Nuevos campos para la innovación: Internet y el comercio electrónico de bienes y servicios
Braulio Tamayo
Octubre 1999 versión pdf
Anexo III. TÉCNICAS BIOMÉTRICAS
A III.1
TÉCNICAS DE AUTENTICACIÓN BIOMÉTRICASA III. 1.1 Introducción a la biometría
Se han dado diversas definiciones de la autenticación en cada uno de los organismos que se han ocupado del tema, como la OCDE, Unión Europea, ISO. En el caso del comercio electrónico, la autenticación es el proceso que impide que personas no autorizadas accedan indebidamente a una información o suplanten a otra al hacer una transacción. Las personas han de ser conocidas por su identidad, pero en ocasiones, también por su posición en una organización, por su código (nombre dentro de una organización) o sus características físicas. En función del parámetro que determine la identidad de la persona, así serán los elementos utilizados para garantizarla. Son ejemplos el documento nacional de identidad, donde a la identidad se adjunta una foto, forma de recoger algunas de las características unívocas de una persona.
En el capítulo 8 pudo verse cómo, en Internet, la verificación de la autenticidad puede basarse
en el conocimiento (de una clave), en la posesión (de un documento o información) o en la propiedad de las personas (lo que son). Está última ha dado lugar a técnicas que tratan de reconocer una serie de propiedades de las personas que se conocen como características biométricas. Algunas de estas técnicas están siendo utilizadas desde hace ya algún tiempo y cuentan con una gama de servicios empresariales y administrativos que las utilizan. A pesar de ello, y aun considerando que han adquirido una maduración tecnológica, estas técnicas no están enteramente disponibles para el comercio electrónico, salvo en el plano experimental o para su utilización en ámbitos privados. Su potencial en un futuro próximo y su actual consideración por muchos organismos e instituciones justifica su inclusión en el presente estudio.
Otras técnicas están en un estado aún más distante de la experimentación práctica, como pueden ser las que analizan el DNA de las personas, la configuración de las venas de las manos, reconocimiento del oído o detección de olores. Aun reconociendo su existencia, se considera que su descripción se sale del alcance de este estudio.
A III. 1.2 Grupos de técnicas biométricas
El objetivo de todos estos métodos es llegar a conseguir de cada individuo un patrón de características que determinen de forma unívoca la identidad de la persona. Este patrón deberá concretarse en una ficha biométrica, que será el registro permanente de esa persona, registro que se enfrenta a los mismo retos de todos los documentos de esa misma naturaleza, como son su obtención, utilización, custodia y administración. Las técnicas biométricas pueden agruparse en dos familias:
i ) Las relacionadas con las constantes fisiológicas de la persona.
ii ) Las relacionadas con los comportamientos.(p.188)
A III. 1.3 Las técnicas biométricas y el comercio electrónico
A III.1.3.1 Situación actual como medio de autenticación
Si bien la autenticación basada en las características biométricas ha sido usada desde hace tiempo en aplicaciones tales como en dispositivos de control de personas, de accesos y de identidades, ninguna de estas técnicas ha sobresalido hasta el momento como candidata a una aceptación universal de medio de verificación. Entre las dificultades para ello están la necesidad de sistemas y equipos auxiliares, la adopción de nuevos procedimientos y el siempre presente aspecto de la falta de soporte legal. Solamente algunas de las basadas en la firma autógrafa, por disponerse en la actualidad de una gama de equipos auxiliares como lápices electrónicos y tabletas digitalizadoras, y por sus semejanzas con los procedimientos tradicionales de firma, han recibido la atención de algunos legisladores, pero, aun así, su situación dista mucho de tener el soporte legal de la firma electrónica.
A III.1.1.3 Problemas sociales
Cualquiera de las técnicas biométricas que se vaya a utilizar, requiere el cumplimiento de una serie de condiciones que la hagan viable. En primer lugar, debe ser socialmente aceptable, concepto que significa exigir una colaboración solo mínima de la persona identificada, que sea no discriminatoria y que no revele aspectos de las personas que pudieran ser considerados como íntimos o confidenciales. Ello se hará más difícil de cumplir según las aplicaciones de las técnicas biométricas atraviesen fronteras y culturas distintas.
A III.1.1.4 Problemas técnicos
Destacan dos problemas: la tolerancia a errores de índole organizativa y el almacenamiento
de la ficha biométrica de carácter tecnológico. Ambos están en el centro de las actuales discusiones. Aunque muy pocos se han atrevido a asignar límites a la posibilidad de errores, existe el acuerdo de que este es un aspecto capital, puesto que, si bien en todo procedimiento se admite una tasa de fallos, esta debe ser precisamente acotada, dado que estos límites pueden ser posteriormente utilizados en temas legales, actuariales, de seguros, etcétera. El problema de la acotación radica en la falta de normas para su medida y la existencia de organizaciones independientes que las puedan verificar. Hoy día, los límites vienen dados por las propias empresas que desarrollan la tecnología que, como es evidente, tiene intereses comerciales en el tema y no deberían involucrarse en el establecimiento de parámetros tan sensibles. Se hacen necesarios instituciones independientes que evalúen estas técnicas, establecimiento de normas internacionales y recomendaciones de utilización.
El almacenamiento de estas características plantea dilemas semejantes a los de otros tipos de firmas. O bien la firma la lleva el sujeto guardada en un dispositivo de memoria o se custodia en un lugar central, como una base de datos. Hay argumentos en favor de cada una de las alternativas y, de igual manera, están distribuidas sus desventajas. Serán final(p.189)mente las aplicaciones en actividades de uso masivo las que dictarán sentencia, y lo más probable será que, en muchos casos, haya que recurrir a ambas formas de almacenamiento.
A III.1.1.5 Problemas de normalización
Cualquier aplicación que se haga, para su extensión, necesita estar respaldada por una normativa de cobertura internacional lo más amplia posible. El problema radica aquí en que, debido al potencial mostrado por estas técnicas, los temas han sido abordados por innumerables organismos de normalización que tienen poca o ninguna práctica en actividades colaboradoras, algo que tarda mucho en desarrollarse. A modo de ejemplo, pueden mostrase algunos de estos organismos:
§
National Bureau of Standards (NBS) para establecimiento de métodos de evaluación.§
US Army para temas y técnicas de reconocimiento facial.§
Federal Bureau of Investigation (FBI) para compresión de huellas dactilares.§
Intitute of Electrical and Electronic Engineers (IEEE) para recomendaciones en temas relacionados con Internet.§
Internet Architecture Board (IAB) para temas de encriptación del correo electrónico.§
Organización de Aviación Civil Internacional (OACI) para usos de lectura informatizada de pasaportes.§
Comisión Electrotécnica Internacional (CEI) para establecer prácticas de cooperación internacional.§
Federal Telecommunication Standards Commitee (FTSC), que debe participar en todos los foros de normalización.§
International Standards Organization (ISO) para sancionar normas que van a ser propuestas a otros organismos internacionales.Además de estas organizaciones, están presentes por su participación en todo momento, representantes de la Casa Blanca (Presidencia de EEUU), organizaciones relacionadas con las tecnologías de encriptación y biometría, universidades, centros de investigación, grupos industriales, profesionales del derecho y organizaciones americanas relacionadas con la protección de los derechos civiles.
Esta lista, resumida, debe dar una idea del camino que queda por recorrer. No obstante, se debe recordar que muchas de las prácticas del comercio electrónico han comenzado su andadura con una falta total de normalización y de respaldo legal, por lo que no es descartable que en este campo pueda ocurrir algo parecido, y se llegue a normas de facto y a acuerdos de utilización adoptados y validados por la sociedad civil.
A III.1.1.6 Aspectos financieros y de coste
Ateniéndose a la aplicación para el comercio electrónico y la banca electrónica, cualquiera de las técnicas aquí descritas tiene que competir con las ya en vías de implantación, como la firma digital, cuyas aplicaciones vienen integradas en los programas de navegación. La ficha biométrica requiere un equipamiento especial (sensores biométricos, tabletas digitalizadoras,lectores fisiológicos, etcétera) para su obtención y verificación, que hace incurrir en costes adicionales. Además, su uso tiene otros costes, como los de verificación, administra(p.190)ción, custodia y clasificación, siendo esta un área sobre la cual las Terceras Partes de Confianza podrían extender su gama de servicios.
A III.2
TÉCNICAS BIOMÉTRICAS FISIOLÓGICASA III. 2.1 Verificación de las huellas digitales
A III.2.1.1 Técnica aplicable
Se trata de una versión electrónica de las huellas digitales utilizadas desde hace años para la identificación de personas. Esta técnica se considera muy sólida, puesto que el dibujo y la geometría de las huellas digitales permanecen constantes a lo largo de toda la vida. No es aplicable a los casos de ciertas personas. Aunque se ha utilizado con frecuencia por los gobiernos en asuntos como identificación o control de inmigración, su práctica no es muy aceptada por el usuario.
A III.2.1.2 Eficacia
Puede ser adecuada, en términos generales, en el comercio. Pero como sistema de identificación, no es utilizable en situaciones donde el usuario necesita llevar guantes (hospitales, laboratorios, plantas químicas). Las pruebas de las huellas dactilares y de la palma de la mano son extremadamente precisas, pero requieren dispositivos especiales de captura de datos, que no siempre son compatibles con los actuales equipos informáticos y de telecomunicación, por lo que no son prácticos para autenticaciones desde lugares remotos, personas desplazadas, etcétera.
A III.2.1.3 Aplicaciones
§
Seguros médicos.§
Agencias gubernamentales.§
Verificación de la identidad.§
Seguridad de aeropuertos.§
Acceso a equipos informáticos.§
Banca.A III.2.1.4 Productos
§
WinFing 3.1 (PrintScan International, EEUU).§
Fingerprint Scanner (The National Registry, EEUU).§
FingerCheck (Startek, Taiwan).§
FingerScanner (FingerMatrix, EEUU)§
FingerScan (Australia).§
TouchPrint 600 (Identix, EEUU).A III. 2.2 Análisis del iris.191
A III.2.2.1 Técnica aplicable
Los oftalmólogos descubrieron a través de análisis clínicos que el iris de las personas permanece sin cambios y, además, que es característico de cada individuo. El iris, como elemento de identificación, tiene las propiedades de estar protegido del entorno exterior, es casi imposible de modificar a través de la cirugía, y pueden efectuarse comprobaciones a una cierta distancia sin necesidad de contacto físico.
Aun así, el análisis del iris ha presentado problemas de aceptación en las aplicaciones que se han utilizado hasta el momento, al tener que utilizar un haz de rayos infrarrojos. En la actualidad se ensayan técnicas de medida a distancia del iris, pero sus resultados no inspiran aún la confianza necesaria. No es adecuado para personarse con minusvalías de la visión y diabéticos.
A III.2.2.2 Productos
§
IrisScan 2020, System 2000 EAC (IrisScan, EEUU).§
IrisIdent System (Sensor, EEUU).§
2001 (Eye Dentify, EEUU).A III. 2.3 Análisis facial
A III.2.3.1 Técnica aplicable
Se trata de analizar las características de la cara, como el contorno del rostro, tamaño de la nariz, forma de los ojos, barbilla, cejas, y boca, etcétera, características que hasta ahora se consideraban óptimas para reconocer a una individuo por los medios tradicionales. Su versión
electrónica es compleja, puesto que se requiere para su análisis el empleo de técnicas algorítmicas de redes neuronales, procedimientos muy intensivos en cálculo y que necesitan, por tanto, un cierto tiempo de procesado. La informática asociada requiere equipos periféricos convencionales y no demasiado costosos.
A III.2.3.2 Eficacia
El método tiene bastantes restricciones, porque, en primer lugar, se requiere una cierta colaboración del sujeto que se va a identificar y, además, porque con estas técnicas no se podrán autenticar personas con características físicas sobrepuestas a las normales, como la barba, el peinado, ciertas expresiones faciales. Las características personales son también modificables por actuaciones como la cirugía estética o reparadora. Por su semejanza con las técnicas tradicionales, este método se considera aceptable por el público. El registro de estas características ha de ser actualizado para compensar los efectos del envejecimiento en el rostro de las personas.
A III.2.3.3 Aplicaciones
§
Banca.§
Seguridad en los aeropuertos..192§
Asistencia social§
Hospitales.§
Acceso a ordenadores§
Internet.§
Servicios telefónicos.§
Compañías de tarjetas de crédito.§
Permisos de conducir.A III.2.3.4 Productos
§
Facial Data Base Systems (Dectel Security Systems, Reino Unido).§
True Face, True Face Cyber Watch (Miros, EEUU).§
Thermace, VIAS (Forensic Security Services, Reino Unido).§
FR1000 (Technology Recognition Systems).§
Sherlock Face Recognition (Facial Reco Associates).§
Facial Search System (Identicator, EEUU).§
KEN (Lawrence Livermore National Laboratory, EEUU).§
MufMaster (NeuroMetric Vision Systems).§
ZN-Face (Zentrum fur Neuroinformatik, Alemania).§
FACEit (National University of Singapoore).§
ARGUS (George Mason University).§
Face Pass (MIT Artificial Intelligence Laboratory).§
FACE-SOM (UMIST).§
Facial Recognition Software (University of Essex, Reino Unido).§
Dextel Crime Net (Dextel Security Systems, Reino Unido).§
One on One Facial Recognition Systems (Identification Technologies InternationalInc., EEUU).
A III.3
TÉCNICAS DEL ANÁLISIS DEL COMPORTAMIENTOA III. 3.1 Análisis de la voz
A III.3.3.1 Técnica aplicable
En la vida diaria, es posible reconocer a muchas personas por la voz. Las características vocales, tales como cavidad bucal, tracto, etcétera, hacen que cada persona emita la voz de una forma diferente, lo que permite fácilmente su reconocimiento a personas familiarizadas. En su versión electrónica, ello se consigue mediante el análisis estadístico de la voz digitalizada, y puede requerirse en situaciones tales como cuando una persona habla o da órdenes por teléfono.
A III.3.3.2 Eficacia
Algunos ensayos han dado resultados espectaculares, pero como técnica biométrica no es tan precisa como el análisis del iris o de las huellas dactilares. Esta técnica es adecuada cuando se quieren manejar dispositivos de manos libres.(p.193)
Una amenaza para estas técnicas es la impostación, así como duplicaciones de la voz registradas en cintas. Enfermedad, fatiga, procesos febriles o estados emocionales, son factores que pueden dificultar una identificación. La voz también pueden cambiar por consumo del alcohol o llevar prótesis dentales. También dificulta el análisis el ruido ambiental en el lugar de registro o identificación.
A III.3.3.3 Aplicaciones
§
Dispositivos antirrobo.§
Acceso a equipos informáticos.§
Autorización de tarjetas de pago.§
Servicios personales a través de telefonía.A III.3.3.4 Productos
§
VOCAL, VOCAL SCW1, VOCAL ZKE (ABS, Alemania).§
PIN-LOCK, Voice Verification System (T-NETIX, EEUU).§
Caller Verification System (Bell Security, Reino Unido).§
Tele-MAtic (Speakez, EEUU).§
TESPAR/FANN (Domain Dynamic Limited, Reino Unido).A III. 3.2 Verificación de la firma manuscrita
A III.3.2.1 Técnica aplicable
Versión digital de la firma a actual en documentos. En ella se analizan velocidad, aceleración,
etcétera, para lo se requiere una tabla digitalizadora o un lápiz electrónico. En su análisis, se aplican métodos estadísticos y se determinan unos parámetros que son los que figurarán en la ficha biométrica. Posteriormente, esta firma podrá agregarse a documentos electrónicos, para ser comparada con la de la ficha biométrica. Los datos cifrados son resultado del análisis de más de cuarenta características de la firma manuscrita, como velocidad y aceleración de la escritura, trazos, rasgos, etcétera.
Cada vez que se quiera validar se ha de comparar la ficha vinculada al documento con la ficha registrada. Está validación no suele dar resultados absolutos sino una graduación de la semejanza entre ambas firmas, que se valoran de acuerdo con una escala. El umbral de aceptación será variable en función de la trascendencia del documento o transacción.
A III.3.2.2 Eficacia
Dada la familiaridad de la firma manuscrita para la verificación de la autenticidad de un documento, la firma manuscrita es generalmente aceptable. Para ciertas aplicaciones con personas disminuidas, con enfermedad de Parkinson o analfabeta, no se puede utilizar esta tecnología. Tampoco con personas que cambien su firma de forma radical o con individuos bajo la influencia de drogas o alcohol.
A III.3.2.3 Aplicaciones (p.194)
§
Banca.§
Servicios postales.§
Telecompra.§
Asistencia médica.A III.3.2.4 Productos
§
Signature Analyzer (PenOp Inc., EEUU).§
Rolls Royce Signature Verification (British Technology Group, Reino Unido).§
Electronic Signature Verification System (Quintet, EEUU).§
Cyber-SIGN (Gadix, EEUU).§
Signature Verification Software (Communication Intelligence Corp., EEUU).§
Countermatch (AEA Technology, Reino Unido).§
ID-007 (Cadix International, Japan).§
IBM Transaction Security System (IBM. EEUU).§
Sign/On (Checkmate Electronice, EEUU).A III. 3.3 Comportamientos ante el teclado
A III.3.3.1 Técnica aplicable
Este método se halla en fase de desarrollo y se basa en las características mecanográficas de algunos individuos, tales como pulsaciones y duración, tiempo entre pulsaciones, frecuencia de errores mecanográficos, fuerza de las pulsaciones, etcétera.
A III.3.3.2 Eficacia
Si bien este sistema no es abiertamente rechazado, su aplicación suscita ciertas dudas en cuanto a la estabilidad de las características analizadas, que pueden verse afectadas por circunstancias tales como la fatiga, minusvalías, traumatismos, etcétera.
A III.3.3.3 Aplicaciones
Está considerado como un sistema auxiliar de otras técnicas.
A III.3.3.4 Productos
Hay productos en desarrollo de las empresas siguientes:
§
BioPassword Security Systems, Reino Unido.§
Electronic Signature Lock Marketing, EEUU.§
M&T Technologies, EEUU.A III.4
MARCO PARA NUEVOS AVANCESLa autenticación mediante técnicas biométricas está pendiente de avances en un gran número de áreas.
§
Tecnológicas, para mejorar las prestaciones y confiabilidad actuales de las técnicas.(p.195)§
De control de calidad, respecto a pruebas de homologación y de medida.§
Aceptación social, que en gran parte va a depender de pautas culturales y tecnológicas.§
Respaldo de instituciones y textos legales..197
ANEXO IV. SIGLAS
AC Autoridad de Certificación
ACE Autoridad de Certificación Electrónica
ADSL Asymmetric Digital Subscriber Loop
AECE Asociación Española de Comercio Electrónico
AN Autoridad Notarial
ATM Asynchronous Transfer Mode
ATM Automated Teller Machine (cajero automático)
BBS Bulletin Board System
CAD Computer Aided Design
CAFE Conditional Access For Europe
CALS Computer-aided Acquisition and Logistics Support
CAM Computer Aided Manufacturing
CEI Comisión Electrotécnica Internacional
CHAPS Clearing House Automated Payment System
CHIP Clearing House International Payment
DSA Digital Security Algorithm
EDI Electronic Data Interchange
EEUU Estados Unidos
EFT Electronic Funds Transfer
EGM Estudio General de Medios
ETSI European Telecommunication Standards Institute
FBI Federal Bureau of Investigation
FEDI Failure Experience on Data Interchange
FESTE Fundación para el Estudio de la Seguridad en las Telecomunicaciones
FSTC Financial Services Technology Consortium
FTP File Transfer Protocol
FTSC Federal Telecommunication Standards Committee
HTML Hyper-Text Mark Language
IAB Internet Architecture Board
IBOS InterBank On-line System
ICP Infraestructura de Claves Públicas
IEEE Institute of Electrical and Electronic Engineers
IETF Internet Engineering Task Force
IKP Internet Keyed Payment
IP Internet Protocol
IRC Internet Relay Chat
ISO International Standards Organization
ISOC Internet Society
MIT Massachusetts Institute of Technology
NBS National Bureau of Standards.198
NGII Next Generation Internet Initiative
NIP Número de Identificación Personal
OACI Organización de Aviación Civil Internacional
OCDE Organización para la Cooperación y el Desarrollo Económico
OFTP Odette File Transfer Protocol
OSI Open System Interconnection
PC Personal Computer (ordenador personal)
PGP Pretty Good Privacy
PKI Public Key Infrastructure
PKI Public Key Infraestructure
PSI Proveedor de Servicios Internet
PYME Pequeña Y Mediana Empresa
RDSI Red Digital de Servicios Integrados
RPV Redes Privadas Virtuales
RSA Rivest, Shamir & Adleman
SET Secure Electronic Transaction
SMD Sistema Mundial de Distribución
SSL Secure Sockets Layer
SWIFT Society for Worldwide Interbank Financial Telecommunication
TARGET Trans-european Automated Real Time Gross settlement Express Transfer
TCP Transmission Control Protocol
THISCO The Hotel Industry Switch Company
TIPHON Telephony on Internet Protocols Harmonised Over Networks
TPC Terceras Partes de Confianza
TPV Terminal Punto de Venta
UE Unión Europea
UIT Unión Internacional de Telecomunicaciones
UMTS Universal Mobile Telecommunication System
UNCITRAL United Nations Commission on International Trade Law
UNCTAD United Nations Conference on Trade and Development
UNIDROIT United Nations International Institute for the Unification of Private Law
UPS Uninterrupted Power Supply (fuentes de alimentación ininterrumpidas)
URL Uniform Resource Locator
VAN Value Added Network (red de valor añadido)
WWW World Wide Web
XML Extensive Mark Language