Resumen ejecutivo del Estudio sobre las tecnologías biométricas aplicadas a la seguridad OBSERVATORIO DE LA SEGURIDAD DE LA INFORMACIÓN

Transcripción

1 Resumen ejecutivo del Estudio sobre las tecnologías biométricas aplicadas a la seguridad OBSERVATORIO DE LA SEGURIDAD DE LA INFORMACIÓN

2 Metodología PROYECTO INTECO SOBRE LAS TECNOLOGÍAS BIOMÉTRICAS APLICADAS A LA SEGURIDAD ESTUDIO Diagnóstico GUÍA PRÁCTICA Formación y concienciación Análisis documental, + Entrevistas personales a expertos + investigación Jornada de trabajo y discusión conjunta Uso de tecnologías biométricas en el control de acceso e identificación 2

3 Estudio sobre tecnologías biométricas Introducción a las tecnologías biométricas Ventajas frente a otros procesos de identificación Usos y aplicaciones Líneas de desarrollo futuro Legislación aplicable y los estándares habituales Amenazas y vulnerabilidades Medidas de seguridad y buenas prácticas Recomendaciones a empresas, industria y poderes públicos 3

4 Introducción a las tecnologías biométricas Tecnologías biométricas fisiológicas Huella dactilar Morfología facial Iris Retina Geometría de la mano Tecnologías biométricas de comportamiento Firma Voz Tecleo Forma de andar 4

5 Tecnologías biométricas fisiológicas 1) Huella dactilar Alto grado de madurez Precios más competitivos Usabilidad Incompatibilidad con ciertas actividades laborales P. e. contacto con productos abrasivos 5

6 Tecnologías biométricas fisiológicas 2) Morfología facial Facilidad de captura Ya utilizado con éxito Variabilidad de sus características Inconvenientes ambientales Luminosidad y vestimenta 3) Reconocimiento del iris Único Resistente al fraude Coste Uso de lentillas 6

7 Tecnologías biométricas fisiológicas 4) Reconocimiento de retina Único Permanente Incomodidad de captura de muestras 5) Geometría de la mano Permanencia de sus características Lesiones 7

8 Tecnologías biométricas de comportamiento 1) Reconocimiento de firma Aceptación Variabilidad 2) Reconocimiento de voz Aplicación en entornos remotos Idoneidad en dispositivos móviles Ruido ambiente 8

9 Tecnologías biométricas de comportamiento 3) Reconocimiento de escritura de teclado Captura Aceptación Población no-usuaria de teclados 4) Reconocimiento de la forma de andar Reconocimiento en multitudes En desarrollo 9

10 Análisis de las tecnologías biométricas Comparativa de técnicas biométricas A: Alto M: Medio B: Bajo Grado de Aceptación Resistencia al fraude Mensurabilidad Comportamiento Permanencia Unicidad Universalidad Huella dactilar M A M A A A M Reconocimiento facial A B A B M B A Reconocimiento de iris B A M A A A A Reconocimiento de retina B A B A A A A Geometría de la mano M M A M M M M Geometría de las venas de la mano M A M M M M M Reconocimiento de firma A B A B B B B Reconocimiento de voz A B M B B B M Reconocimiento de escritura de teclado M M M B B B B Forma de andar A M A B B B M 10

11 Análisis de las tecnologías biométricas Implantación en el mercado La huella dactilar es la tecnología mayoritaria en el mercado. Es consecuencia de su alto grado de madurez, que implica un coste menor. El reconocimiento facial se encuentra en segundo lugar aunque muy alejado. La inclusión de una fotografía en la mayoría de documentos de identificación facilita su implantación. 11

12 Análisis de los procesos de identificación Biometría vs. Contraseñas/Tarjetas Aspecto Biometría Contraseñas/Tarjetas Necesidad de Secreto Posibilidad de robo Posibilidad de pérdida Coste de mantenimiento Registro inicial y posibilidad de regeneración Proceso de comparación Comodidad del usuario Vulnerabilidad ante el espionaje Vulnerabilidad a un ataque por fuerza bruta Medidas de prevención Autenticación de usuarios reales Coste de implantación 12

13 Análisis de los procesos de identificación Sistemas de autenticación de doble factor La autenticación unimodal da paso a sistemas de autenticación de doble factor (biometría + tarjeta, biometría + contraseña, biometría bimodal). Un sistema biométrico bimodal utiliza dos técnicas biométricas, por ejemplo una combinación de verificación de huellas dactilares y reconocimiento facial. Ventajas: Aumento de la seguridad Resistencia al fraude Reducción de vulnerabilidades y amenazas Mayor privacidad Inconvenientes: Aumento de costes Reducción de la comodidad 13

14 Beneficios de las tecnologías biométricas Para las Entidades Mayor seguridad para autenticación de usuarios proporcionada por el factor de identificación «cómo es». Mejora de imagen corporativa garantizando la seguridad de los empleados, clientes y proveedores. Reducción de costes de mantenimiento por haber menor necesidad de restablecimiento de credenciales. Oferta de nuevos servicios. Aumento de la eficiencia en procesos de autenticación. Reducción del fraude tanto interno como externo. 14

15 Beneficios de las tecnologías biométricas Para los Usuarios Mayor comodidad, no se necesita recordar contraseñas o mantenimiento de tarjetas. Familiarización con tecnología avanzada. Reducción de tiempos de espera. Posibilidad de tramitaciones remotas. Mayor seguridad y aumento de la privacidad. 15

16 Aplicaciones y desarrollos futuros Banca online Cajeros automáticos Medios de pago: Transacciones remotas seguras a través de internet. En operaciones especialmente críticas. Integrado en Terminales de Punto de Venta: evita suplantaciones y posibles errores. 16

17 Aplicaciones y desarrollos futuros Control de accesos y de presencia Banca telefónica y call centers Dispositivos móviles Evita el fraude interno en las compañías. Transacciones remotas seguras de manera telefónica (reconocimiento de voz). Factor de verificación en la tecnología NFC (Near Field Communication). 17

18 Casos de éxito Acceso rápido a fronteras aeroportuarias en España Tecnología: Reconocimiento de huella dactilar y facial. Beneficios: Mejora de la ratio de controles fronterizos que se pueden realizar por unidad de tiempo y por cada agente. Incremento de la seguridad. Mitigación del temor que usuarios y entidades puedan tener a la utilización de sistemas biométricos. Desarrollo futuro: Existen planes de expansión a otros puestos fronterizos (otros aeropuertos e incluso puertos marítimos) empleando un mayor número de elementos de verificación. 18

19 Casos de éxito Gestión de ayudas públicas en Polonia Tecnología: Reconocimiento de la estructura de las venas de los dedos Beneficios: Aumento de la eficiencia, al dedicarse menos tiempo a la comprobación de documentos de identificación por parte del banco. Reducción de esperas. Reducción de posibles fraudes. Desarrollo futuro: En la banca comercial podría ser usado para validar cualquier proceso que el usuario deseara realizar con el banco. 19

20 Marco Regulatorio Existen suficientes normativas relacionadas con la protección de datos personales pero sería recomendable profundizar en la biometría. LOPD Debe tenerse en cuenta: El tratamiento de datos ha de ser legítimo. Necesidad de informar al interesado. Es necesario el consentimiento del usuario, salvo en ciertos casos. Necesidad de inscripción de un fichero ante la AEPD. Delegación de tratamiento. Estándares internacionales Se han identificado estándares que de aplicación sobre muy diversos ámbitos: intercambio de información, APIs, rendimiento de los sistemas, etc. 20

21 Gestión de riesgos en biometría La implantación y el empleo de tecnologías biométricas están expuestos a una serie de riesgos, algunos específicos y otros compartidos con las demás tecnologías y técnicas de identificación. Las amenazas y vulnerabilidades identificadas en el estudio, son relativas a muy diversos factores. Existe un conjunto de recomendaciones y buenas prácticas que pueden suponer una mitigación de los riesgos identificados. 21

22 Gestión de riesgos en biometría Implantación precipitada Tecnología inadecuada No implicación del usuario final Análisis previo adaptando el sistema a la organización Riesgos para la privacidad Tratamiento datos personales e información sensible Utilización legítima y proporcionada Adecuación a la normativa (LOPD) Informar a los usuarios Solicitar consentimiento Inscripción fichero en la AEPD Securizar el tratamiento y almacenamiento de datos 22

23 Gestión de riesgos en biometría Pérdida o robo de información Información sensible Características limitadas Seguridad almacenamiento Captura parcial de muestras Suplantación de identidad Patrones biométricos robados o uso bajo coacción Detección de vida (comprobar si la muestra proviene de un ser humano vivo) y autenticación doble factor 23

24 Gestión de riesgos en biometría Sabotaje / Incidencias con el sistema Afectan a cualquier tecnología Plan continuidad Cambios en los rasgos biométricos Involuntarios Con ánimo de fraude Elección de tecnología idónea Autenticación de doble factor + passude45 24

25 Gestión de riesgos en biometría Calidad desigual de la tecnología utilizada Posibles brechas de seguridad Percepción negativa debida al mal funcionamiento Rechazo por parte de los usuarios Percepción falta de privacidad Problemas culturales y religiosos Experiencia de uso negativa (desconocimiento) Control de calidad en todos los elementos Información y concienciación Elección de técnicas mejor adaptadas y menos intrusivas Formación 25

26 Recomendaciones Para las Organizaciones Realizar un análisis previo Apostar por tecnologías de calidad Ofrecer colaboración a los usuarios finales Cumplir con lo indicado anteriormente en cuanto a privacidad Para Investigadores Desarrollar líneas de investigación que satisfagan necesidades existentes Evitar prototipos de difícil aplicación Buscar la mejora y abaratamiento de las tecnologías Realizar labor divulgativa 26

27 Recomendaciones Para Fabricantes y Proveedores de Servicios Apostar por la innovación Analizar adecuadamente a los clientes Ofrecer sistemas de calidad Solventar las dudas de los clientes Promover una unificación de algoritmos Garantizar especialmente la seguridad y confidencialidad de los datos biométricos de usuarios 27

28 Recomendaciones Para las AA.PP. Facilitar el acceso a servicios públicos empleando sistemas biométricos Utilizar en sus propias instalaciones Invertir en defensa y control de fronteras Invertir en investigación y desarrollo Acometer acciones de divulgación 28

29 Conclusiones - Fortalezas y oportunidades Mayor comodidad para el usuario Ahorro de costes de gestión para empresas Mayor seguridad Reduce la suplantación de identidad Dificulta los ataques Aprendizaje y perfeccionamiento 2ª generación, retos a superar ya detectados Implicación de las AA.PP. Apoyo a la normalización y divulgación Impulso de las grandes empresas Expansión y unificación de criterios Estandarización e interoperabilidad Apertura de los sistemas y libertad de los usuarios 29

30 Conclusiones - Debilidades Riesgo de invasión en la privacidad de las personas Temor por parte de los ciudadanos Percepción de pérdida de privacidad Exposición pública Alta exposición = gran repercusión de los problemas Necesidad de normativas específicas Fomento de buenas prácticas y responsabilidad 30

31 Reflexiones finales Tecnología madura vs. Mercado en desarrollo Ausencia de oferta de seguridad integral Desconocimiento de las empresas Desconfianza de los usuarios Dificultades económicas Necesidad de un estándar de comparación Riesgo de exceso de confianza Altos beneficios potenciales 31

32 Síguenos a través de: Web Perfil de Facebook Perfil de Twitter Perfil de Scribd Perfil de Youtube Blog del Observatorio de la Seguridad de la Información Envíanos tus preguntas y comentarios a: observatorio@inteco.es

33