Resumen ejecutivo del Estudio sobre las tecnologas biomtricas aplicadas a la seguridad

OBSERVATORIO DE LA SEGURIDAD DE LA INFORMACIN

Metodologa
PROYECTO INTECO SOBRE LAS TECNOLOGAS BIOMTRICAS APLICADAS A LA SEGURIDAD

ESTUDIO
Diagnstico

GUA PRCTICA
Formacin y concienciacin

Anlisis documental, + Entrevistas personales a expertos + investigacin 2.0 + Jornada de trabajo y discusin conjunta

Uso de tecnologas biomtricas en el control de acceso e identificacin

Estudio sobre tecnologas biomtricas

Introduccin a las tecnologas biomtricas Ventajas frente a otros procesos de identificacin Usos y aplicaciones Lneas de desarrollo futuro Legislacin aplicable y los estndares habituales Amenazas y vulnerabilidades Medidas de seguridad y buenas prcticas Recomendaciones a empresas, industria y poderes pblicos
3

Introduccin a las tecnologas biomtricas

Tecnologas biomtricas fisiolgicas

Huella dactilar Morfologa facial Iris Retina Geometra de la mano

Tecnologas biomtricas de comportamiento

Firma Voz Tecleo Forma de andar

Tecnologas biomtricas fisiolgicas

1) Huella dactilar

Alto grado de madurez Precios ms competitivos Usabilidad

Incompatibilidad con ciertas actividades laborales P. e. contacto con productos abrasivos

Tecnologas biomtricas fisiolgicas

2) Morfologa facial

Facilidad de captura Ya utilizado con xito

Variabilidad de sus caractersticas Inconvenientes ambientales Luminosidad y vestimenta

3) Reconocimiento del iris

nico Resistente al fraude Coste Uso de lentillas

Tecnologas biomtricas fisiolgicas

4) Reconocimiento de retina

nico Permanente Incomodidad de captura de muestras

5) Geometra de la mano

Permanencia de sus caractersticas

Lesiones

Tecnologas biomtricas de comportamiento

1) Reconocimiento de firma

Aceptacin
Variabilidad

2) Reconocimiento de voz

Aplicacin en entornos remotos Idoneidad en dispositivos mviles

Ruido ambiente

Tecnologas biomtricas de comportamiento

3) Reconocimiento de escritura de teclado

Captura Aceptacin
Poblacin no-usuaria de teclados

4) Reconocimiento de la forma de andar

Reconocimiento en multitudes
En desarrollo

Anlisis de las tecnologas biomtricas

Comparativa de tcnicas biomtricas
Universalidad M A A A M M B M B M Permanencia Aceptacin Grado de Unicidad A B A A M M B B B B

A: Alto M: Medio B: Bajo

Huella dactilar Reconocimiento facial Reconocimiento de iris Reconocimiento de retina Geometra de la mano Geometra de las venas de la mano Reconocimiento de firma Reconocimiento de voz Reconocimiento de escritura de teclado Forma de andar

M A B B M M A A M A

A B A A M A B B M M

M A M B A M A M M A

A B A A M M B B B B

Comportamiento

Mensurabilidad

Resistencia al

fraude

A M A A M M B B B B

10

Anlisis de las tecnologas biomtricas

Implantacin en el mercado

La huella dactilar es la tecnologa mayoritaria en el mercado. Es consecuencia de su alto grado de madurez, que implica un coste menor. El reconocimiento facial se encuentra en segundo lugar aunque muy alejado. La inclusin de una fotografa en la mayora de documentos de identificacin facilita su implantacin.

11

Anlisis de los procesos de identificacin

Biometra vs. Contraseas/Tarjetas
Aspecto
Necesidad de Secreto Posibilidad de robo Posibilidad de prdida Coste de mantenimiento Registro inicial y posibilidad de regeneracin Proceso de comparacin Comodidad del usuario Vulnerabilidad ante el espionaje Vulnerabilidad a un ataque por fuerza bruta Medidas de prevencin Autenticacin de usuarios reales Coste de implantacin

Biometra

Contraseas/Tarjetas

12

Anlisis de los procesos de identificacin

Sistemas de autenticacin de doble factor La autenticacin unimodal da paso a sistemas de autenticacin de doble factor (biometra + tarjeta, biometra + contrasea, biometra bimodal). Un sistema biomtrico bimodal utiliza dos tcnicas biomtricas, por ejemplo una combinacin de verificacin de huellas dactilares y reconocimiento facial.

Ventajas:

Inconvenientes:

Aumento de la seguridad Resistencia al fraude Reduccin de vulnerabilidades y

amenazas

Aumento de costes Reduccin de la comodidad

Mayor privacidad
13

Beneficios de las tecnologas biomtricas

Para las Entidades Mayor seguridad para autenticacin de usuarios proporcionada por el factor de identificacin cmo es. Reduccin de costes de mantenimiento por haber menor necesidad de restablecimiento de credenciales. Aumento de la eficiencia en procesos de autenticacin. Reduccin del fraude tanto interno como externo.
14

Mejora de imagen corporativa garantizando la seguridad de los empleados, clientes y proveedores. Oferta de nuevos servicios.

Beneficios de las tecnologas biomtricas

Para los Usuarios Mayor comodidad, no se necesita recordar contraseas o mantenimiento de tarjetas. Reduccin de tiempos de espera. Posibilidad de tramitaciones remotas. Mayor seguridad y aumento de la privacidad. Familiarizacin avanzada. con tecnologa

15

Aplicaciones y desarrollos futuros

Banca online

Cajeros automticos

Medios de pago:

Transacciones remotas
seguras a travs de internet.

En operaciones
especialmente crticas.

Integrado en Terminales de
Punto de Venta: evita suplantaciones y posibles errores.

16

Aplicaciones y desarrollos futuros

Control de accesos
y de presencia

Banca telefnica
y call centers

Dispositivos mviles

Evita el fraude interno en

las compaas.

Transacciones remotas
seguras de manera telefnica (reconocimiento de voz).

Factor de verificacin en la
tecnologa NFC (Near Field Communication).

17

Casos de xito
Acceso rpido a fronteras aeroportuarias en Espaa Tecnologa: Reconocimiento de huella dactilar y facial. Beneficios:

Mejora de la ratio de controles

fronterizos que se pueden realizar por unidad de tiempo y por cada agente.

Incremento de la seguridad. Mitigacin del temor que usuarios y

entidades puedan tener a la utilizacin de sistemas biomtricos. Desarrollo futuro: Existen planes de expansin a otros puestos fronterizos (otros aeropuertos e incluso puertos martimos) empleando un mayor nmero de elementos de verificacin.
18

Casos de xito
Gestin de ayudas pblicas en Polonia Tecnologa: Reconocimiento de la estructura de las venas de los dedos Beneficios:

Aumento de la eficiencia, al dedicarse

menos tiempo a la comprobacin de documentos de identificacin por parte del banco.

Reduccin de esperas. Reduccin de posibles fraudes.

Desarrollo futuro: En la banca comercial podra ser usado para validar cualquier proceso que el usuario deseara realizar con el banco.

19

Marco Regulatorio
Existen suficientes normativas relacionadas con la proteccin de datos personales pero sera recomendable profundizar en la biometra. LOPD Debe tenerse en cuenta: El tratamiento de datos ha de ser legtimo. Necesidad de informar al interesado. Es necesario el consentimiento del usuario, salvo en ciertos casos. Necesidad de inscripcin de un fichero ante la AEPD. Delegacin de tratamiento. Estndares internacionales Se han identificado estndares que de aplicacin sobre muy diversos mbitos: intercambio de informacin, APIs, rendimiento de los sistemas, etc.

20

Gestin de riesgos en biometra

La implantacin y el empleo de tecnologas biomtricas estn expuestos a una serie de riesgos, algunos especficos y otros compartidos con las dems tecnologas y tcnicas de identificacin. Las amenazas y vulnerabilidades identificadas en el estudio, son relativas a muy diversos factores. Existe un conjunto de recomendaciones y buenas prcticas que pueden suponer una mitigacin de los riesgos identificados.

21

Gestin de riesgos en biometra

Implantacin precipitada Tecnologa inadecuada No implicacin del usuario final Riesgos para la privacidad Tratamiento datos personales e informacin sensible

Anlisis

previo adaptando sistema a la organizacin

el

Utilizacin legtima y proporcionada Adecuacin a la normativa (LOPD) Informar a los usuarios Solicitar consentimiento Inscripcin fichero en la AEPD Securizar el tratamiento y
almacenamiento de datos

22

Gestin de riesgos en biometra

Prdida o robo de informacin Informacin sensible Caractersticas limitadas Suplantacin de identidad Patrones biomtricos robados o uso bajo coaccin

Seguridad almacenamiento Captura parcial de muestras

Deteccin de vida (comprobar

si la muestra proviene de un ser humano vivo) y autenticacin doble factor

23

Gestin de riesgos en biometra

Sabotaje / Incidencias con el sistema Afectan a cualquier tecnologa Cambios en los rasgos biomtricos Involuntarios Con nimo de fraude

Plan continuidad

Eleccin de tecnologa idnea Autenticacin de doble factor

passUDe45

24

Gestin de riesgos en biometra

Calidad desigual de la tecnologa utilizada Posibles brechas de seguridad Percepcin negativa debida al mal funcionamiento Rechazo por parte de los usuarios Percepcin falta de privacidad Problemas culturales y religiosos Experiencia de uso negativa (desconocimiento)

Control de calidad en todos los

elementos

Informacin y concienciacin Eleccin de tcnicas mejor

adaptadas y menos intrusivas

Formacin

25

Recomendaciones
Para las Organizaciones Realizar un anlisis previo Apostar por tecnologas de calidad Ofrecer colaboracin a los usuarios finales Cumplir con lo indicado anteriormente en cuanto a privacidad Para Investigadores Desarrollar lneas de investigacin que satisfagan necesidades existentes Evitar prototipos de difcil aplicacin Buscar la mejora y abaratamiento de las tecnologas Realizar labor divulgativa

26

Recomendaciones
Para Fabricantes y Proveedores de Servicios Apostar por la innovacin Ofrecer sistemas de calidad Solventar las dudas de los clientes Analizar adecuadamente a los clientes Promover una algoritmos unificacin de

Garantizar especialmente la seguridad y confidencialidad de los datos biomtricos de usuarios

27

Recomendaciones
Para las AA.PP. Facilitar el acceso a servicios pblicos empleando sistemas biomtricos Utilizar en sus propias instalaciones Invertir en defensa y control de fronteras Invertir en investigacin y desarrollo Acometer acciones de divulgacin

28

Conclusiones - Fortalezas y oportunidades

Mayor comodidad para el usuario Ahorro de costes de gestin para empresas Mayor seguridad Reduce la suplantacin de identidad Dificulta los ataques

Aprendizaje y perfeccionamiento 2 generacin, retos a superar ya detectados Implicacin de las AA.PP. Apoyo a la normalizacin y divulgacin Impulso de las grandes empresas Expansin y unificacin de criterios Estandarizacin e interoperabilidad Apertura de los sistemas y libertad de los usuarios

29

Conclusiones - Debilidades

Riesgo de invasin en la privacidad de las personas Temor por parte de los ciudadanos Percepcin de prdida de privacidad Exposicin pblica Alta exposicin = gran repercusin de los problemas Necesidad de normativas especficas Fomento de buenas prcticas y responsabilidad

30

Reflexiones finales

Tecnologa madura vs. Mercado en desarrollo

Ausencia de oferta de seguridad integral Desconocimiento de las empresas Desconfianza de los usuarios Dificultades econmicas

Necesidad de un estndar de comparacin Riesgo de exceso de confianza Altos beneficios potenciales

31

Sguenos a travs de:

Web
http://observatorio.inteco.es Perfil de Facebook http://www.facebook.com/ObservaINTECO Perfil de Twitter http://www.twitter.com/ObservaINTECO Perfil de Scribd http://www.scribd.com/ObservaINTECO Perfil de Youtube http://www.youtube.com/ObservaINTECO Blog del Observatorio de la Seguridad de la Informacin http://www.inteco.es/blogs/inteco/Seguridad/BlogSeguridad

Envanos tus preguntas y comentarios a:

observatorio@inteco.es

http://www.inteco.es http://observatorio.inteco.es