Novedades en la categoría Biometría
Hace tiempo que tenía pendiente este video, pero hoy al leer una excelente nota de mi amigo Gustavo Suhit (quién tiene un muy buen blog tecnológico), recordé que debía publicarla, y creo que complementa muy bien su artículo.
Este video contiene la mejor demostración para explicar qué es y para que sirve la biometría.
A pesar de ser una animación, acá se demuestra tecnología disponible en la actualidad, pero además muestra la forma más efectiva de usar esta tecnología, la biometría multimodal, que hace practicamente imposible suplantar la identidad de una persona. En el video tenemos lectura de huella, geometría de la mano, reconocimiento del iris (o retina), la firma vocal, y el uso de una clave de acceso, la posibilidad de suplantar todos esos elementos a la vez, es, para todos los efectos prácticos, nula (claro que a un costo, al que sólo puede acceder una gran diseñadora de ropa para superheroes).
El hecho de que las huellas dactilares, en realidad, las impresiones dactilares, no son secretas no quita el hecho de que éstas son un datos personales.
Esta aclaración es necesaria, porque Michael Chertoff, Secretario de Seguridad Interior de Estados Unidos, ha dicho que las huellas dactilares no son datos personales, y tal como dice Schneier es porque confunde datos secretos, con datos personales.
Ustedes no se confundan.
El Problema
"Internet fue construida sin una manera de saber quien se conecta y a que se conecta."
El trabajo de parchar
Dado que la capacidad de identificar a las personas no está construida en la internet todo aquel que ofrece un servicio en internet tiene que resolver el problema de alguna manera. Podemos decir que la capa de identidad que le falta a internet constituye una amalgama de parches que resuelven el problemas de controlar la identidad de las personas.
A medida que la web crece la necesidad de identificar se hace más necesaria, y siempre nos topamos con distintos tipos de verificación de identidad, cada uno creado y adaptado a distintas necesidades. Millones de personas han aprendido a acpetar que cualquier cosa que un sitio web les pida es la "forma normal" de conducir los negocios en línea. Han sido entrenados para ingresar sus nombres, claves secretas e información de identificación personal en cuanto formulario de entrada que se les presenta en pantalla.
No hay una plataforma consistente y comprensible que les permita a los usuarios evaluar la auntenticidad de los sitios que visitan, y no tienen una manera segura de saber que la información privada que están entregada no será entregada a terceros que la usen en forma ilegítima. Al mismo tiempo los usuarios no tienen a su disposición una plataforma para controlar, e incluso recordar los diferentes aspectos de su existencia digital.
Crimininalización de la internet
La gente ha comenzado a usar internet para manejar e intercambiar cosas de gran valor crecientemente. Esto no ha pasado inadvertido por el mundo criminal que entiende la naturaleza y vulnerabilidades del parchado de identidades, y las maneras de explotarlas. Estas fuerzas criminales se han profesionalizado y organizado a nivel internacional.
Los individuos son engañados para que entreguen información financiera y bancaria a través de mecanismos de "phishing" que aprovechan la incapacidad de los usuarios de saber con quién están tratando. También son inducidos a instalara inadvertidamente "spyware" que reside en sus computades y que cosecha información en prolongados ataques de "pharming". Otros esquemas tienen como objetivo las bases de datos corporativas, gubernamentales y educacionales, que contienen vastas cantidades de identidades, y son existosos en la obtención de cientos de miles de identidades en una pasada. Existen organizaciones criminales que adquieren estas identidad y las revenden a nuevas generaciones de innovadores expertos en usarlas para robar tanto como sea posible en el menor tiempo. El carácter internacional de estas redes las hace difíciles de penetrar y desmantelar.
Se cree que el "phishing" y "pharming" están entre los segmentos de mayor crecimiento en la industria de la computación, con una tasa de crecimiento compuesta anual del 1000%.
nual compound growth rate (CAGR) of 1000%. (Por ejemplo, el reporte del Anti-Phishing Working Group titulado “Phishing Activity Trends Report” de Febrero de 2005 cita un crecimiento anual en sitios de phishing entre julio y febrero del 26% por mes, lo que representa un crecimiento compuesto anual de 1600%) Sin un cambio significativo en cómo hacemos las cosas esta tendencia continuará.
Es esencial mirar más allá de la situación actual, y entender que si las dinámicas actuales continuan sin revisar nos dirigimos a una profunda crisis: la naturaleza ad hoc de la identidad en internet no puede hacer frente al asalto creciente de los atacantes profesionalizados.
Una crisis profunda de este tipo puede significar que la internet podría comenzar a perder credibilidad y aceptación para las transacciones económicas cuando debería ser al contrario. Pero aparte del peligro de volver atrás, necesitamos entender los costos de no avanzar. La ausencia de una capa de identidad es uno de los factores limitantes del asentamiento definitivo de del ciberespacio.
Más aún, la ausencia de una fábrica unificada y racional de identidades evita que alcancemos los beneficios de los servicios web.
Traducción libre de Las Leyes de La Identidad, por Kim Cameron.
Somark Innovations una empresa norteamericana está implementando un sistema para marcar animales con un tatuaje que puede ser leido con un lector propietario de altas frecuencias, es un RFID pero sin necesidad de un chip especial.
Esta empresa ha anunciado que sus pruebas de campo con ganado han finalizado.
El mercado inicial para este tatuaje es la trazabilidad de ganado, especialmente para controlar la infección de animales con el mal de las vacas locas. Por supuesto después se puede aplicar para animales de laboratorio, mascotas, etc.
Los tatuajes son bio compatibles, no contendrían metales y la carne de las vacas expuestas a este tatuaje sería tan buena para hacer hamburguesas como cualquier otra.
Aparentemente es una tinta especial, y cuando se marca cada animal se genera un patrón único, que permite identificar cada individuo sin problemas.
De ahí a marcar humanos, estamos a un paso, por ejemplo a los militares, era que no, les interesa, imaginen lo feliz que sería un general si pudiera ver en pantalla donde se encuentra desplegadas cada una de sus tropas. Si quiere saber donde está el Sargento Kowalsky, basta con realizar una búsqueda, y listo.
Un gobierno totalitario podría comprar esta tecnología para vigilar a sus ciudadanos, y hasta podría ser una buena alternativa para reemplazar a la tarjeta bip del transantiago.
Algunos más religiosos nos recordarán el Libro del Apocalipsis 13:17: "y que ninguno pudiera comprar ni vender, sino el que tuviera la marca o el nombre de la bestia.."
Glup, elegí una mala época para ser ateo...
La conjunción de Biometría con Criptografía ha dado un nuevo paso con la publicación del paper Fuzzy Vault for Fingerprints por U. Uludag, S. Pankanti y A. Jain. del Michigan State University Biometrics Research Group.
Esencialmente el algoritmo oculta una llave de 128 bits en una nueva estructura, el fuzzy vault, un almacén virtual que no contiene la llave en sí, sino que los coeficientes de un polinomio, que sólo puede ser reconstruido con la adquisición de las minucias de las huellas.
El siguiente es un diagrama del algoritmo (haz click en él para verlo en detalle):
.
Una descripción en inglés se puede leer en darksideprogramming.
La buenas prácticas de la biometría deben asegurar que:
1.- La muestra sólo puede ser capturada una vez, esto se llama biometría cancelable. Un avance en el area fue desarrollado por la gente de IBM.
2.- La base de datos debe almacenar las características biométricas de una manera segura. Esto se logra usando criptografía y muchas técnicas conocidas para prevenir el tampering (alteración no autorizada).
3.- Asegurar que se está capturando una muestra biométrica viva. Actualmente tenemos sensores que pueden sentir huellas dactilares vivas, leer el pulso, temperatura, etc.
Recuerda que la biometría es parte de la ecuación de la seguridad, se debe combinar con claves, tokens y otros elementos de seguridad.
O aún mejor, es tener biometría multi modal...
(esta es una traducción de mi artículo sobre el tema en darksideprogramming).
