Inicio / Blog / Patrones biométricos y autenticación dinámica

Patrones biométricos y autenticación dinámica

Publicado el 10/06/2015, por Antonio López (INCIBE)
Biometría

Autenticación multi-factor y biometría

Hoy en día, nuestras vidas se encuentran rodeadas de sistemas electrónicos cuyo acceso se protege habitualmente con métodos de autenticación simples: uso de contraseñas, pin o patrones. Estos mecanismos tradicionales de autenticación son en general vulnerables a ataques de ingeniería social, spyware, ataques de fuerza bruta y diccionario que han forzado el desarrollo de métodos más robustos.

 

Partiendo del uso básico de contraseñas, la evolución de los mecanismos de autenticación ha traído grandes mejoras con la incorporación de los elementos multi-factor a la hora garantizar la identidad de un usuario. Concretamente, el uso de la biometría es uno de los factores, que buscando aglutinar comodidad del usuario y la seguridad, ha crecido con fuerza como elemento complementario en el mecanismo de autenticación pero que, en absoluto, debe contemplarse como un factor único en el proceso.

Los métodos de autenticación multi-factor se basan en provisionar dos o más vías independientes a la hora de identificar un usuario. Generalmente se utilizan los siguientes criterios para escoger los factores requeridos:

1. Algo que se conoce: contraseña, pin, patrón...

2. Algo que se tiene: móvil, token de seguridad...

3. Algo que eres: biometría (iris, huella dactilar...)

- Token de seguridad -

En complemento a los tres criterios principales para escoger un factor de autenticación, la biometría contribuye de nuevo a definir otro criterio basado en comportamientos y patrones biométricos dinámicos, es decir, algo inherente al individuo pero que se analice de forma continua durante la sesión. La verificación dinámica nos introduce un nuevo criterio:

4. Algo que haces o comportamiento habitual: biometría dinámica

Algunos factores de autenticación dentro de este último criterio podrían ser por ejemplo, comportamientos de navegación, movimientos del ratón, uso del teclado o gestos en dispositivos táctiles e incluso ubicaciones físicas del individuo en determinados arcos temporales.

Por otra parte, utilizando estos métodos de biometría dinámica la autenticación del usuario puede no limitarse exclusivamente al momento puntual de la solicitud de acceso o login, sino que el comportamiento reflejado durante la sesión será contrastado continuamente con los patrones esperados y almacenados para detectar cualquier discrepancia que delatase una suplantación del usuario legítimo.

Biometría y autenticación continua

El análisis de parámetros dinámicos como las pulsaciones al utilizar un teclado o de los gestos al usar dispositivos táctiles, son ejemplos de uso de la biometría en un proceso dinámico y continuo de identificación.

Estos mecanismos siguen un esquema de análisis en tiempo real que monitoriza pulsaciones de teclado o gestos táctiles del usuario que son contrastados con patrones previamente registrados. Estos registros almacenan varios parámetros que caracterizan los patrones de comportamiento esperados para cada individuo tales como como la velocidad de tecleo, pausas, tiempo que se mantienen pulsadas las teclas, presión, etc.

- Movimientos gestuales en dispositivos táctiles como vía de identificación -

El análisis dinámico de patrones de comportamiento aporta una interesante funcionalidad al monitorizar de forma continua la identificación del individuo. Así tras la autenticación inicial del individuo, se cubre la posibilidad de que, en un momento abandono o desatención, una sesión iniciada pueda ser retomada por otra persona con acceso cercano. Por otra parte, este tipo de autenticación aporta gran comodidad al usuario al que le bastará con trabajar de forma habitual para ser identificado.

La autenticación dinámica ¿un método fiable?

Numerosos estudios demuestran que el uso de la dinámica de pulsaciones debe aplicarse en entornos favorables y bajo condiciones específicas para que su precisión sea aceptable. Esto es así, porque existen factores que pueden interferir con la monitorización de pulsaciones como los distintos tipos de teclados y el modo escogido para la monitorización.

Existen también métodos estáticos de análisis de pulsaciones, donde se solicita al usuario teclear un texto fijo seleccionado en el momento del registro de la cuenta, texto que será solicitado al iniciar sesiones posteriores. Esta modalidad sin embargo, perjudica la usabilidad y suele emplearse para fortalecer la autenticación por contraseña. Por contra, los modos dinámicos funcionan de forma continua durante la sesión y resultan mucho más cómodos para el usuario, al trabajar de forma transparente para el mismo.

Precisión

La evaluación de la precisión de un sistema biométrico se determina a partir de tres parámetros de error:

  • Media de aceptación de usuarios falsos o FAR (del inglés, False Acceptance Rate): el porcentaje de usuarios falsos que el sistema autoriza.
  • Media de rechazos erróneos o FRR (del inglés, False Reject Rate): Porcentaje de usuarios legítimos rechazados
  • Igual porcentaje de error o EER (del inglés Equal Error Rate): la media en la cual el FAR es igual al FRR

- Evaluación de un mecanismo continua de autenticación en móviles- Fuente: An Experimental Study on Smartphones. Universidad de Honk Kong

Las conclusiones obtenidas en estudios de evaluación del rendimiento en sistemas biométricos dinámicos (pulsaciones de teclado, gestos táctiles, etc.), muestran que las medias de error están ligeramente por encima de otros criterios estáticos como la huella dactilar. Sin embargo, un método continuo que monitoriza durante toda la sesión la identidad de un individuo cubre la circunstancia de proteger acceso a sesiones desatendidas.

Futuro de la biometría

La biometría y concretamente los métodos dinámicos basados en comportamiento se presentan como opción de futuro muy interesante, en especial en el entorno de los dispositivos táctiles donde el análisis de movimientos gestuales como la escritura manual, las pulsaciones y las acciones de pellizcar o desplazar son parámetros muy específicos que contribuyen a dotar de mayor precisión y fiabilidad la identificación de un individuo.

Esta riqueza de factores de entrada es aún mayor cuando de dispositivos móviles se trata, donde se cuenta además con cámaras, sensores de luz ambiental, GPS y giróscopos que permiten aportan una gran cantidad de datos para analizar.

Como nota final, es conveniente advertir que, al igual que se hizo en el artículo La problemática de la biometría como método de autenticación la biometría no debe considerarse como un mecanismo único de autenticación sino que ha de usarse como complemento con otros factores para incrementar la seguridad de un sistema.

Aunque aún es necesario avanzar mucho en la precisión de los sistemas biométricos, es patente que su utilización especialmente de los métodos dinámicos, representa una importante vía de investigación con gran proyección de futuro en lo que a mecanismos de autenticación e identificación se refiere.