10:52 12/09/02
 

EL GOBIERNO DE EEUU PROMUEVE LA BIOMETRÍA A PESAR DE HABERSE DEMOSTRADO SU POCA FIABILIDAD

Según recientes experimentos, la autenticación por rasgos físicos falla más que una escopeta de feria

Mercè Molist
Nada más despertar del 11-S, una palabra mágica empezó a correr por los despachos de la administración norteamericana: biometría. Esta tecnología, que identifica a personas no a través de lo que saben (contraseñas) o tienen (tarjetas) sinó por lo que son (voz, cara, ojos), es protagonista en las nuevas leyes antiterroristas. Pero las pruebas de los expertos demuestran que engañar a la biometría es, por el momento, un juego de niños.

La corporación RAND, del ejército de Estados Unidos, publicaba recientemente el informe "Biometrics: facing up to terrorism", firmado por John Woodward, oficial de la CIA, quien recomienda la biometría para "controlar el acceso a sitios sensibles como aeropuertos, reducir el fraude en documentos de inmigración e identificar a sospechosos terroristas con tecnologías de reconocimiento facial".

En la misma línea, el Congreso norteamericano instaba a la introducción del reconocimiento dactilar y de manos en las licencias de conducir y  de inmigración, con la creación de una gran base de datos de huellas de ciudadanos: "Siguiendo la nueva Ley de Seguridad en Transportes y Aviación, animamos a la inmediata aplicación de tecnologías biométricas en misiones de seguridad aérea".

Otra ley, la "Enhanced Border Security and Visa Reform Act" ordena que a partir de octubre del 2003 se expidan visados biométricos para los 250 millones de extranjeros que entran cada año en el país. Y, por mandato de la madre de todas las leyes antiterroristas, la "USA Patriot Act", el Congreso encargaba al National Institute of Standards and Technology (NIST) una evaluación de las posibilidades de la biometría, cuyas conclusiones se presentaban a finales de septiembre... con algunas sorpresas.

Según el NIST, "el reconocimiento de huellas dactilares funciona bien, pero debe mejorar mucho para usarse a escalas masivas; las tecnologías de reconocimiento facial no están aún maduras y el escáner de iris se basa en tecnología propietaria que hace difícil la evaluación de su exactitud. Ningún sistema biométrico funciona suficientemente bien como para que podamos fiarnos sólo de él. Siempre parecen más fuertes y fáciles de lo que son en la práctica".

Los expertos coinciden con el NIST. Según el director del centro biométrico de la Universidad de San José, Jim Wayman, "el despliegue gubernamental es sólo humo, la probabilidad de que Osama Bin Laden pueda ser identificado en un aeropuerto es del 60%". Edward Gareth, de la empresa Image Metrics, añade: "Para detectar al 90% de terroristas, la alarma sonaría erróneamente una vez de cada tres. Es inconcebible construir un sistema de seguridad efectivo en estas condiciones".

El aeropuerto de Palm Beach (Florida) experimentaba este verano con un sistema de reconocimiento facial que debía identificar a quince empleados repartidos por las terminales. Consiguió un 47% de éxitos y falló cuando había cambios de luz o alguien se movía. El aeropuerto desistió de sus planes biométricos. A pesar de ello, el Pentágono ha dedicado 42 millones de dólares a un programa para la identificación de personas en las embajadas estadounidenses, mientras hace pruebas de escáner de iris entre los miembros de su Club Atlético.

Los primeros avisos contra la falsa seguridad de la biometría vinieron de los científicos. En mayo, el matemático japonés Tsutomu Matsumoto derrotaba a los sistemas de reconocimiento dactilar, con un dedo artificial hecho con gelatina de gominolas. Le puso unas huellas  legítimas, extraídas de un vaso, y engañó a los sistemas más sofisticados en un 80% de ocasiones, incluidos los que aseguraban llevar "reconocimiento termal". Precio del experimento: diez dólares.

La revista alemana "C't" siguió sus pasos, con un test más amplio en once dispositivos comerciales presentados en la feria CEBIT. La mayor parte del mercado biométrico se centra en la huella dactilar, seguida del reconocimiento facial y de iris. Todos fueron derrotados. Los sistemas faciales fallaron al dar por buena la foto o el vídeo de la cara de una persona. Para engañar a los escáners de iris, fue suficiente una fotografía de alta resolución del ojo legítimo, con un agujero en el medio. Los investigadores pusieron detrás su propia pupila, para simular que el ojo fotografiado estaba vivo.

En cuanto al reconocimiento dactilar, algunos sistemas cayeron sólo respirando encima de las huellas dejadas en el ratón por el usuario legítimo, o bien aplicando sobre ellas una cinta adhesiva o una bolsita con agua. "Aunque los fabricantes presenten sus aplicaciones como maduras y seguras, el mercado de masas para esta tecnología está aún en su infancia", concluían los periodistas.

El experto en seguridad Bruce Schneier ha avisado también contra la biometría: "Por seguridad, nunca debe tenerse una misma contraseña para dos sistemas diferentes. Pero, cuando use mi dedo para poner en marcha el coche, acceder a mis datos médicos, leer el correo... si me roban los datos dactilares no podré cambiar de dedo como de contraseña: es fuerte imaginar qué pasará entonces". Se critica además que en muchos sistemas la información biométrica guardada en el ordenador o enviada a la red no va cifrada, lo que permite a un atacante apoderarse de los datos.

Diversos grupos de ciberderechos han denunciado los problemas de privacidad de la biometría, tanto por estos robos de información como por la creación de bases de datos con caras o huellas dactilares, contra las que se verifican las identidades. Oliver Tattan, de la empresa Daon, afirmaba recientemente que, para el éxito de la tecnología,  "es urgente la creación de una infraestructura de confianza biométrica mundial, que permita a las empresas y gobiernos identificar a la gente que se mueve de un país a otro".

Los últimos meses han visto un florecimiento comercial de la biometría, después de una década de lento avance. Según la International Biometric Industry Association, el mercado superará este año los 500 millones de euros en el sector industrial y gubernamental, con buenas expectativas para los ordenadores personales. Los nuevos portátiles Acer van equipados con reconocimiento de huella digital en el teclado y Afina Sistemas comercializa llaves para el puerto USB (Universal Serial Bus) que combinan un escáner dactilar y certificados.

Pero Carlos Molina, responsable técnico de Afina, es consciente de que "la biometría es aún un juego de niños, un sector muy experimental. El principal problema son los errores de precisión, que pueden llevar a una falsa aceptación o un falso rechazo. Eso está impidiendo su despliegue, aunque mejorará". El precio es otra barrera: la llave de Afina cuesta 225 euros, que multiplicados por los cien ordenadores que puede tener una empresa no son ninguna broma.

De hecho, los principales usuarios de biometría en España son, según el técnico, "pocos, servicios secretos y empleados puntuales de bancos o sitios que deben ocultar mucho la información. Aunque también es cierto que todos los grandes tienen ya algún proyecto experimental. Pero son sistemas intrusivos: imagina tener que poner el ojo en el cajero cada vez que necesitas dinero. Cuando vas al cine, no dices quién eres sinó que presentas una entrada. Con la biometría debería ser igual: te autenticas en tu ordenador, pero esta información no debe ir más adelante. En el futuro, irá engarzada con certificados digitales, pero éstos tienen también muchas cosas pendientes para funcionar bien".

Antonio Villalón, autor del libro "Seguridad en UNIX" y miembro de la Agrupación de Biometría Informática Española, coincide: "Los sistemas biométricos no deben usarse solos sinó junto a otros modelos de autenticación, como claves o tarjetas inteligentes. En cuanto a la privacidad, ¿qué sucede si, cuando abres una puerta, el escáner de huellas envía tu patrón a una base de datos central? ¿Y si a partir de tu retina se puede determinar que has consumido drogas o padeces una enfermedad? En el momento en que aceptamos pasar por el escáner perdemos el control".

A pesar de ello, Villalón está convencido de que "la biometría va a prosperar mucho. Hubo un 'boom' y cuando se ha visto que no es infalible se ha pasado a criticarla, pero no existe ningún producto mágico que garantice completamente la seguridad sinó que hay muchos, combinados entre sí. Evidentemente, una contraseña se puede cambiar si es comprometida, mientras que unos ojos o una mano, no. Pero, de la misma forma, no te pueden robar los ojos, ni te los olvidas en casa".
 

Agrupación de Biometría Informática Española
http://www.ii.uam.es/~abie/
Experimento de Tsutomu Matsumoto
http://www.itu.int/itudoc/itu-t/workshop/security/present/s5p4.pdf
Experimento de "c't"
http://www.heise.de/ct/english/02/11/114/
International Biometric Industry Association
http://www.ibia.org
Bases de datos biométricas
http://www.biometrics.org/html/research.html
"Biometrics: Facing Up To Terrorism"
http://www.rand.org/congress/terrorism/phase1/biometrics.pdf
 
 

<<