miércoles, 8 de agosto de 2012

¿Prueba de Fuego en Seguridad para la Biometría del Iris? Segunda Parte

iris with binary code

Y aquí continuamos con la otra perspectiva de nuestra historia de hoy. 

Ahora le toca el turno al Sr. Daugman, ¿quién es este señor? os preguntaréis. El físico John G.Daugman (Laboratorio Informático de la Universidad de Cambridge) es quien desarrolló los algoritmos de reconocimiento que suponen la base de la mayoría de los sistemas de reconocimiento por iris que se introdujeron en el mercado hasta 2006. 

Daugman no se ha mostrado muy sorprendido ante la noticia publicada en nuestra anterior entrada: “Creo que la base de la vulnerabilidad está en la divulgación del IrisCode (códigos de unos y ceros que se almacenan en la plantilla digital), pues este ataque depende por completo de ello. Por supuesto, si obtienes el IrisCode, éste podría ser utilizado directamente en un ataque digital”. Daugman continúa: "Este ataque también depende de tener la capacidad de generar una plantilla IrisCode de una imagen, y de hacerlo en repetidas ocasiones. Esto solo es posible si se conoce el algoritmo de codificación." En otras palabras, si no se hubiera tenido acceso al algoritmo de codificación o de un dispositivo de hardware que lo implemente, el fraude no habría sido posible. 

binary code in colours
 De acuerdo con Daugman, esto debería ser un aviso "para preservar la seguridad criptográfica en plantillas IrisCode" y mantener así el máximo nivel de seguridad. Codificando las plantillas IrisCode mediante algoritmos de encriptación conocidos y seguros utilizados en otros ámbitos como, por ejemplo, en el pago online, se soluciona este problema. 

El acceso a una base de datos no es trivial y, si ocurriera, el menor de nuestros problemas sería que nos duplicaran el iris. El hackeo de una base de datos no es un problema de la biometría en sí, y permite, por ejemplo, cambiar un iris de un usuario autorizado por el del atacante y obtener así acceso (o cambiar el contenido de una cuenta bancaria u otros problemas de mayor gravedad). Salvando las distancias, esto sería lo mismo que criticar un cajero de un banco. Si accedo a la base de datos del banco puedo obtener todos los datos del cliente y fabricarme una tarjeta de crédito con esos datos y así sacar dinero de una cuenta que no es la mía.

También es relevante mencionar que hay que diferenciar entre aquellos sistemas que distinguen entre un iris artificial y uno de verdad. Un moderno y cualitativo sistema de reconocimiento de iris que distingue tejido vivo no hubiera sido engañado por una imagen.

Nosotros confiamos en la biometría, pero sabemos que no es infalible y que los hackers están y estarán ahí. Se trata de ir siempre un paso por delante de ellos, no dormirse en la investigación y, para mayor seguridad, combinar sistemas. 

Después de conocer ambos lados de la historia, nos interesaría mucho saber cuál es vuestra opinión sobre este tema.

No hay comentarios:

Publicar un comentario en la entrada