Phil Scarfo, vicepresidente de biometría y marketing internacional, HID Global 

La biometría jugará un rol importante en la gestión de identidades

Aunque el mejor enfoque para la identidad y la autenticación siempre es una defensa multicapa basada en los riesgos, también es necesario centrarse en lo que hay que hacer para minimizar el impacto de una violación de datos.

Reiterados incidentes de robos a gran escala de datos de identidad han demostrado lamentablemente que incluso la mejor defensa multicapa es imperfecta. El problema será aún más serio en el mundo crecientemente interconectado de la Internet de los Objetos (IoT). Por esa razón hay que enfocarse más en asegurar que las identidades que son robadas queden inutilizables para cualquiera que no sea su legítimo dueño.

La biometría está jugando un rol creciente en esa área. Como tecnología de autenticación que vincula innumerables credenciales digitales y físicas a una persona, la biometría ayuda a aliviar el robo de identidad digital en el entorno digital actual, complejo y vulnerable. Pero al propio tiempo es importante entender que las características biométricas no son secretas. A modo de ejemplo, nuestros rasgos faciales son bien públicos, no solo observables, sino generalmente asociados con nuestros nombres y otra información personal.  Cuando se roban los datos biométricos y se pierde su control, como ocurrió en la muy publicitada violación de datos en la Oficina de Administración de Personal de EEUU en el 2015, jamás pueden recuperarse. Los perpetradores de la violación puede que usen esos datos para piratear la identidad del usuario y ganar acceso fraudulento a sistemas de seguridad.

La cuestión clave:  ¿Qué puede o debe hacerse para que esta información quede inútil para cualquier posible impostor? Dada la premisa de que las bases de datos son intrínsecamente vulnerables a los ataques, el enfoque y desafío es el de minimizar los impactos negativos de una violación para los individuos y las organizaciones. En este complejo e interconectado mundo digital, los sistemas deben diseñarse e implementarse cuidadosamente para proteger la identidad de los usuarios y garantizar los niveles apropiados de seguridad en el contexto de la aplicación. Deben considerarse numerosas tácticas y las mejores prácticas, y ajustarlas a los casos de uso específicos, con el fin de inutilizar las identidades para cualquiera que no sea su legítimo dueño.

Es de crucial importancia la capacidad para detectar intentos fraudulentos de usar datos biométricos. La detección de vida — la determinación en tiempo real de que las características biométricas presentadas son genuinas y no falseadas — es un elemento de diseño de alta efectividad en las soluciones en que los usuarios interactúan con sistemas de autenticación. El incremento de la detección de vida con otras capas de seguridad para la autenticación multifactor perfecciona nuestra seguridad digital y hace que el robo de cualquier elemento de datos personales resulte irrelevante. Hay además una serie de conceptos que podrían combinar inteligentemente datos biométricos y otros elementos de datos para crear una credencial aún más robusta que ha de garantizar que los datos biométricos robados sean insuficientes y por tanto inútiles en cuanto a permitir el empleo fraudulento de identidades legítimas.

A continuación los elementos clave en una estrategia que se extiende más allá de la defensa frente a las violaciones, para incluir la táctica para neutralizar los efectos de una violación de identidad después que ha ocurrido.

Mejorando la detección de vida

Actualmente los métodos más efectivos para la detección de vida en la biometría de huellas digitales emplean tecnología de imágenes multiespectrales, lo que elimina prácticamente la posibilidad de utilizar huellas digitales falsas para la autenticación.  La tecnología se usa para comparar las complejas características ópticas del material que es presentado con respecto a las características conocidas de la piel viva. Esta capacidad, añadida a la obtención de los rasgos de las huellas digitales tanto de la superficie como de la subsuperficie del dedo, da como resultado un comportamiento superior y confiable en la búsqueda de coincidencias, unido a la excepcional habilidad demostrada en el terreno para detectar si el dedo está vivo o no.

Autenticación multifactor y multimodal

Para una autenticación fuerte y confiable, las organizaciones deben considerar siempre, donde resulte práctico, la autenticación multifactor e incluso multimodal. La tecnologías actuales de autenticación permiten soluciones que pueden mejorar la seguridad y al propio tiempo reemplazar las contraseñas y mejorar la conveniencia de una forma racional no intrusiva para el usuario legítimo. Ya no es seguro y por supuesto, no es conveniente, confiar solamente en un factor único o en una contraseña compleja.

Plantillas biométricas robustas mejoradas

En algunas situaciones que dependen de aplicaciones puede ser deseable crear e implantar el uso de plantillas biométricas mejoradas. El empleo de una “super-plantilla” que combine de forma única datos biométricos con otra información — quizás incluso una OTP u otros datos fuera de banda — permite que el sistema reconozca y rechace una plantilla biométrica que ha sido creada en base a una imagen de huella digital robada. Las plantillas pueden residir en una tarjeta o chip, o en un teléfono inteligente o un dispositivo personal vestible. Esto provee un nivel de protección contra alguien que quiera crear una plantilla con imágenes robadas de huellas digitales.

Demostración de la identidad

Por último, es importante recordar que la cadena de confianza es tan fuerte como su eslabón más débil. La solución biométrica utilizada en la demostración de la identidad debe interactuar con dispositivos de confianza en cada punto de verificación.

Las soluciones biométricas ofrecen el balance ideal de conveniencia y seguridad sencillamente porque son fáciles de usar y cada vez más robustas y confiables.

La biometría es además el único método de autenticación que vincula las credenciales digitales de un usuario a una persona. De modo que la biometría juega un rol importante en eliminar el robo de identidad digital en el actual entorno cada vez más complejo y vulnerable.

Robustecer y hacer más confiable la seguridad sin añadir complejidad es difícil, pero a medida que nuestro entorno se hace más complejo y abierto ante los ataques, podemos combinar la universalidad y sofisticación de la biometría con los objetos que tenemos, como son los dispositivos personales, teléfonos, objetos vestibles, y con cosas que conocemos, como los PINs o las contraseñas. Pero además de mejores métodos y tecnología, también debemos buscar soluciones avanzadas por parte de los proveedores que puedan garantizar de manera efectiva un alto nivel de confianza sin aumentar la complejidad para el usuario.

Cuando todo esté dicho y hecho, debemos admitir el hecho de que la biometría, como todos los demás datos personales, no puede estar totalmente protegida de una violación. Todo lo que podemos hacer es diseñar sistemas que preserven la integridad de las verdaderas identidades del usuario, incluso en situaciones como la violación de datos de la OPM. Y quizás la mejor forma de desalentar cualquier violación futura es sencillamente hacer que los datos robados resulten inútiles para cualquiera, excepto para su legítimo dueño.

Sobre el Panel de Expertos de AVISIAN Publishing

Al cierre de cada año, el equipo editorial de AVISIAN Publishing selecciona un grupo de líderes importantes de varios sectores del mercado para actuar como panelistas expertos. Se les pide compartir su visión única de diversos aspectos del mercado de tarjetas. Durante el mes de enero las predicciones de esos panelistas se publican en SecureIDNews.