Bases de datos biométricas

Al hilo de la noticia que se produjo hace unas semanas en relación con la mayor base de datos biométrica a nivel mundial que quiere confeccionar el FBI y en la que quiere sumar a la policía del Reino Unido, recordé lo caro, tedioso y delicado a nivel de LOPD que resulta reunir una gran base de datos biométrica.

Estas bases de datos se utilizan en distintos ámbitos. En la investigación académica y empresarial son de gran ayuda para probar la bondad de nuevos algoritmos biométricos. Así mismo, también son muy útiles como sistema de testeo masivo de nuevos dispositivos que vayan a salir al mercado. Estos tests permiten dar las figuras de mérito habituales de tasa de falsas aceptaciones, falsos rechazos y otra serie de parámetros.

Sería de gran interés poder generar características biométricas artificiales con la suficiente calidad y aleatoriedad como para poder confeccionar una gran base de datos de este tipo. Surfeando la web me encontré con Sfinge, una herramienta que permite generar huellas dactilares sintéticas. Aquí podéis bajaros la versión demo. Permite configurar multitud de parámetros como son las dimensiones, la clase de huella (remolino, bucle, delta, etc.), las posiciones de las características principales, cortes en la dermis, etc.

Arriba os muestro una de las huellas que he generado en menos de un minuto. Espero que os pique la curiosidad y os haga pasar un rato divertido intentando imitar vuestras propias huellas. ¡Realmente engancha!

Elyoenai Egozcue
S21sec labs

Huellas digitales en pasaportes RFID alemanes

A partir del día 1 de noviembre de 2007, como pioneros de lo que está por venir en 2009, todas las oficinas alemanas de registro comenzaron a guardar las huellas dactilares de los cuidadanos que quieran viajar. Esto sucede justo dos años después de empezar a almacenar su imagen facial y datos de filiación en un chip RFID contenido en los pasaportes electrónicos (recordar que el pasaporte biométrico posee una capacidad de memoria de 32Kb ó 64Kb, y sólo una pequeña parte está siendo utilizada en la actualidad). Sin embargo, el grupo alemán de hackers "Chaos Computer Club" (CCC) señala que los pasaportes biométricos con estos datos llevan inherentes riesgos colaterales aun mayores que antes, que por ejemplo afectan a los ciudadanos alemanes de mayor edad.

Más del 10% de las personas mayores no tienen huellas dactilares lo suficientemente marcadas como para ser registradas y empleadas con éxito en un sistema de reconocimiento dactilar, y esto puede suponer un problema a la hora de almacenar esta información en las oficinas de registro. Además, esto supondrá una discriminación, unas inspecciones más rigurosas y un mayor tiempo de espera en los procesos de validación del pasaporte en los controles policiales aduaneros. Aparte de las personas mayores, las personas que trabajen mucho con sus manos tendrán los mismos problemas.

Incluso el gobierno alemán está de acuerdo en que intoducir la información de las huellas dactilares en los pasaportes biométricos no supone una mejora apreciable en la seguridad de los mismos, acarreando más problemas que ventajas. Aun así, se ha establecido que a partir de 2009 será obligatorio expedir pasaportes biométricos que incluyan el registro de huellas dactilares (los diplomáticos sin embargo no tienen pasaportes biométricos, curioso cuanto menos).

Paralelamente al problema de gestión que supone la introducción de información biométrica de este tipo en los pasaportes, se añade el riesgo de poder clonar o hacer uso ilegítimo de la misma, ya que los mecanismos de seguridad de estos documentos (ficheros firmados pero no cifrados), como se ha visto en estos dos años, son muy débiles. La culpa de esta situación la tienen los paises, que optan por la vía fácil de implementar el "Basic Access Control" (BAC) con claves extrapoladas de la "Machine Readable Zone" (MRZ, zona del pasaporte legible por máquinas mediante OCR), en lugar del "Extended Access Control" (EAC) basado en claves públicas de paises para la autenticación de los documentos.

La Organización Internacional de Aviación Civil (ICAO) optó en el momento de definir el estándar por almacenar una imágen digital de las huellas, en lugar de almacenar sus puntos de minucia (vectores que identifican de manera unívoca las características de una huella digital). Esto implica que una vez extraida esta información, como un fichero adicional contenido en el pasaporte, es posible imprimirla y generar una réplica en un molde, tal y como se ha hecho en una prueba de concepto en las instalaciones de S21sec labs. Este valiosísimo recurso supone un enorme peligro para el propietario de la huella, ya que con ella una persona con malas intenciones puede impersonarle en multitud de escenarios.

Ya se verá si el resto de paises, bajo las recomendaciones de la ICAO, deciden introducir la información de las huellas en sus respectivos pasaportes electrónicos de una forma más segura, o se empieza a usar EAC en los pasaportes electrónicos. Por lo pronto España tiene pensado incluir las huellas de ambos dedos índices en 2009, fecha tope para ello. Con tanta información personal disponible por el aire, ya será casi obligatorio el uso de las carteras antiRFID.

Álvaro Ramón
S21sec labs

Auge de los dispositivos de huella dactilar

En los últimos tiempos y sobre todo después del 11S los dispositivos biométricos han dejado de ser una tecnología de ciencia ficción. En particular los dispositivos de huella dactilar han destacado sobre otras alternativas ya que, por un lado proporcionan un nivel de seguridad razonable, mientras que por otro tienen una alta aceptación social al ser poco intrusivos. Otras tecnologías, como los dispositivos de reconocimiento de voz o de geometría de la mano, proporcionan un nivel se seguridad más bajo, mientras que el reconocimiento de iris o de geometría de la cara, aun a pesar de proporcionar un nivel de seguridad similar, resultan más intrusivos. No resulta agradable presentar el ojo ante un dispositivo que te apunta con una luz. Por otro lado, la detección del patrón de venas se presenta como una alternativa más que razonable a los dispositivos de huella. Sin embargo, por su novedad todavía está en fase de comercialización embrionaria.

El auge de los sistemas de huella es claro. En los últimos tiempos surgen continuamente noticias sobre la implantación de sistemas de detección de huella en diversos ámbitos. A continuación se recogen algunos ejemplos:

• Una empresa americana ya ha puesto en marcha, en un aeropuerto de tamaño mediano y también americano, un sistema de identificación de pasajeros basado en dispositivos de huella dactilar (véase http://www.greenwichtime.com/news/local/scn-gt-a1irisfridayaug17,0,1647921.story?coll=green-news-local-headlines). Éste va a permitir agilizar el trámite de verificación del pasaporte y del billete de los pasajeros que vuelan por asuntos de trabajo. Esta solución está siendo valorada también por otros aeropuertos de la talla del JFK o La Guardia.
• Un colegio de California ofrece la posibilidad de que sus alumnos puedan pagar en la cafetería sin más que presentar su dedo. La extracción de la huella dactilar permite la identificación de una cuenta asociada en la que previamente se han depositado los fondos. Así, los alumnos más pequeños no tendrán que recordar un número PIN o llevar las típicas tarjetas de comidas (véase http://www.emediawire.com/releases/2007/8/emw546973.htm).
• El Reino Unido va a exigir a aquellas personas que soliciten un visado que sus huellas sean escaneadas digitalmente en los puntos apropiados. La medida surge como reacción al incremento a nivel internacional del fraude y robo de identidad (véase http://news.xinhuanet.com/english/2007-08/22/content_6582198.htm).
• Recientemente se ha presentado un dispositivo de huella para coches. Éste permite bloquear el mismo si una vez se haga contacto el conductor no se identifica correctamente con su dedo (véase http://www.pistonheads.com/news/default.asp?storyId=16674).

El uso de la tecnología de reconocimiento de huella en el día a día es cada vez más evidente. Sin embargo, cabe interrogarnos acerca de si este sistema de identificación es seguro para todas las situaciones para las que se plantea su aplicación. A este respecto, existen grandes diferencias entre las distintas soluciones disponibles comercialmente. De hecho, S21sec ha conseguido burlar la seguridad de más de un dispositivo de este tipo.

S21sec posee una dilatada experiencia en el campo de la biometría. Esto nos permite proporcionar a nuestros clientes el conocimiento necesario para decidir sobre la solución mas adecuada a sus requerimientos de seguridad.