El gobierno de China es uno de los que más interés está demostrando por la tecnología de reconocimiento facial- como la biometría-, en su caso no como forma de autenticación para los usuarios, sino precisamente para su localización. Pero sus estrategias se han visto truncadas por iniciativas como la de Leonardo Selvaggio, un artista y activista que hace tiempo decidió lanzar una máscara hiperrealista de su cara con el objetivo de engañar a los algoritmos de reconocimiento facial.

Esta acción tenía carácter político, pero hay más ejemplos en el terreno de la ciberseguridad. Hace tres años, la Universidad Carnegie Mellon también demostró cómo podía burlar este tipo de algoritmos. Con un utensilio tan sencillo como unas gafas, la institución consiguió que un hombre de mediana edad fuese identificado como la actriz Milla Jovovich, demostrando las carencias del sistema.

¿Es la biometría realmente infalible?_

Estos hechos plantean una pregunta razonable: ¿es la biometría una tecnología completamente eficaz  en el terreno de la ciberseguridad? ¿Puede garantizar una autenticación sin riesgo de fraude? La industria muestra un considerable optimismo en cuanto a su adopción: según un estudio de Juniper Research, la biometría móvil crecerá cerca de un 2.500% hasta 2023 y estará presente en más del 80% de los smartphones.

En este contexto, la consultora considera esta tecnología esencial para la protección de las organizaciones. De hecho, vaticina que las compañías que recurran a la biometría verán reducidos sus casos de ciberataques en más de un 50%.

Las debilidades de la biometría_

Es evidente que la biometría puede suponer un paso adelante a la hora de evitar la suplantación de identidad en las autenticaciones frente a las tradicionales contraseñas, pero sigue contando con diversos factores que amenazan su seguridad total:

1.- No es encriptable. La encriptación de ficheros es uno de los procesos indiscutibles de cualquier empresa que quiera proteger su ciberseguridad. Los datos biométricos, sin embargo, no son fácilmente encriptables, con lo que podrán suponer una barrera al acceso a ciertos archivos, pero no su inaccesibilidad. Además, en muchos casos solo representarán una primera puerta de entrada hacia otros procesos que sí implicarán el uso de contraseñas.

2.- No es una credencial, sino un usuario. Cuando la seguridad de una contraseña es puesta en evidencia, cualquier organización procede a cambiarla. De hecho, muchas de ellas las cambian de manera periódica precisamente para evitar posibles vulnerabilidades. La biometría, sin embargo, impide ese proceso: no se puede cambiar el rostro o la huella dactilar de una persona, con lo que no se trata de una contraseña, sino del propio usuario. Su inmutabilidad, por tanto, la hace más frágil que una contraseña.

3.- Engaños y sesgos. Leonardo Selvaggio y la Universidad Carnegie Mellon no son los únicos que han conseguido poner en entredicho la tecnología biométrica: hay muchos más casos en los que esta estrategia se ha visto gravemente vulnerada. Además, la tecnología biométrica puede contener sesgos que, como poco, dificultarán su uso como una ‘commodity’ de ciberseguridad. Así lo evidenciaron tres investigadores del MIT, demostrando que la biometría de reconocimiento facial era mucho más deficitaria cuando tenía que identificar a personas de raza negra, un fallo que ha afectado incluso a los procesos de reconocimiento de sospechosos del propio FBI.

Cómo evitar vulnerabilidades_

Si la tecnología biométrica presenta ciertas posibilidades de ser quebrantada, cualquier organización interesada en proteger su ciberseguridad empresarial debe tomar varias medidas al respecto:

1.- No confiar plenamente en la biometría. Entregar la totalidad de la ciberseguridad a los procesos biométricos supondrá dejar varios flancos abiertos a futuros incidentes. Por tanto, la biometría no debe ser la tecnología que comande las estrategias de ciberseguridad.

2.- Doble autenticación. En caso de implementar la tecnología biométrica dentro de dicha estrategia, ésta deberá ser complementada con otras. La biometría verá reforzada su eficacia si es incluida en un proceso de doble o incluso triple autenticación, en cuyo caso también se recurrirá a una contraseña como parte de las credenciales empleadas.

3.- Monitorización y perfilado. La biometría nunca estará totalmente a salvo de posibles suplantaciones. Por tanto, su uso deberá ir acompañado de un perfilado de usuarios, máquinas y procesos, así como de su monitorización para prever comportamientos futuros y anticiparse a escenarios de posible vulnerabilidad. Trasladado esta filosofía a la ciberseguridad, en Cytomic partimos de una política de confianza cero para monitorizar y perfilar estos parámetros, de modo que, en caso de exista un posible riesgo, éste pueda ser detectado y mitigado antes de ocasionar ningún tipo de daño.

Se trata de ser conscientes de que ninguna tecnología es infalible per se, con lo que, para garantizar la ciberseguridad de una organización, será imprescindible recurrir a una combinación de las mismas y a procesos de control más avanzados.