Escribía ayer de pasada en el CIGTR (ES) sobre ese ratón desarrollado por Glenn Klaufman, ingeniero de Raytheon (empresa de ciberseguridad militar), que utilizaba un patrón neuronal para identificar al usuario (EN), y me quedé con ganas de tratarlo con calma en un artículo.
La historia es de esas que tanto les gusta a los americanos.
Un contratista de defensa encargado del diseño de un sistema de verificación de identidad que evitase que armas sustraídas por el enemigo pudieran ser usadas en su contra, inspira a este ingeniero para aplicar una tecnología parecida en el ámbito civil. El resultado es un ratón de escritorio que reconoce mediante un patrón fijado de antemano si quien está utilizándolo es el usuario habitual u otro, de forma semeja a otros tipos de verificación de identidad.
Lo curioso del caso, y que me lleva a señalarlo como interesante, es que se adentra en un campo que a cada paso empieza a ser más crítico, como es el de la verificación neurológica, y que en su día, cuando hice esa serie sobre Métodos de Identificación Personal (I y II), aún no se había extendido.
La idea que subyace bajo una identificación neurológica es básicamente la misma que encontramos en un sistema biométrico, puesto que las dos entrarían dentro de la tipología de esquemas de seguridad basados en la inherencia. Esto quiere decir que es algo innato en el individuo, que no depende de él, y por tanto, lo diferencia del resto.
Como ya vimos, la inherencia tiene sus ventajas (única por cada individuo) pero son justo los inconvenientes los que evitan que un sistema basado en este paradigma sea válido por sí mismo (y que termina por relegarlo para verificaciones en dos pasos). Entre ellos, siempre sale a relucir el mismo problema: una vez creados, no pueden ser modificados, o tendremos en la vida unas contadas veces para hacerlo (por ejemplo, si hablamos de identificación dactilar, tenemos diez dedos, lo que hacen un total de 10 cambios en vida (¡veinte si me apuras!) y en la ocular, dos).
¿Qué les hace tan interesantes? Pues exactamente en lo que peca un sistema basado en esquemas de seguridad por conocimiento. En que protege de ataques externos que no tengan acceso al propio cuerpo o al servidor de la compañía (la mayoría de contraseñas pueden ser explotadas si se cuenta con los recursos y el tiempo suficiente, e incluso puede ser sustraída mediante ingeniería social sin llegar a contactar físicamente con la víctima).
¿Qué espacio hay entonces para la identificación neurológica? Pues uno en el que aunque sigue siendo invariable en el tiempo (aquí cada uno sujeta el ratón de una manera distinta), también es irreproducible (una huella dactilar se puede reproducir vía impresión 3D, la manera de sujetar y usar un periférico directamente no). Además, y a falta de probarlo in situ, arroja más garantías que el resto de sistemas basados en inherencia (1 de cada 10.000 es erróneo, aseguran). Si el atacante consigue robar el patrón matemático que hay detrás, veo complicado que pueda reproducirlo digitalmente (habría que mirar si podríamos emular el funcionamiento de un ratón físico mediante la entrada de periféricos, o quizás haciendo un MITM justo antes del punto de verificación para lanzar un falso positivo), pero sin duda es un escollo más a superar.
También hay que considerar que hablamos de un periférico, que además tiende a estar asociado a un uso más específico de escritorio, aunque bien es verdad que su aplicativo se podría trasladar al manejo de cualquier dispositivo móvil (mediante los sensores con los que cuenta, la presión ejercida, la forma de sujetarlo,…).
En todo caso un proyecto más a seguir, que quizás acabe encontrando cabida en nichos muy específicos (ese ordenador central de una compañía) o como una capa más en conjunción con el resto de sistemas de identificación presentes en el servicio.
