Llegamos a ustedes gracias a:



Reportajes y análisis

¿Qué tan bien lo conoce su smartphone?

Una veta madre para nuevas tecnologías

Seguridad movil, biométrico

[20/01/2015] Cuando se está en movimiento, el tener que ingresar grandes y complejas contraseñas en pequeñas pantallas, es una molestia. Esto hace que la seguridad basada en contraseñas no funcione adecuadamente en un mundo móvil. Sin embargo, gracias a la amplia reacción de la industria, el cambio está llegando mediante nuevas tecnologías biométricas.

Eventualmente, la seguridad móvil ya no va a tener que ver con el hecho de que su contraseña sea larga, sino con qué tan bien el dispositivo conoce al usuario.

"Ha habido una explosión durante este último año de nuevas tecnologías lanzadas todos los meses, anota Kayvan Alikhani, director de tecnología en RSA, la división de seguridad del EMC.

Un ejemplo: La rápida aparición de una organización de estándares para la seguridad móvil y online, la Fast Identity Online (FIDO) Alliance. En su primer año de fundación, en febrero del 2013, la alianza enlistó a más de 100 miembros, incluyendo RSA, PayPal, Google, Microsoft, BlackBerry, MasterCard y Netflix.

"Es un muy buen concepto, con tecnología fabulosa, y los pesos pesados de la industria detrás de ella, anota Frank Dickson, analista en Frost & Sullivan. "El único inconveniente es que es un estándar muy joven.

Para saber qué dispositivos de autenticación se enganchan a FIDO, Alikhani señala que las encuestas hechas por RSA, y los focus groups realizados para determinar las preferencias de seguridad de los usuarios, han sido la respuesta. "Los grandes ganadores fueron los métodos rápidos y que no requerían que el usuario recuerde algo, añade.

"No vimos ninguna respuesta obvia, pero hubieron varias positivas con portátiles, anota Alikhani. Si el acceso al dispositivo está controlado a través de un sistema portátil agrega, "la posibilidad de ser hackeado es nula -si alguien quiere robarse un teléfono, "no obtienen nada. Los métodos que involucran que el usuario responda a mensajes entrantes fueron los segundos en las preferencias de los encuestados, pero ese enfoque es usado normalmente en computadores, indica Alikhani. El sistema biométrico fue el tercero, añade.

Nymi
Pylsera Nymi desarrollada por Bionym.

Alan Goode, director de Goode Intelligence, una firma de investigación con base en Londres, señala que el mejor ejemplo de un dispositivo de autenticación portátil para el mercado móvil parece ser Nymi, una pulsera de 79 dólares desarrollada por Bionym, con base en Toronto.

Siempre que la persona lo use, el Nymi sabe quién la está usando, señala el CEO de Bionym, Karl Martin. El dispositivo se comunica con el smartphone del usuario a través de Bluetooth, e identifica al usuario analizando su ritmo cardiaco, que demora aproximadamente cuatro segundos. Cada vez que el usuario se pone el brazalete nuevamente, este re autentica con una precisión que Martin señala que es mejor que la huella digital.

"Existe una batalla constante entre la conveniencia y la seguridad, pero este enfoque ofrece ambas, anota Martin. Mientras tanto, agrega, "nosotros proporcionamos una identidad persistente y constante, mientras otras formas de autenticación establecen confianza en un solo punto a la vez.

El lanzamiento de lo biométrico

Notando que "es difícil ingresar una larga contraseña en los teléfonos móvil, Goode anota que los sistemas de identificación biométricos "son considerados más aplicables a los dispositivos móviles. Las herramientas biométricas normalmente solo necesitan darle una lectura o mirada a alguna característica física del usuario para establecer su identidad.

"La seguridad de la huella digital es ahora la biométrica preferida en el mercado móvil, indica Art Stewart, vicepresidente de la división de productos biométricos en Synaptics. Él dice que lo de la huella digital comenzó a ganar popularidad la primavera pasada con la introducción del iPhone 5S que tiene un lector de huella digital.

Apple adquirió la tecnología del sensor de huella digital a través de su compra de AuthenTec de 356 millones de dólares en el 2012, señala Stewart. En respuesta, Synaptics adquirió el año pasado Validity, un desarrollador de sensores, por 255 millones de dólares, añade.

Stewart anota que va a ser todo un reto satisfacer la demanda anticipada por sensores de huella digital. La movida de Apple "atrajo la demanda, agrega, y todos los desarrolladores de teléfonos celulares y tabletas tienen mucho más interés en la tecnología de huella digital.

El sistema de sensores de huellas digitales es sumamente preciso -la posibilidad que el sistema deje que alguna persona que no sea el dueño use el dispositivo es de 1 en 50 mil o 0.002%, mientras que la posibilidad de que el verdadero dueño intente entrar y no se le permita es de mil en 50 mil o un 2%.

Los sensores tienen características contra la suplantación de identidad que se encargan de ver todo lo que tiene que ver con las características de la piel, para no ser engañados por simulaciones con látex, añade.

Los proveedores de otros tipos de sistemas biométricos también están haciendo maniobras para posicionarse en el mercado móvil. Sus productos identifican la identidad usando otras características del cuerpo humano, como la parte blanca de los ojos, la cual, según Reza Derakhshani, jefe científico en EyeVerify, una empresa nueva, "son las únicas partes del cuerpo con vasculatura expuesta y fácil de identificar.

EyeVerify, con base en la ciudad de Kansas, ha patentado una tecnología de identificación que requiere que el usuario coloque su smartphone a una distancia de seis a diez pulgadas de la cara para capturar imágenes de sus ojos y el patrón único de sus venas. Derakhshani señala que la tecnología es tan precisa como la de la huella digital. Muchas maneras de detectar "vida -como evaluar el movimiento, la curvatura y las propiedades reflectivas del ojo- previenen la suplantación de identidad. La tecnología puede identificar a la gente incluso si están sufriendo de alguna alergia, resfriado o resaca -añade- porque, aunque las venitas y vasos capilares se congestionan, sus patrones no cambian.

EyeLock
Sistema de Reconocimiento de EyeLock.

Otra parte del ojo que es usada para la identificación biométrica es el iris, el cual controla el tamaño de la pupila. Cada iris tiene 240 características únicas que pueden se mapeadas para la autenticación, produciendo una tasa falsa de rechazo de 1 en 2.25 trillones, señala Anthony Antolino, director de Marketing en EyeLock, empresa con base en Nueva York que desarrolló un sistema de reconocimiento de Iris llamado Myris.

El inconveniente de la autenticación del iris es que requiere luz infrarroja para capturar los detalles, y eso significa que las herramientas de reconocimiento del iris necesitan de una fuente de luz y una cámara especial. El dispositivo EyeLock inicialmente apuntaba al ambiente de computadoras y costaba menos de 300 dólares anota Antolino, agregando que espera ver la tecnología construida e incrustada en los dispositivos móviles en un futuro muy cercano.

La tecnología del reconocimiento de voz es otra opción. Un proveedor en este nicho del mercado biométrico es Agnitio, con base en Madrid. Con la tecnología de Agnitio, el usuario dice una frase clave tres veces y el software aprende su identidad analizando su anatomía vocal, explica el vicepresidente de Agnitio, Mike Goldgof. Esta tecnología está ahora en su cuarta generación y sus tasas de falsa aceptación y rechazo están en 1 de mil -ya que no funciona en ambientes ruidosos, añade.

Seguridad movil, biométrico

Los intentos de suplantar el sistema con la grabación de la voz de un usuario son detectados 97% de las veces, porque el rango vocal de la grabación es más estrecho que el de la voz original, según Goldgof. Las personificaciones en vivo son más fáciles de detectar todavía -"la gente no es tan buena, anota. Y el sistema puede reconocer a los usuarios a pesar de que estén agripados, siempre y cuando puedan hablar más alto que susurrando.

La otra opción biométrica de reconocimiento de identidad es la tecnología de reconocimiento facial, pero Goode señala que estos sistemas pueden ser suplantados con fotos, y Alikhani añade que los ha visto "funcionar bien en ambientes que estaban bien iluminados y fallar totalmente en lugares oscuros.

Todos los anteriores

Un enfoque llamado análisis del comportamiento evalúa y junta varias características biométricas y los aspectos medibles del comportamiento de una persona.

Sistema de identificación de Behavio-Sec.
Behavio-Sec

Según Goode, Behavio-Sec, con base en Estocolmo, ofrece el sistema de identificación más maduro que usa el análisis del comportamiento.

"No es solo lo que sabe, sino cómo lo escribe, explica el CEO de Behavio-Sec, Neil Costigan. "Es la rapidez con la que se tipea, el ritmo, la presión, la posición X-Y de su dedo, el número de aplicaciones abiertas. Después de ver a alguien siete u ocho veces, hemos mostrado que podemos verificar con mucha confianza que son ellos de nuevo. Podemos reconocer a los impostores más del 97% de las veces.

Muchos bancos usan una versión de esta tecnología que está ubicada dentro de sus servidores. Los resultados de las evaluaciones del análisis del comportamiento proporcionan un factor extra para el análisis de riesgo junto con ubicación, hora del día y el tamaño de la transacción, explica Costigan. Asimismo, es importante usar tales herramientas para mejorar la seguridad, porque los bancos señalan que el número promedio de usuarios que inician sesión creció de 1.5 a 10 mensuales a medida que el acceso móvil se volvía más fácil.

Behavio-Sec está desarrollando una versión de su tecnología para el Departamento de Defensa de Estados Unidos. Ese sistema va a residir en el dispositivo como una extensión de su sistema operativo, anota Costigan.

Si el comportamiento del usuario cambia, la versión del Pentágono entraría en un lockdown, y requeriría un reseteo en persona. La versión del consumidor le pide una contraseña y la respuesta a una pregunta de seguridad.

Como la original, la versión del Pentágono "captura todo sobre usted -cómo presiona los botones, cómo juega Angry Birds, cómo usa Facebook-, todo esto se convierte en parte del análisis biométrico, explica Costigan.

Mirando por encima de, o chequeando las nuevas tecnologías, Alikhani de RSA dice que es probable que los usuarios quieran dispositivos que ofrezcan múltiples opciones.

Alguien con manos sucias puede no usar el lector de huella digital pero sí la verificación de voz, mientras alguien que normalmente favorece la verificación de voz puede usar el sensor de huella digital en un aeropuerto ruidoso, añadiendo que "el mejor proveedor ha de ganar.

Lamont Wood, Computerworld (EE.UU.)

Vea también