jueves, 7 de agosto de 2008

Cantidad de Visitas al Articulo:

Biometría - Diferencias, Elección y Beneficios

Biometría es Huella Digital?

Antes de comenzar éste análisis, es importante destacar que cuando hablamos de biometría, no solo hacemos referencia a la verificación de personas a través de su huella digital. Si bien, es uno de los métodos más difundidos a nivel mundial, no es el único. Existen otros muy efectivos, como la geometría de la mano, el iris del ojo, el mapa de venas de la mano, etc. Todos tienen en común que realizan una comparación, a través de algún algoritmo matemático, de una característica biométrica de la persona. Todos usan algún dispositivo específico de captura de una muestra, desde la cual se extraen ciertos valores (llamados puntos característicos o minucias) a través de alguna función matemática (función de extracción). Luego, esos datos extraídos desde la muestra, y a través de otra función matemática (función de matching), son comparados contra otros datos del mismo tipo de minucias, y arrojan un resultado (score), el cual dependiendo de los límites definidos (umbrales), dirán si la verificación es positiva (matching positivo) o negativa (matching negativo).


Seleccionando la mejor tecnología

Existen varias preguntas frecuentes, por parte de los potenciales usuarios, a la hora de implementar una solución con biometría. A continuación desarrollaré algunas.

1 - Cual es la mejor tecnología Biométrica?
Puede ser que exista algún estudio que desconozca, con un análisis estadístico acerca del funcionamiento de cada tecnología, pero la pregunta de fondo real sería: Cual es la menor tecnología Biométrica...en mi caso? Es decir, considerando la solución de negocios que se desea implementar, mas allá de cualquier estudio, una tecnología biométrica puede ser mejor que otra, dependiendo de los factores de entorno. Por ejemplo: cierta vez un cliente, quería utilizar para control de acciones de sus operarios, en su taller metalúrgico, una solución basada en huella digital, utilizando lectores de huella ópticos. Desde el punto de vista de la solución en sí, era una "buena solución" considerando el costo y la robustez de la misma, pero desde el punto de vista operativo era, sencillamente, inoperable. Debido a como funciona el sensor óptico, que ante el dedo sucio no puede leer, los empleados debían constantemente lavarse las manos cada vez que debían poner su dedo en el lector. Esto hacía que la operación sea mas lenta e incluso molestara a los trabajadores, por lo que generaba malestar que se traducía en malos desempeños. La solución final que le recomendamos fue la utilización de geometría de mano, la cual no era afectada por la suciedad, y el proceso se completaba fácil y rápido. La diferencia económica de la solución era muy poca, pero en relación a los resultados obtenidos, se hacía mínima.
2 - Dentro de la huella digital, que sensor es mejor?
Ésta pregunta está relacionada con la anterior. La primera respuesta es: DEPENDE. En primer lugar cabe aclarar que existen diferentes tecnologías de lectura de huellas, que se pueden ver en el siguiente gráfico:
Sensores
Imagen tomada del Curso de Biometría de Marco Zúñiga
Como se ve aquí, existen tres opciones de sensores: Opticos, de Semiconductores, o de "Light Emitting". No analizaré aquí los detalles técnicos de cada uno, dado que no soy un gran conocedor del tema. Por dudas pueden dirigirse a Marco Zúñiga, quién dicta clases sobre biometría en carreras de post grado en la Universidad de Chile, y con quién me a tocado trabajar muy a gusto.
Lo único que comentaré aquí es, que dependiendo nuevamente de la solución que deseo construir, se justifica uno u otro. Por ejemplo, el óptico es bastante rápido y tiene buena calidad de imagen normalmente (claro que también depende del fabricante), pero si el dedo está sucio, puede ser casi imposible tomar una muestra. El de polímeros (light emitting) permite incluso detectar huella viva, a un precio de sensor algo mas alto que el óptico, pero absolutamente razonable para ciertos casos.
3 - Los dispositivos biométricos son compatibles entre si?
No. Todos entregan una muestra de alguna característica específica. Por ejemplo, si hablamos nuevamente de lectores de huella, cada uno entrega una imagen de un tamaño y una calidad específicos. Por lo tanto, las funciones de extracción y de matching, deben tener claro que tipo de imagen están procesando para evitar resultados erróneos. La buena noticia es que existen empresas que ofrecen soluciones biométricas donde garantizan la interoperabilidad entre lectores.
4 - Si utilizo una función de extracción de minucias propietaria, luego puedo migrarlas a otro formato?
No. Para poder asegurar la migración a otros algoritmos se debe almacenar de alguna forma una muestra de buena calidad. En el caso de nuestro ejemplo, la huella digital, podemos almacenar una imagen de la misma, con la calidad suficiente para un posterior proceso. Si el tamaño es grande, podemos usar un algoritmo de compresión de imagen sin perdida de información, como es el WSQ - Wavelet Scalar Quantization, que una imagen de 256Kb, la llega a reducir a 15kb, o incluso menos.

Existen muchas mas dudas que surgen al momento de la decisión, pero solo mencionaré éstas a modo de ejemplo. Cualquier duda adicional, con gusto esperaré sus comentarios.

Pero, cuáles son los beneficios reales de usar biometría?

Existen varios beneficios por el uso de este tipo de tecnología. Algunos económicos, otros operativos, e incluso de imagen corporativa. Algunos beneficios son:

moneda Ahorro de dinero
Cuando se utiliza una tecnología alternativa, como es por ejemplo tarjetas de proximidad, existe un costo recurrente que es el de la generación de tarjetas personalizadas para las personas que se deben verificar, además del dispositivo para la lectura de las mismas. Con biometría, solo se debe considerar la inversión de los dispositivos.
monedas Mas Ahorro de dinero
Si la aplicación se utiliza para la verificación de personas en procesos sensibles para una compañía, ese proceso es posible que se digitalice totalmente, de tal forma de evitar costos de emisión de papel, junto con su administración y almacenamiento. En este caso, la muestra biométrica utilizada para la verificación de la persona, podría ser utilizada como firma simple de la operación. (Si esto no fuera suficiente podría pensarse en una solución de BioPKI, como la planteada en un artículo anterior).
candado Aumento de seguridad - Evita suplantación
Este tipo de tecnología, permite tener la certeza de que quien necesita ser verificado, es quien dice ser, debido a que no puede otra persona suplantarlo, sino la verificación sería negativa. Si volvemos al caso del ejemplo en el primer punto, las tarjetas de proximidad, podrían ser utilizadas por mas de una persona para verificar una identidad, y de esa forma completar una operación, acceder a un lugar no permitido, etc. Por ejemplo, cierto cliente tenía el problema que sus empleados marcaban asistencia con tarjetas de proximidad, y ellos, se prestaban las tarjetas, y uno de ellos, de forma rotativa, se quedaba hasta mas tarde en la oficina y cuando salía marcaba con todas las tarjetas. De esa forma, generaba horas extras para todos los involucrados, trasformándose en una pérdida considerable para la empresa.
tiempo_moneda Agiliza procesos y Asegura continuidad de procesos
Una vez que la solución está en funcionamiento, y luego de una muy breve curva de aprendizaje de los usuarios, la utilización de la tecnología es muy fácil, aumentando la velocidad de ciertos procesos de verificación para aprobaciones, accesos u otras operaciones, lo que mejora aún mas los costos operativos. Además, como los atributos biométricos son inherentes a la persona, es imposible que se extravíen o se olviden en algún lugar, de tal forma de asegurar que siempre que haya un punto de verificación disponible, es factible completar las operaciones necesarias.

Por supuesto que existen varias ventajas adicionales, pero que están asociadas a las soluciones específicas. Responderé gustoso cualquier duda asociada a una problemática particular.

So far, so good!

Cantidad de Visitas al Articulo:

2 comentarios:

Luis León Cárdenas Graide dijo...

Estimado:

Con respecto a tu afirmación acerca de que la biometría permite saber con certeza que quien necesite ser verificado sea quien dice ser, cabe realizar algunas precisiones, pues aquella afirmación dista de ser cierta.

El experto en seguridad informática, Bruce Schneier [1], partcipó en un estudio [2] al respecto en su país, Estados Unidos, titulado "The ID Divide: Addressing the Challenges of Identification and Authentication in American Society". Aparte de los problemas de accesibilidad y brecha social, se menciona el gran inconveniente futuro de la biometría: se trata de un secreto compartido entre la persona que posée el rasgo biométrico y el sistema que lo almacena para su validación.

En el largo plazo, se comporta como un recurso natural no renovable, por cuanto mientras más se use, más se expone y, finalmente, menos secreto será (sin contar siquiera el grave problema de las filtraciones de datos). Es seguridad para hoy, pero mientras más se use, dejará de ser seguridad para mañana.

El estudio es interesantísimo y apostaría a que te interesará en virtud de los temas que tratas en este blog, del que soy regular lector.

Saludos.

[1] http://www.schneier.com/blog/archives/2008/06/the_id_divide.html

[2] http://www.americanprogress.org/issues/2008/06/pdf/id_divide.pdf

Gustavo Suhit dijo...

Luis,
Muy buen alcance. Estuve leyendo el informe que mencionas y es muy interesante. Lo recomiendo también.

Es muy cierto lo que mencionas acerca de la importancia de la masificación de los datos biométricos, y su posterior perdida de confianza por potenciales robos de los mismos. En realidad, como comenté en un artículo anterior, a mi entender no existe "tecnología segura" sino "solución segura", donde a la tecnología se la debe complementar con "procedimientos seguros", que en conjunto, protejan los datos y sus utilizaciones.
Además, para completar la idea, me parece importante recalcar algo que está en el artículo, y es que cada caso o solución en particular es un mundo diferente, y dependiendo de las condiciones de contexto y de los procedimientos, es posible siempre conseguir soluciones seguras, aunque es dificil asegurar inviolabilidad eterna. Como conocedor de éstos temas seguro compartiras conmigo este punto :-).

Gracias por tu aporte, y espero tus comentarios en el futuro, dado que esa es la idea, enriquecerse de las experiencias de todos.

Saludos.

 
Este Weblog, InforMateando..., está licenciado bajo Licencia Creative Common - por Gustavo Suhit