¿Debemos confiar en los sistemas de verificación biométricos?

Todos los días, millones de equipos se enfrentan y resuelven el mismo problema: verificar si tú eres quien dices ser. La herramienta más popular para conseguir esto es la contraseña. No obstante, éste también es un método susceptible a robos u olvidos. Debido a los problemas surgidos con las claves de acceso, ha sido imprescindible desarrollar otros sistemas para verificar la identidad de los usuarios. Una de estas vías alternativas es la verificación biométrica a través del escáner de nuestras huellas dactilares o el análisis de voz. Lamentablemente, nuestros ojos y nuestra voz no siempre están con nosotros y, por este motivo, no usamos, hoy en día, dichos mecanismos para acceder a nuestra cuenta de Gmail o sacar dinero en un cajero automático.

Además, existe otro gran problema: es prácticamente imposible implementar las técnicas biométricas usando herramientas simples y sin un coste demasiado alto.

¡Peligro! Extraños a la vista

La mayor diferencia entre un sistema ordinario de contraseñas y un sistema biométrico es que la muestra original y la muestra a verificar nunca coinciden a la perfección.  No se pueden obtener dos huellas dactilares totalmente idénticas del mismo dedo y la situación empeora si usamos el rostro humano. Los rasgos faciales dependen de la luz, la hora del día, el maquillaje y, por supuesto, la edad. La voz, a su vez, también se ve afectada por múltiples factores como puede ser un leve resfriado. Bajo estas condiciones, es realmente difícil desarrollar un sistema que permita el acceso al propietario legítimo; negándoselo, a su vez, a los extraños.

Para resolver el problema, los sistemas biométricos intentan limpiar las muestras escaneadas de cualquier elemento que interfiera en el proceso de verificación, utilizando solo las características fácilmente reconocibles. Sin embargo, este “esqueleto” debe coincidir con el original según unos parámetros matemáticos. Para un sistema de seguridad medio, se asume como normal un margen de error de un extraño por cada 10.000 intentos y el bloqueo del usuario legítimo cada 50 casos. Cuando hablamos de plataformas móviles, en entornos externos inestables, la luz y la vibración aumentan el margen de error y, por este motivo, el reconocimiento facial de Android falla en el 30 ó 40% de los casos.

Una contraseña para toda la vida

Si olvidas o te roban tu contraseña, la puedes cambiar. Si pierdes las llaves, puedes cambiar la cerradura de tu casa. Pero ¿qué harías si tu cuenta bancaria utiliza la palma de la mano como clave de acceso y alguien roba la base de datos que contiene dichas huellas?

Es imposible cambiar este rasgo fisionómico. Aunque todavía no exista una tecnología similar, nadie nos garantiza que no aparezca dentro de un lustro o dos y nuestra mano seguirá igual que siempre.

Este problema se puede solucionar, parcialmente, con las huellas dactilares. Al fin y al cabo, disponemos en la mayoría de los casos de  10 dedos.  Las malas noticias son que los sistemas biométricos utilizan “esqueletos” que pueden reconstruirse para imitar la muestra original.

Además, todos estos mecanismos levantan algunas ampollas en el tema de la privacidad. Las “contraseñas” biométricas identifican al usuario como el propietario legítimo, haciendo imposible que una misma persona tenga dos cuentas diferentes en la misma plataforma online. Además, aunque cada  individuo tenga miles de rasgos indistinguibles, gracias a la ayuda del Geo-IP y otros metadatos, es posible crear un perfil de usuario único para cada persona. Si alguien consigue implementar este sistema en cada servicio web, entonces será pan comido rastrear la actividad online de los usuarios.

Una cerradura digital

El principal uso de las contraseñas es restringir el acceso a las cuentas personales. El segundo es proteger los datos almacenados en los dispositivos y, en este caso, es realmente difícil utilizar los sistemas biométricos.

Cuando guardas tus documentos en una caja de seguridad con una cerradura que verifica la huella dactilar, dicha información está protegida por las paredes de la caja y es necesario un taladro muy potente para llegar hasta ella. En términos informáticos, la caja fuerte sería la encriptación. Aquí es donde surgen los problemas. Cuando ciframos algo con una contraseña, se genera una llave maestra asociada a una contraseña. Si cambiamos un simple carácter de la clave, la llave será diferente y totalmente inútil. Así, las contraseñas biométricas siempre son ligeramente diferentes en cada acceso y, por este motivo, sería muy difícil compaginarlas con un sistema de encriptación. Por eso existen las “cerraduras digitales” que se basan en la nube y que ayudan a que las claves coincidan. Por supuesto, esto supone un riesgo: si se ataca al servidor, tanto los datos biométricos como las llaves cifradas estarían en peligro.

Biométrica en la vida real

Dejando a un lado a las películas de ciencia ficción y la investigación militar, existen dos casos en los que nos encontramos con sistemas biométricos en la vida real. Algunas entidades bancarias están realizando pruebas con escáneres que analizan las palmas de las manos en cajeros automáticos o la voz para los servicios móviles. Otro ejemplo verídico son los escáneres instalados en los dispositivos electrónicos como ordenadores o smartphones. La cámara frontal se puede usar para la verificación facial, un sensor puede reconocer las huellas dactilares o incluso se pueden utilizar los altavoces para el reconocimiento de voz. Además de los problemas ya mencionados, existen otras restricciones técnicas que impiden la implementación de los sistemas biométricos: el precio, las dimensiones físicas, el CPU…  Por estos motivos, es bastante sencillo engañar a algunos escáneres. Solo es necesario un papel húmedo con la huella, usando una impresora normal o un molde de gelatina. Cada día, los usuarios dejamos nuestras huellas en  multitud de objetos y un delincuente puede ponernos una trampa para que toquemos una superficie, cubierta de una sustancia especial, donde quedará plasmada nuestra huella para luego poder reproducirla.

Los sistemas de reconocimiento facial, rara vez, pueden distinguir un rostro real de una foto. En cambio, cuando usamos un mecanismo de estas características en nuestro móvil, éste es realmente exigente con las condiciones de luminosidad y el entorno en general, así que no será necesario configurar sistemas adicionales. Pero, de todos modos, te recomendamos que tengas un guardaespaldas (una contraseña robusta) porque de no ser así, no podrás desbloquear tu teléfono en medio de la noche.

La mayoría de desarrolladores de sistemas de verificación de voz afirman que estos son capaces de detectar voces falsas, grabaciones, etc. En realidad, algunos investigadores declaran que un software de alteración de voz puede engañar a dichos sistemas en el 17% de los casos. Por cierto, los ataques man-in-the-middle son especialmente peligrosos para los sistemas de voz, porque es más fácil obtener una muestra de voz que de otra parte del cuerpo.

Tanto las inconveniencias prácticas como los riesgos en seguridad han evitado que los sistemas de verificación biométricos reemplacen a las contraseñas tradicionales o a los tokens electrónicos.  Una verificación de identidad biométrica, hoy en día, solo es posible en ciertas condiciones muy controladas como las aduanas en los aeropuertos o el puesto de control de un edificio. En cambio, no funcionan tan bien  en otros lugares más arbitrarios como los smartphones que no paran de moverse entre nuestras manos.