La detección de vida hace más difícil el ataque biométrico

Pero la impresión 3D y las técnicas avanzadas son también una ayuda para los estafadores

Durante todo el tiempo en que la tecnología biométrica ha sido empleada para el acceso a las áreas seguras, también se han producido intentos de burlar esos escáneres. Combatir a los falsificadores biométricos, los denominados spoofers, es un proceso en desarrollo y gana más atención a medida que la tecnología biométrica se ha posicionado para jugar un rol clave en el futuro de la seguridad móvil. Los verdaderos avances en la reducción de esos fraudes están teniendo lugar en el terreno de la detección de vida.

"Primeramente estamos trabajando en la detección de vida en las huellas digitales en la parte del software, y en el aspecto del algoritmo", señala Stephanie Schuckers, Profesora Asociada de Clarkson University.

El término "spoofing" es algo parecido a una entrada Wiki, ya que la definición continúa ampliándose y cambiando a través del tiempo. Tan es así que si uno le pregunta a cinco personas diferentes cómo definen “spoofing”, posiblemente darían cinco respuestas diferentes.

Para luchar contra esta confusión y caracterizar mejor esa amenaza, Schuckers y otros especialistas están acuñando un nuevo término: ataque de presentación. "Spoofing es un término general que puede referirse a un montón de cosas diferentes. ¿Se trata de un individuo específico? ¿Se está usando una biometría falsa? Sigue existiendo mucha confusión”, plantea Schuckers. “Estamos fundamentando nuestro vocabulario de modo que todos hablemos de la misma cosa".

El término ‘ataque de presentación’ es bastante específico y se refiere a cómo uno presenta una biometría y trata de interferir en las operaciones del sistema biométrico.

Cuando se trata de ataques de presentación, los elementos principales a considerar son si la imagen aplicada al sensor es una parte real del cuerpo y si la imagen obtenida pertenece realmente a la persona que la proporciona. Se produce la detección de vida.

La metodología

Dos días después de su lanzamiento, el sensor de huellas digitales Touch ID de Apple, fue víctima de un ataque spoofing, que ha sido posiblemente el de más alto perfil de la historia reciente. ¿Qué implica entonces el proceso de spoofing? Según Mark Cornett, director de operaciones de NexID, para burlar un sistema de reconocimiento de huellas digitales, el primer paso involucra la adquisición de los datos biométricos originales en forma de una impresión latente o levantada. Esto puede obtenerse de una superficie apropiada, como cristal, el pomo de la puerta o un dispositivo con pantalla táctil, un proceso que según Cornett es tan sencillo como rápido. “Se pueden adquirir impresiones latentes con una variedad de métodos, todos los cuales implican el realce o mejoramiento de la impresión, y la captura mediante una cinta para el levantamiento de la huella o una fotografía”, explica Cornett. "La impresión obtenida es digitalizada, cosa que puede hacerse con mucha rapidez. Con la impresión digitalizada muchos ataques se realizan utilizando una imagen de alta resolución de la huella digital, que se presenta al escáner. Este método puede parecer simple, pero se está haciendo más sofisticado. Un método más complejo es cuando el estafador crea un molde a partir de la imagen de la huella y con este confecciona un dedo falso. Otro método es grabar la imagen en un circuito impreso o convertirla de 2D a 3D e imprimirla con una impresora 3D. Adobe Photoshop puede facilitar esta conversión 2D-a-3D."

Se comercializan métodos para detectar los ataques de presentación

La creciente adopción de sistemas de reconocimiento biométrico ha hecho surgir una nueva industria, el negocio de la detección de vida. NexID es un resultado de ese proceso, un grupo surgido de Clarkson University, que se formó para comercializar las tempranas investigaciones sobre detección de vida. Al poco tiempo esa compañía empezó a atraer el interés de los fabricantes de equipos para la detección de huellas digitales. Nex ID desarrolló una aplicación basada en software para la detección de vida. "Es una aplicación basada en extractor que imita el software de coincidencia y puede detectar las diferencias entre imágenes vivas y las generadas por una falsificación”, explica Cornett. “Realiza procesamiento de imágenes y análisis estadísticos basados en un conjunto de algoritmos y tiene aproximadamente 160 funciones".

Mientras que las ofertas de NexID se basan estrictamente en software, hay otros métodos disponibles para enfrentar estos ataques. “Los fabricantes de escáneres y sensores están dando pasos para incorporar en sus dispositivos las técnicas de detección de vida y disminuir los ataques”, señala Cornett. “Algunos incluyen la obtención de datos biométricos adicionales mediante los cuales pueden inferir que hay vida, como es la temperatura o el flujo sanguíneo…otros miden la deformación del material que se escanea, en comparación con la deformación de la piel, y hay otros que están empleando software y procesamiento de imágenes para discernir diferencias entre vida y falsificación”. Se están desarrollando estándares internacionales para establecer pruebas para escáneres y sensores respecto a los ataques comunes de presentación.

Laboratorio sobre fraude

NexID mantiene su propio laboratorio sobre el fraude, una verdadera zona cero para cualquier tipo de experimento de reconocimiento biométrico. Es aquí que Cornett y el resto del equipo de NexID hacen las pruebas no solo de métodos y materiales empleados para los ataques, sino también de productos de escaneo y sensores.

El equipo utiliza el laboratorio en muchas formas. "Analizamos vulnerabilidades sobre cualquier dispositivo que caiga en nuestras manos”, dice Cornett. “Esto nos ayuda a aprender cosas sobre diferentes tecnologías de huellas digitales…Cuando un fabricante de sensores acude a NexID, lo hace con la seguridad de que su producto pasará por todos los pasos para encontrar cualquier anomalía que lo haga susceptible a ataque de presentación".

Otro enfoque primordial en el trabajo del laboratorio de NexID es descifrar cuál será el próximo método que se utilice en un ataque de presentación. O sea, estar por delante del estafador. "Somos como una compañía anti-virus en ese sentido, tratamos de pensar más allá que los atacantes, descubrir y probar diferentes materiales o tecnologías que puedan usar", señala Cornett.

La frontera móvil

A expensas de hacer leña del árbol caído, el sensor Touch ID de Apple marca una nueva era en la biometría. Muchos creen que el futuro de la biometría está en el sector móvil, y que la electrónica de consumo sea la que señale el camino. Pero el cambio hacia el sector móvil también significa que los ataques de presentación han de evolucionar y se impone la interrogante acerca de lo que depara el futuro de la biometría móvil.

"Históricamente nuestros clientes han sido los fabricantes de dispositivos periféricos, que son controlados por PC, laptops y servidores; y el desarrollo original de nuestro software estaba orientado hacia esa plataforma", plantea Cornett.

Se realizan esfuerzos para rediseñar la arquitectura. "Confiamos en mantener el mismo o mejor rendimiento en la plataforma móvil en el futuro", señala Cornett.

Por la parte académica, la labor realizada por Schuckers y sus colegas en Clarkson hace énfasis en la importancia del progreso, y también de la comprensión del tema. "Estoy estimulando el empleo de todos los factores que sea posible para detectar los ataques de presentación, pero también pienso que debemos reconocer que la biometría en sí misma tiene vulnerabilidades, como ocurre con cualquier otra medida de seguridad”, señala Schuckers. “Tenemos que estar conscientes de cuáles son esas vulnerabilidades, ver la forma en que utilizamos la biometría y evaluar esos aspectos vulnerables".

Nuevos materiales diversifican las formas de ataque

La tecnología utilizada para los ataques de presentación indudablemente está evolucionando y la mayoría de los materiales siguen siendo productos de consumo comunes y cotidianos. Pero Cornett señala que puede existir ya una nueva generación de materiales para este tipo de falsificación.

Él explica que cuando uno va un paso más allá en el proceso de moldeo, con los avances de la impresión tridimensional, el ataque de presentación supone un nuevo nivel de riesgo. Una característica particular de la huella digital que puede pasar desapercibida en la práctica es la humedad que los poros secretan de forma natural. Este es uno de los elementos clave que acciona los sensores táctiles capacitivos y es posible, según Cornett, que los falsificadores encuentren pronto una solución para esto.


Pueden encontrar el artículo original en inglés

Datacard lanza nuevo módulo de verificación

El Grupo Datacard anunció su módulo de verificación de segunda generación Datacard MX Series Vision Verification Module, que ha sido diseñado para asegurar de forma automática que se ha cargado el stock adecuado de tarjetas antes de la emisión de tarjetas, así como para verificar los elementos impresos después que se ha completado la personalización.

Esta tecnología complementa los chequeos y balances que ya se realizan a medida que la tarjeta pasa por el proceso de personalización.

Diseñado para trabajar en línea con los sistemas de emisión de tarjetas Datacard Serie MX, este nuevo módulo de verificación utiliza una cámara de alta resolución instalada en el módulo para capturar una imagen del stock de tarjetas con el fin de localizar y verificar identificadores únicos. El software perfeccionado aumenta la velocidad de procesamiento de imágenes y le proporciona a los operadores la capacidad para fijar los valores granulares límite con el fin de realizar con precisión todos los pasos de la actividad de personalización.

Fuente: IDNoticias

Entrust lleva identidad a la nube

Entrust tiene el objetivo de simplificar la gestión de identidad llevándola a la nube. La compañía lanzó los servicios en nube IdentityGuard, un sistema basado en nube que consolida la gestión de identidades digitales, certificados SSL y credenciales en una plataforma de solución única.

Entrust está consolidando sus soluciones de certificados y credencialización en la carpeta de servicios en nube Entrust IdentityGuard. Este cambio se ha diseñado con el fin de proporcionarle a los usuarios una consola de gestión que provea un nuevo nivel de visibilidad, facilidad de uso y escalabilidad.

El nuevo producto es integrado para ofertar a los clientes la misma solución de seguridad con una marca más consolidada. El servicio ofrece cinco componentes:

• Entrust IdentityGuard Cloud Services SSL — anteriormente servicio de gestión de certificado Entrust Certificate Management Service
• Entrust IdentityGuard Cloud Services Discovery — anterior Entrust Discovery
• Entrust IdentityGuard Cloud Services Smart Credentials –esperado más adelante en 2014
• Entrust IdentityGuard Cloud Services PKI – anterior Entrust Managed Services PKI, esperado más adelante en 2014
• Entrust IdentityGuard Cloud Services Device Certificates

La infraestructura que acciona los servicios en nube Entrust IdentityGuard Cloud Services PKI está ubicada en instalaciones seguras, tiene un marco disponible y plenamente redundante con monitoreo y backup de datos, y recuperación de desastres. Determinadas ofertas de servicios relacionados con certificados están probados y certificados por la entidad emisora de certificados U.S. Federal Bridge Certification Authority.

Fácil descubrimiento de certificados

Como se emiten varios tipos de certificados digitales para una organización, estos resultan más difíciles de seguir y controlar, especialmente si son emitidos por diferentes autoridades de certificación.

Entrust IdentityGuard Cloud Services Discovery está diseñado para perfeccionar este proceso con una solución que localiza, incluye en inventario y gestiona certificados digitales en los diferentes sistemas, con el fin de evitar interrupciones, violaciones de datos e incumplimientos.

Entrust IdentityGuard Cloud Services PKI — anteriormente Entrust Managed Services PKI — establece y gestiona la seguridad basada en certificados en toda una organización, mediante una infraestructura de clave pública fiable, flexible y personalizable.

La solución posibilita la inscripción automática de certificados a redes de usuarios confiables, empleados remotos, socios, proveedores y dispositivos, lo que permite que los usuarios finales firmen documentos y aprueben las firmas digitales entre sí. También se da soporte a los servicios de auto-inscripción para VPN, usuarios web y dispositivos.

Autenticando identidades, dispositivos móviles

En la defensa contra malware, intrusiones no autorizadas y otros ataques en línea maliciosos o dirigidos, para desarrollar una exitosa estrategia de seguridad informativa actualmente es de mucha importancia una fuerte gestión e identificación de los dispositivos móviles.

Para defenderse mejor contra esos ataques, las organizaciones pueden utilizar los servicios de nube Entrust IdentityGuard Cloud Services con el fin de implementar los certificados de dispositivos para un acceso seguro a redes internas, aplicaciones de nube, conexiones Wi-Fi o VPN, con independencia del tipo de dispositivo.

Los certificados digitales proporcionan un enfoque simple, transparente y seguro para posibilitar una seguridad sólida basada en identidad, a las organizaciones que adoptan las iniciativas de movilidad empresarial o BYOD (“Trae tu propio dispositivo”).

Como complemento al innovador servicio de certificados de dispositivo móvil, la solución de credencial inteligente de Entrust basada en nube posibilita que las organizaciones produzcan y gestionen una credencial unificada de identidad única para cada una de las personas asociadas a una empresa, agencia gubernamental o población ciudadana, todo suministrado a través de Entrust IdentityGuard Cloud Services.

La consola de gestión de Entrust basada en nube está preparada para registrar identidades, activar credenciales proveer identidades a dispositivos móviles, manejar la gestión cotidiana, imprimir credenciales e incluso enviar por correo tarjetas inteligentes o tokens USB a los usuarios finales.

Fuente: IDNoticias

Autenticación biométrica sin ningún hardware adicional

Las universidades han adoptado Biometric Signature ID

Cuando se trata de autenticación en línea, lo que se quiere es que sea fácil, segura y económica. El gasto casi siempre se refiere a adicionar algún hardware o software que el consumidor usa, de modo que en el mejor de los casos no haría falta más nada.

Biometric SignatureID está siguiendo esa pauta, ofreciendo un servicio de autenticación que puede hacerse con solamente un mouse o una trackpad. Los usuarios se registran trazando números o caracteres en recuadros usando el mouse o la trackpad. Además, hay un factor adicional para el registro que es capturado cuando el usuario hace clic en un teclado en la pantalla para ingresar una contraseña.

BioSig-ID evalúa el patrón de la contraseña en cuanto a longitud, ángulo, velocidad, altura y cantidad de golpes de teclado; y guarda la información en una base de datos codificada. Al comparar estos datos con los datos recogidos por los subsecuentes inicios de sesión del usuario, BioSig-ID confirma que la persona que se registró es la misma que trata de acceder al servicio. Solo el mismo usuario que se autentica exitosamente con respecto a un perfil registrado anteriormente, puede seguir adelante.

La tecnología está siendo empleada para autenticar estudiantes que acceden a clases y exámenes en línea, explica Jeff Maynard, presidente y CEO de Biometric Signature ID. La tecnología se utiliza en 53 naciones y en los 50 estados de EEUU para la verificación de la identidad estudiantil. Las universidades requieren cumplir lo estipulado en el Acta de Educación revisada, lo que significa que las instituciones que desarrollan cursos en línea tienen que contar ahora con un proceso de identificación, comprobando que el estudiante que inicia sesión y toma el curso es el “verdadero” estudiante.

El sistema no solo captura la biometría de gestos, explica Maynard, “Recogemos todo tipo de información en torno al evento de autenticación y hemos ganado experiencia en entender ese comportamiento desde diferentes direcciones IP”.

El sistema también se utiliza en uno de los programas pilotos para la Estrategia Nacional de Identidades de Confianza en el Ciberespacio. BioSig-ID es la tecnología de autenticación que se está empleando en el programa piloto de la Asociación Americana de Administradores de Vehículos Motorizados y el Departamento de Vehículos Motorizados de Virginia.

La prueba piloto está creando un marco de confianza para servir a los sectores público y privado. Una vez concluido, el programa piloto tomará las identidades de los proveedores comerciales – Google, Facebook, etc – y permitirá que los consumidores añadan seguridades para los mismos. Los consumidores utilizarán datos de la licencia de conducir, que se chequearán con el Departamento de Vehículos Motorizados de Virginia, para añadir los elementos suplementarios de autenticación.

El proyecto ofrece varios sistemas de autenticación para los usuarios, incluyendo Biometric Signature ID. Para registrarse, el usuario traza una “firma” empleando el mouse y crea un perfil. Cuando vuelve a emplear el sistema, el usuario traza de nuevo la firma, que es chequeada con la versión registrada y se produce una decisión de autenticación.

Biometric Signature ID pronto irrumpirá en el mercado de salud con una prueba piloto, informa Maynard. Esa prueba utilizará la aplicación móvil de Biometric Signature ID y códigos QR para eventos de autenticación.

Fuente: IDNoticias