Estudio sobre las tecnologías biométricas aplicadas a la seguridad

Transcripción

1 Estudio sobre las tecnologías biométricas aplicadas a la seguridad OBSERVATORIO DE LA SEGURIDAD DE LA INFORMACIÓN Estudio sobre las tecnologías biométricas aplicadas a la seguridad Página 1 de 100

2 Edición: Diciembre 2011 El Estudio sobre las tecnologías biométricas aplicadas a la seguridad ha sido elaborado por el siguiente equipo de trabajo del de INTECO: Pablo Pérez San-José (dirección) Eduardo Álvarez Alonso (coordinación) Susana de la Fuente Rodríguez Laura García Pérez Cristina Gutiérrez Borge Correo electrónico del : observatorio@inteco.es La presente publicación pertenece al Instituto Nacional de Tecnologías de la Comunicación (INTECO) y está bajo una licencia Reconocimiento-No comercial 3.0 España de Creative Commons, y por ello está permitido copiar, distribuir y comunicar públicamente esta obra bajo las condiciones siguientes: Reconocimiento: El contenido de este informe se puede reproducir total o parcialmente por terceros, citando su procedencia y haciendo referencia expresa tanto a INTECO como a su sitio web: Dicho reconocimiento no podrá en ningún caso sugerir que INTECO presta apoyo a dicho tercero o apoya el uso que hace de su obra. Uso No Comercial: El material original y los trabajos derivados pueden ser distribuidos, copiados y exhibidos mientras su uso no tenga fines comerciales. Al reutilizar o distribuir la obra, tiene que dejar bien claro los términos de la licencia de esta obra. Alguna de estas condiciones puede no aplicarse si se obtiene el permiso de INTECO como titular de los derechos de autor. Nada en esta licencia menoscaba o restringe los derechos morales de INTECO. El presente documento cumple con las condiciones de accesibilidad del formato PDF (Portable Document Format). Así, se trata de un documento estructurado y etiquetado, provisto de alternativas a todo elemento no textual, marcado de idioma y orden de lectura adecuado. Para ampliar información sobre la construcción de documentos PDF accesibles puede consultar la guía disponible en la sección Estudio Accesibilidad sobre las tecnologías > Formación biométricas > Manuales aplicadas y Guías a de la seguridad la página Página 2 de 100

3 ÍNDICE 1 INTRODUCCIÓN Y OBJETIVOS Presentación Estudio sobre las tecnologías biométricas aplicadas a la seguridad DISEÑO METODOLÓGICO Fase 1: Búsqueda y análisis documental Fase 2: Consulta a expertos Fase 3: Elaboración del informe de conclusiones finales del proyecto Fase 4: Elaboración de una guía práctica dirigida a usuarios INTRODUCCIÓN A LAS TECNOLOGÍAS BIOMÉTRICAS Antecedentes Conceptos clave Tipos, técnicas y tecnologías aplicadas a la biometría Comparativa de técnicas y tecnologías biométricas ANÁLISIS DE LOS PROCESOS DE IDENTIFICACIÓN Análisis de las técnicas aplicadas y tipos de identificación Sistemas de autenticación de doble factor BENEFICIOS DE LA UTILIZACIÓN DE LAS TECNOLOGÍAS BIOMÉTRICAS Para las entidades usuarias Para los usuarios finales USOS Y APLICACIONES DE LAS TECNOLOGÍAS BIOMÉTRICAS Aplicaciones actuales Aplicaciones en fase de desarrollo CASOS DE ÉXITO...62 Estudio sobre las tecnologías biométricas aplicadas a la seguridad Página 3 de 100

4 7.1 Acceso rápido a fronteras aeroportuarias (España) Gestión de ayudas públicas (Polonia) MARCO REGULATORIO Normativa legal Informes Jurídicos y jurisprudencia Estándares internacionales GESTIÓN DE RIESGOS Amenazas y vulnerabilidades en los procesos Métodos de solución y prevención CONCLUSIONES Conclusiones generales Fortalezas y oportunidades Debilidades y posibles riesgos RECOMENDACIONES Recomendaciones dirigidas a las organizaciones Recomendaciones dirigidas a la industria Recomendaciones dirigidas a las Administraciones Públicas Recomendaciones para legisladores y agentes de estandarización...94 ANEXO I: BIBLIOGRAFÍA...95 ANEXO II: ÍNDICES DE TABLAS, GRÁFICOS E ILUSTRACIONES...97 Índice de tablas...97 Índice de gráficos...97 Índice de ilustraciones...97 Estudio sobre las tecnologías biométricas aplicadas a la seguridad Página 4 de 100

5 PUNTOS CLAVE INTECO, con la misión de aportar valor y desarrollar la Sociedad del Conocimiento a través de proyectos en el marco de la innovación y la tecnología, publica el Estudio sobre las tecnologías biométricas aplicadas a la seguridad. En el mercado existen múltiples soluciones biométricas diferenciadas tanto por la técnica que emplean como por la funcionalidad que ofrecen, sin embargo todas ellas están orientadas al reconocimiento de personas físicas. Esta finalidad última supone el tratamiento de datos de carácter personal, por lo que la privacidad se convierte en un aspecto especialmente relevante en el ámbito de la biometría. La metodología utilizada para la realización del estudio y la consecuente publicación del presente informe está fundamentada en dos aspectos complementarios. En primer lugar, se basa en el análisis documental, para lo cual se han inventariado las fuentes de información que disponen y publican estudios, informes o trabajos relacionados con la biometría y se han analizado las principales conclusiones de aquellos informes que contienen información actual y útil para realizar este estudio. Paralelamente, se ha consultado mediante entrevista a diferentes actores de la industria de la biometría a nivel mundial, involucrando a fabricantes, distribuidores, expertos en derecho, consultores e investigadores. Así mismo, se ha realizando un análisis detallado de dos casos de éxito reconocidos internacionalmente. Esta diversidad de colectivos participantes en el estudio permite, junto al análisis de los informes y reportes, conocer el estado actual de los sistemas biométricos desde diferentes puntos de vista, identificando así los principales puntos a favor y oportunidades y los puntos en contra y posibles riesgos que afrontan actualmente. I. Introducción a las tecnologías biométricas El análisis documental ha permitido la identificación de las principales técnicas biométricas existentes. Si bien algunas de ellas aún se encuentran en estados de madurez insuficientes para poder encontrarse en el mercado de una forma eficiente y razonable en cuanto a costes, muchas otras se encuentran suficientemente maduras y ofrecen actualmente soluciones de autenticación en muy diversos ámbitos. Las técnicas biométricas existentes se clasifican en función del rasgo humano analizado, el cual puede ser fisiológico donde encontramos el reconocimiento de huella dactilar, de iris, de retina y de rostro, entre otros o de comportamiento donde se encuentran el reconocimiento de voz, de firma o de la manera de andar, entre otros. Estudio sobre las tecnologías biométricas aplicadas a la seguridad Página 5 de 100

6 El estudio revela que el reconocimiento de huella dactilar y el reconocimiento de iris son las técnicas actualmente más extendidas en el sector de la biometría. Los principales motivos de la expansión de ambas técnicas, se basan principalmente en que se trata de métodos de autenticación muy poco intrusivos con los usuarios finales y en que ambas técnicas fueron de las primeras en ser concebidas, lo que ha permitido por un lado su mayor desarrollo y evolución hacia una reducción de costes de implementación, y por otro lado, la confianza por parte de los ciudadanos que reduce la resistencia inicial al uso de nuevas tecnologías. II. Análisis de los procesos de identificación basados en biometría El progresivo avance de las tecnologías biométricas ha supuesto la progresión de la forma unimodal a sistemas de autenticación de doble factor, que pueden incorporar más de una tecnología biométrica biometría bimodal o combinar el uso de la biometría con otros sistemas como tarjetas de identificación o contraseñas. Es por ello que los expertos señalan que la combinación de técnicas biométricas con otros sistemas de reconocimiento, es habitualmente un aspecto clave para el éxito de los sistemas de autenticación. III. Beneficios de la utilización de las tecnologías biométricas La aplicación de tecnologías biométricas reporta diferentes beneficios, tanto para las organizaciones como para los propios usuarios. Los beneficios para las entidades se centran en el aumento de los niveles de seguridad, la reducción de las posibilidades de fraude interno y la reducción en los costes de mantenimiento de los sistemas de seguridad y autenticación. Por su parte, los usuarios pueden ver como aumenta su comodidad al no tener que recordar múltiples y complejas contraseñas, podrán realizar tramitaciones remotas con mayor seguridad y en el caso de operaciones presenciales podrán ver reducidos los tiempos de espera. Por otra parte, su privacidad puede verse reforzada si el acceso a sus datos personales se realiza mediante autenticación biométrica. IV. Usos y aplicaciones de las tecnologías biométricas Independientemente de la técnica empleada, los sistemas biométricos son utilizados en muy diversos entornos y con muy diversas finalidades. En base a las entrevistas realizadas, la principal finalidad para la cual se utilizan sistemas biométricos es el control de acceso (tanto físico como lógico) a edificios, zonas restringidas y sistemas de información. Sin embargo, en el mercado actualmente se encuentran técnicas biométricas empleadas con objetivos como el control de presencia, el control de fronteras, la lucha contra el fraude y la investigación de delitos. Estudio sobre las tecnologías biométricas aplicadas a la seguridad Página 6 de 100

7 La utilización de sistemas de reconocimiento basados en biometría supone grandes beneficios para las organizaciones o entidades que los implantan en aspectos como la reducción de costes, el aumento de la seguridad y la eficiencia, y la mejora de la imagen corporativa. También supone grandes beneficios para los usuarios finales en relación a su comodidad, reducción de tiempos de espera, posibilidad de realizar tramitaciones remotas y mayor salvaguarda de su privacidad entre otras. Se puede destacar también una serie de aplicaciones en fase de desarrollo que han sido identificadas en el análisis documental y comentadas por los expertos que han colaborado en el proceso de consulta. Actualmente se están desarrollando soluciones para facilitar la autenticación a distancia, verificar diferentes medios de pago y mejorar los sistemas de control parental y de vigilancia en general. Es especialmente reseñable el desarrollo que se está produciendo de sistemas biométricos para la autenticación de usuarios que realizan transacciones mediante teléfonos móviles. V. Casos de éxito En el presente estudio, se han seleccionado dos casos de éxito específicos, principalmente por su diversidad en cuanto a finalidad y tecnología empleada: Acceso rápido a fronteras aeroportuarias en España. Gestión de ayudas públicas en Polonia. En ambos casos destaca la comodidad para los usuarios que ha supuesto la implantación de sistemas biométricos, y la eficiencia conseguida por parte de las organizaciones, las cuales han podido destinar sus recursos, que previamente destinaban al reconocimiento de personas, a otras funciones. VI. Marco regulatorio Los datos biométricos son considerados datos de carácter personal por las diferentes autoridades nacionales y europeas de protección de datos. Es por ello que deben aplicarse los principios establecidos en la Ley Orgánica de Protección de Datos de Carácter Personal y las medidas de seguridad establecidas en su Reglamento de Desarrollo. En el presente informe se puede observar una recolección de legislación y jurisprudencia de aplicación señalados por los expertos consultados así como los principales estándares asociados a cada técnica biométrica. Según señalan los expertos la regulación actual en España en materia de protección de datos es suficiente para regular el ámbito de la biometría. Sin embargo, de cara a unificar criterios y atender a una especial sensibilidad de la población, podría ser conveniente Estudio sobre las tecnologías biométricas aplicadas a la seguridad Página 7 de 100

8 desarrollar una regulación específica para la biometría. Para ello, se debería evitar una normativa excesivamente rígida que impida o dificulte el uso de la biometría o que no se pueda adaptar fácilmente a los futuros desarrollos. Paralelamente, los expertos también señalan la conveniencia de avanzar en la regulación legislativa relativa a la suplantación de identidad, una de las mayores amenazas identificadas. Por otro lado, se observa en la jurisprudencia analizada la criticidad de la necesidad de dar cumplimiento al deber de información establecido en la LOPD por parte de las entidades que implantan sistemas de reconocimiento biométrico para sus empleados. VII. Gestión de riesgos No obstante, en la elaboración del presente estudio se han identificado un conjunto de amenazas y vulnerabilidades intrínsecamente ligados a la utilización de tecnologías de reconocimiento basadas en biometría. En este sentido, los expertos destacan principalmente las siguientes: Idoneidad de la implantación: Es necesario un análisis previo para llevar a cabo la implantación de sistemas apropiados. Suplantación de identidad: Como en todo sistema de autenticación, es una de las principales amenazas. Alteración de rasgos: En ocasiones, voluntaria o involuntariamente los rasgos biométricos de las personas pueden verse alterados. Aceptación cultural: La idiosincrasia cultural de cada país puede suponer un inconveniente para la implantación de determinados sistemas de reconocimiento. Desconocimiento: En ocasiones las entidades que podrían estar interesadas desconocen la calidad o el abanico de productos y utilidades disponibles. Percepción negativa: Percepción de ausencia de privacidad por parte de los usuarios. Con el objetivo de gestionar los riesgos identificados, los expertos señalan métodos se solución y prevención de los mismos que facilitan la implantación exitosa de sistemas biométricos. En este sentido, cabe destacar la detección de vida, la utilización de biometría en movimiento, el almacenamiento seguro de muestras, la formación de los usuarios finales y la realización de un análisis previo a la implantación. Estudio sobre las tecnologías biométricas aplicadas a la seguridad Página 8 de 100

9 VIII. Recomendaciones y buenas prácticas Por último, durante el proceso de elaboración del presente estudio se ha recopilado un conjunto de recomendaciones dirigidas a los diferentes actores del sector de la biometría donde cabe destacar las siguientes. Realización de un análisis detallado previo a la implantación. Utilización de tecnología de calidad. Informar y formar a los usuarios de los sistemas. Garantizar la seguridad de los datos biométricos. Alineamiento entre mercado e investigadores. Divulgación hacia la ciudadanía e inversión en desarrollo de nuevas tecnologías. Estudio sobre las tecnologías biométricas aplicadas a la seguridad Página 9 de 100

10 1 INTRODUCCIÓN Y OBJETIVOS 1.1 PRESENTACIÓN Instituto Nacional de Tecnologías de la Comunicación El Instituto Nacional de Tecnologías de la Comunicación, S.A. (INTECO), es una sociedad estatal adscrita al Ministerio de Industria, Turismo y Comercio a través de la Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información. INTECO es un centro de desarrollo de carácter innovador y de interés público de ámbito nacional que se orienta a la aportación de valor, a la industria y a los usuarios, y a la difusión de las nuevas tecnologías de la información y la comunicación (TIC) en España, en clara sintonía con Europa. Su objetivo fundamental es servir como instrumento para desarrollar la Sociedad de la Información, con actividades propias en el ámbito de la innovación y el desarrollo de proyectos asociados a las TIC, basándose en tres pilares fundamentales: la investigación aplicada, la prestación de servicios y la formación. La misión de INTECO es aportar valor e innovación a los ciudadanos, a las PYMES, a las Administraciones Públicas y al sector de las tecnologías de la información, a través del desarrollo de proyectos que contribuyan a reforzar la confianza en los servicios de la Sociedad de la Información en nuestro país, promoviendo además una línea de participación internacional. Para ello, INTECO desarrolla actuaciones en las siguientes líneas: Seguridad Tecnológica: INTECO está comprometido con la promoción de servicios de la Sociedad de la Información cada vez más seguros, que protejan los datos personales de los interesados, su intimidad, la integridad de su información y eviten ataques que pongan en riesgo los servicios prestados. Y por supuesto que garanticen un cumplimiento estricto de la normativa legal en materia de TIC. Para ello coordina distintas iniciativas públicas en torno a la seguridad de las TIC, que se materializan en la prestación de servicios por parte del, el Centro de Respuesta a Incidentes de Seguridad en Tecnologías de la Información (INTECO-CERT) con su Centro Demostrador de Tecnologías de Seguridad, y la Oficina de Seguridad del Internauta, de los que se benefician ciudadanos, PYMES, Administraciones Públicas y el sector tecnológico. Accesibilidad: INTECO promueve servicios de la Sociedad de la Información más accesibles, que supriman las barreras de exclusión, cualquiera que sea la dificultad o carencia técnica, formativa, etc., incluso discapacidad, que tengan sus Estudio sobre las tecnologías biométricas aplicadas a la seguridad Página 10 de 100

11 usuarios. Y que faciliten la integración progresiva de todos los colectivos de usuarios, de modo que todos ellos puedan beneficiarse de las oportunidades que ofrece la Sociedad de la Información. Asimismo desarrolla proyectos en el ámbito de la accesibilidad orientados a garantizar el derecho de ciudadanos y empresas a relacionarse electrónicamente con las AA.PP. Calidad TIC: INTECO promueve unos servicios de la Sociedad de la Información que cada vez sean de mayor calidad, que garanticen unos adecuados niveles de servicio, lo cual se traduce en una mayor robustez de aplicaciones y sistemas, un compromiso en la disponibilidad y los tiempos de respuesta, un adecuado soporte para los usuarios, una información precisa y clara sobre la evolución de las funcionalidades de los servicios, y en resumen, servicios cada vez mejores. En esta línea impulsa la competitividad de la industria del Software a través de la promoción de la mejora de la calidad y la certificación de las empresas y profesionales de la ingeniería del software. Formación: la formación es un factor determinante para la atracción de talento y para la mejora de la competitividad de las empresas. Por ello, INTECO impulsa la formación de universitarios y profesionales en las tecnologías más demandadas por la industria El se inserta dentro de la línea estratégica de actuación de INTECO en materia de Seguridad Tecnológica. Nace con el objetivo de describir de manera detallada y sistemática el nivel de seguridad y confianza en la Sociedad de la Información y de generar conocimiento especializado en la materia. De este modo, se encuentra al servicio de los ciudadanos, las empresas y las administraciones públicas españolas para describir, analizar, asesorar y difundir la cultura de la seguridad de la información y la e-confianza. El Observatorio ha diseñado un Plan de Actividades y Estudios con el objeto de producir conocimiento especializado y útil en materia de seguridad por parte de INTECO, así como de elaborar recomendaciones y propuestas que definan tendencias válidas para la toma de decisiones futuras por parte de los poderes públicos. Dentro de este plan de acción se realizan labores de investigación, análisis, estudio, asesoramiento y divulgación que atenderán, entre otras, a las siguientes estrategias: Elaboración de estudios e informes propios en materia de seguridad de las Tecnologías de la Información y la Comunicación, con especial énfasis en la Seguridad en Internet. Estudio sobre las tecnologías biométricas aplicadas a la seguridad Página 11 de 100

12 Seguimiento de los principales indicadores y políticas públicas relacionadas con la seguridad de la información y la confianza en el ámbito nacional e internacional. Generación de una base de datos que permita el análisis y evaluación de la seguridad y la confianza con una perspectiva temporal. Impulso de proyectos de investigación en materia de seguridad TIC. Difusión de estudios e informes publicados por otras entidades y organismos nacionales e internacionales, así como de información sobre la actualidad nacional y europea en materia de la seguridad y confianza en la Sociedad de la Información. Asesoramiento a las Administraciones Públicas en materia de seguridad de la información y confianza, así como el apoyo a la elaboración, seguimiento y evaluación de políticas públicas en este ámbito. 1.2 ESTUDIO SOBRE LAS TECNOLOGÍAS BIOMÉTRICAS APLICADAS A LA SEGURIDAD El presente estudio surge de la necesidad de conocer el nivel de desarrollo y confianza de las tecnologías biométricas así como su capacidad para afrontar los riesgos existentes y sus futuras líneas de desarrollo. Para la realización del mismo se plantean una serie objetivos que se desarrollan a continuación Objetivos generales El objetivo general de este estudio es el análisis de las técnicas biométricas existentes, sus diferentes usos y aplicaciones, amenazas y vulnerabilidades a las que están expuestas las tecnologías biométricas. Este análisis se basará en la percepción de expertos en diversos campos así como en la documentación ya publicada. Otro objetivo de este análisis es la propuesta de recomendaciones de actuación o buenas prácticas a usuarios, pequeñas y medianas empresas, industria y Administraciones Públicas para impulsar el cumplimiento de estándares, el conocimiento y el desarrollo de la biometría Objetivos específicos Los anteriores objetivos se desglosan operativamente en los siguientes objetivos específicos que permiten, además, orientar la estructura temática del presente informe. Estudio sobre las tecnologías biométricas aplicadas a la seguridad Página 12 de 100

13 Introducción a las tecnologías biométricas Describir el concepto de biometría, los antecedentes existentes así como conceptos clave relacionados. Identificar los tipos de tecnologías biométricas existentes en el mercado. Establecer una comparativa de las diferentes tecnologías identificadas, clasificándolas en función de su grado de madurez y de implantación en el mercado, considerando también, entre otros, aspectos como la relación coste/beneficio. Análisis de los procesos de identificación basados en biometría Describir las técnicas aplicadas y los tipos de identificación. Comparar las tecnologías biométricas frente a otros tipos de sistemas de identificación describiendo las posibles ventajas. Analizar la autenticación de doble factor en relación a la biometría. Beneficios de la utilización de las tecnologías biométricas Identificar las ventajas que la biometría reporta a los usuarios Identificar los puntos clave del beneficio para las organizaciones al implantar sistemas biométricos. Usos y aplicaciones de las tecnologías biométricas Analizar e identificar las principales aplicaciones actuales de la biometría. Identificar los diferentes sectores de especial relevancia en el ámbito biométrico. Estudiar las posibilidades de expansión a otras áreas de la tecnología a medio plazo. Conocer las áreas de investigación que resulten interesantes para el desarrollo e implantación de tecnologías biométricas en el mercado. Regulación: legislación y estándares internacionales desarrollados Identificar y analizar la legislación actualmente aplicable. Identificar los estándares internacionales existentes. Estudio sobre las tecnologías biométricas aplicadas a la seguridad Página 13 de 100

14 Gestión de riesgos Identificar las amenazas y vulnerabilidades que puedan comprometer la seguridad o la confianza en estos procesos. Analizar los métodos de solución y prevención que permiten gestionar los riesgos identificados previamente. Recomendaciones Conocer las buenas prácticas relativas a los momentos de decisión e implantación de tecnologías biométricas en pequeñas y medianas empresas. Analizar el uso de estándares, auto-regulación y áreas de desarrollo en la industria biométrica. Identificar políticas de instauración y concienciación recomendables para las Administraciones Públicas. Estudio sobre las tecnologías biométricas aplicadas a la seguridad Página 14 de 100

15 2 DISEÑO METODOLÓGICO Esta investigación se ha desarrollado siguiendo un enfoque cualitativo al tiempo que se han utilizado datos cuantitativos procedentes de otras investigaciones como complemento. Las fases en que se ha abordado han sido: Fase 1: Recopilación y estudio de informes. Fase 2: Entrevistas a expertos, sesión de trabajo y aportación 2.0. Fase 3: Elaboración del informe de conclusiones finales del proyecto. Fase 4: Elaboración de una guía práctica dirigida a usuarios sobre seguridad y confianza en el uso de las tecnologías biométricas. 2.1 FASE 1: BÚSQUEDA Y ANÁLISIS DOCUMENTAL. Esta etapa ha abarcado el análisis de la situación actual de las tecnologías biométricas en relación a su grado de madurez, ventajas, inconvenientes, así como las tendencias futuras en función de la industria o el sector. Para la consecución de estos objetivos se han inventariado las fuentes de información que disponen y publican estudios, informes y/o trabajos relacionados con la biometría. Finalmente, se han analizado y extraído las principales conclusiones de aquellos informes que contienen información actual y útil para el presente estudio. Es importante destacar que una gran parte de estas publicaciones pertenecen a entidades públicas o privadas cuyo ámbito de estudio se sitúa en Norteamérica (Estados Unidos y Canadá) u otros países europeos más desarrollados desde el punto de vista del objeto del presente estudio. En el Anexo I: Bibliografía se incluye una relación de las publicaciones consideradas en la realización del informe. Todas ellas son propiedad de las siguientes entidades: Air University Central Institute of Technology of Kokrajhar Centre for European Policy Studies Complete Consultants Worldwide Computer Law & Security Review Deloitte École Polytechnique Fédérale de Lausanne European Commitee for Standarization Estudio sobre las tecnologías biométricas aplicadas a la seguridad Página 15 de 100

16 Forrester Gartner Institute of Electrical and Electronics Engineer Iqra University Michigan State University National Institute of Standards and Technology (NIST) Sri Jayachamarajendra College of Engineering Trub AG Unión Europea Universidad Carlos III de Madrid Universidad de Deusto Universidad del País Vasco Università di Bologna University of Arkansas University of Kebangsaan 2.2 FASE 2: CONSULTA A EXPERTOS Esta fase del proyecto se ha destinado a consultar la opinión de expertos sobre los diferentes ámbitos de análisis propuestos para el estudio Selección de expertos Los perfiles que han abarcado los expertos participantes en la investigación son los siguientes: Fabricantes de sistemas biométricos: ofrecen la visión del fabricante de este tipo de sistemas, aportando especialmente su perspectiva sobre el desarrollo del mercado, las debilidades y barreras actuales además de las expectativas que tiene la industria. Pueden aportar su conocimiento sobre el marco regulatorio actual y los estándares. Distribuidores de sistemas biométricos: aportan la visión desde un punto de vista de negocio y demanda de clientes en cuanto al mercado actual de sistemas biométricos, las necesidades de los clientes y las barreras a la que se enfrentan a la hora de acceder a este tipo de soluciones. Integradores / consultores: contribuyen a la investigación con su experiencia en la implantación de sistemas biométricos, sobre todo desde el punto de vista de las buenas prácticas de seguridad y de los riesgos que se deben tener en cuenta en el momento de la adopción de estas tecnologías. También pueden complementar la visión existente sobre las necesidades de los clientes y el uso que actualmente están teniendo las tecnologías biométricas. Estudio sobre las tecnologías biométricas aplicadas a la seguridad Página 16 de 100

17 Expertos en seguridad informática: brindan una visión más objetiva sobre el uso y aplicación de las tecnologías biométricas respecto a la seguridad de la información, identificación de personas y control de accesos. También resulta relevante su conocimiento sobre los riesgos y debilidades de este tipo de tecnologías y las buenas prácticas a tener en cuenta para su despliegue y uso eficaz. Expertos en derecho en nuevas tecnologías: ofrecen al estudio su visión desde el punto de vista jurídico sobre las precauciones y/o limitaciones existentes en la aplicación de este tipo de tecnologías. Usuarios finales: aportan al estudio la experiencia del cliente final a la hora de adoptar tecnologías biométricas y las posibles necesidades que pueden cubrir con las mismas. Su participación ayuda también a analizar las barreras de entrada existentes y obtener una visión sobre el grado de aplicación de las mismas en la actualidad. Aquellos usuarios que hayan abordado proyectos de implantación de este tipo de tecnologías ayudarán a contemplar el catálogo de buenas prácticas. Investigadores / académicos: contribuyen con su opinión sobre el futuro de este tipo de tecnologías y los condicionantes existentes en relación a su evolución y adecuación a nuevas necesidades. También aportan al proyecto su visión sobre otro tipo de aplicaciones que pueden tener estas tecnologías. Expertos internacionales: brindan al proyecto una visión integral del estado de desarrollo de estas tecnologías fuera del ámbito nacional y la evolución que puede tener esta industria de manera más global. También aportan conocimiento sobre cuáles son los líderes desde un punto de vista de fabricación e implantación de soluciones biométricas. Casos de éxito: ofrecen ejemplos sobre implantaciones de soluciones biométricas (tanto a pequeña escala como despliegues más significativos) ilustrando el proceso de adopción de este tipo de tecnologías y analizando los beneficios aportados por su implantación. Se señalan a continuación las instituciones y profesionales que han colaborado en la realización del estudio: Agnitio. Javier Castaño y Marta García-Gomar, Socio fundador y Directora de tecnología. Avalon Biometrics. Ion Otazua y Javier Pérez, Strategic account manager y Project manager. Estudio sobre las tecnologías biométricas aplicadas a la seguridad Página 17 de 100

18 ByTech. Sebastián González Andino, Responsable del departamento de firmware. Caixa Penedés. Mario Torres, Analista de seguridad. Centro per la Scienza, la Società e la Cittadinanza de Roma. Emilio Mordini, Director. Consiglio Nazionalle delle Ricerche (CNR). Mario Savastano, Senior researcher. Deloitte Abogados. Norman Heckh, Director. Deloitte. Srini Subramanian, Director. Escuela Universitaria de Mataró. Marcos Faúndez, Director. Ganetec. Jesús Tejedor, Ramón Llorca y Miquel Mora, R & D Software engineers y Gerente. Grupo Comex. Juan García e Ignacio Vilalta, Director de operaciones y Calidad. Grupo Spec. Maria del Carmen González Hernández y Antonio Tomasa, Directora comercial y Director de I+D. Guardia Civil. José Juan Lucena Molina, Teniente Coronel. Hitachi. Peter Jones, Business Manager. HR Access. Cristina Sirera, Responsable jurídico. Icarvision. Alejandro Haro, Director comercial. Indra. David Pérez, Gerente de seguridad. Mobbeel. José Luis Huertas, Director general. National Institute of Standards and Technology (NIST). Dr. Elaine Newton, Senior Advisor for Identity Technologies. San José State University. Jim Wayman, Director del departamento National Biometric Test Center. Tredess. Alfonso Represa, Jefe de Producto Video Supervisión. Universidad Autónoma de Madrid. Ignacio Garrote, Profesor. Estudio sobre las tecnologías biométricas aplicadas a la seguridad Página 18 de 100

19 Universidad Autónoma de Madrid. Javier Ortega-García, Director del ATVS Área de Tratamiento de Voz y Señales. Universidad Carlos III de Madrid. Raúl Sánchez Reillo, Director del GUTI - Grupo Universitario de Tecnologías de Identificación. Universidad de las Palmas de Gran Canaria. Miguel Ángel Ferrer y Carlos Travieso, Investigadores. VaniOS. Jorge Urios, CEO. Desde INTECO se les agradece su colaboración y disponibilidad Realización de entrevistas Las entrevistas desarrolladas con los expertos han seguido el siguiente guión: a) Presentación y detalles del experto: presentación, principales campos de actuación y experiencia en proyectos biométricos. b) Madurez de las tecnologías biométricas: general y según tecnologías y sectores. Referencia a casos de éxito conocidos. c) Regulación aplicable: opinión sobre la legislación y las estandarizaciones existentes y las necesidades futuras al respecto. d) Riesgos y amenazas de las tecnologías biométricas: inconvenientes a la hora de la implantación, aspectos de mejora, amenazas, controles compensatorios y causa de las vulnerabilidades de las tecnologías biométricas. e) Recomendaciones: beneficios de la implantación de tecnologías biométricas y recomendaciones a usuarios, industria, legisladores y Administraciones Públicas. f) Opinión de los ciudadanos: percepción general de los ciudadanos sobre las tecnologías biométricas. g) Futuro de las tecnologías biométricas: visión sobre el futuro a medio y largo plazo, líneas de investigación más interesantes y sectores proclives a la implantación Investigación cualitativa 2.0 Como complemento a la fase cualitativa estrictu sensu, para ampliar la participación de otros especialistas así como recabar la opinión de otros interesados en la materia se ha realizado una consulta a foros profesionales mediante la promoción de debates en LinkedIn, una de las mayores redes profesionales del mundo en Internet. Estudio sobre las tecnologías biométricas aplicadas a la seguridad Página 19 de 100

20 Así, dentro del grupo Biometrics Network & Forum grupo existente con anterioridad a esta investigación y constituido por profesionales de la biometría se han lanzado una serie de preguntas acerca de experiencia, casos de éxito, barreras en la implementación y futuro de la biometría. Las conclusiones al respecto se han sumado a las ya obtenidas en las entrevistas realizadas Sesión de trabajo La fase de investigación cualitativa se ha completado con una sesión de trabajo en la que se han expuesto las principales conclusiones obtenidas durante la investigación para su valoración por parte del panel de expertos. Para la realización de esta sesión de análisis de conclusiones se ha empleado una herramienta software (Power Vote), de fácil uso, que permite gestionar reuniones en grupo de forma interactiva, explorando las distintas opiniones y posibilidades que se van planteando y obteniendo aquellas consideraciones que cuentan con mayor aceptación (gracias a un la utilización de unos terminales de votación inalámbricos que utilizan los asistentes a la reunión para analizar cada aspecto a debatir). Además, a partir de la preparación inicial de los temas a tratar en la reunión es posible añadir, modificar o eliminar información a medida que avanza el debate, en función de los hechos recogidos. Esta característica facilita la gestión de reuniones de forma dinámica y flexible, permitiendo obtener conclusiones en tiempo real. Se plantearon un total de 18 conclusiones que fueron valoradas y votadas por los siguientes expertos: Javier Castaño (Agnitio) Ion Otazua y Javier Pérez (Avalon Biometrics) Sebastián González (Bytech) Raúl Alonso (Carlos III de Madrid) Norman Heckh (Deloitte Abogados) Ramón Llorca (Ganetec) Daniel Cuesta (Indra) Pablo Pérez (INTECO) Jorge Urios (VaniOS) Estudio sobre las tecnologías biométricas aplicadas a la seguridad Página 20 de 100

21 Las conclusiones obtenidas en esta sesión se han tenido en cuenta para refrendar aspectos detectados y aclarar determinadas cuestiones. 2.3 FASE 3: ELABORACIÓN DEL INFORME DE CONCLUSIONES FINALES DEL PROYECTO Una vez finalizadas las etapas correspondientes a los trabajos de investigación, se documentan y exponen las conclusiones alcanzadas en el informe final. En la elaboración del presente informe se recoge el análisis y las conclusiones de la investigación, junto con las recomendaciones de actuación dirigidas a los usuarios, a la industria y a las Administraciones Públicas. 2.4 FASE 4: ELABORACIÓN DE UNA GUÍA PRÁCTICA DIRIGIDA A USUARIOS En paralelo a la realización del estudio sobre el nivel de desarrollo y confianza de las tecnologías biométricas, y aprovechando los resultados del mismo, se ha elaborado una guía divulgativa con la intención de dar a conocer las diferentes tecnologías biométricas, sus diferentes usos y aplicaciones, los riesgos a los que están expuestas y desarrollar un catálogo de buenas prácticas y recomendaciones. Estudio sobre las tecnologías biométricas aplicadas a la seguridad Página 21 de 100

22 3 INTRODUCCIÓN A LAS TECNOLOGÍAS BIOMÉTRICAS 3.1 ANTECEDENTES La biometría es un método de reconocimiento de personas basado en sus características fisiológicas o de comportamiento. Se trata de un proceso similar al que habitualmente realiza el ser humano reconociendo e identificando a sus congéneres por su aspecto físico, su voz, su forma de andar, etc. En la actualidad, la tecnología ha permitido automatizar y perfeccionar estos procesos de reconocimiento biométrico, de forma que tienen multitud de aplicaciones y finalidades y especialmente aquellas relacionadas con la seguridad algunas de las cuales se expondrán a lo largo del presente informe. Los primeros antecedentes de los que se tiene referencia sobre la biometría datan de hace más de mil años en China, donde los alfareros comenzaron a incluir sus huellas dactilares en los productos que realizaban como símbolo de distinción o firma, lo que les permitía diferenciarse del resto. Sin embargo, no fue hasta finales del siglo XIX cuando Alphonse Bertillon antropólogo francés que trabajó para la policía comenzó a dar a la biometría el carácter de ciencia, profesionalizando su práctica. Basaba su teoría en que una cierta combinación de medidas del cuerpo humano era invariable en el tiempo, lo que permitió dar solución al problema de identificar a los criminales convictos a lo largo de toda su vida. El sistema de Bertillon o Antropometría, que incluía, entre otras, medidas como el largo y ancho de la cabeza o la longitud del pie izquierdo y del antebrazo, se comenzó a utilizar comúnmente a lo largo de todo el mundo. Sin embargo, su efectividad se puso en duda al presentarse algunos problemas en el uso de diferentes medidas y, especialmente, por las dificultades en la diferenciación de sujetos extremadamente similares como los gemelos. Esta desacreditación hizo que Sir Edward Henry, Inspector General de la Policía de Bengala, buscase otras técnicas y se interesase por las investigaciones de Sir Francis Galton, el cual utilizaba la huella dactilar como método de identificación. Primero en Bengala y posteriormente en Londres (1901), Sir Edward Henry estableció su oficina de huella dactilar exitosamente y consiguió rápidamente la aceptación de la comunidad a nivel mundial. Así, los métodos utilizados en oriente desde siglos atrás fueron introducidos exitosamente en occidente. Ya a comienzo de los años 70, Shearson Hamil, una empresa de Wall Street, instaló Identimat, un sistema de identificación automática basado en huella dactilar que se utilizó Estudio sobre las tecnologías biométricas aplicadas a la seguridad Página 22 de 100

23 para el control de acceso físico a instalaciones, siendo la primera solución biométrica de uso comercial. Desde entonces se ha investigado mucho en el campo de la biometría, detectándose multitud de rasgos biométricos diferentes a la huella dactilar. A día de hoy, el avance en el conocimiento de dichos rasgos y sus correspondientes ventajas e inconvenientes, unido a las posibilidades que ofrece la tecnología, hacen que la biometría se considere uno de los elementos clave en cuanto a las técnicas de identificación y seguridad en el futuro. 3.2 CONCEPTOS CLAVE Cuando se aborda la biometría, se hace referencia a una tecnología puntera, sobre la cual no mucha gente tiene conocimientos precisos. Es por ello que es conveniente señalar y aclarar aquellos conceptos que se consideran esenciales para la comprensión del funcionamiento de los sistemas biométricos. A continuación se identifican una serie de conceptos básicos y comunes a todas las tecnologías biométricas Componentes de un sistema biométrico Los principales componentes que se pueden identificar en un sistema biométrico son: Sensor: Es el dispositivo que captura los rasgos o características biométricas. Dependiendo de los rasgos biométricos que se quieran registrar y convertir en datos digitales, se necesitarán los sensores adecuados. A continuación se muestra una tabla con algunos de los diferentes tipos de sensores utilizados para algunas de las tecnologías biométricas que se tratarán más adelante. Tabla 1: Sensores según tipos de tecnología biométrica Tecnología Huella dactilar Reconocimiento de voz Reconocimiento facial Reconocimiento de iris Reconocimiento de retina Reconocimiento de la geometría de la mano Reconocimiento de firma Reconocimiento de escritura de teclado Dispositivo de captura Periférico de escritorio, tarjeta PCMCIA o lector integrado. Micrófono o teléfono Cámara de video o cámara integrada en un PC Cámara de infrarrojos Unidad propietaria de escritorio o de pared Unidad propietaria de pared o de pie Tableta de firma, puntero sensor al movimiento Teclado Estudio sobre las tecnologías biométricas aplicadas a la seguridad Página 23 de 100

24 Repositorio: Es la base de datos donde se almacenan las plantillas biométricas inscritas para su comparación. Debería protegerse en un área física segura, así como ser cifrada y firmada digitalmente. Algoritmos: Usados para la extracción de características (procesamiento) y su comparación. Las tres funciones básicas asociadas a ellos son: registro, verificación e identificación Registro en el sistema En la mayor parte de los casos, los usuarios deben registrar su identidad en el sistema antes de hacer uso de él. Esto se realiza por medio de la obtención de los parámetros biométricos. Este proceso es el de registro y se compone de tres fases distintas: Captura: Se recogen los parámetros biométricos. Estos parámetros varían en cada tecnología, como se observa en la siguiente tabla. Tabla 2: Parámetros considerados en cada tecnología biométrica Tecnología Muestra biométrica Huella dactilar Reconocimiento de voz Reconocimiento facial Reconocimiento de iris Reconocimiento de retina Reconocimiento de la geometría de la mano Reconocimiento de firma Reconocimiento de escritura de teclado Imagen o minucia de la huella dactilar Grabación de voz Imagen facial Imagen del iris Imagen de la retina Imagen en 3-D de la parte superior y lateral de mano y dedos Imagen de la firma y registro de medidas relacionadas con la dinámica Registro de las teclas pulsadas y registro de medidas relacionadas con la dinámica Procesamiento: Se genera una plantilla con las características personales de los parámetros capturados. La siguiente tabla muestra los diferentes rasgos extraídos. Estudio sobre las tecnologías biométricas aplicadas a la seguridad Página 24 de 100

25 Tabla 3: Características extraídas en cada técnica biométrica Tecnología Huella dactilar Reconocimiento de voz Reconocimiento facial Reconocimiento de iris Reconocimiento de retina Reconocimiento de la geometría de la mano Reconocimiento de firma Reconocimiento de escritura de teclado Característica extraída Ubicación y dirección del final de las minucias o formas de las huellas Frecuencia, cadencia y duración del patrón vocal. Posición relativa y forma de la nariz, posición de la mandíbula Surcos y estrías del iris Patrones de los vasos sanguíneos de la retina Altura y anchura de los huesos y las articulaciones de los dedos y de la mano Velocidad, orden de los trazos, presión y apariencia de la firma Secuencia de teclas y pausas entre pulsaciones Inscripción: La plantilla procesada se guarda en un medio de almacenamiento adecuado. Una vez que la inscripción está completa, el sistema puede autenticar a las personas mediante el uso de esta plantilla. Para ello se sigue el procedimiento que se señala en el siguiente esquema: Gráfico 1: Proceso de inscripción en el registro Inscripción Sensor Información biométrica Pre-procesamiento Identidad de usuario Extractor de características Plantillas guardadas Plantilla del usuario Generador de plantillas Estudio sobre las tecnologías biométricas aplicadas a la seguridad Página 25 de 100

26 3.2.3 Autenticación La autenticación es el proceso mediante el cual se captura una muestra biométrica del individuo para su comparación con las plantillas ya registradas. Esta autenticación puede realizarse de dos maneras diferentes, identificación y verificación, que conviene distinguir: Identificación: Consiste en la comparación de la muestra recogida del usuario frente a una base de datos de rasgos biométricos registrados previamente. No se precisa de declaración inicial de su identidad por parte del usuario, es decir, el único dato que se utiliza es la muestra biométrica recogida en el momento de uso, sin apoyo de un registro anterior ni un nombre de usuario o cualquier otro tipo de reconocimiento. Este método requiere de un proceso de cálculo complejo, puesto que se ha de comparar esta muestra con cada una de las anteriormente almacenadas para buscar una coincidencia. El proceso desarrollado es el siguiente: Gráfico 2: Proceso de identificación en la autenticación Identificación Sensor Información biométrica Pre-procesamiento Extractor de características Plantillas guardadas Generador de plantillas Plantilla Todas las plantillas Coincidencia (n coincidencias) Identificación del usuario o no Verificación: En este caso, sin embargo, el primer paso del proceso es la identificación del individuo mediante un nombre de usuario, tarjeta o algún otro método. De este modo se selecciona de la base de datos el patrón que anteriormente se ha registrado para dicho usuario. Posteriormente, el sistema Estudio sobre las tecnologías biométricas aplicadas a la seguridad Página 26 de 100

27 recoge la característica biométrica y la compara con la que tiene almacenada. Es un proceso simple, al tener que contrastar únicamente dos muestras, en el que el resultado es positivo o negativo: Gráfico 3: Proceso de verificación en la autenticación Verificación Sensor Identidad declarada Información biométrica Pre-procesamiento Extractor de características Plantillas guardadas Generador de plantillas Plantilla Plantilla declarada Coincidencia Verdadero/Falso Toma de decisiones El proceso de toma de decisiones en la biometría consta de cuatro etapas: Búsqueda de coincidencias: Comparación de las muestras biométricas para determinar el grado de similitud o correlación entre ellas. Cálculo de una puntuación: Para la comparación de datos biométricos se calcula un valor numérico que indica el grado de similitud o correlación entre las muestras. Los métodos de verificación tradicionales (contraseñas, PINs, etc.) son binarios, es decir, ofrecen una respuesta positiva o negativa. Este no es el caso en la mayoría de sistemas biométricos. La mayor parte los sistemas biométricos se basan en algoritmos de búsqueda de coincidencias que generan una Estudio sobre las tecnologías biométricas aplicadas a la seguridad Página 27 de 100

28 puntuación. Esta puntuación representa el grado de correlación entre la muestra a autenticar y la de registro. Comparación con el umbral establecido: El umbral es un número predefinido, normalmente por el administrador del sistema biométrico, que establece el grado de correlación necesario para que una muestra se considere similar a otra. Si la puntuación resultante de la comparación de muestras supera el umbral, las muestras se consideran coincidentes, aunque las muestras en sí no sean necesariamente idénticas. Esto se debe a la inclusión en el análisis de las posibles deficiencias en la captura de las muestras. Decisión: Resultado de la comparación entre la puntuación y el umbral. Las decisiones que puede tomar un sistema biométrico incluyen: coincidencia, no coincidencia e inconcluyente (el sistema no es capaz de determinar si la muestra recogida es coincidente o no). Dependiendo del sistema biométrico implementado, una coincidencia puede permitir el acceso, una no coincidencia restringirlo y una muestra inconcluyente puede solicitar al usuario otra muestra Funcionamiento del sistema El funcionamiento y fiabilidad del sistema se puede valorar mediante una serie de tasas: Tasa de error de adquisición (Failure To Adquire rate): Proporción de ocasiones en las que el sistema no es capaz de capturar una muestra de calidad suficiente para ser procesada. Tasa de error de registro (Failure To Enrol rate): Proporción de la población para la cual el sistema biométrico no es capaz de generar muestras de calidad suficiente. Tasa de falso negativo (False Rejection Rate): Proporción de ocasiones en las que el sistema no vincula a un individuo con su propia plantilla biométrica existente en el registro. Tasa de falso positivo (False Acceptance Rate): Proporción de ocasiones en las que un sistema vincula erróneamente a un individuo con la información biométrica existente de otra persona. 3.3 TIPOS, TÉCNICAS Y TECNOLOGÍAS APLICADAS A LA BIOMETRÍA Las tecnologías biométricas se definen como métodos automáticos utilizados para reconocer a personas sobre la base del análisis de sus características físicas o de comportamiento. Estudio sobre las tecnologías biométricas aplicadas a la seguridad Página 28 de 100