SCA biométrico: sobre mitos y estereotipos.
SCA biométrico: sobre mitos y estereotipos
La implementación más activa de nuevas tecnologías biométricas se produce en los países de América del Norte y Europa, que representan el 62% del volumen del mercado de la industria. En Rusia también hay interés por las innovaciones biométricas, hay una dinámica positiva, pero aún quedan muchas preguntas y dudas que a menudo inducen a error e impiden hacer una elección informada sobre la tecnología de identificación. Iniciamos una conversación sobre este tema para intentar disipar una serie de ideas estereotipadas sobre los sistemas de control de acceso biométrico.
Como cualquier tecnología de identificación, los sistemas de control de acceso biométrico tienen sus ventajas y desventajas. Dado que esta tecnología es relativamente nueva, el ciudadano medio, y en ocasiones incluso los profesionales del campo de los sistemas de control de acceso, que pueden ser partidarios de otros métodos de reconocimiento personal o ver la biometría como un competidor directo, a priori son escépticos ante las nuevas Productos basados en tecnologías de identificación personal.
Veamos los juicios y fobias más comunes.
ESTEREOTIPO I — “LOS DATOS BIOMÉTRICOS PUEDEN SER ROBADOS”
Los desafíos del mundo moderno y los requisitos de seguridad dictan la necesidad de almacenar información que identifique al usuario en forma digital. Además, los datos deben almacenarse y transmitirse cifrados. Los modernos sistemas de control de acceso biométrico de los principales fabricantes, al leer los datos de identificación de una persona, los convierten inmediatamente en un código digital individual, que no se puede utilizar para restaurar los identificadores personales del usuario. Por tanto, la información sobre las huellas dactilares y otras características fisiológicas individuales permanece cerrada para todos. Si un atacante roba una plantilla cifrada, no le dará nada; no podrá utilizarla para acceder a un objeto protegido ni para transmitirla a terceros. Además, si el lector y el controlador están en ubicaciones diferentes, desconectarlos entre sí requiere un procedimiento de configuración del sistema posterior. Por eso es imposible sustituir un lector por otro sin el conocimiento del operador del sistema.
ESTEREOTIPO II — “EL IDENTIFICADOR BIOMÉTRICO PUEDE SER FALSIFICADO”
Nada es imposible en nuestro mundo. Lo más probable es que una persona que se proponga falsificar la geometría de la cara o el iris del ojo logre su objetivo. ¿Pero cuál será el precio de semejante “victoria”? Los sistemas profesionales de reconocimiento biométrico que desempeñan sus funciones de proporcionar y restringir el acceso están suficientemente protegidos contra la falsificación. Si hablamos de sistemas baratos, lo más probable es que no tengamos que hablar de falsificaciones, sino de errores en el propio sistema. En cualquier caso, es necesario juzgar la posibilidad de falsificación basándose en un fabricante de equipo específico (y ahora hay muchos) y no en la industria en su conjunto. Existen muchas soluciones que protegen los sistemas contra manipulaciones. Esto se logra a nivel de software y hardware. Existen, por ejemplo, sistemas que leen la diferencia de temperatura en la superficie y en el interior de una huella dactilar, y un sistema de este tipo ya no puede ser engañado por una plantilla.
ESTEREOTIPO III – “LOS SISTEMAS BIOMÉTRICOS TAMBIÉN CARO”
Es el viejo dilema de la relación calidad-precio. Si el cliente sólo necesita comodidad y no está especialmente preocupado por la seguridad, entonces puede contar fácilmente con sistemas a un precio que no supere los sistemas de control de acceso basados, por ejemplo, en tarjetas inteligentes. Si, además de la comodidad, también es necesario garantizar la seguridad, como uno de los componentes de los sistemas de control de acceso de alta calidad basados en biometría, el precio de adquisición de los equipos y, en el caso de algunos fabricantes, el software para los mismos, puede ser ligeramente superior y, a veces, significativamente superior (esto depende de las tecnologías de aplicación). Pero si tenemos en cuenta el costo de propiedad (operación) en comparación con los mismos sistemas de tarjetas, entonces teniendo en cuenta los costos de producción, reemplazo constante, recodificación, así como la transferencia de tarjetas de los empleados entre sí y, como Como resultado, las pérdidas para el empleador por retrasos y salidas anticipadas de los empleados, al menos, dan que pensar.
Aquí hay algunas cifras interesantes anunciadas en el portal biometrics.ru:
• Según la consultora Nucleus Research, dedicada a la investigación global de recuperación de la inversión, la implementación de sistemas biométricos de tiempo y asistencia proporciona ahorros anuales de hasta $1,000 por cálculo por empleado.
• La cadena de comida rápida McDonald's, que implementó un sistema biométrico de control de asistencia en Venezuela, logró ahorrar más del 20 por ciento de su nómina.
• Los estadounidenses perdieron 929 millones de dólares debido a que las contraseñas de las tarjetas de pago cayeron en manos de terceros.
• 5 mil millones de euros: el daño causado al banco Société Générale por su director Jerome Kerviel, que utilizó las contraseñas de sus colegas en su fraude
• 90 millones de euros: la cantidad que Jagmeet Channa intentó robar del banco HSBC utilizando contraseñas robadas
• Según un estudio sociológico de Unisys, el 68% de los clientes en el mundo prefieren que los bancos, sistemas de pago y agencias gubernamentales utilicen biometría en lugar de contraseñas y tarjetas para identificarse.
ESTEREOTIPO IV – “LOS SISTEMAS BIOMÉTRICOS NO SON CONFIABLES”
La desconfianza se puede dividir en dos componentes. Falta de confianza en el hardware de los sistemas y en el módulo de software.
En cuanto al equipo, es necesario tener en cuenta al fabricante. La relación calidad-precio aún no ha sido cancelada.
En cuanto a la parte del software: una de las primeras preguntas que nos hacen (aunque sea por parte de clientes finales y no de profesionales en el campo de los sistemas de control de acceso) — ¿Qué pasará si se corta la electricidad? La respuesta es obvia: al igual que con otros dispositivos eléctricos, el sistema no funcionará. Por supuesto, se debe proporcionar un sistema de energía de respaldo, como para el ACS de “tarjeta”. Aunque en el caso de clientes particulares, es posible dotar de cerradura con capacidad de apertura con llave. Esto es inaceptable para clientes corporativos, porque… La presencia de una «llave maestra» en el sistema reduce drásticamente la seguridad.
Si hablamos de protección contra el vandalismo, debemos separar el método de identificación. En un sistema basado en el contacto humano con el lector, es poco probable que éste pueda ocultarse tras un cristal blindado. En consecuencia, existe acceso físico al equipo. Si se utilizan huellas dactilares y un escáner óptico, entonces es posible utilizar dicha protección, pero esto afectará a otro parámetro: la posibilidad de falsificar una huella digital. Si el lector, por ejemplo, además de leer parámetros individuales, captura indicadores de temperatura, entonces no hay forma de evitar el contacto humano directo con el dispositivo. Los fabricantes tienen diferentes enfoques ante este problema. Algunos producen sistemas con una estructura que, incluso si el lector está dañado, elimina la posibilidad de manipulación, ya que el actuador se ubica dentro del objeto protegido (con acceso limitado al mismo por parte de personas con derecho a acceder al propio local). Cuando se utilizan sistemas donde el controlador y el lector están en el mismo “caso”, existe el riesgo de intrusión por parte de un atacante. La construcción más segura de la estructura es cuando incluso el fallo del lector no permite la penetración en el perímetro protegido. Éste parece una cerradura con una cerilla insertada en el cilindro.
El criterio para el funcionamiento de alta calidad de cualquier sistema biométrico que toma la decisión de conceder o denegar el acceso basándose en la naturaleza probabilística de la obtención de información son dos características técnicas:
• FAR (tasa de aceptación falsa) — probabilidad de acceso no autorizado (error tipo I), expresada en porcentaje, el número de personas no autorizadas admitidas por el sistema;
• FRR (tasa de falsos rechazos) — la probabilidad de una detención falsa (error tipo II), expresada en porcentaje, es el número de veces que el sistema niega el ingreso a personas autorizadas.
Los valores de estos parámetros varían y dependen de fabricantes y tecnologías. También debes prestar atención a la velocidad de reconocimiento. Si es lento, entonces el sistema será al menos incómodo de usar.
Al cambiar la sensibilidad de los instrumentos de análisis, se puede influir en la magnitud de un error en particular. Pero debes saber que al reducir la magnitud de un error, invariablemente aumentamos la magnitud del segundo. El más importante es el error del primer tipo, ya que es este el que caracteriza la seguridad del sistema frente a accesos no autorizados. El error de tipo II afecta principalmente al rendimiento y la usabilidad.
La identificación en sistemas biométricos responde a la pregunta «¿Quién soy yo?» Con una base de datos de plantillas suficientemente grande, la magnitud de los errores aumenta invariablemente. Si el fabricante dice que se pueden registrar 50 mil usuarios en la base de datos, es muy importante conocer la magnitud de ambos errores antes de decidirse a utilizar este tipo de sistemas.
Cuando se utilizan datos biométricos en instalaciones con mayores requisitos de seguridad, se deben utilizar junto con identificadores adicionales. Podría ser un código, una tarjeta, etc. En este caso, se identifica al empleado y luego, mediante datos biométricos, se confirma o se autentica, respondiendo a la pregunta: “¿Soy realmente quien digo que soy?”
En el caso de la autenticación, los parámetros del sistema biométrico cumplen en mayor medida los requisitos de mayor seguridad.
ESTEREOTIPO V – “EL SISTEMA BIOMÉTRICO ES UNA CERRADURA”
Mucha gente que habla de la posibilidad de utilizar la biometría para el control de accesos lo identifica con un actuador. En pocas palabras, creen que el lector es un candado. En realidad esto no es cierto. La biometría realiza la función de una clave (o contraseña, si se utiliza en el campo de la tecnología de la información). Ella toma dos decisiones críticas: conceder el acceso o denegarlo. Por ejemplo, si el sistema reconoce a una persona, pero tiene prohibido entrar al local a una hora determinada, el sistema debería denegarle el acceso. La función de bloqueo la realiza un actuador. Si hablamos de sistemas de control de acceso, entonces puede ser una cerradura banal (electromagnética, electromecánica, electromotor, cerradero eléctrico, cilindro digital, etc.), portones eléctricos, portones, ascensores, torniquetes, sistemas de intercomunicación, sistemas de domótica, alarmas. sistema, cajas fuertes, etc.
En algunos casos, es posible utilizar la biometría como una herramienta puramente lógica, por ejemplo, a la hora de registrar las horas de trabajo (aunque sin introducir restricciones de acceso, este proceso depende del factor humano). Los empleados simplemente marcan su llegada, no se realizan acciones físicas. El actuador simplemente no está presente en el sistema. En la etapa de discusión del proyecto con el cliente, los gerentes competentes deben advertirle que tales decisiones lo privan de una de las principales ventajas de la biometría: la individualidad del identificador en el sistema de control de acceso. Después de todo, un empleado que sale por asuntos personales durante el horario laboral no puede realizar el check-in en la terminal. En resumen, podemos llamar claves a los sistemas biométricos.
ESTEREOTIPO VI – LA BIOMETRÍA SÓLO PUEDE UTILIZARSE EN INSTALACIONES INDUSTRIALES O MILITARES
Los sistemas modernos son tan diversos que pueden satisfacer las necesidades tanto de la gente corriente del sector privado como de las grandes industrias y corporaciones. Los sistemas de gestión y control de acceso biométrico se instalan actualmente en escuelas, universidades, edificios industriales e instituciones financieras, allí donde se requiere un alto nivel de seguridad y una buena funcionalidad. El costo moderado de los sistemas, sus parámetros técnicos, las soluciones de hardware, junto con los nuevos métodos de procesamiento y salida de datos, permiten su uso en oficinas medianas y pequeñas. La cuestión es elegir un identificador.
Si el cliente es un particular, es poco probable que se sienta cómodo con la tecnología de reconocimiento de retina, y si es probable que la empresa tenga las manos muy contaminadas, entonces no se pueden utilizar todas las tecnologías de identificación de huellas dactilares, pero el reconocimiento mediante geometría manual es bastante apropiado. Actualmente, la tecnología más común se basa en la toma de huellas dactilares. Ocupa alrededor del 60% del mercado biométrico, y con razón. Luego viene la tecnología de “reconocimiento facial”. Su participación, aunque significativamente menor, crecerá.
ESTEREOTIPO VII – SOBRE LA COMPATIBILIDAD DE LOS SISTEMAS BIOMÉTRICOS CON HARDWARE DE OTROS FABRICANTES
A pesar de que diferentes fabricantes utilizan diferentes protocolos al transmitir datos, es posible convertir una señal de su protocolo a uno más común. Y toda la información necesaria permitirá que el sistema de control de acceso biométrico forme parte, por ejemplo, de un sistema de control de acceso «con tarjeta» ya existente. Lo mismo puede decirse de la producción de información. Ahora no hay problemas para integrar un programa en otro.
Y no nos olvidemos de la principal e innegable ventaja de los sistemas de control de acceso biométrico: un identificador personal y único que no se puede transferir, robar, perder ni olvidar. Ésta es la diferencia fundamental entre estos sistemas y las tarjetas, claves y contraseñas inteligentes habituales. Por supuesto, pasará algún tiempo antes de que la biometría se convierta en algo común. Pero las tendencias de los últimos años confirman que se trata de una cuestión de futuro próximo.
________________________________
Konstantin Novikov,
director comercial de la empresa
“EkeyRus sistemas biométricos”