricos.

Sesgo algorítmico

El sesgo algorítmico ocurre cuando se demuestra que un sistema es más preciso o que funciona de manera diferente al autenticar a los usuarios de un determinado grupo demográfico, ya sea por sexo, raza o edad. Y varios estudios han demostrado que este es el caso de las tecnologías biométricas, en particular, la tecnología de reconocimiento facial.

Por ejemplo, un estudio científico de 2020 encontró que el rendimiento biométrico más bajo se observó cuando se utilizó la tecnología de reconocimiento facial para autenticar a mujeres y usuarios más jóvenes, y observó una menor precisión de clasificación para mujeres de piel oscura en comparación con otros grupos.

Estos sesgos a menudo no son una parte inherente de un algoritmo dado, sino que se basan en los datos que entrenan e informan el algoritmo, lo que significa que el país de desarrollo también entra en juego. Esto es evidente porque el mismo estudio encontró que los algoritmos desarrollados en Asia podían reconocer más fácilmente a los usuarios asiáticos, mientras que los algoritmos desarrollados en Europa identificaban mejor a los usuarios caucásicos.

Suplantación de identidad biométrica

Si bien es extremadamente difícil y costoso de lograr, es posible replicar y clonar huellas dactilares, caras y otras características corporales. La parte aterradora es que todos los días podemos dejar rastros de nuestros datos biométricos, como huellas dactilares, tirados en público sin saberlo. Y se ha demostrado que la suplantación biométrica tiene éxito en múltiples ocasiones.

Por ejemplo, en 2020, Talos Intelligence Group de Cisco clonó y creó con éxito una huella digital artificial mediante impresión 3D. Y al usar la huella dactilar para «hackear» varios dispositivos, los investigadores lograron una tasa de éxito del 80%.

Otros ejemplos incluyen un pirateo de Apple Face ID al crear una máscara similar a la humana, piratas informáticos que engañan al escáner de iris Galaxy usando un ojo artificial e investigadores de la Universidad de Carolina del Norte que usan modelos 3D y tecnología VR para engañar a los sistemas de reconocimiento facial.

Pero no necesariamente diríamos que la suplantación biométrica es algo de lo que debas preocuparte. Para llevarse a cabo con éxito, lleva mucho tiempo y requiere un alto nivel de conocimiento y recursos. El Grupo de Inteligencia Talos incluso describió el proceso como increíblemente lento y complicado.

Por lo tanto, a menos que seas un objetivo particularmente valioso, es mucho más probable que los ciberdelincuentes persigan algo que es mucho más fácil de descifrar, como tus contraseñas. Entonces, ¿por qué los ciberdelincuentes recurrirían a la falsificación biométrica mientras las contraseñas todavía se usan ampliamente?

Seguridad de la autenticación biométrica de comportamiento

Hemos hablado sobre cómo la biometría del comportamiento monitoriza continuamente tu comportamiento sin que te des cuenta, por lo que si tienes la sensación de que estás atrapado dentro de una novela de George Orwell, el Gran Hermano te está mirando, entonces no estás solo.

La privacidad es una preocupación clave para muchos usuarios, por lo que es fácil comprender la incomodidad que puede surgir al sentir que estás viviendo bajo una lupa. Pero la realidad es que la biometría del comportamiento no es nada que temer y, de alguna manera, te permite más seguridad y privacidad que otros métodos de autenticación.

Los datos son más seguros

En general, los expertos consideran que las tecnologías biométricas son uno de los métodos más seguros para proteger tus cuentas.

Parte de esto se debe a que los datos biométricos de comportamiento no son estáticos. Entonces, por ejemplo, si te roban tus credenciales, un mal actor podría seguir iniciando sesión en tu cuenta una y otra vez sin encontrar resistencia. Esto se debe a que las contraseñas son deterministas y estáticas, por lo que mientras un usuario siga logrando una coincidencia del 100%, carácter por carácter, se le otorgará acceso a esa cuenta.

Mientras que en el caso de la biometría del comportamiento, debido a que funcionan en un sistema probabilístico, si un mal actor imitara de alguna manera uno de tus patrones de comportamiento, lo cual, en sí mismo, ya es algo muy poco probable de lograr, solo sería capaz de hacer eso una vez. Esto se debe a que los datos biométricos de comportamiento cambian y evolucionan continuamente, lo que hace que cualquier dato robado sea redundante muy rápidamente.

El veredicto: ¿Son seguros de usar los datos biométricos?

En general, sí. La empresa promedio no debería sentirse incómoda o insegura al verificar la identidad del usuario mediante la autenticación biométrica.

A pesar de sus riesgos (todas las tecnologías conllevan riesgos), los expertos todavía consideran que la autenticación biométrica es uno de los métodos más precisos y seguros para autenticar la identidad del usuario debido a su alto nivel de precisión. Además de eso, la complejidad que conlleva intentar robar y replicar datos biométricos hace que sea extremadamente poco probable que un hacker lo intente.

Pero si bien la autenticación biométrica es muy segura, existen algunas recomendaciones generales que vale la pena tener en cuenta al pensar en implementarla.

Recomendaciones

Si bien para la empresa promedio, la autenticación biométrica es un método seguro y preciso para autenticar la identidad del usuario, recomendamos encarecidamente adoptar un enfoque de autenticación de varias capas en lugar de confiar en un solo método.

La mejor manera de proteger sus dispositivos y cuentas es mediante el uso de una solución sólida de autenticación multifactor (MFA). MFA funciona al requerir dos o más métodos de autenticación antes de permitir que un usuario acceda al sistema. Por ejemplo, podría combinar tecnologías biométricas con claves de seguridad de hardware para crear un proceso de inicio de sesión de doble capa.

De esta manera, incluso si los datos biométricos de un usuario se vieran comprometidos de alguna manera, un delincuente no podría acceder a su cuenta sin pasar el segundo o tercer modo de autenticación. Piensa en ello como una copia de seguridad, un sistema de seguridad.

Pero si decides que deseas confiar únicamente en la biometría para proteger las cuentas y los datos de tu organización en lugar de utilizar un sistema MFA, te recomendamos que implementes un sistema multimodal para hacerlo.

Un sistema multimodal utiliza más de una característica fisiológica o de comportamiento para autenticar a los usuarios. Por ejemplo, el sistema puede solicitar un escaneo facial combinado con la velocidad de escritura en lugar de solo mirar una característica.

Básicamente, esto proporciona una capa adicional de seguridad y significa que un hacker necesitaría hacerse pasar por dos de las características de su víctima para obtener acceso a una cuenta.

Encontrar la solución de autenticación biométrica adecuada para tu organización puede ser abrumador y llevar mucho tiempo.

En resumen, la autenticación biométrica es una de las formas más seguras de proteger tus cuentas críticas. Pero, especialmente cuando se trata de ciberseguridad, siempre ayuda pecar de precavido.

Por lo tanto, confía en tus datos biométricos, pero cuando sea posible, utilízalos como parte de un sistema multimodal o MFA.