Gelatina para los dedos, subir un poco de peso o grabar la voz son algunas de las técnicas que usan los criminales para burlar los sistemas de seguridad basados en biometría




descargar 61.09 Kb.
títuloGelatina para los dedos, subir un poco de peso o grabar la voz son algunas de las técnicas que usan los criminales para burlar los sistemas de seguridad basados en biometría
fecha de publicación18.01.2016
tamaño61.09 Kb.
tipoDocumentos
med.se-todo.com > Documentos > Documentos
VULNERABILIDADES DE LOS SISTEMAS BIOMÉTRICOS
Gelatina para los dedos, subir un poco de peso o grabar la voz son algunas de las técnicas que usan los criminales para burlar los sistemas de seguridad basados en biometría.
En general los sistemas biométricos tienen un 99,9 por ciento de eficacia, según una serie de estudios que ha llevado a cabo la comunidad científica en todo el mundo. Es decir, de 1.000 casos, uno induce a error. Por ejemplo en un aeropuerto internacional de tamaño mediano vuelan al menos unas 3.000 personas al día, significa que tres personas podrían diariamente llegar a burlar estas herramientas de identificación personal.

A pesar de esta irremediable cifra, cada vez más los métodos de reconocimiento biométricos, como el iris del ojo, la huella digital, la imagen facial o el ADN cobran más importancia en el mundo entero.

Así también, en todo el mundo los especialistas y varios criminales ya han descubierto una serie de vulnerabilidades biométricas, las que se tornan cada vez más preocupantes. Por otro lado, hay personas, que no pueden realizar identificaciones geométricas con fiabilidad o inducen a margen de error. Por ejemplo, se calcula que hay un cinco por ciento de la población en el mundo que, por minusvalías de diferentes tipos, no pueden ser identificadas claramente por la huella dactilar o el iris del ojo.

Según trabajos publicados desde 2002 por Tsutomu Matsumoto, profesor de criptografía y matemáticas en la Universidad Nacional Yokohama de Japón, todos los lectores actuales de huellas digitales pueden ser burlados de manera relativamente simple. Como por ejemplo usar gelatina para crear "dedos" falsos, e, incluso, en ocasiones basta con exhalar sobre el lector, para que así la última huella escaneada vuelva a resaltarse.

De acuerdo a investigaciones del FBI, los escáneres electrónicos de huellas tienen un nivel de fiabilidad entre 95 y 98 por ciento, pero su exactitud varía en función del sexo, características raciales y residuos químicos presentes en los dedos, como el cloro de la piscina o los limpiadores domésticos.
Cabe resaltar como una nueva normativa que en el Reino Unido la identificación de rostros en los pasaportes emitidos se lo realiza teniendo muy en cuenta que las personas deben aparecer muy serias en las fotos, con la boca cerrada y sin hacer ninguna mueca ni expresión. Prohibido terminantemente sonreír o coquetear con la cámara. Todo esto, debido a que las máquinas que reconocen la cara de las personas trabajan a partir de una serie de coordenadas digitales basadas en la composición de un rostro cuando está en posición neutra. Si la cara varía, como ocurre al sonreír, los datos que recibe el sistema no coinciden con los que tiene almacenados, sin poder realizar la identificación de manera certera.

Asimismo en este mismo grupo, el reconocimiento del iris también parece infalible, pero no es completamente así. Para empezar, la metodología no funciona en ciegos o personas con cataratas. Además, la precisión del escáner de iris puede variar con la luz ambiente y el ángulo de la cabeza, existen algunos casos en que dos individuos tienen el mismo iris, lo que induce también a una grave equivocación. Así tambien mientras más oscuros sean los ojos más le costará al lector de iris distinguir dónde acaba la pupila y empieza el iris. Los lentes de colores o el uso de drogas que dilaten las pupilas también son técnicas que utilizan muchos criminales para saltarse las revisiones aeroportuarias.

Una de las identificaciones más fáciles de engañar es el reconocimiento por voz. A pesar de que existen equipos muy sofisticados que pueden reconocer la voz de un individuo, pueden ser falsificados con una simple grabación, cuando sea el caso de que una palabra fija es la que permita acceder a un lugar deseado.
El ADN esta considerado como el más fiable, con este sistema se puede hacer un perfil casi perfecto y, a diferencia de la cédula de identidad, nunca se pierde. Actualmente, se encuentra un valioso banco de ADN en el Instituto Médico Legal, que día a día se llena más de información biométrica.

Los expertos en seguridad aconsejan que a la hora de identificar a alguien se realice una mezcla de soportes biométricos, como por ejemplo el iris y la huella digital, o una identificación por voz con un reconocimiento facial porque como vemos para burlar a un sistema supuestamente infranqueable hay bastantes métodos.

De acuerdo con la parte técnica, todos los sistemas de tecnología biométrica operan utilizando un procedimiento de cuatro fases: captura (se recoge una muestra física o de comportamiento durante el proceso de registro-inscripción, identificación o verificación), extracción (se extraen datos únicos de la muestra y se crea una plantilla), comparación (la plantilla se compara con la nueva muestra obtenida), match/non match (el sistema decide si las características extraídas de la nueva muestra coinciden o no).

De manera general mencionaremos los ataques, vulnerabilidades y amenazas en sistemas biométricos
Un análisis cuidadoso de los sistemas biométricos permite identificar entre otros los siguientes ataques y vulnerabilidades:

  • Ataques de presentación (spoofing). Aparición de muestra biométrica físicamente cambiada o reemplazada.

  • Ataques de procesamiento biométrico. El entender el algoritmo biométrico se utiliza para causar procesamiento y decisiones incorrectas.

  • Vulnerabilidades de software y red. Se basan en ataques contra el computador y redes en las que opera el sistema biométrico.

  • Ataques sociales. Las autoridades que utilizan el sistema engañan.

  • Vulnerabilidades basadas en saltarse o burlar al sistema.

  • Vulnerabilidades basadas en adquisición encubierta.

  • Vulnerabilidades basadas en confabulación / coacción.

  • Vulnerabilidades basadas en DoS (Denial of Service).


En cuanto a la seguridad en torno a los sistemas biométricos son los siguientes:

  • Los datos biométricos no son secretos.

  • Los datos biométricos no pueden revocarse.

  • Los datos biométricos pueden tener usos secundarios.


Algunas posibles amenazas identificables en un sistema biométrico tipo autenticación para verificación de personal son:

  • Ataques específicos a la autenticación biométrica:

  • Suplantación con artefacto.

  • Suplantación con plantilla falsa.

  • Suplantación empleando ataques de repetición utilizando robo de información en sensores.

  • Suplantación utilizando ataques hill-climbing (permite regenerar imágenes: se requiere acceso a match scores; se empieza con una suposición, se hacen pequeñas modificaciones, se guardan las modificaciones que aumenten la match store; a mayor número de iteraciones la confiabilidad es mayor).

  • Suplantación a través de la alteración de los umbrales.

  • Suplantación atribuida a la precisión de la autenticación.

  • Suplantación debido al uso de entornos no esperados.


Amenazas al sistema de autenticación en general:

  • Suplantación saltándose los dispositivos del componente biométrico.

  • Suplantación utilizando ataques piggy back.

  • Suplantación a través de ataques por fuerza bruta.

  • Suplantación aprovechando del sistema fallback.


Amenazas al sistema de tecnología de la información subyacente en general:

  • Ejecución ilegal de función administrativa mediante privilegios de administración obtenidos ilegalmente.


Cuestiones de seguridad y posibles contramedidas: Es necesario preguntarse frente a todo sistema biométrico si de alguna forma es posible que:

  • Se pueda saber si la muestra presentada al sensor está viva y es real. Esto exige implantar métodos efectivos para detectar la vida de la muestra ante el sensor y aplicar técnicas efectivas anti-spoofing.

  • Se pueda conocer si la muestra se presenta de forma correcta. Esto exige poder identificar la muestra desde diferentes variaciones posicionales y rotacionales.

  • Se pueda saber si la calidad de la imagen del sensor es suficiente para poder dar una buena captura de imagen. Esto exige poder implantar métodos software para poder determinar si la muestra es de suficiente calidad y que corresponde a la entrada esperada.

  • Se pueda conocer si existe algún tipo de aseguramiento de la integridad de la plantilla. Esto exige implantar técnicas para que las plantillas estén seguras.


Algunas contramedidas frente a posibles cuestiones de seguridad que pueden plantearse en un sistema biométrico son:

  • De cara al control de calidad, utilizar software que sea consciente de la diversidad de calidad de la muestra biométrica y entrada esperada.

  • Protección efectiva de datos/plantillas, comprobar la integridad y protección criptográfica de registros de usuario y plantillas.

  • Ante el spoofing, comprobación de la vida de la muestra biométrica ante el sensor y utilización de técnicas anti-falsificación.

  • Protección de los datos transmitidos, comprobación de la integridad y protección criptográfica de los datos que circulan de un módulo a otro del sistema biométrico, utilizar autenticación de dispositivo, sincronización, marcas de tiempo y claves de sesión únicas evitando posibles robos de sesión.


Seguridad física y ambiental de los dispositivos biométricos

El desempeño de un dispositivo biométrico puede verse afectado por las condiciones físicas del ambiente en que opere. Por ejemplo, el reconocimiento de iris depende de los niveles de iluminación, el reconocimiento de voz depende de los sonidos del ambiente y el polvo puede afectar a los dispositivos de huella dactilar.
Por esta razón los dispositivos biométricos deben ser probados bajo varias condiciones ambientales. Algunos de estos factores ambientales y su relevancia para tipos específicos de sistemas biométricos se muestran en la siguiente tabla:


 

Iris y Retina

Rostro

Voz

Mano

Huella Dactilar
(sensor óptico)

Niveles de Sonido ambiente

 

 

X

 

 

Polvo

X

X

 

X

X

Variaciones de voltaje

X

X

X

X

X

Humedad atmosférica

 

 

 

 

X

Vibraciones

X

X

X

X

X

Ruido electromagnético

X

X

X

X

X

Temperatura

 

 

 

X

X


Factores ambientales relacionados a sistemas biométricos.

Debe notarse que los factores ambientales pueden influir tanto en los usuarios como directamente en los sensores de hardware de los dispositivos. Por ejemplo, la temperatura elevada o humedad pueden afectar los sensores de huella dactilar, pues los niveles de sudoración del usuario aumentan.

El envejecimiento de los sensores utilizados por los dispositivos biométricos puede deteriorar con el tiempo la robustez de los mismos. Esto significa que las pruebas físicas y ambientales se deberán de llevar de forma periódica.

Los dispositivos biométricos se deben mantener alejados del humo, polvo, fuego y temperaturas extremas.

Así mismo los dispositivos biométricos deben estar fuera del alcance de vibraciones, insectos, ruido eléctrico, agua y rayos solares.

El área donde se encuentren instalados los dispositivos biométricos deberá mantener las condiciones de higiene adecuadas.

Seguridad ligada a los usuarios.

A la hora de gestionar la seguridad de la información sin importar el tipo de IT del que se haga uso es el factor humano. De manera frecuente se observa que este factor es pasado por alto o menospreciado sin tomar en cuenta que a través del mismo se pueden reducir riesgos de error, hurto o mal uso por parte del recurso humano.

Los acuerdos de confidencialidad, la selección rigurosa del personal y la inclusión de la seguridad dentro de las responsabilidades contractuales son prácticas que ayudarán a reducir el riesgo del factor humano debido a errores, pérdidas, robos y uso indebido de la información.

Un programa de capacitación para el uso correcto de los dispositivos biométricos en uso, se debe proporcionar a todos los usuarios para asegurarse que éstos estén enterados de las amenazas y las medidas preventivas que deben tomar y así reducir al mínimo los riesgos de seguridad posibles.

Los incidentes, hechos sospechosos o que hayan sido observados deben divulgarse lo más pronto posible de modo que todos los integrantes de la cadena de responsabilidad sepan qué han de hacer y a quién informar en todo momento. Con estos se busca reducir al mínimo el daño ocasionado por percances y malos funcionamientos de la seguridad, así como aprender de tales incidentes.

El administrador del sistema biométrico podrá deshabilitar los patrones biométricos que no sean vigentes. Únicamente los miembros vigentes de la organización o comunidad donde se haga uso de los sistemas biométricos podrán tener acceso a los activos.

VULNERABILIDADES DE LOS SISTEMAS BIOMÉTRICOS COMO TAL

Las pruebas de vulnerabilidad son una parte esencial para el buen funcionamiento de los dispositivos biométricos pues ofrecen información valiosa sobre el nivel de exposición que se tiene a las amenazas. La realización continua de evaluaciones a los dispositivos biométricos ayudará a fortalecer de manera anticipada su entorno frente a posibles amenazas.
Es particularmente importante considerar amenazas asociadas con la entrada y salida de los patrones biométricos. Los patrones son considerados como información sensible pues identifican y están ligados a los individuos. El patrón es usado para determinar los derechos y privilegios del usuario para acceder a un recurso. Antes de que el patrón sea relacionado a las credenciales, privilegios y derechos se encuentra en su estado más vulnerable pues un atacante puede tratar de sustituir su propio patrón enmascarándolo como el usuario previsto. Cuando un patrón es desasociado de su vínculo con el usuario, existe la posibilidad de un ataque de sustitución. Sí el patrón sin vínculo es transportado o transmitido a través de un medio accesible y sin protección, se debe considerar un medio de protección adecuado. La posibilidad de duplicar el formato específico del dispositivo también debe ser considerada en la evaluación. Esto se debe hacer a través del análisis de los algoritmos que transforman la característica biométrica en el patrón usado por el dispositivo de comparación, determinando la salida del algoritmo y después determinando la probabilidad de duplicar la salida a través de algunos medios.

El camino que recorren los patrones dentro del sistema biométrico y entre el mismo sistema y el dispositivo externo se debe comportar de tal forma que sea imposible (o al menos excesivamente costoso) para el atacante capturar la información en cualquier punto del recorrido. Este punto es crítico si es que el sistema biométrico incluye el almacenamiento o transmisión de los patrones biométricos fuera del ambiente protegido.

Al realizar la evaluación de vulnerabilidad de un sistema biométrico, el evaluador debe considerar una amplia variedad de amenazas genéricas para la seguridad del sistema. Todos los elementos de un sistema biométrico son susceptibles a estas amenazas en algún grado.

En la siguiente tabla se muestran las amenazas generales que deben ser consideradas por los administradores, desarrolladores y diseñadores de sistemas biométricos, al evaluar las vulnerabilidades de los mismos.

Amenazas

1. Amenazas de Usuario. Usuarios autorizados proveen su información biométrica sin saberlo, bajo amenaza o con toda la intención, a un impostor. 

1.1 El impostor captura la muestra biométrica de un usuario autorizado. Por ejemplo: la fotografía de su cara o la grabación de su voz.

1.2. El impostor roba la información biométrica de un usuario autorizado.

1.3. Un usuario autorizado provee de manera voluntaria su información biométrica al impostor.

1.4. Un usuario autorizado modifica su información biométrica para facilitar un ataque por parte del impostor.

2. Amenazas de Usuario/Captura de muestra biométrica.

2.1. El impostor presenta una muestra biométrica artificial (ejemplos: huella digital de gelatina, grabación de voz) en un intento por hacerse pasar por un usuario autorizado.

2.2. El impostor presenta una muestra biométrica de baja o nula calidad en un esfuerzo por coincidir con una muestra biométrica débil o de baja calidad.

2.3. El impostor utiliza una imagen biométrica residual dejada en el sistema biométrico (típicamente una huella dactilar latente) en un intento por hacerse pasar por el último usuario autorizado.

2.4. El impostor presenta su propia muestra biométrica después de que ésta ha sido:
a) Proporcionada en una tarjeta inteligente personal.
b) Colocada en la base de datos del sistema biométrico en una inscripción ilegal.
c) Ilegalmente insertada en el subsistema de comparación del sistema biométrico.

3. Amenazas de Captura/Extracción.

3.1. El impostor intercepta una muestra biométrica autorizada durante la transmisión entre los subsistemas de Captura y Extracción.

3.2. El impostor inserta una muestra biométrica autorizada directamente en el subsistema de Extracción.

4. Amenazas de Extracción/Comparación durante la Verificación.

4.1. El impostor intercepta las características biométricas extraídas durante la transmisión entre los subsistemas de Extracción y Comparación.

4.2. El impostor inserta las características biométricas extraídas directamente en el subsistema de Comparación.

5. Amenazas de Extracción/Almacenamiento de la muestra durante la Inscripción.

5.1.Un usuario autorizado presenta una muestra biométrica de baja calidad, con ruido y variaciones o presenta una muestra artificial en un intento por crear y almacenar un patrón biométrico débil

5.2. Un usuario no autorizado queda registrado por:
a) Un error del administrador.
b) El patrón de un usuario autorizado fue interceptado y reemplazado por el patrón del impostor.

6. Amenazas de almacenamiento del Patrón.

6.1. El impostor roba el patrón biométrico de un usuario autorizado del medio de almacenamiento o de otro sistema biométrico.

6.2. El atacante modifica o elimina los patrones biométricos en almacenamiento.

6.3. El impostor intercepta el patrón biométrico autorizado durante la transmisión entre los subsistemas de Extracción y Almacenamiento del Patrón.

7. Amenazas en la recuperación del patrón.

7.1. El impostor intercepta una muestra biométrica autorizada durante la transmisión entre los subsistemas de Almacenamiento del Patrón y Comparación.

7.2. El impostor inserta su propio patrón directamente en el subsistema de Comparación.

8. Amenazas de Administración y Manejo de recursos.

8.1. Un usuario autorizado hostil puede adquirir privilegios de administrador a través de medios no biométricos (password o sistema de respaldo) y de esta forma puede modificar el umbral de comparación, modificar los privilegios de los usuarios, permitir el acceso no autorizado a los patrones almacenados, inscribir un usuario no autorizado.

9. Amenazas al sistema biométrico.

9.1. El atacante corta la fuente de energía del sistema biométrico.

9.2. El atacante gana acceso no autorizado a los privilegios con o sin ayuda de un usuario autorizado después de que el usuario ha sido autenticado.

9.3. Un usuario gana acceso a privilegios no autorizados después que los privilegios han sido  inapropiadamente modificados.

10. Amenazas a los componentes de Hardware.

10.1. El atacante trata de forzar, modificar o desactivar uno o más componentes de hardware.

10.2. El atacante intercepta/inserta patrones biométricos autorizados de/hacia uno o más componentes de Hardware.

10.3. El atacante explota los defectos del diseño, condiciones ambientales o modo de fallo.

10.4. El atacante “inunda” uno o más componentes del hardware con ruido, por ejemplo energía electromagnética o acústica.

11. Amenazas al software.

11.1. El atacante trata de forzar, modificar o desactivar uno o más archivos ejecutables del software.

11.2. El atacante explota los defectos del diseño y modo de fallo del software.

11.3. Un virus u otro software malicioso es introducido en el sistema biométrico.

11.4. Un impostor intercepta/inserta patrones biométricos autorizados de/hacia uno o más componentes de software.

12. Amenazas a las conexiones (incluidas las amenazas de red).

12.1. El atacante trata de forzar, modificar o desactivar una o más conexiones entre los componentes.

12.2. El impostor intercepta o inserta muestras biométricas o patrones autorizados mientras están siendo transmitidos entre subsistemas o componentes.

Amenazas Generales de los Sistemas Biométricos.
Pruebas de funcionamiento de Dispositivos Biométricos.

Cada tecnología biométrica tiene fuerzas y debilidades dependiendo de la aplicación en la cual se utiliza. Se deben probar y seleccionar los dispositivos con una aplicación en mente y sin poner en riesgo la integridad física del usuario.
Todas las aplicaciones biométricas se pueden clasificar en seis categorías:

  • Atendido contra No Atendido: Esta categoría hace referencia a si el uso del dispositivo biométrico durante la operación será observado y dirigido por la gerencia del sistema. Las aplicaciones no cooperativas requerirán generalmente la operación supervisada, mientras que la operación cooperativa puede o no serlo.




  • Público contra Privado: Los usuarios del sistema biométrico serán clientes de la empresa (público) o los empleados de la misma (privado). Las actitudes hacia el uso de los dispositivos, que afectarán directamente el funcionamiento, varían claramente al depender del lazo entre los usuarios finales y la administración del sistema.



  • Habituado contra no Habituado: Esta categoría se aplica a los usuarios previstos de la aplicación. Los usuarios que presentan un rasgo biométrico diariamente pueden ser considerados habituados después del periodo inicial de uso. Los usuarios que no han presentado el rasgo recientemente pueden ser considerados no-habituados.



  • Cooperativa contra no Cooperativa: Se refiere al comportamiento del usuario fraudulento en las aplicaciones que verifican la demanda positiva de identificación. Este usuario está cooperando con el sistema en la tentativa de ser reconocido como alguien que no es. A eso se le llama una aplicación cooperativa. En las aplicaciones que verifican una demanda negativa a la identidad, el usuario fraudulento está procurando no cooperar con el sistema en una tentativa de no ser identificado. A esto se le conoce como una aplicación no cooperativa. A los usuarios de aplicaciones cooperativas se les puede pedir identificarse de una cierta manera, por ejemplo con una tarjeta.



  • Descubierto o Encubierto: Si el usuario está enterado que se está midiendo un identificador biométrico, el uso es Descubierto. Si es inconsciente, el uso es secreto o encubierto.

  • Abierto contra Cerrado: El sistema será requerido para intercambiar datos con otros sistemas biométricos administrados por otra gerencia. Por ejemplo, el FBI deseará intercambiar la información de la huella dactilar con las agencias locales de policía, requiriendo por lo tanto de un sistema abierto. Si un sistema es abierto, se requiere que se usen ciertos estándares en la colección de datos y en la transmisión.



BIBLIOGRAFIA
http://www.edicionesespeciales.elmercurio.com/destacadas/detalle/index.asp?idnoticia=0127102005021X1110093 ver esto los enlaces
http://www.conectronica.com/Seguridad/An%C3%A1lisis-en-torno-a-la-seguridad-de-los-sistemas-biom%C3%A9tricos.html
http://redyseguridad.fi-p.unam.mx/proyectos/biometria/propuesta/sistemasbiometricos.html
http://www.coit.es/pub/ficheros/p_bosch_f87b6852.pdf
http://www.shsconsultores.es/jornadas/0302_-_la_evaluacion_de_la_seguridad_en_sistemas_biometricos.pdf

similar:

Gelatina para los dedos, subir un poco de peso o grabar la voz son algunas de las técnicas que usan los criminales para burlar los sistemas de seguridad basados en biometría iconPara la limpieza de los hidrocarburos en el agua existen diferentes...

Gelatina para los dedos, subir un poco de peso o grabar la voz son algunas de las técnicas que usan los criminales para burlar los sistemas de seguridad basados en biometría iconLos problemas para asignar una clasificación a los documentos son...

Gelatina para los dedos, subir un poco de peso o grabar la voz son algunas de las técnicas que usan los criminales para burlar los sistemas de seguridad basados en biometría iconResumen -en la tomografía axial computarizada (tac) los rayos -X...

Gelatina para los dedos, subir un poco de peso o grabar la voz son algunas de las técnicas que usan los criminales para burlar los sistemas de seguridad basados en biometría iconLas leyes pondérales son las leyes básicas de la combinación de los...

Gelatina para los dedos, subir un poco de peso o grabar la voz son algunas de las técnicas que usan los criminales para burlar los sistemas de seguridad basados en biometría iconLa Batería es un dispositivo electroquímico diseñado para suministrar...

Gelatina para los dedos, subir un poco de peso o grabar la voz son algunas de las técnicas que usan los criminales para burlar los sistemas de seguridad basados en biometría iconLos alimentos procesados son dañinos para la salud debido a que,...

Gelatina para los dedos, subir un poco de peso o grabar la voz son algunas de las técnicas que usan los criminales para burlar los sistemas de seguridad basados en biometría iconLas proteínas son uno de los principales componentes de todas nuestras...

Gelatina para los dedos, subir un poco de peso o grabar la voz son algunas de las técnicas que usan los criminales para burlar los sistemas de seguridad basados en biometría iconLee atentamente el contenido de esta guia y realiza las actividades...

Gelatina para los dedos, subir un poco de peso o grabar la voz son algunas de las técnicas que usan los criminales para burlar los sistemas de seguridad basados en biometría icon41001 // Abc // 12/05/2013 // Reto a los extranjeros: las expresiones...
«app», los sonidos y las voces, las manos y los objetos reinventan los cuentos de siempre a través de diferentes técnicas. DeCuentos...

Gelatina para los dedos, subir un poco de peso o grabar la voz son algunas de las técnicas que usan los criminales para burlar los sistemas de seguridad basados en biometría iconCuatro clases principales de compuestos orgánicos son esenciales...


Medicina



Todos los derechos reservados. Copyright © 2015
contactos
med.se-todo.com