Disponible la nueva versión "donationware" 7.3 de OrganiZATOR
Descubre un nuevo concepto en el manejo de la información.
La mejor ayuda para sobrevivir en la moderna jungla de datos la tienes aquí.

Notas sobre Internet

[Home]  [Inicio]  [Índice]


6.6  Identificación personal

§1  Sinopsis

Como puede adivinarse fácilmente, una parte importante de la seguridad concierne al asunto de la identificación personal en el acceso a los servicios. Es decir: que en base a una total seguridad en la identificación del operador, pueda garantizarse que en el sistema solo pueden hacer determinadas cosas determinadas personas.

§2  Métodos de identificación

Desde un punto de vista general, puede afirmarse que la informática aborda esta cuestión atendiendo a tres modelos de identificación:

  • Primer nivel:  Idenficación en base a algo que se tiene. Por ejemplo, una credencial con una fotografía; con una banda magnética; una tarjeta inteligente; una llave, etc.
  • Segundo nivel:  Identificación en base a algo que se sabe. Por ejemplo, una clave de acceso o palabra de paso (password); un número de acceso PIN (personal identification number), etc.  Este ha sido el método tradicional más comúnmente empleado y no abundaremos en su consideración por ser sobradamente conocido.
  • Tercer nivel:  Identificación en base a algo que se és o algo que se hace.  Es la denominada tecnología biométrica a la que nos referiremos a continuación .
§3  Tarjetas inteligentes

Este método pertenece al denominado primer nivel (identificación en base a algo que se tiene). Una propuesta de identificación se basa en la utilización de las denominadas Tarjetas inteligentes ("Dongles").  La teoría es que las susodichas tarjetas, que incluyen un chip en su interior, son capaces de crear firmas digitales únicas. Así pues, la identificación se basa en la posesión de la tarjeta, de la misma forma que, por ejemplo, nos identificamos con el DNI [1], o sacamos dinero del cajero con la tarjeta del banco y un número secreto. La tarjeta acompaña al usuario que la introduce en una ranura especial del ordenador para "firmar" determinadas operaciones, o para identificarse como tal para tener acceso a determinados servicios.

El proceso de conexión a un servidor para una transacción o solicitud de servicio determinado, es mas o menos como sigue:

=>  El cliente solicita la conexión.

<=  El servidor envía una petición de identificación, cadena de reto. Esta cadena cambia constantemente para prevenir ataques reiterados.

=>  La tarjeta firma el reto y lo devuelve al servidor.

<=  El servidor comprueba la firma y autoriza o deniega el servicio.


Estas soluciones son especialmente interesantes para las personas que tienen que identificarse remotamente a un servidor u ordenador central, ya que evitan la posibilidad de que alguien robe la contraseña (a cambio naturalmente de no perder la tarjeta). Especialmente en aquellos casos en que un mismo usuario debe acceder a un servidor desde máquinas distintas.

§4  Biomediciones

En la actualidad se están realizando importantes esfuerzos para conseguir una identificación fiable de las personas en base a mediciones de características físicas y biológicas que se suponen son únicas e inimitables. Se trata de una serie de tecnologías que aúnan recursos hardware, firmware y software muy sofisticados, que se conocen bajo el nombre genérico de tecnología Biométrica.

Al hacer referencia a estas tecnologías, es importante hacer hincapié en que se refieren a sistemas de medición de determinadas características, físicamente medibles, que conduzcan a una identificación automática del sujeto. De forma que no se trata de ninguna clase de ayuda a la identificación humana.

Entre las características que se utilizan cabe destacar:  Rasgos Faciales; Huellas dactilares; Geometría de la mano; Geometría del iris; Huella de la Palma de la mano; firma, y voz.

Nota:  A raíz de los sucesos del 11 de Septiembre del 2001, todos los aspectos de la seguridad han cobrado gran importancia, incluyendo los aspectos de identificación biométrica, que ha experimentado un fuerte incremento en cuanto a los esfuerzos I+D empleados en esta rama de la seguridad informática.  Se leen frases como: "Alta tecnología contra el terrorismo", sin embargo, algunos aspectos de esta "Alta tecnología" (informática o apoyada en ella), tienen connotaciones realmente inquietantes.

§5  Identificador de firmas

La compañía LCI   www.lcigroup.com [2], ha desarrollado un bolígrafo especial denominado LCI-smartpen, que está dotado de una minúscula pila y de la electrónica necesaria para analizar y almacenar las características biométricas de nuestra firma.

Teóricamente puede identificar mejor una firma que un experto calígrafo, dado que puede evaluar no solo la geometría (trazo), también otras "en tiempo de trazado", como presión, inclinación, velocidad y aceleración del grafo (está dotado de sensores de fuerza y acelerómetros).

La conexión con el PC es sin cable, y se realiza mediante un módulo de criptografía de que está dotado para garantizar que la transmisión bolígrafo => PC sea segura.  Con este sistema, para firmar una transacción o lograr un acceso que requiera identificación, solo habría que "firmar" con el bolígrafo en cuestión (suponemos que las características biométricas de nuestra firma estarían previamente almacenadas en un repositorio).

§6  Identificador de huellas dactilares

Basándose en el hecho conocido de que no existen dos huellas dactilares iguales, se han desarrollado sistemas específicos de reconocimiento de imagen que permiten identificar las huellas (poniendo el dedo en un captador adecuado). Existen ya unidades incluidas en el propio teclado para colocar en un PC, e identificar a los posible usuarios autorizados con la misma facilidad con que un escáner identifica un código de barras.

Este sistema remedaría en cierta forma el viejo sistema de "poner el dedo" para la firma de personas que no saben escribir.  También en este caso suponemos que para firmar con el sistema, debe existir una copia de nuestra huella dactilar en un repositorio adecuado.  Tiene la ventaja de que esta es una "tarjeta" de identificación que siempre llevamos con nosotros y que no requiere recordar ninguna clave.

Nota:  En Abril de 2002 la credibilidad de las tecnologías biométricas sufría un serio revés cuando saltaba a los medios la noticia de que utilizando medios caseros, un japonés había conseguido crear un dedo artificial de gelatina con el que era fácil engañar a los sistemas de reconocimiento digital.

La noticia ponía de nuevo en candelero la cuestión de la seguridad "digital".  Se planteaban cuestiones como las siguientes [3]:

Un usuario confiable sufre una amputación del dedo, o daños en sus yemas tras un fin de semana de bricolaje?

Y si el usuario confiable sufre de ceguera parcial, y no puede pasar el escáner retiniano debido a sus cataratas y, como es de imaginar, no existen mecanismos de autenticación de respaldo?

Y si tras una larga noche tenemos ronquera y nuestra voz es irreconocible?.

Y si estamos afónicos, o tenemos congestión nasal?.

Evidentemente estas situaciones son extremas. Además, si no amputamos un dedo tampoco podemos firmar en la chequera ni quizás ir a la oficina. Sin embargo, a buen seguro que la tecnología dará respuesta a estas cuestiones y la identificación biométrica (mediante el ADN?) aumentará su eficacia. Mientras tanto, el consejo parece ser no confiar del todo en la tecnología (ni en los seres humanos tampoco).

§7  Webografía

Portal con información sobre tecnologías biométricas patrocinada por el Gobierno USA (que últimamente está muy interesado en estas cuestiones).  Incluye una extensa introducción e historia sobre biométrica, así como noticias; textos legales; documentos gubernamentales; informes de investigación; evaluación de productos, e información sobre proveedores y consultores.

Si está interesado en saber mas sobre el tema, un buen punto de comienzo puede ser en esta página de enlaces de biométrica.

  Inicio.


[1]  DNI Documento Nacional de Identidad.

[2]  Esta firma desapareció de la Red en algún momento posterior a Septiembre del 2001

[3]  Boletín Hispasec  "Una-al-día" 27/05/2002    http://www.hispasec.com/