¿Estamos preparados para una estandarización de sistemas biométricos?

En la Campus Party de Londres, tuve la suerte de conocer en persona a Lorenzo Martínez (@lawwait), todo un experto en informática y uno de los fundadores de SecurityByDefault, sin duda entre los mejores blogs de seguridad de Internet (lleva entre mis lecturas recomendadas desde la creación de esta página). Y debí engañarle muy bien, porque me comentó la posibilidad de colaborar en su blog, fruto de la cual nace esta entrada (ES).

 

La salida del iPhone5S abrió la caja de Pandora. Por primera vez, uno de los dispositivos que más acogida tiene en el mercado mundial móvil incluía un sensor biométrico como sistema de seguridad.

fido_identification

Sobre sus ventajas y desventajas, ya hemos hablado largo y tendido. Desde el potencial peligro que conlleva un sistema (en principio almacenado únicamente en local) que registra el minutae propio de cada usuario, sabedores del poder de la NSA y el interés de gobiernos de medio mundo por eliminar todo rastro de privacidad del tercer entorno, hasta las deficiencias propias de un sistema de inherencia como es el biométrico (único, permanente, basado en la probabilidad y no en la exactitud,…).

Y lo cierto es que pese a todo lo antes mencionado, parece que estemos ante un producto que viene para quedarse, que muchos medios señalan como tendencia, y que nos guste o no, habrá que lidiar con él.

Así es como vuelve a salir a la palestra FIDO Alliance (EN), una iniciativa de casi 50 compañías que pretenden estandarizar la identificación basada en huella dactilar, cuyo germen nacía hace ya más de un lustro, y que no se había formado oficialmente hasta enero de este mismo año.

El objetivo de la misma sería el de ofrecer una guía de buenos hábitos de cara a la implementación de un sistema biométrico universal, una misión complicada, más teniendo en cuenta que Apple ya tiene su propio servicio TouchID en funcionamiento.

Habrá que ver como evoluciona la propuesta, en principio destinada a la autenticación en cualquier servicio (recordemos que TouchID sirve únicamente para desbloquear el terminal y hacer compras en la AppStore, al no tener una API abierta a desarrolladores), lo que lleva ineludiblemente a preguntarse cómo de seguro sería un sistema abierto basado en una clave que nunca podríamos cambiar.

Y a la única conclusión a la que llego es que quizás en un futuro tratemos este tipo de sistemas como un login, y no como una contraseña. Un suerte de verificación en dos pasos, delegando la seguridad de nuestros perfiles en un sistema híbrido de inherencia y conocimiento, lo que por un lado mejora la experiencia de usuario (está claro que es más inmediato poner el dedo en un sensor que teclear nuestro email o usuario), y por otro mantiene las principales ventajas de una contraseña (fácilmente modificable y basada en la exactitud con el patrón elegido).