Se supone que la biometría es uno de los pilares de un sistema de autenticación moderno. Pero muchas implementaciones biométricas (ya sean escaneos de huellas dactilares o reconocimiento facial) pueden ser muy imprecisas, y lo único universalmente positivo que se puede decir sobre ellas es que son mejores que nada.
Además, y esto puede resultar crítico, el hecho de que los datos biométricos se consideren falsamente muy precisos puede ser suficiente para disuadir algunos intentos de fraude.
Hay una variedad de razones prácticas por las que la biometría no funciona bien en el mundo real, y una publicación reciente de un especialista en seguridad cibernética de KnowBe4, un proveedor de capacitación en concientización sobre seguridad, agrega una nueva capa de complejidad al problema de la biometría.
Roger Grimes, un evangelista de defensa en KnowBe4, escribió en LinkedIn acerca de Instituto Nacional de Normas y Tecnología (NIST) calificaciones de evaluación. Como explicó: “Cualquier proveedor biométrico o creador de algoritmos puede enviar su algoritmo para su revisión. NIST recibió 733 presentaciones para su revisión de huellas dactilares y más de 450 propuestas para su revisiones de reconocimiento facial. Los objetivos de precisión del NIST dependen de la revisión y el escenario que se esté probando, pero el NIST busca un objetivo de precisión de alrededor de 1:100 000, lo que significa un error por cada 100 000 pruebas.
«Hasta ahora, ninguno de los candidatos presentados se acerca», escribió Grimes, resumiendo los hallazgos del NIST. «Las mejores soluciones tienen una tasa de error del 1,9 %, lo que significa casi dos errores por cada 100 pruebas. Eso está muy lejos de 1 : 100,000 y ciertamente no se acerca a las cifras promocionadas por la mayoría de los proveedores. He estado involucrado en muchas implementaciones biométricas a escala y vemos tasas de errores mucho más altas (falsos positivos o falsos negativos) que incluso lo que NIST está viendo en su mejor caso. prueba de condición de laboratorio de escenario Rutinariamente veo errores en 1: 500 o menos «.
Deja que eso se hunda en un momento.
En las pruebas independientes, muchos datos biométricos simplemente no cumplen con precisión su promesa. Además de eso, muchos proveedores, incluidos Apple (iOS) y Google (Android), toman decisiones de marketing en sus configuraciones, donde eligen qué tan estricta o indulgente es la autenticación. No quieren que a muchas personas se les bloquee indebidamente el acceso a sus teléfonos, por lo que optan por hacerlo menos estricto y, de hecho, dan luz verde al acceso a los dispositivos por parte de un mayor número de personas no autorizadas.
¿Recuerda esos videos que muestran teléfonos que dejan entrar a los niños o hermanos de un usuario de teléfono cuando usa el reconocimiento facial? Esa es una gran razón por la cual.
Otro factor clave es la precisión teórica frente a la precisión del mundo real. Considere dos métodos populares de autenticación de teléfonos: reconocimiento facial y de huellas dactilares. En teoría, el reconocimiento facial es mucho más exigente porque puede considerar una mayor cantidad de puntos de datos. En la práctica, sin embargo, eso a menudo no sucede.
¿Ha visto a algún niño o hermano obtener acceso al teléfono a través de la huella digital? El reconocimiento facial tiene que lidiar con la iluminación, los cosméticos, el cambio de cabello y docenas de otros factores. Nada de eso está en juego cuando se usa el reconocimiento de huellas dactilares.
También hay un problema de distancia. Con el reconocimiento facial, un dispositivo debe estar a una distancia precisa de la cara para leerla con precisión, ni demasiado cerca ni demasiado lejos. Yo personalmente uso un iPhone con Face ID y normalmente veo fallas el 60% del tiempo. Luego ajusto un poco la diferencia y, si tengo suerte, mi teléfono se desbloqueará. (Nuevamente, esto no es un problema con las huellas dactilares).
Nota al margen: ¿por qué muchas aplicaciones bancarias se ocupan del escaneo de cheques (sí, algunas empresas todavía usan cheques) de una manera más sofisticada? La aplicación generalmente le indicará que «acerque el teléfono» o «retroceda» antes de fotografiar la imagen del cheque. ¿Por qué el reconocimiento facial no puede hacer lo mismo?
No olvide también que, desde la perspectiva de la autenticación, muchas de las implementaciones biométricas son una broma. ¿Por qué? Porque cuando falla una autenticación biométrica, el acceso predeterminado es el PIN de un teléfono.
En otras palabras, si un ladrón quiere eludir la biometría, todo lo que tiene que hacer es fallar una o dos veces y luego lidiar con el PIN más fácil de descifrar. ¿Cuál es el punto de? Está claro que los principales proveedores de teléfonos usan la biometría menos para autenticación o ciberseguridad que por conveniencia. Es una forma de acceder a un dispositivo sin tener que escribir un PIN.
Tan flojo como suena, Grimes argumenta que la situación probablemente sea peor. “Las pruebas del NIST son los mejores escenarios. Todos ellos son horriblemente inexactos. La seguridad se promete en exceso en casi todas las situaciones”, dijo en unnorte entrevista.
Grimes también expresó su preocupación por la naturaleza inmutable de la biometría. Si se compromete una contraseña o un PIN, es fácil generar una nueva contraseña o PIN. Incluso un token físico puede ser reemplazado. Entonces, ¿qué sucede si la biometría se ve comprometida? No puede cambiar fácilmente su rostro, retina, voz o huella digital.
“Una vez robados, ¿cómo los recuperas?” Grimes dijo, y agregó que los datos biométricos de ingeniería inversa son bastante posibles.
El problema fundamental aquí es la percepción y la caracterización. Estos esfuerzos biométricos, tal como se implementan actualmente, son poco más que conveniencia. (No me malinterpreten; como una persona perezosa por naturaleza, estoy locamente enamorado de la comodidad). Pero se ofrecen como hechos a medida para la seguridad cibernética. Y como resultado, los usuarios y tecnólogos confiarán en la biometría como medida de protección.
Hay muchas formas de implementar la biometría de forma segura. Los escaneos de retina suelen ser seguros y las huellas dactilares funcionan bien para las personas que tienen huellas dactilares escaneables correctamente. Pero la biometría de voz, actualmente utilizada por una variedad de instituciones financieras, sigue siendo demasiado fácil de falsificar.
Esto nos lleva de vuelta a las decisiones de configuración. Si la configuración es lo suficientemente estricta, incluso el reconocimiento facial puede convertirse en un mecanismo de seguridad. En resumen, la biometría es una buena conveniencia. Como defensa de seguridad, la mayoría de las implementaciones actuales no son suficientes.
Derechos de autor © 2022 IDG Communications, Inc.