INCIBE: Tu ayuda en Ciberseguridad
Asesoramiento para administradores de sistemas de TI sobre el uso de autenticación biométrica en teléfonos inteligentes, tabletas, computadoras portátiles y computadoras de escritorio.
La biometría son características biológicas de un individuo, como el rostro o la huella dactilar, que se pueden utilizar para verificar su identidad.
El uso de huellas dactilares o reconocimiento facial para la autenticación de dispositivos es ahora común en teléfonos inteligentes y tabletas. También está cada vez más disponible en portátiles. Esta guía presentará los beneficios del uso de datos biométricos y, al mismo tiempo, destacará los posibles riesgos de seguridad.
¿Por qué utilizar la biometría?
En teléfonos inteligentes, tabletas, computadoras portátiles y de escritorio, la autenticación es el método principal para verificar la identidad de un usuario y protegerse contra el acceso no autorizado.
El uso de datos biométricos en dispositivos móviles se está volviendo cada vez más común, ya que los modelos de teléfonos inteligentes más recientes tienen al menos un mecanismo incorporado para la autenticación biométrica, más comúnmente reconocimiento facial o de huellas dactilares. Estos pueden ofrecer una alternativa segura y conveniente a las contraseñas o PIN.
Sin embargo, todavía existen vulnerabilidades en los sistemas biométricos, incluida la suplantación de datos biométricos o los ataques contra los propios sistemas y dispositivos.
Preparándose para la biometría
Los métodos más comunes de autenticación biométrica en teléfonos inteligentes, tabletas, PC y computadoras portátiles son el reconocimiento facial y de huellas dactilares. Otros ejemplos incluyen el reconocimiento de iris, venas o voz.
¿Cómo trabajan?
La biometría funciona de una manera ligeramente diferente a algo como un PIN o una contraseña. En el caso de un PIN o una contraseña, un sistema de control de acceso comparará el valor almacenado con el ingresado por una persona. Si son idénticos, se otorgará acceso.
Sin embargo, en el caso de la biometría, no hay dos capturas de datos biométricos que puedan producir resultados verdaderamente idénticos. Entonces, la verificación de la identidad de un usuario no es una simple comparación. En cambio, los datos biométricos capturados al iniciar sesión se comparan con los datos biométricos registrados, almacenados en el dispositivo. Luego, el sistema juzga si estos dos datos biométricos son lo suficientemente similares para ser la misma persona.
Las muestras almacenadas normalmente se mantienen de tal manera que no se pueden revertir para reproducir el rostro original o la huella dactilar que se registró inicialmente.
¿Cuales son los beneficios?
La autenticación biométrica en los dispositivos puede ofrecer un beneficio significativo.
La mayoría de los usuarios ya están muy familiarizados con la autenticación biométrica para el desbloqueo de dispositivos, por lo que la facilidad de uso del sistema probablemente hará que la aceptación sea alta.
La biometría también puede proporcionar una alternativa segura a las contraseñas y, en la mayoría de los casos, es mucho más conveniente que las contraseñas, particularmente en la mayoría de los teléfonos inteligentes modernos.
En los teléfonos inteligentes, la contraseña del dispositivo sigue siendo necesaria como alternativa. Sin embargo, debido a que las contraseñas se ingresarán con mucha menos frecuencia, las organizaciones pueden hacer cumplir las contraseñas más complejas sin causar una gran caída en la usabilidad.
En algunos dispositivos y sistemas operativos, la biometría puede reemplazar las contraseñas por completo. Windows Hello para empresas , por ejemplo, permite el uso de datos biométricos para proteger el acceso a claves criptográficas protegidas por hardware. Este sistema proporciona autenticación empresarial multifactor sin contraseña en Windows, Active Directory o Azure Active Directory.
¿Cuáles son los riesgos?
Al igual que con cualquier mecanismo de autenticación, la biometría puede tener vulnerabilidades y existen métodos de ataque comunes. Algunos de los riesgos que debe considerar son los siguientes:
Ataques de presentación
Un ataque de presentación implica un intento por parte de un impostor, utilizando un artefacto de algún tipo, de hacerse pasar por un usuario válido. Los dispositivos modernos suelen incluir protecciones adicionales, como controles de "vida", para evitar que este tipo de ataque funcione. Además, solo se permite una pequeña cantidad de intentos de autenticación biométrica antes de que se deba ingresar un PIN o contraseña, lo que protege contra ataques de fuerza bruta.
En algunos casos, se ha demostrado que existen debilidades en la biometría de los teléfonos inteligentes. Los ejemplos incluyen el reconocimiento facial que no prueba el estado de alerta , lo que hace posible que un dispositivo se desbloquee mientras un usuario está dormido o tiene los ojos cerrados. Debe investigar estas debilidades al elegir usar biometría o al elegir qué dispositivos usar en su organización .
Repetir ataques
Si se puede capturar o robar una muestra de datos biométricos de un dispositivo, es posible que sea posible reproducirla para autenticarse en el dispositivo. La mayoría de los dispositivos modernos están bien protegidos contra este tipo de ataque.
Mecanismos de retroceso
Antes de que un usuario pueda registrar un biométrico en un dispositivo móvil, se debe establecer un PIN o una contraseña. Esto se utilizará en situaciones en las que falle la autenticación biométrica. La seguridad de este mecanismo y las políticas de seguridad asociadas con él deben ser lo suficientemente fuertes como para proteger el dispositivo por sí mismo. De lo contrario, los atacantes pueden obligar al dispositivo a recurrir a esta alternativa más fácil de adivinar o forzar.
Actuación
En la mayoría de los dispositivos móviles de hoy, la tasa de aceptación falsa esperada suele ser inferior a uno en mil.
Como ejemplo, Apple informa que la probabilidad de que una persona al azar pueda desbloquear su iPhone o iPad usando Face ID es menos de 1 en 1,000,000. Sin embargo, al evaluar las métricas de rendimiento publicadas por el fabricante, debe tenerse en cuenta que generalmente se basan en condiciones de prueba óptimas, por lo que es posible que no se puedan lograr en condiciones del mundo real.
Intimidad
Los datos biométricos se clasifican como información de identificación personal y, por lo tanto, están sujetos a regulaciones, como GDPR. En los dispositivos, se debe obtener el consentimiento explícito para usar datos biométricos, ya que el usuario debe elegir inscribir un dispositivo biométrico.
En el caso de las funciones de autenticación biométrica integradas, el procesamiento y la captura de datos también se suelen realizar en su totalidad en el dispositivo. Por ejemplo, no se realizará una copia de seguridad de los servicios en la nube integrados . Si está utilizando aplicaciones de terceros que implementan un paso de autenticación biométrica por separado, debe investigar cómo se protegerán esas plantillas biométricas.
Cómo utilizar la biometría
A menos que tenga usuarios específicos con un riesgo de ataque físico particularmente alto, recomendamos que se habilite la biometría para los usuarios que deseen utilizarlos. Más específicamente, al usar datos biométricos en dispositivos, debe:
Evalúe los riesgos de seguridad, la privacidad y el rendimiento de la biometría en función de las consideraciones anteriores. La documentación del fabricante puede ayudar con esto, así como también investigar las vulnerabilidades publicadas en los dispositivos particulares que tiene la intención de utilizar .
Proporcione orientación a sus usuarios sobre el uso de datos biométricos, riesgos de seguridad y la política de seguridad asociada.
Cuando sea necesario y si es posible, utilice la Gestión de dispositivos móviles (MDM) para gestionar el uso de datos biométricos de acuerdo con la política de autenticación de su organización . Puede encontrar una guía más detallada para sistemas operativos particulares en la guía específica de la plataforma NCSC .
Asegúrese de que los mecanismos de reserva adecuados, como el PIN o la contraseña del dispositivo, estén configurados y se apliquen las políticas de seguridad, si es posible, mediante MDM .
Fecha actualización el 2021-07-05. Fecha publicación el 2021-07-05. Categoria: ciberseguridad Autor: Oscar olg Mapa del sitio Fuente: ncsc