Sistemas y técnicas de autentificación

Sistemas y técnicas de autentificación

José Zúñiga P. Marcelo Medel V.

Universidad Tecnológica Metropolitana Universidad Tecnológica Metropolitana
j.zunigapozo@gmail.com marcelo.medel.v@gmail.com

Resumen

La base de todo sistema de información es el resguardo de la información que este maneja y la

manera más efectiva de hacerlo es entregando la autorización solo un grupo determinado de
usuarios, siendo esta la misión de los sistemas de autentificación. Las bases de estos sistemas son
el contrato entre usuario y sistema de un mecanismo de validación de la información entregada por
el usuario para poder acceder al sistema. Existen distintos tipos de estos sistemas, dependiendo
siempre del grado de seguridad necesario para la información y la inversión que quieran hacer los
que implementan este sistema. En la actualidad estos sistemas son implementado por todos las
organizaciones como primer elemento de seguridad.

Palabras Claves: seguridad, autentificación, conocido, poseído, biometría.

1. Introducción el mecanismo por el cual el usuario ingresa sus

Dentro de la sociedad actual, no es novedad la
existencia de mecanismos de autorización o
validación de usuarios para ingresar a diferentes
lugares o servicios. Esto lo podemos apreciar desde
una simple invitación a una fiesta, como un
sofisticado sistema para ingresar a una base militar.
Para llevar a cabo este proceso, es necesario
contar con algún medio que permita verificar quien
tiene y quien no tiene autorización para acceder a
estos servicios, siendo esta la misión y el porqué de
la creación de los sistemas de la autentificación.
Se sabe que la principal característica de todo
sistema de información que desempeña tareas
importantes es la seguridad de la información con la
cual trabajan. Esta es la principal aplicación de los
sistemas de autentificación, ser un mecanismo
acorde con las necesidades de seguridad de la
información que se está manejando.
Los sistemas de autentificación fueron creados para
realizar los procesos de validación de usuarios,
aplicando diferentes mecanismos y técnicas, para
así entregar un alto grado de seguridad a los
sistemas.
Estos sistemas han estado presentes a lo largo de
todo la historia, partiendo desde la prehistoria donde
los aborígenes marcaban las pinturas de las
cavernas con las palmas de sus manos, creando
una especie de firma para estas, llegando a los
sofisticados y modernos sistemas gubernamentales
y militares.
El funcionamiento básico de un sistema de
autentificación es sencillo, existen dos elementos
que interactúan, un elemento activo, que
comúnmente es un usuario que intenta acceder a un
cierto sistema o lugar, y un elemento pasivo, que es
datos para intentar ingresar al sistema, siendo este
el encargado de darle o no la autorización.
Los sistemas de autentificación pueden ser divididos
en tres categorías: basados en algo conocido, como
una contraseña, basados en algo poseído, como
una tarjeta electrónica y basados en una
característica física, como la huella digital.
Las características que deben cumplir todos estos
sistemas son:
 Debe ser fiable (baja tasa de fallos)
 Económicamente Factible (no puede ser
más caro el sistemas de autentificación que
la información que se está resguardando) y;
 Soportar con éxito cierto tipo de ataques.
Cabe resaltar que no siendo una característica física
propiamente tal, pero a la vez siendo considerada la
más importante, es necesario que el sistema sea
aceptado por los usuarios, ya que estos son los que
a fin y a cuentas van a utilizar el sistema.
En el desarrollo del presente documento se
explicara con más detalles los temas de la
seguridad informática, la autentificación, y se
entrara en más detalle en los tres distintos
mecanismos de autentificación.
2. Seguridad informática
Garantizar que los recursos informáticos de una
compañía estén disponibles para cumplir sus
propósitos, es decir, que no estén dañados o
alterados por circunstancias o factores externos, es
una definición útil para conocer lo que implica el
concepto de seguridad informática.
Sistemas y técnicas de autentificación
En términos generales, la seguridad puede
entenderse como aquellas reglas, técnicas y/o
actividades destinadas a prevenir, proteger y
resguardar lo que es considerado como susceptible
de robo, pérdida o daño, ya sea de manera
personal, grupal o empresarial.
En este sentido, es la información el elemento
principal a proteger, resguardar y recuperar dentro
de las redes empresariales.
La seguridad posee una gran importancia dada la
existencia de personas ajenas a la información,
también conocidas como piratas informáticos o
hackers, que buscan tener acceso a la red
empresarial para modificar, sustraer o borrar dato,
como también denegar el acceso a estos, todo esto
a través de diversos tipos de ataques a los
sistemas. El resultado de estos ataques es la
violación de los sistemas, provocando la pérdida o
modificación de los datos sensibles de la
organización, lo que puede representar un daño con
valor de miles o millones de dólares.
2.1 Amenazas y Vulnerabilidades
Es por la existencia de un número importante de
amenazas y riesgos, que la infraestructura de red y
recursos informáticos de una organización deben
estar protegidos bajo un esquema de seguridad que
reduzca los niveles de vulnerabilidad y permita una
eficiente administración del riesgo.
Para ello, resulta importante establecer políticas de
seguridad, las cuales van desde el monitoreo de la
infraestructura de red, los enlaces de
telecomunicaciones, la realización del respaldo de
datos y hasta el reconocimiento de las propias
necesidades de seguridad, para establecer los
niveles de protección de los recursos.
Las políticas deberán basarse en los siguientes
pasos:
 Identificar y seleccionar lo que se debe
proteger (información sensible)
 Establecer niveles de prioridad e petición para conectarse. El remitente
importancia sobre esta información
 Conocer las consecuencias que traería a la
compañía, en lo que se refiere a costos y
productividad, la pérdida de datos sensibles
 Identificar las amenazas, así como los
niveles de vulnerabilidad de la red
 Realizar un análisis de costos en la
prevención y recuperación de la
información, en caso de sufrir un ataque y
perderla.
 Implementar respuesta a incidentes y
recuperación para disminuir el impacto
Es importante tomar en consideración, que las
amenazas no disminuirán y las vulnerabilidades no
desaparecerán en su totalidad, por lo que los
niveles de inversión en el área de seguridad en
cualquier empresa, deberán ir acordes a la
importancia de la información en riesgo.
Así mismo, cada dispositivo que conforma la red
empresarial necesita un nivel de seguridad
apropiado y la administración del riesgo implica una
protección multidimensional (firewalls, autenticación,
antivirus, controles, políticas, procedimientos,
análisis de vulnerabilidad, entre otros), y no
únicamente tecnología.
Un esquema de seguridad empresarial contempla la
seguridad física y lógica de una compañía. La
primera se refiere a la protección contra robo o daño
al personal, equipo e instalaciones de la empresa; y
la segunda está relacionada con el tema que hoy
nos ocupa: la protección a la información, a través
de una arquitectura de seguridad eficiente.
3. Autentificación
Autenticación o autentificación es el acto de
establecimiento o confirmación de algo (o alguien)
como auténtico, es decir que reclama hecho por, o
sobre la cosa son verdadero. La autenticación de un
objeto puede significar (pensar) la confirmación de
su procedencia, mientras que la autenticación de
una persona a menudo consiste en verificar su
identidad. La autenticación depende de uno o varios
factores.
3.1 Definición
Autenticación o autentificación, en términos de
seguridad de redes de datos, se puede considerar
uno de los tres pasos fundamentales, conocidos
como AAA. Cada uno de ellos es, de forma
ordenada:
1. Autenticación: En la seguridad de un
computador, la autenticación es el proceso
de intento de verificar la identidad digital del
remitente de una comunicación como una
siendo autenticado puede ser una persona
que usa un computador, un computador por
sí mismo o un programa de éste. En un web
de confianza, la autenticación es un modo
de asegurar que los usuarios son quién
ellos dicen que ellos son - que el usuario
que intenta realizar funciones en un sistema
es de hecho el usuario que tiene la
autorización para acceder a las funciones
que le han sido permitidas.
2. Autorización: Proceso por el cual la red de
datos autoriza al usuario identificado a
acceder a determinados recursos de la
misma.
Sistemas y técnicas de autentificación
3. Auditoría: Mediante la cual la red o sistemas
asociados registran todos y cada uno de los
accesos a los recursos que realiza el
usuario autorizados o no.
El problema de la autorización a menudo, es
idéntico a la de autenticación; muchos protocolos de
seguridad extensamente adoptados como estándar,
regulaciones obligatorias, y hasta estatutos están
basados en esta asunción. Sin embargo, el uso más
exacto describe la autenticación como el proceso de
verificar la identidad de una persona, mientras la
autorización es el proceso de verificación que una
persona conocida tiene la autoridad para realizar
una cierta operación. La autenticación, por lo tanto,
debe preceder la autorización.
3.2 Métodos de Autentificación
Los métodos de autenticación están en función de lo
que utilizan para la verificación y estos se dividen en
tres categorías:
 Sistemas basados en algo conocido.
Ejemplo, un password (Unix) o passphrase
(PGP).
 Sistemas basados en algo poseído.
Ejemplo, una tarjeta de identidad, una
tarjeta inteligente (smartcard), dispositivo
usb tipo epass token, dongle criptográfico.
 Sistemas basados en una característica
física del usuario o un acto involuntario del
mismo (Biometría): Ejemplo, verificación de
voz, de escritura, de huellas, de patrones
oculares, mediciones corporales.
3.3 Pasos de la autentificación
El proceso general de autenticación consta de los
siguientes pasos:
1. El usuario solicita acceso a un sistema.
2. El sistema solicita al usuario que se
autentique.
3. El usuario aporta las credenciales que le
identifican y permitan verificar la
autenticidad de la identificación.
4. El sistema valida según sus reglas si las
credenciales aportadas son suficientes para
dar acceso al usuario o no.
5. Si las credenciales con las correctas se le
autoriza el acceso a los recursos, en caso
contrario se deniega el acceso.
4. Sistemas de Autentificación
Como ya se ha explicado anteriormente, el objetivo
fundamental de los sistemas de autentificación es el
de aumentar la seguridad del sistemas informático
al cual se aplica, ya que es uno de los requisitos
fundamentales para su buen uso.
El conjunto de los mecanismos que componen un
sistema de autentificación está compuesto de dos
elementos básicos a considerar: debe incluir a lo
menos un sistema que permita identificar a las
entidades (elementos activos del sistema,
generalmente los usuarios) y un sistema que intenta
acceder a los objetos (elementos pasivos, como
ficheros o capacidades de computo), que van desde
un simple contraseña hasta la lectura de la pupila
del ojo humano.
Las aplicaciones de estas herramientas de
autentificación son muy diversas, y van desde el uso
en los computadores portátiles de cada persona,
pasando por las cuentas bancarias, llegando,
incluso, a tecnológicos recintos militares.
Cabe resaltar que siempre se tiende a confundir
dos términos, que a simple vista parecen idénticos,
pero para un sistema computacional son totalmente
distintos, estos son la autentificación y la
identificación.
Un sistema de autentificación, como su nombre lo
dice solo es capaz de autentificar a un usuario, ya
que la capacidad de identificación requiere
tecnología y recursos a gran escala. Un ejemplo
claro, para diferenciar estos dos conceptos, sería un
usuario intentando acceder a un servicio. Si el
sistema fuera capaz de identificar al usuario, tan
solo con verificar, por ejemplo, su huella dactilar, el
sistema sería capaz de verificar si el usuario
pertenece al sistema y verificar si puede ingresar o
no, a diferencia del caso de la identificación, en la
cual el usuario ingresa su identificador personal
(user o login como fue anteriormente mencionado) y
además ingresa un patrón de autentificación, que
puede ser una contraseña, una tarjeta inteligente o
una huella digital, entre otros, con los cuales es
sistemas solo necesita buscar si la identificación
ingresada corresponde a algún usuario, y si es así,
comprobar si el autentificador ingresado es válido,
para permitir o denegar el acceso al sistema. Con
este mecanismo se reduce considerablemente el
universo de búsqueda que requiere verificar el
sistema para encontrar a un usuario y validar su
ingreso.
5. Sistemas basados en algo
conocido
Este sistema es considerado el más básico de
todos, y consiste en decidir si un usuario es quien
dice saber a través de una prueba de conocimiento
que a priori solo él puede superar, siendo esa
prueba de conocimiento conocida comúnmente,
desde “ábrete sésamo” hasta los modernos
sistemas Unix, como contraseña.
Evidentemente este es el sistema más fácil de
aplicar, pero a la vez es el más vulnerable. Solo
Sistemas y técnicas de autentificación
basta con que una de las partes, el usuario o
sistema, no resguarden la contraseña para poner en
peligro todo el sistema.
En todos los esquemas de autenticación basados
en contraseñas se cumple el mismo protocolo: las
entidades (generalmente dos) que participan en la
autenticación acuerdan una clave, clave que han de
mantener en secreto si desean que la autenticación
sea fiable. Cuando una de las partes desea
autenticarse ante otra se limita a mostrarle su
conocimiento de esa clave común, y si ésta es
correcta se otorga el acceso a un recurso. Lo
habitual es que existan unos roles preestablecidos,
con una entidad activa que desea autenticarse y
otra pasiva que admite o rechaza a la anterior (en el
modelo del acceso a sistemas Unix, tenemos al
usuario y al sistema que le permite o niega la
entrada).
Ejemplos de la aplicación de este modelo podemos
encontrar en todos lados, desde diversas páginas
web hasta los diferentes sistemas operativos
existentes, tanto para máquinas de uso personas
como para uso empresarial.
5.1 Autentificación débil
En general los sistemas de autenticación “débiles”
se caracterizan por tener protocolos que envían la
contraseña directamente a través de la red, o que
envíen suficiente información mientras se realiza la
autenticación, con lo cual se permite a los “intrusos”
a deducir o adivinar las contraseñas.
Dentro de la autentificación débil podemos
encontrar:
 Contraseñas sin Cifrado (Cleartext
Passwords): Almacena las contraseñas en
formato texto directamente.
 Contraseñas con funciones de Hash: Las
contraseñas son guardadas en un formato
de función hash, así el sistema tiene que
validar que la contraseña ingresada
coincida con el formato almacenado en el
servidor, aplicando una determinada función
hash.
 Desafío-Respuesta: Cada vez que el
usuario intenta ingresar al sistema el
servidor genera un desafío que solo este
puede resolver.
5.2 Autentificación fuerte
La principal ventaja que presenta este tipo de
autentificación es que se basa en protocolos de
gran calibre, aplicando modernas técnicas para
resguardar las contraseñas y evitar entregar
información a usuarios indebidos.
Dentro de esta categoría podemos encontrar:
 EKE: describe una familia de protocolos que
combinan criptosistemas simétricos y de
clave pública para realizar la autenticación
por contraseña. Por primera vez, los
protocoles existentes podrían soportar los
ataques de diccionario y, posiblemente,
proveer de “secreto creciente”.
 DH-EKE: DH-EKE, es la implementación de
EKE utilizando DH, la única diferencia
significativa es que lo mensajes
intercambiados bajo DH están encriptados
con la contraseña compartida.
 A-EKE: Este protocolo es uno de los que
resisten a los ataques de diccionario y no
tiene una base de datos de equivalencia de
texto plano, desafortunadamente A-EKE
sacrifica forward secrecy en el intento de
evitar la equivalencia de texto plano.
En la tabla 1 se muestran una lista elaborada con
las 10 contraseñas más inseguras de la red.
Tabla 1 - Contraseñas más utilizadas e inseguras
6. Sistemas basados en algo
poseído
A principios de los años 70’ un periodista francés
llamado Roland Moreno patentaba la integración de
un procesador en una tarjeta de plástico; sin duda,
no podía imaginar el abanico de aplicaciones de
seguridad que ese nuevo dispositivo, denominado
chipcard, estaba abriendo. Desde entonces, cientos
de millones de esas tarjetas han sido fabricadas, y
son utilizadas a diario para fines que varían desde
las tarjetas monedero más sencillas hasta el control
de accesos a instalaciones militares y agencias de
inteligencia de todo el mundo; cuando a las
chipcards se les incorporó un procesador inteligente
nacieron las smartcards, una gran revolución en el
ámbito de la autenticación de usuarios.
Sistemas y técnicas de autentificación
6.1 Smartcards
Desde un punto de vista formal una tarjeta
inteligente (o smartcard) es un dispositivo de
seguridad del tamaño de una tarjeta de crédito,
resistente a la adulteración, que ofrece funciones
para un almacenamiento seguro de información y
también para el procesamiento de la misma en base
a tecnología VLSI. En la práctica, las tarjetas
inteligentes poseen un chip empotrado en la propia
tarjeta que puede implementar un sistema de
ficheros cifrado y funciones criptográficas, y además
puede detectar activamente intentos no válidos de
acceso a la información almacenada; este chip
inteligente es el que las diferencia de las simples
tarjetas de crédito, que solamente incorporan una
banda magnética donde va almacenada cierta
información del propietario de la tarjeta.
Figura 1 - Arquitectura de una SmartCard
En la Figura 1 se muestra la estructura más
generalista de una tarjeta inteligente; en ella
podemos observar que el acceso a las áreas de
memoria solamente es posible a través de la unidad
de entrada/salida y de una CPU (típicamente de 8
bits), lo que evidentemente aumenta la seguridad
del dispositivo. Existe también un sistema operativo
empotrado en la tarjeta - generalmente en ROM,
aunque también se puede extender con funciones
en la EEPROM - cuya función es realizar tareas
criptográficas (algoritmos de cifrado como RSA o
Triple DES, funciones resumen...); el
criptoprocesador apoya estas tareas ofreciendo
operaciones RSA con claves de 512 a 1024 bits. Un
ejemplo de implementación real de este esquema lo
constituye la tarjeta inteligente CERES, de la
Fábrica Nacional de Moneda y Timbre española; en
ella se incluye además un generador de números
aleatorios junto a los mecanismos de protección
internos de la tarjeta.
Cuando el usuario poseedor de una smartcard
desea autenticarse necesita introducir la tarjeta en
un hardware lector; los dos dispositivos se
identifican entre sí con un protocolo a dos bandas
en el que es necesario que ambos conozcan la
misma clave (CK o CCK, Company Key o Chipcard
Communication Key), lo que elimina la posibilidad
de utilizar tarjetas de terceros para autenticarse ante
el lector de una determinada compañía; además
esta clave puede utilizarse para asegurar la
comunicación entre la tarjeta y el dispositivo lector.
Tras identificarse las dos partes, se lee la
identificación personal (PID) de la tarjeta, y el
usuario teclea su PIN; se inicia entonces un
protocolo desafío-respuesta: se envía el PID a la
máquina y ésta desafía a la tarjeta, que responde al
desafío utilizando una clave personal del usuario
(PK, Personal Key). Si la respuesta es correcta, el
host ha identificado la tarjeta y el usuario obtiene
acceso al recurso pretendido.
Las ventajas de utilizar tarjetas inteligentes como
medio para autenticar usuarios son muchas frente a
las desventajas; se trata de un modelo ampliamente
aceptado entre los usuarios, rápido, y que incorpora
hardware de alta seguridad tanto para almacenar
datos como para realizar funciones de cifrado.
Además, su uso es factible tanto para controles de
acceso físico como para controles de acceso lógico
a los hosts, y se integra fácilmente con otros
mecanismos de autenticación como las
contraseñas; y en caso de desear bloquear el
acceso de un usuario, no tenemos más que retener
su tarjeta cuando la introduzca en el lector o
marcarla como inválida en una base de datos (por
ejemplo, si se equivoca varias veces al teclar su
PIN, igual que sucede con una tarjeta de crédito
normal). Como principal inconveniente de las
smartcards podemos citar el coste adicional que
supone para una organización el comprar y
configurar la infraestructura de dispositivos lectores
y las propias tarjetas; aparte, que un usuario pierda
su tarjeta es bastante fácil, y durante el tiempo que
no disponga de ella o no puede acceder al sistema,
o hemos de establecer reglas especiales que
pueden comprometer nuestra seguridad (y por
supuesto se ha de marcar como tarjeta inválida en
una base de datos central, para que un potencial
atacante no pueda utilizarla). También la distancia
lógica entre la smartcard y su poseedor -
simplemente nos podemos fijar en que la tarjeta no
tiene un interfaz para el usuario - puede ser fuente
de varios problemas de seguridad.
Aparte de los problemas que puede implicar el uso
de smartcards en sí, contra la lógica de una tarjeta
inteligente existen diversos métodos de ataque,
como realizar ingeniería inversa - destructiva -
contra el circuito de silicio (y los contenidos de la
ROM), adulterar la información guardada en la
tarjeta o determinar por diferentes métodos el
contenido de la memoria EEPROM.
7. Sistemas basados en una
característica física – biometría
Con la evolución de las tecnologías asociadas a la
información, nuestra sociedad está cada día más
conectada electrónicamente. Labores que
tradicionalmente eran realizadas por seres humanos
son, debido a las mejoras tecnológicas, realizadas
por sistemas automatizados. Dentro de la amplia
Sistemas y técnicas de autentificación
gama de posibles actividades que pueden
automatizarse, aquella relacionada con la capacidad
para establecer la identidad de los individuos ha
cobrado importancia y como consecuencia directa,
la biometría se ha transformado en un área
emergente. La biometría es la ciencia que se dedica
a la identificación de individuos a partir de una
característica anatómica o un rasgo de su
comportamiento. Una característica anatómica tiene
la cualidad de ser relativamente estable en el
tiempo, tal como una huella dactilar, la silueta de la
mano, patrones de la retina o el iris. Un rasgo del
comportamiento es menos estable, pues depende
de la disposición psicológica de la persona, por
ejemplo la firma. No cualquier característica
anatómica puede ser utilizada con éxito por un
sistema biométrico. Para que esto así sea debe
cumplir con las siguientes características:
Universalidad, Unicidad, Permanencia
Cuantificación.
Entenderemos por sistema biométrico a un sistema
automatizado que realiza labores de biometría. Es
decir, un sistema que fundamenta sus decisiones de
reconocimiento mediante una característica
personal que puede ser reconocida o verificada de
manera automatizada. En esta sección son
descritas algunas de las características más
importantes de estos sistemas.
7.1 Características de un indicador
biométrico
Un indicador biométrico es alguna característica con
la cual se puede realizar biometría. Cualquiera sea
el indicador, debe cumplir los siguientes
requerimientos:
 Universalidad: cualquier persona posee esa
característica;
 Unicidad: la existencia de dos personas con
una característica idéntica tiene una
probabilidad muy pequeña;
 Permanencia: la característica no cambia en
el tiempo; y
 Cuantificación: la característica puede ser
medida en forma cuantitativa.
Los requerimientos anteriores sirven como criterio
para descartar o aprobar a alguna característica
como indicador biométrico. Luego de seleccionar
algún indicador que satisfaga los requerimientos
antes señalados, es necesario imponer restricciones
prácticas sobre el sistema que tendrá como misión
recibir y procesar a estos indicadores.
7.2 Características de un identificador
biométrico para identificación personal
Las características básicas que un sistema
biométrico para identificación personal debe cumplir
pueden expresarse mediante las restricciones que
deben ser satisfechas. Ellas apuntan, básicamente,
a la obtención de un sistema biométrico con utilidad
práctica. Las restricciones antes señaladas apuntan
a que el sistema considere:
 El desempeño: que se refiere a la exactitud,
la rapidez y la robustez alcanzada en la
identificación, además de los recursos
invertidos y el efecto de factores
ambientales y/u operacionales.
 La aceptabilidad: que indica el grado en que
la gente está dispuesta a aceptar un
sistema biométrico en su vida diaria. Es
claro que el sistema no debe representar
peligro alguno para los usuarios y debe
y inspirar "confianza" a los mismos.
 La fiabilidad: que refleja cuán difícil es burlar
al sistema. El sistema biométrico debe
reconocer características de una persona
viva, pues es posible crear dedos de látex,
grabaciones digitales de voz prótesis de
ojos, etc.
7.3 Arquitectura de un sistema biométrico
de autentificación personal
Los dispositivos biométricos poseen tres
componentes básicos. El primero se encarga de la
adquisición análoga o digital de algún indicador
biométrico de una persona, como por ejemplo, la
adquisición de la imagen de una huella dactilar
mediante un escáner. El segundo maneja la
compresión, procesamiento, almacenamiento y
comparación de los datos adquiridos con los datos
almacenados. El tercer componente establece una
interfaz con aplicaciones ubicadas en el mismo u
otro sistema. La arquitectura típica de un sistema
biométrico se presenta en la Figura 2. Esta puede
entenderse conceptualmente como dos módulos:
Módulo de inscripción y Módulo de identificación.
Figura 2 - Arquitectura de un sistema biométrico para
identificación personal, aquí ejemplificado con huellas
dactilares
El módulo de inscripción se encarga de adquirir y
almacenar la información proveniente del indicador
Sistemas y técnicas de autentificación

biométrico con el objeto de poder contrastar a ésta
con la proporcionada en ingresos posteriores al
sistema. Las labores ejecutadas por el módulo de
inscripción son posibles gracias a la acción del
lector biométrico, el cual se encarga de adquirir los
datos relativos al indicador biométrico escogido,
entregando una representación digital de éste; y del
extractor de características, el cual a partir de la
salida del lector extrae las características
representativas del indicador.
El módulo de identificación es el responsable del
reconocimiento de individuos. El proceso de
identificación comienza cuando el lector biométrico
captura la característica del individuo a ser
identificado y la convierte a formato digital, para que
a continuación el extractor de características
produzca una representación compacta con el
mismo formato de los templates. La representación
resultante se denomina query (consulta) y es
enviada al comparador de características que
confronta a éste con uno o varios templates para
establecer la identidad.
7.4 Exactitud en la identificación: medidas
de desempeño
Una decisión tomada por un sistema biométrico
distingue "personal autorizado" o "impostor". Para
cada tipo de decisión, existen dos posibles salidas,
verdadero o falso. Por lo tanto existe un total de
cuatro posibles respuestas del sistema:
1. Una persona autorizada es aceptada,
2. Una persona autorizada es rechazada,
3. Un impostor es rechazado,
4. Un impostor es aceptado.
Las salidas números 1 y 3 son correctas, mientras
que las números 2 y 4 no lo son. El grado de
confidencia asociado a las diferentes decisiones
puede ser caracterizado por la distribución
estadística del número de personas autorizadas e
impostores. En efecto, las estadísticas anteriores se
utilizan para establecer dos tasas de errores:
 Tasa de falsa aceptación (FAR - False
Acceptance Rate), que se define como la
frecuencia relativa con que un impostor es
aceptado como un individuo autorizado,
 Tasa de falso rechazo (FRR: False
Rejection Rate), definida como la frecuencia
relativa con que un individuo autorizado es
rechazado como un impostor.
proporcionada por el usuario y la(s) almacenada(s)
en la base de datos.
Figura 3 - Gráfica típica de la tasa de falso rechazo
(FRR) y la de falsa aceptación (FAR) como funciones
del umbral de aceptación u para un sistema
biométrico
En esta figura 3 se puede apreciarse un umbral de
aceptación particular, denotado por u*, donde la
FRR y la FAR toman el mismo valor. Este valor
recibe el nombre de tasa de error de intersección
(cross-over error rate) y puede ser utilizado como
medida única para caracterizar el grado de
seguridad de un sistema biométrico. En la práctica,
sin embargo, es usual expresar los requerimientos
de desempeño del sistema, tanto para verificación
como para identificación, mediante la FAR.
Usualmente se elige un umbral de aceptación por
debajo de u* con el objeto de reducir la FAR, en
desmedro del aumento de la FRR.
7.5 Sistemas biométricos actuales
En la actualidad existen sistemas biométricos que
basan su acción en el reconocimiento de diversas
características, como puede apreciarse en la Figura
4. Las técnicas biométricas más conocidas son
nueve y están basadas en los siguientes
indicadores biométricos:
i. Rostro,
ii. Termograma del rostro,
iii. Huellas dactilares,
iv. Geometría de la mano,
v. Venas de las manos,
vi. Iris,
vii. Patrones de la retina,
viii. Voz,
ix. Firma.

La FAR y la FRR son funciones del grado de

seguridad deseado. En efecto, usualmente el
resultado del proceso de identificación o verificación
será un número real normalizado en el intervalo [0,
1], que indicará el "grado de parentesco" o
correlación entre la característica biométrica
Sistemas y técnicas de autentificación
Figura 4 - Técnicas biométricas actuales.
A continuación se entregara una pequeña
descripción de algunas de las técnicas más
utilizadas en la actualidad.
7.5.1 Verificación huellas dactilar
La identificación por huella dactilar es una de las
biometrías más conocidas y publicitadas. Gracias a
su unicidad y constancia en el tiempo las huellas
dactilares han sido usadas para la identificación por
más de un siglo, más recientemente volviéndose
automatizada debido a los avances en las
capacidades de computación. La identificación por
huellas dactilares es popular por su inherente
comodidad de adquisición, las numerosas fuentes
disponibles para recolección (diez dedos), y su
establecido uso y recolección por parte del orden
público e inmigración.
Una huella dactilar usualmente aparece como una
serie de líneas oscuras que representan los
relieves, la porción saliente de las crestas de
fricción, mientras los valles entre estas crestas
aparecen como espacio en blanco y están en bajo
relieve, la porción subyacente de las crestas de
fricción. La identificación por huella dactilar está
basada principalmente en las minucias, o la
ubicación y dirección de los finales y bifurcaciones
(separaciones) de las crestas a lo largo su
trayectoria. La Figura 5 muestra ejemplos de
características de huellas dactilares: dos tipos de
minucias (imagen izquierda) y ejemplos de otras
características algunas veces utilizadas durante la
clasificación automática y procesos de extracción de
minucias (imagen derecha).
Figura 5 - Minucias y características representativas
Los tipos de información que pueden tomarse de la
impresión de la cresta de fricción de una huella
incluyen el flujo de crestas de fricción (nivel 1 de
detalle), la presencia o ausencia de características a
lo largo de cada trayecto individual de crestas de
fricción y sus secuencias (nivel 2 de detalle), y el
detalle intrincado de una sola cresta (nivel 3 de
detalle). El reconocimiento está usualmente basado
en los primeros 2 niveles de detalle o sólo en el
último.
7.5.2 Verificación Facial
Los humanos a menudo utilizan los rostros para
reconocer individuos y los avances en las
capacidades de computación en las últimas
décadas, ahora permiten reconocimientos similares
en forma automática. Los algoritmos de
reconocimiento facial anteriores usaban modelos
geométricos simples, pero el proceso de
reconocimiento actualmente ha madurado en una
ciencia de sofisticadas representaciones
matemáticas y procesos de coincidencia.
Importantes avances e iniciativas en los pasados
diez a quince años han propulsado a la tecnología
de reconocimiento facial al centro de la atención.
Hay dos enfoques predominantes en el problema de
reconocimiento facial:
El geométrico (basado en rasgos) y el fotométrico
(basado en lo visual). Conforme a que el interés
investigador en reconocimiento facial continuó,
fueron desarrollados muchos algoritmos diferentes,
tres de los cuales han sido bien estudiados en la
literatura del reconocimiento facial:
 Análisis de componentes principales (PCA -
Principal Components Analysis),
 Análisis lineal discriminante (LDA Linear
Discriminant Analysis), y
 Correspondencia entre agrupaciones de
grafos elásticos (EBGM - Elastic Bunch
Graph Matching).
PCA es la técnica impulsada por Kirby & Sirivich en
1988. Con PCA, el sondeo y la galería de imágenes
deben ser del mismo tamaño y deben ser
normalizadas previamente para alinear los ojos y
bocas de los sujetos en las imágenes
Esta reducción en las dimensiones quita información
que no es útil y descompone de manera precisa la
estructura facial en componentes ortogonales (no
correlativos) conocidos como Eigenfaces (figura 6).
Cada imagen facial puede ser representada como
una suma ponderada (vector de rasgo) de los
eigenfaces, las cuales son almacenadas en un
conjunto 1D.
Sistemas y técnicas de autentificación
Figura 6 - Eigenfaces estándar.
LDA es una aproximación estadística para clasificar
muestras de clases desconocidas basadas en
ejemplos de entrenamiento con clases conocidas
(Figura 6). Esta técnica tiene la intención de
maximizar la varianza entre clases (ej. Entre
usuarios) y minimizar la varianza de cada clase (Ej.
De cada usuario).
EBGM tiene en cuenta que las imágenes faciales
reales tienen muchas características no lineales que
no son tratadas en los métodos lineales de análisis
discutidos previamente, tales como variaciones en
la iluminación (Iluminación de exteriores vs. Interior
fluorescente), postura (frontal vs. inclinada) y
expresión (sonrisa vs. ceño fruncido).
7.5.3 Verificación del iris
El reconocimiento de iris es el proceso de reconocer
a una persona analizando el patrón al azar del iris
(Figura 7). El método automatizado de
reconocimiento de iris es relativamente joven,
existiendo en patente solamente desde 1994.
Figura 7 - Diagrama y estructura del iris
La digitalización de imagen del iris requiere el uso
de una cámara fotográfica digital de la alta calidad.
Al digitalizar la imagen del iris, una ondeleta de
Gabor 2D filtra y traza los segmentos del iris en los
Fasores (vectores). Estos fasores incluyen la
información sobre la orientación y la frecuencia
espacial (el "qué" de la imagen) y la posición de
estas áreas (el "dónde" de la imagen). Esta
información se utiliza para trazar el IrisCodes®
(figura 8)
Figura 8 - Iris Localizados con IrisCodes®.
Los patrones del diafragma son descriptos por un
IrisCode® usando la información de la fase recogida
en los fasores. La fase no es afectada por el
contraste, la ganancia de la cámara fotográfica, o
los niveles de la iluminación. Esta fase característica
de un iris se puede describir usando 256 bytes de
datos usando un sistema de coordinada polar.
7.5.4 Verificación palmar o de la palma de la
mano
El reconocimiento palmar inherentemente
implementa muchas de las características de
emparejamiento que han permitido que el
reconocimiento por huella dactilar sea uno de los
más conocidos y el más publicitado método
biométrico. Tanto la huella palmar como la huella
dactilar son representadas a través de la
información de la impresión de surcos de fricción.
Esta información combina el flujo de surcos, las
características de los surcos y la estructura de los
surcos de la porción de la epidermis expuesta
(figura 9). La información representada por estos
surcos de fricción permite determinar si áreas
correspondientes de fricción de surcos han sido
originadas por la misma fuente o bien, si es
imposible que hayan sido originadas por la misma
fuente. Dado que las huellas palmares y dactilares
son únicas y permanentes, han sido utilizadas por
más de un siglo como una forma confiable de
identificación. De todos modos, el reconocimiento
palmar ha sido más lento en su automatización
debido a algunas limitaciones en las capacidades de
computación y tecnologías de escaneo en vivo.
Figura 9 - Partes y Minucias de la palma de la mano
7.5.5 Verificación de la geometría de la mano
Los sistemas de autenticación basados en el
análisis de la geometría de la mano son sin duda los
más rápidos dentro de los biométricos: con una
probabilidad de error aceptable en la mayoría de
ocasiones, en aproximadamente un segundo son
Sistemas y técnicas de autentificación
capaces de determinar si una persona es quien dice
ser.
Cuando un usuario necesita ser autenticado sitúa su
mano sobre un dispositivo lector con unas guías que
marcan la posición correcta para la lectura (figura
10). Una vez la mano está correctamente situada,
unas cámaras toman una imagen superior y otra
lateral, de las que se extraen ciertos datos (anchura,
longitud, área, determinadas distancias...) en un
formato de tres dimensiones. Transformando estos
datos en un modelo matemático que se contrasta
contra una base de patrones, el sistema es capaz
de permitir o denegar acceso a cada usuario.
Figura 10 - Geometría de una mano con ciertos
parámetros extraídos.
7.5.6 Verificación de voz
El reconocimiento por voz, es una modalidad
biométrica que utiliza la voz de un individuo con
fines de reconocimiento (difiere de la tecnología del
"reconocimiento de discurso", que reconoce las
palabras a medida que van siendo articuladas, este
no es un dispositivo biométrico). El proceso de
reconocimiento de voz depende de las
características de la estructura física del tracto vocal
de un individuo así como también de sus
características de comportamiento.
Hay dos formas de reconocimiento por voz: una
dependiente del texto (modo limitado) y otro
independiente del texto (modo ilimitado). En un
sistema que utiliza discurso dependiente del texto,
el individuo presenta una frase fija (contraseña) o
una frase programada dentro del sistema ("Por favor
diga los números: 33-54-63") que mejora la
performance especialmente con usuarios que
cooperan. Un sistema independiente del texto no
posee ningún conocimiento a priori del fraseo de
quien se presenta y es mucho más flexible en
situaciones en las que el individuo que está dando
la muestra no está al tanto de la toma o que no
desee cooperar, lo que presenta un desafío aún
más difícil.
8. Conclusiones
I. Aunque las contraseñas son consideradas
el mecanismo más débil de autentificación,
esto no se debe derechamente a un mal
uso de la herramienta, sino a la poca
capacidad de los usuarios para crear
contraseñas que impliquen una real
seguridad
II. Aunque las tarjetas inteligentes no han
presentado grandes avances en la
actualidad, siguen siendo un mecanismo
globalmente usado en gran proporción,
comparado con los otros mecanismos de
autentificación existentes.
III. El auge de los mecanismos biométricos
todavía no ha llegado debido a su elevado
precio, pero sin duda estos serán los
mecanismos más utilizados en un futuro
cercano, por su nivel de seguridad y su
dificultad para falsificarlos
IV. El factor más importante para cualquier
sistema de autentificación es el usuario, ya
que no importa el nivel de seguridad de un
sistema, si este no resguarda la información
como debe ser la utilización el objetivo del
sistema de autentificación fracasaría por
factores externos a este.
9. Bibliografía
http://www.neotec.com.pa/pdf/presenteyfuturo.pdf
http://www.rediris.es/cert/doc/unixsec/node14.html
http://www2.ing.puc.cl/~iing/ed429/sistemas_biometr
icos.htm
http://www.kimaldi.com/productos/sistemas_biometri
cos
http://www.lealsistemas.com.ar/biometria.php
http://www.onlinepasswordgenerator.net/the-history-
of-passwords.php
http://www.ftsafe.com/products/otp.html
http://www.biometriaaplicada.com/
http://www.webelectronica.com.ar/news18/nota09.ht
m
http://www.compute-rs.com/es/consejos-
1144133.htm
http://www.scribd.com/doc/4680034/Seguridad-
Informatica-y-Criptografia-Autenticacion-y-Firma-
Digital
http://msdn.microsoft.com/es-
es/magazine/cc507635.aspx
http://www.wikilearning.com/tutorial/usando_samba-
seguridad_y_autenticacion/9688-38
http://www.genciencia.com/otros/otros-metodos-de-
autentificacion-en-sistemas
http://www.monografias.com/trabajos38/autentificaci
on-biometrica/autentificacion-biometrica2.shtml
http://www.biometria.gov.ar/metodos-
biometricos/dactilar.aspx
http://www.nvg.ntnu.no/linux/sunsite/docs/LuCaS/Ma
nuales-LuCAS/doc-unixse/unixsec-
html/node113.html