[HACK] fallos biometricos

merce at grn.es merce at grn.es
Thu Oct 10 17:08:08 CEST 2002 

10:52 12/09/02


EL  GOBIERNO  DE  EEUU  PROMUEVE  LA  BIOMETRÍA  A  PESAR  DE  HABERSE
DEMOSTRADO SU POCA FIABILIDAD

Según  recientes  experimentos,  la  autenticación  por rasgos físicos
falla más que una escopeta de feria

Mercè Molist
Nada  más  despertar  del 11-S, una palabra mágica empezó a correr por
los  despachos  de  la  administración norteamericana: biometría. Esta
tecnología,  que  identifica  a  personas  no a través de lo que saben
(contraseñas)  o  tienen  (tarjetas)  sinó  por lo que son (voz, cara,
ojos),  es  protagonista en las nuevas leyes antiterroristas. Pero las
pruebas  de los expertos demuestran que engañar a la biometría es, por
el momento, un juego de niños.

La  corporación  RAND,  del  ejército  de  Estados  Unidos,  publicaba
recientemente el informe "Biometrics: facing up to terrorism", firmado
por  John  Woodward,  oficial de la CIA, quien recomienda la biometría
para "controlar el acceso a sitios sensibles como aeropuertos, reducir
el  fraude  en  documentos  de inmigración e identificar a sospechosos
terroristas con tecnologías de reconocimiento facial".

En   la   misma   línea,  el  Congreso  norteamericano  instaba  a  la
introducción  del  reconocimiento dactilar y de manos en las licencias
de  conducir  y  de  inmigración,  con la creación de una gran base de
datos  de  huellas de ciudadanos: "Siguiendo la nueva Ley de Seguridad
en  Transportes  y  Aviación,  animamos  a  la inmediata aplicación de
tecnologías biométricas en misiones de seguridad aérea".

Otra ley, la "Enhanced Border Security and Visa Reform Act" ordena que
a  partir  de octubre del 2003 se expidan visados biométricos para los
250  millones  de  extranjeros  que entran cada año en el país. Y, por
mandato  de  la  madre  de  todas  las  leyes antiterroristas, la "USA
Patriot Act", el Congreso encargaba al National Institute of Standards
and  Technology  (NIST)  una  evaluación  de  las  posibilidades de la
biometría,   cuyas   conclusiones   se   presentaban   a   finales  de
septiembre... con algunas sorpresas.

Según el NIST, "el reconocimiento de huellas dactilares funciona bien,
pero debe mejorar mucho para usarse a escalas masivas; las tecnologías
de  reconocimiento facial no están aún maduras y el escáner de iris se
basa  en  tecnología  propietaria que hace difícil la evaluación de su
exactitud.  Ningún  sistema  biométrico  funciona suficientemente bien
como  para que podamos fiarnos sólo de él. Siempre parecen más fuertes
y fáciles de lo que son en la práctica".

Los  expertos  coinciden  con  el  NIST.  Según el director del centro
biométrico  de  la Universidad de San José, Jim Wayman, "el despliegue
gubernamental  es  sólo  humo,  la probabilidad de que Osama Bin Laden
pueda ser identificado en un aeropuerto es del 60%". Edward Gareth, de
la empresa Image Metrics, añade: "Para detectar al 90% de terroristas,
la  alarma  sonaría erróneamente una vez de cada tres. Es inconcebible
construir un sistema de seguridad efectivo en estas condiciones".

El aeropuerto de Palm Beach (Florida) experimentaba este verano con un
sistema  de  reconocimiento  facial  que  debía  identificar  a quince
empleados  repartidos por las terminales. Consiguió un 47% de éxitos y
falló  cuando  había  cambios de luz o alguien se movía. El aeropuerto
desistió  de  sus planes biométricos. A pesar de ello, el Pentágono ha
dedicado  42  millones de dólares a un programa para la identificación
de personas en las embajadas estadounidenses, mientras hace pruebas de
escáner de iris entre los miembros de su Club Atlético.

Los primeros avisos contra la falsa seguridad de la biometría vinieron
de  los  científicos. En mayo, el matemático japonés Tsutomu Matsumoto
derrotaba  a  los  sistemas  de  reconocimiento  dactilar, con un dedo
artificial  hecho  con  gelatina  de  gominolas.  Le puso unas huellas
legítimas,  extraídas  de  un  vaso,  y  engañó  a  los  sistemas  más
sofisticados  en  un  80%  de  ocasiones, incluidos los que aseguraban
llevar "reconocimiento termal". Precio del experimento: diez dólares.

La  revista  alemana "C't" siguió sus pasos, con un test más amplio en
once  dispositivos comerciales presentados en la feria CEBIT. La mayor
parte  del mercado biométrico se centra en la huella dactilar, seguida
del  reconocimiento  facial  y  de  iris. Todos fueron derrotados. Los
sistemas  faciales  fallaron al dar por buena la foto o el vídeo de la
cara  de  una  persona.  Para  engañar  a  los  escáners  de iris, fue
suficiente  una fotografía de alta resolución del ojo legítimo, con un
agujero  en  el  medio.  Los  investigadores pusieron detrás su propia
pupila, para simular que el ojo fotografiado estaba vivo.

En  cuanto  al  reconocimiento dactilar, algunos sistemas cayeron sólo
respirando  encima  de  las huellas dejadas en el ratón por el usuario
legítimo,  o  bien  aplicando  sobre  ellas  una  cinta adhesiva o una
bolsita  con  agua. "Aunque los fabricantes presenten sus aplicaciones
como  maduras y seguras, el mercado de masas para esta tecnología está
aún en su infancia", concluían los periodistas.

El  experto  en  seguridad Bruce Schneier ha avisado también contra la
biometría:  "Por  seguridad,  nunca  debe tenerse una misma contraseña
para  dos  sistemas diferentes. Pero, cuando use mi dedo para poner en
marcha  el coche, acceder a mis datos médicos, leer el correo... si me
roban   los  datos  dactilares  no  podré  cambiar  de  dedo  como  de
contraseña: es fuerte imaginar qué pasará entonces". Se critica además
que  en  muchos  sistemas  la  información  biométrica  guardada en el
ordenador  o  enviada  a  la  red  no  va cifrada, lo que permite a un
atacante apoderarse de los datos.

Diversos  grupos  de  ciberderechos  han  denunciado  los problemas de
privacidad  de la biometría, tanto por estos robos de información como
por  la  creación  de  bases  de datos con caras o huellas dactilares,
contra  las  que  se  verifican  las identidades. Oliver Tattan, de la
empresa  Daon,  afirmaba  recientemente  que,  para  el  éxito  de  la
tecnología,   "es  urgente  la  creación  de  una  infraestructura  de
confianza  biométrica  mundial, que permita a las empresas y gobiernos
identificar a la gente que se mueve de un país a otro".

Los   últimos  meses  han  visto  un  florecimiento  comercial  de  la
biometría,   después   de   una  década  de  lento  avance.  Según  la
International Biometric Industry Association, el mercado superará este
año los 500 millones de euros en el sector industrial y gubernamental,
con  buenas  expectativas  para los ordenadores personales. Los nuevos
portátiles  Acer van equipados con reconocimiento de huella digital en
el  teclado  y  Afina  Sistemas comercializa llaves para el puerto USB
(Universal  Serial  Bus)  que  combinan  un  escáner  dactilar       y
certificados.

Pero Carlos Molina, responsable técnico de Afina, es consciente de que
"la biometría es aún un juego de niños, un sector muy experimental. El
principal  problema  son los errores de precisión, que pueden llevar a
una  falsa  aceptación  o  un  falso  rechazo.  Eso está impidiendo su
despliegue,  aunque  mejorará". El precio es otra barrera: la llave de
Afina cuesta 225 euros, que multiplicados por los cien ordenadores que
puede tener una empresa no son ninguna broma.

De  hecho,  los principales usuarios de biometría en España son, según
el técnico, "pocos, servicios secretos y empleados puntuales de bancos
o  sitios  que  deben  ocultar mucho la información. Aunque también es
cierto  que  todos  los grandes tienen ya algún proyecto experimental.
Pero  son  sistemas  intrusivos:  imagina tener que poner el ojo en el
cajero  cada  vez  que  necesitas dinero. Cuando vas al cine, no dices
quién  eres  sinó  que presentas una entrada. Con la biometría debería
ser  igual:  te  autenticas  en tu ordenador, pero esta información no
debe  ir  más  adelante.  En el futuro, irá engarzada con certificados
digitales,  pero  éstos  tienen  también  muchas cosas pendientes para
funcionar bien".

Antonio  Villalón, autor del libro "Seguridad en UNIX" y miembro de la
Agrupación  de Biometría Informática Española, coincide: "Los sistemas
biométricos  no  deben  usarse  solos  sinó  junto  a otros modelos de
autenticación,  como  claves  o  tarjetas inteligentes. En cuanto a la
privacidad,  ¿qué  sucede  si,  cuando abres una puerta, el escáner de
huellas envía tu patrón a una base de datos central? ¿Y si a partir de
tu  retina  se puede determinar que has consumido drogas o padeces una
enfermedad?  En  el  momento  en  que  aceptamos  pasar por el escáner
perdemos el control".

A  pesar  de  ello, Villalón está convencido de que "la biometría va a
prosperar  mucho.  Hubo  un  'boom'  y  cuando  se  ha visto que no es
infalible  se  ha  pasado a criticarla, pero no existe ningún producto
mágico  que  garantice completamente la seguridad sinó que hay muchos,
combinados entre sí. Evidentemente, una contraseña se puede cambiar si
es  comprometida,  mientras  que unos ojos o una mano, no. Pero, de la
misma forma, no te pueden robar los ojos, ni te los olvidas en casa".


Agrupación de Biometría Informática Española
http://www.ii.uam.es/~abie/
Experimento de Tsutomu Matsumoto
http://www.itu.int/itudoc/itu-t/workshop/security/present/s5p4.pdf
Experimento de "c't"
http://www.heise.de/ct/english/02/11/114/
International Biometric Industry Association 
http://www.ibia.org
Bases de datos biométricas
http://www.biometrics.org/html/research.html
"Biometrics: Facing Up To Terrorism"
http://www.rand.org/congress/terrorism/phase1/biometrics.pdf

More information about the hacking mailing list