You are on page 1of 48

Sistemas biométricos

Carlos Fernando Acosta Londoño


2011/03/31
Contenido

● Introducción.
● Funciones básicas.
● Usos.
● Procesos.
● Tecnologías biométricas.
● Componentes de una solución.
● Parámetros y características.
Fuente: www.fullissue.com
● Conclusiones.
Introducción

● Desde los principios de la seguridad, se


define 3 factores para autenticar a una
persona por:
 Lo que sabe (Ej: Contraseña).
 Lo que tiene (Ej: Una tarjeta).
 Lo que es (Biometría).
● El objetivo es explorar el tercer factor.
¿ Que funciones provee
la biometría?
● Identificar a una persona (¿Quién es?).
● Autenticar a una persona (¿Si es quien
dice ser?). Para esto se puede usar
como:
 Único factor.
 Segundo factor.
¿Para qué la puedo
usar?
● Control de acceso en sistemas informáticos.

● Control de acceso físico.

Fuentes: www.hp.com, cacm.acm.org, www.hitachi.com, www.articlesbase.com,


www.stargroup-sd.com
¿Para qué la puedo
usar?
● Identificación de personas (Justicia y otras
aplicaciones).

● Control de horas laborales.


● Cumplimiento de regulaciones.

Fuente: www.securenation.org
Macro procesos

● Los sistemas biométricos permiten tres


procesos:
● Enrolamiento: Se almacena el template con el que
se compararan las futuras mediciones.
● Identificación: Relación de uno a muchos.
● Autenticación: Relación de uno a uno.

Fuente: ANSI X9.84-2010


Enrolamiento

1.Capturar datos biográficos.


2.Capturar datos biométricos.
3.Evaluar la calidad de los datos biométricos
capturados y recapturarlos de ser necesario.
4.Verificar la identidad de la persona de ser
posible (es muy importante).
5.Almacenar el template para su uso como
referente.

Fuente: ANSI X9.84-2010


Proceso de
identificación
1.Capturar los datos biométricos.
2.Evaluar la calidad de los datos biométricos
capturados y recapturarlos de ser necesario.
3.Procesar los datos capturados.
4.Hacer la relación entre la muestra tomada y la
muestra almacenada previamente durante el
enrolamiento.
5.Identificar al usuario enviando los datos
biográficos a la aplicación.
Fuente: ANSI X9.84-2010
Proceso de
autenticación
1.Capturar los datos biográficos.
2.Capturar los datos biométricos.
3.Evaluar la calidad de los datos biométricos capturados
y recapturarlos de ser necesario.
4.Procesar los datos capturados.
5.Hacer la relación entre la muestra tomada y la
muestra almacenada previamente durante el
enrolamiento.
6.Enviar a la aplicación la respuesta de la autenticación,
que solo debe ser un valor booleano (es o no es).
Fuente: ANSI X9.84-2010
Punto clave del
proceso
● El punto clave del proceso es el enrolamiento.
Allí se debe verificar que la persona enrolada sí
sea quien dice ser.
● Cuáles son los mecanismos para lograr esto:
 La persona que enrola debe tener la autorización.
 Expertos en control documental.
 Búsqueda de duplicados en la base de datos local.
 Comparación con la cédula.
 Identificación con una base de datos centralizada.
La Registraduría

● Los dos últimos ítems de la diapositiva anterior


tienen “solución” en Colombia, y es la
Registraduria.

Fuente: www.capitalcolombia.com
Tecnologías
biométricas
● Medición de huella digital.

Fuentes: www.computer.kluego.com, www.kimaldi.com


Tecnologías
biométricas
● Geometría de la mano.

Fuentes: www.directindustry.es/prod/zalix-biometrie/, www.sysadd.com/


Tecnologías
biométricas
● Distribución venosa (Vascular Patterns) de las
manos.

Fuentes: www.computer.kluego.com, www.howstuffworks.com, www.hoytecnologia.com,


www.wordpress.com
Tecnologías
biométricas
● Distribución venosa del dedo.

Fuentes: www.hitachi.com, www.sony.com, www.engadget.com,


Tecnologías
biométricas
● Retina.

● Iris.

● Reconocimiento facial.

Fuentes: www.questbiometrics.com, www.homepagedaily.com, news.bbc.co.uk


Tecnologías
biométricas
● Reconocimiento de voz.

● Mecanografía.
● Lectura de firma.
Comparación de
tecnologías

Fuente: Hitachi America


Procesamiento de las
muestras
● Las muestras biométricas son procesadas extrayendo lo que se
conoce como minucias o características. Dependiendo de la
muestra se tiene un número de características y se considera que
mientras más se tenga mejor.
● Los sistemas biométricos pueden obtener varias muestras en el
enrolamiento y sumar las características de estas para crear un
template mejor.
● Algunos sistemas detectan cuando un template nuevo es de mejor
calidad que el almacenado y lo reemplazan.
● El formato estándar para el almacenamiento de templates es el
ISO 19794-2.

Fuentes: www.graycelltech.com,
Realidad para Colombia

● Como se vio anteriormente, la Registraduría


usó como muestra biométrica la huella. Por
esta razón, si se quiere hacer uso de su
servicio, las muestras biométricas deben ser
compatibles, es decir, huellas.
Enrolamiento en
Colombia
En Colombia, lo ideal es almacenar:
● Una foto de la persona con buena resolución, para
ser usada en el futuro en la extracción de un
template de reconocimiento facial.
● Imagen de la huella en caso de que se requiera
reconstruir el template (Compresión en WSQ ).
● Imágenes de la cédula, el anverso y el reverso, que
contienen el código bidimensional, una imagen
binarizada de la huella y los datos biográficos. Esta
información puede ser usada posteriormente.
Diagrama general de
componentes

D isp o sit iv o S e r v id o r d e B a se d e
PC
B io m é t r ic o a p lic a c i ó n d a to s

V a li d a c ió n
e xt e r n a
Diagrama general de
componentes
funcionales
A p lic a c ió n
o b je t i v o

A u t e n t ic a c i ó n e i d e n t i fi c a c ió n

To m a d e E xt r a c c i ó n d e
C o m p a r a c ió n A lm a c e n a m ie n t o
m u e st r a c a r a c t e r í st i c a s

E n ro la m ie n to

To m a d e E xt r a c c i ó n d e V e r i fi c a c i ó n
m u e st r a c a r a c t e r í st i c a s d e id e n t i d a d
Dispositivo biométrico
● El dispositivo biométrico se encarga
de tomar la muestra biométrica que
luego se procesa para extraer las
características.
● El dispositivo se encuentra
conectado a otro sistema encargado
de hacer la conexión con el resto de
la solución y que normalmente es
un computador.
● El dispositivo debe tener un ID que
lo identifique en el sistema, y que al
ser validado evita el uso de
dispositivos
Fuentes: www.gizmos.es no autorizados.
www.graycelltech.com,
Dispositivo biométrico

● El dispositivo puede contar con un sistema que evite


el synthetic attack. En el caso de la huella se le llama
detección de dedo vivo.
● El dispositivo debe firmar las muestras o templates,
para garantizar el no repudio y la integridad de los
datos.
● El dispositivo debe cifrar los datos transferidos para
evitar la captura de la información.
● Se puede añadir una marca de tiempo a los templates
que evita ataques tipo Replay.
Dispositivo biométrico

● Los dispositivos deben incluir idealmente


mecanismos anti-tampering que incluyen:
● Envío de alarma de intrusión al ser manipulado.
● Borrado de datos.
● Evidencia de modificación (etiquetas y tintas
especiales).
Escenarios en el uso de
los dispositivos
● Proceso desatendido:
En este caso se requiere tomar todas las
precauciones posibles, y por lo tanto se debe tratar
de tener los controles mencionados anteriormente.
● Proceso con acompañamiento:
En este proceso un atacante tiene menor
probabilidad de realizar un ataque y pueden no
tenerse en cuenta tantos controles, sin embargo es
necesario evaluar los riesgos.
Administración de
dispositivos
El sistema debe tener un módulo administrativo
centralizado que permita matricular dispositivos
biométricos y debe evitar el uso del sistema con
dispositivos que no estén matriculados.
Puntaje de
comparación y umbral
● El puntaje de comparación es la representación
numérica del grado de similitud entre dos
templates. La forma en que se calcula es
definida por el fabricante.
● El umbral es el valor o grado de similitud que
determina si hay una comparación exitosa.
Idealmente el umbral debe poder ser
configurado de forma centralizada, e inclusive
mediante perfiles dependientes de la población
y del tipo de dispositivo.
Puntaje de
comparación y umbral
● El puntaje de comparación no debe ser
expuesto, debido a que se puede realizar un
Hillclimbing Attack, que consiste en ir
modificando de forma controlada las
características de una muestra hasta obtener el
puntaje necesario.
Proceso de
almacenamiento
● El almacenamiento de los templates se lleva
acabo en una base de datos, que idealmente
debe cumplir con una línea base de
seguridad.
● Se debe proveer controles que eviten la
modificación no autorizada de los templates
en la base de datos.
● Los templates pueden ser almacenados
cifrados y firmados para garantizar la
integridad.
Logs de auditoria

● El sistema debe proveer logs que permitan


visualizar cuando se presentan los eventos,
desde donde se realizaron, por quién fueron
realizados, y demás datos que permitan
realizar una trazabilidad.
● Idealmente estos logs deben ser alimentados
por todos los componentes de la solución.
Decision Policy
● El umbral de comparación (threshold).
● El número de intentos permitidos por evento.
● Número de templates por persona.
● Número de muestras biométricas por cliente.
● Número de diferentes muestras biométricas obtenidas de
diferentes tecnologías.
● Uso de controles internos definidos en el proceso de
comparación.
● Modelos uso de continuo, en paralelo o por fusión del
sistema biométrico cuando se tienen múltiples templates (Ej:
Múltiples dispositivos biométricos).
Fuente: ANSI X9.84-2010
Características de un
sistema biométrico
● False Match Rate (FMR): Probabilidad de que un usurpador sea
reconocido como un usuario.
● Se puede traducir a probabilidad de fraude
● False Aceptance Rate (FAR): Es un término histórico equivalente al
FMR.
● False Non-Matching Rate (FNMR): Probabilidad de que se rechace un
usuario.
● Se puede traducir a quejas por parte de los usuarios (Mal servicio)
● False Rejection Rate (FRR): Es un término histórico equivalente al
FNMR.
● Equal Error Rate (ERR): Se da cuando el FMR es igual al FNMR. Es una
característica no parametrizable pero si muy representativa de un
sistema biométrico.

Fuente: ANSI X9.84-2010


Gráfico de las
características

FRR P r o b a b il id a d

FA R FRR

P u n to d e o p e r a c ió n
EER

FA R U m bral S e n sib i lid a d


Posibles ataques
A p l ic a c i ó n
A ta q u e tip o R e p la y e In t e r fe r e n c ia d e l a d e c isi ó n
o b je t i v o
i n t r o d u c c i ó n d e d a t o s f a lso s y fa ls a a c e p t a c i ó n

B io m e t r í a fa lsa M o d i fi c a c ió n d e l a
C a r a c t e r íst ic a
H u e lla l a t e n t e i n fo r m a c i ó n a a lm a c e n a r
b i o m é t r ic a si n t e t iz a d a

To m a d e E xt r a c c i ó n d e
C o m p a ra ció n A lm a ce n a m ie n to
m u e stra c a r a c t e r íst i c a s

R e u t il i z a c i ó n d e r e s id u o s M o d if i c a c ió n d e l t e m p la t e
e i n t e r fe r e n c i a e n e l
M o d i fi c a c i ó n d e l
p r o c e so d e e xt r a c c ió n
p r o c e so d e v e r ifi c a c i ó n

Fuente: www.nobosti.com/spip.php?article114
Posibles ataques

● Biometría falsa: Se usa algún mecanismo para


burlar el dispositivo biométrico.
● Huella latente: Se hace uso de la última huella
usada en el dispositivo.
● Ataque Replay: Se captura una muestra y se
inyecta después para lograr una autenticación.
● Inserción de datos falsos durante el enrolamiento.
● Uso de residuos: Se hace uso de residuos que
quedan en la memoria del dispositivo.

Fuente: www.nobosti.com/spip.php?article114
Posibles ataques

● Interferencia en el proceso de extracción: Se


modifica las características a conveniencia.
● Modificación en el proceso de verificación:
Cambios en el umbral para lograr una falsa
aceptación, entre otros.
● Modificación de información a almacenar: Se
puede comprometer desde un template hasta
la integridad de la base de datos.

Fuente: www.nobosti.com/spip.php?article114
Posibles ataques

● Modificación del template en la base de datos:


Se pueden añadir, modificar o reemplazar
templates a conveniencia del atacante.
● Interferencia en la decisión: Se puede inducir
una respuesta positiva al servicio objetivo
anulando el sistema biométrico y logrando así
una falsa aceptación.

Fuente: www.nobosti.com/spip.php?article114
Pros y contras de un
sistema biométrico
● Pros:
 La medida biométrica es única por persona, siempre y
cuando el sistema biométrico adquiera suficientes
características para garantizar unicidad en la población.
 Se evita en ocasiones el cargar con otros dispositivos
de identificación o tokens (Carnets, Tarjetas, etc).
 Los usuarios no pueden prestar sus credenciales,
como se hace con los tokens y las contraseñas.
Pros y contras de un
sistema biométrico
● Contras:
 La medida biométrica puede cambiar con el tiempo y
puede afectar servicios pensados a muy largo tiempo
(ej: La cédula Colombiana).
 No puede ser cambiada a voluntad del usuario (hay
soluciones a esto, pero son particulares a cada sujeto y
a la tecnología biométrica usada).
 Hay personas que no pueden hacer uso de los
sistemas biométricos debido a discapacidades,
enfermedades, actividades laborales, entre otros.
Conclusiones

● Los sistemas biométricos son una realidad.


● Se puede usar sistemas biométricos para
múltiples aplicaciones.
● Se presenta algunos de los factores decisivos
en la selección de un sistema biométrico.
● Se presenta los puntos a considerar desde el
punto de vista de seguridad para una solución
biométrica.
¿Preguntas?
Muchas gracias
a todos por su
atención y
asistencia
Contactos

Fabio León Henao González


mercadeo.ventas@fluidsignal.com
Móvil: +57 313 660 1911

Carlos Fernando Acosta Londoño


carlos.acosta@fluidsignal.com
Móvil: +57 300 611 0890
Cláusula Legal

Copyright 2010 Fluidsignal Group


Todos los derechos reservados
Este documento contiene información de propiedad de Fluidsignal
Group. El cliente puede usar dicha información sólo con el propósito de
documentación sin poder divulgar su contenido a terceras partes ya que
contiene ideas, conceptos, precios y estructuras de propiedad de
Fluidsignal Group S.A. La clasificación "propietaria" significa que ésta
información es sólo para uso de las personas a quienes esta dirigida. En
caso de requerirse copias totales o parciales se debe contar con la
autorización expresa y escrita de Fluidsignal Group S.A. Las normas que
fundamentan la clasificación de la información son los artículos 72 y
siguientes de la decisión del acuerdo de Cartagena, 344 de 1.993, el
artículo 238 del código penal y los artículos 16 y siguientes de la ley 256
de 1.996.

You might also like