Seguritecnia 339

Artículo Técnico 42 SEGURITECNIA Marzo 2008 así, generalmente, se diferencia entre procedimientos ba- sados en la posesión (por ejemplo, yo tengo una tarjeta o llave maestra ), los procedimientos por conocimiento ( yo conozco la contraseña ) y los biométricos ( yo tengo unos rasgos determinados: faciales, huella dactilar… ), consi- derándose la autentificación por contraseña como el polo opuesto de la biometría, en lo que a nivel de seguridad se refiere. Sin embargo, en el fondo, los límites existentes entre éstos no son tan estrictos como se piensa. Me ex- plico: si los rasgos biométricos se asignan -por ejemplo-, tal y como se hace comúnmente, a características forma- das por coincidencia (aleatoriamente), herencia (genotípi- cas) y aprendidas (del comportamiento), la contraseña se podría definir como un rasgo 100% del comportamiento. Incluso se podría determinar un rendimiento biométrico con medidas como la tasa de falsa aceptación (FAR, del inglés false acceptance rate ) o la del falso rechazo (FRR, false rejection rate ), bajo la condición de que se incluyen todos los canales de captura, incluyendo el ser humano. Es más, algunos especialistas consideran que la contra- seña aprendida es un modelo de enlace de las células ce- rebrales, para el que todavía no existen instrumentos de medida adecuados. Y por ahora, esto es todo. En el próximo número de Seguritecnia, les plantearé otros mitos y leyendas –hasta los diez que menciono en el titular- también muy exten- didos, incluso entre los profesionales que trabajamos en el campo de la biometría aplicada a los sistemas de con- trol de acceso. Podrán entonces seguir evaluando la posi- ble veracidad o, por el contrario, falsedad de los mismos. Mientras tanto, confío en que, por ahora, la valoración que ustedes hayan hecho sobre su propio nivel de escep- ticismo, sea cuanto menos positiva. ¡Nos leemos próxi- mamente! cho de que se desconozcan métodos de falsificación para determinados tipos de rasgos, no significa que no sea po- sible: sólo es cuestión de que alguien le dedique el tiempo e inteligencia suficientes para descubrirlos. Mito 3.- Los sistemas de reconocimiento del iris y de retina escanean el ojo con rayos láser VERDADERO FALSO Esta afirmación tiene la palabra falsedad escrita sobre ella. Pero que todavía hoy se siga difundiendo semejante bulo tampoco debe extrañar a nadie. La cosa se remonta a los albores de la tecnología biométrica, cuando era una práctica muy extendida entre los defensores de un deter- minado tipo de solución calumniar el sistema de la com- petencia, propagando terroríficas afirmaciones; incluso actualmente, algunas voces mantienen que los procedi- mientos centrados en el iris y en la retina aplican láser sobre el ojo. Puede que en algún momento se propusiera el uso (inocuo) del láser. Sin embargo, el hecho es que ni es necesario, ni existen o han existido productos que uti- licen rayos láser. Sorprendentemente, esta leyenda está tan arraigada que los proveedores de sistemas de iris ya no hablan de escáner del iris , sino de reconocimiento del mismo, en un intento por alejar posibles asociaciones ne- gativas. Mito 4.- Los rasgos biométricos no se pueden recons- truir mediante plantillas VERDADERO FALSO Este argumento se suele esgrimir para tranquilizar a los responsables de la protección de datos personales. Pero la verdad es que los rasgos biométricos se pueden recons- truir mediante plantillas o, por lo menos, hasta tal punto que es posible engañar a un sistema de reconocimiento biométrico, incapaz de distinguir entre un rasgo original y una reconstrucción. Otra cosa bien distinta –y ésta sí que es cierta- es que lo que no se puede reconstruir es la información no redundante, eliminada durante la crea- ción de la plantilla; así, por ejemplo, se garantiza que, de existir, no se puedan reconstruir a partir de la plantilla datos relativos a la salud. Mito 5.- La contraseña no es un rasgo biométrico VERDADERO FALSO Los procedimientos de autentificación se suelen clasi- ficar en función del criterio utilizado para realizar ésta;