La seguridad y la autenticación cibernética han sido objeto de ataques en los últimos meses, y más o menos cada dos días aparece un nuevo informe de hackers que acceden a información privada o sensible. Recientemente, más de 500 millones de contraseñas de Yahoo fueron robadas.
Los sistemas de seguridad han ido más allá de simplemente dar con una contraseña inteligente que impida que expertos en informática con malas intenciones pirateen su cuenta de Facebook. Cuanto más sofisticado sea el sistema, o más crucial sea la información privada que contiene, más avanzado se vuelve el sistema de identificación que lo protege.
El escaneo de huellas digitales y la identificación por el iris son sólo dos tipos de métodos de autenticación, que en su momento parecían ciencia ficción, y que se usan de forma generalizada en los sistemas más seguros. Pero las huellas dactilares pueden ser robadas y los escaneos de iris pueden ser replicados. Nada ha demostrado ser infalible ante los piratas informáticos.
"El argumento principal para la autenticación biométrica del comportamiento, es que los modos estándar de autenticación, como una contraseña, autentican sólo una vez antes de acceder al servicio", dice Abdul Serwadda, experto en seguridad cibernética y profesor ayudante en el Departamento de Ciencias de la Computación de la Universidad Tecnológica de Texas.
"Pero una vez que ha accedido al servicio, el sistema no tiene forma de saber que sigue siendo usted. El sistema es ciego en cuanto a quién está usando servicio. El campo de la autenticación por el comportamiento se fija en otros patrones de identificación del usuario que pueden mantener al sistema al tanto de la persona que lo está utilizando. A través de estos patrones, el sistema puede realizar un seguimiento de una métrica fiable de quién podría estar usándolo y le pediría de inmediato el reingreso de la contraseña cada vez que esa métrica cayera por debajo de un cierto límite."
Electroencefalograma
Uno de esos patrones que está creciendo en popularidad dentro de la comunidad investigadora es el uso de ondas cerebrales obtenidas a partir de un electroencefalograma (EEG). Varios grupos de investigación de EE.UU. han presentado recientemente sistemas que utilizan el EEG para autenticar a los usuarios con una precisión muy alta.
Sin embargo, esas ondas cerebrales pueden decir más cosas sobre una persona que su identidad. Podrían revelar aspectos médicos, conductuales o emocionales de una persona que, de ser sacados a la luz, podría ser embarazosos o perjudicial para esa persona. Y a medida que los dispositivos de EEG se vuelven mucho más asequibles, precisos y portátiles, y se diseñan aplicaciones que permiten a la gente leer más fácilmente una exploración de EEG, la probabilidad de que eso ocurra es peligrosamente alta.
"El EEG se ha convertido en un producto básico. Por 90 euros usted puede comprar un dispositivo de EEG que encaja en su cabeza como un par de auriculares", dice Serwadda en la información de su universidad. "Ahora hay aplicaciones en el mercado, sensores cerebrales, de modo que usted puede comprar el aparato, descargar la aplicación en su teléfono y comenzar a interactuar con la aplicación a través de sus señales cerebrales. Eso nos ha hecho pensar que ahora estas señales cerebrales a las que tradicionalmente sólo tenían acceso los médicos están siendo manejadas por gente normal ". Ahora, cualquier persona que pueda crear una aplicación puede obtener acceso a las señales cerebrales de los usuarios y tratar de manipularlas para descubrir lo que está pasando".
Ahí es donde Serwadda y el estudiante de posgrado Richard Matovu centraron su atención: intentar ver si ciertos rasgos de una persona se pueden extraer de sus ondas cerebrales. Han presentado sus hallazgos recientemente en la Conferencia Internacional de Biometría del Instituto de Ingenieros Eléctricos y Electrónicos (IEEE).
Ondas cerebrales
Serwadda dice que la tecnología todavía está desarrollándose, en términos de ser capaz de utilizar las ondas cerebrales de una persona para fines de autenticación. Pero es un campo ampliamente investigado que ha atraído la atención de varias organizaciones federales.
La National Science Foundation (NSF) estadounidense financia un proyecto de tres años en el que Serwadda y otros investigadores de la Universidad de Syracuse (Nueva York) y de la Universidad de Alabama-Birmingham están explorando cómo podrían aprovecharse varias modalidades de comportamiento, incluidos los patrones cerebrales de EEG, para mejorar los mecanismos tradicionales de autenticación de usuarios.
Los sistemas de autenticación por EEG tendrían que tener en cuenta, entre otros aspectos, las regiones del cerebro en las que se colocan los electrodos, así como la frecuencia de las señales obtenidas.
Los sistemas de seguridad han ido más allá de simplemente dar con una contraseña inteligente que impida que expertos en informática con malas intenciones pirateen su cuenta de Facebook. Cuanto más sofisticado sea el sistema, o más crucial sea la información privada que contiene, más avanzado se vuelve el sistema de identificación que lo protege.
El escaneo de huellas digitales y la identificación por el iris son sólo dos tipos de métodos de autenticación, que en su momento parecían ciencia ficción, y que se usan de forma generalizada en los sistemas más seguros. Pero las huellas dactilares pueden ser robadas y los escaneos de iris pueden ser replicados. Nada ha demostrado ser infalible ante los piratas informáticos.
"El argumento principal para la autenticación biométrica del comportamiento, es que los modos estándar de autenticación, como una contraseña, autentican sólo una vez antes de acceder al servicio", dice Abdul Serwadda, experto en seguridad cibernética y profesor ayudante en el Departamento de Ciencias de la Computación de la Universidad Tecnológica de Texas.
"Pero una vez que ha accedido al servicio, el sistema no tiene forma de saber que sigue siendo usted. El sistema es ciego en cuanto a quién está usando servicio. El campo de la autenticación por el comportamiento se fija en otros patrones de identificación del usuario que pueden mantener al sistema al tanto de la persona que lo está utilizando. A través de estos patrones, el sistema puede realizar un seguimiento de una métrica fiable de quién podría estar usándolo y le pediría de inmediato el reingreso de la contraseña cada vez que esa métrica cayera por debajo de un cierto límite."
Electroencefalograma
Uno de esos patrones que está creciendo en popularidad dentro de la comunidad investigadora es el uso de ondas cerebrales obtenidas a partir de un electroencefalograma (EEG). Varios grupos de investigación de EE.UU. han presentado recientemente sistemas que utilizan el EEG para autenticar a los usuarios con una precisión muy alta.
Sin embargo, esas ondas cerebrales pueden decir más cosas sobre una persona que su identidad. Podrían revelar aspectos médicos, conductuales o emocionales de una persona que, de ser sacados a la luz, podría ser embarazosos o perjudicial para esa persona. Y a medida que los dispositivos de EEG se vuelven mucho más asequibles, precisos y portátiles, y se diseñan aplicaciones que permiten a la gente leer más fácilmente una exploración de EEG, la probabilidad de que eso ocurra es peligrosamente alta.
"El EEG se ha convertido en un producto básico. Por 90 euros usted puede comprar un dispositivo de EEG que encaja en su cabeza como un par de auriculares", dice Serwadda en la información de su universidad. "Ahora hay aplicaciones en el mercado, sensores cerebrales, de modo que usted puede comprar el aparato, descargar la aplicación en su teléfono y comenzar a interactuar con la aplicación a través de sus señales cerebrales. Eso nos ha hecho pensar que ahora estas señales cerebrales a las que tradicionalmente sólo tenían acceso los médicos están siendo manejadas por gente normal ". Ahora, cualquier persona que pueda crear una aplicación puede obtener acceso a las señales cerebrales de los usuarios y tratar de manipularlas para descubrir lo que está pasando".
Ahí es donde Serwadda y el estudiante de posgrado Richard Matovu centraron su atención: intentar ver si ciertos rasgos de una persona se pueden extraer de sus ondas cerebrales. Han presentado sus hallazgos recientemente en la Conferencia Internacional de Biometría del Instituto de Ingenieros Eléctricos y Electrónicos (IEEE).
Ondas cerebrales
Serwadda dice que la tecnología todavía está desarrollándose, en términos de ser capaz de utilizar las ondas cerebrales de una persona para fines de autenticación. Pero es un campo ampliamente investigado que ha atraído la atención de varias organizaciones federales.
La National Science Foundation (NSF) estadounidense financia un proyecto de tres años en el que Serwadda y otros investigadores de la Universidad de Syracuse (Nueva York) y de la Universidad de Alabama-Birmingham están explorando cómo podrían aprovecharse varias modalidades de comportamiento, incluidos los patrones cerebrales de EEG, para mejorar los mecanismos tradicionales de autenticación de usuarios.
Los sistemas de autenticación por EEG tendrían que tener en cuenta, entre otros aspectos, las regiones del cerebro en las que se colocan los electrodos, así como la frecuencia de las señales obtenidas.
Serwadda y sus colegas abordaron la posibilidad de que alguien malintencionado accediera a las plantillas del sistema para inferir información sobre los usuarios, y cómo evitarlo.
Usando un sistema de autenticación de la Universidad de California-Berkeley y una variante de otro de un equipo de la Universidad de Binghamton y la Universidad de Buffalo (Nueva York), Serwadda y Matovu probaron su hipótesis, utilizando el alcoholismo como la información privada sensible.
En un estudio que incluyó a 25 alcohólicos diagnosticados formalmente y 25 sujetos no alcohólicos, la tasa de error más bajo obtenida en la identificación de los alcohólicos fue del 25 por ciento, lo que significa una precisión de aproximadamente el 75 por ciento.
Cuando ajustaban el sistema y cambiaban varias variables, encontraron que la capacidad de detectar el comportamiento alcohólico podía reducirse enormemente a costa de reducir ligeramente el rendimiento del sistema de autenticación de EEG.
Equilibrio entre privacidad y potencia
La motivación de Serwadda para demostrar que las ondas cerebrales podrían utilizarse para revelar información personal potencialmente dañina no era mejorar los métodos para obtener esa información. Es evitarlo.
Para ilustrarlo, pone el ejemplo de que los sistemas de identificación de huellas dactilares requirieran extraer algo de sangre, de la que se podrían inferir enfermedades de la persona. El objetivo de Serwadda es encontrar un término medio entre la potencia del EEG y su seguridad.
Actualmente, en la gran mayoría de los estudios sobre la autenticación con EEG, los investigadores buscan principalmente superarse unos a otros en términos de las tasas de error del sistema, y no tienen en cuenta la seguridad.
Aparte del EEG, se están desarrollando otras tecnologías de autenticación por comportamiento. "Una de estas tecnologías es la espectroscopia de infrarrojo cercano funcional (fNIRS), que tiene una proporción mucho más alta de señal/ruido que un EEG. Da una imagen más precisa de la actividad cerebral, dada su capacidad de concentrarse en una región particular del cerebro", explica el investigador.
La buena noticia, por ahora, es que la tecnología fNIRS sigue siendo bastante cara; sin embargo es muy probable que los precios bajen con el tiempo, lo cual daría lugar a una aplicación civil de esta tecnología.
Usando un sistema de autenticación de la Universidad de California-Berkeley y una variante de otro de un equipo de la Universidad de Binghamton y la Universidad de Buffalo (Nueva York), Serwadda y Matovu probaron su hipótesis, utilizando el alcoholismo como la información privada sensible.
En un estudio que incluyó a 25 alcohólicos diagnosticados formalmente y 25 sujetos no alcohólicos, la tasa de error más bajo obtenida en la identificación de los alcohólicos fue del 25 por ciento, lo que significa una precisión de aproximadamente el 75 por ciento.
Cuando ajustaban el sistema y cambiaban varias variables, encontraron que la capacidad de detectar el comportamiento alcohólico podía reducirse enormemente a costa de reducir ligeramente el rendimiento del sistema de autenticación de EEG.
Equilibrio entre privacidad y potencia
La motivación de Serwadda para demostrar que las ondas cerebrales podrían utilizarse para revelar información personal potencialmente dañina no era mejorar los métodos para obtener esa información. Es evitarlo.
Para ilustrarlo, pone el ejemplo de que los sistemas de identificación de huellas dactilares requirieran extraer algo de sangre, de la que se podrían inferir enfermedades de la persona. El objetivo de Serwadda es encontrar un término medio entre la potencia del EEG y su seguridad.
Actualmente, en la gran mayoría de los estudios sobre la autenticación con EEG, los investigadores buscan principalmente superarse unos a otros en términos de las tasas de error del sistema, y no tienen en cuenta la seguridad.
Aparte del EEG, se están desarrollando otras tecnologías de autenticación por comportamiento. "Una de estas tecnologías es la espectroscopia de infrarrojo cercano funcional (fNIRS), que tiene una proporción mucho más alta de señal/ruido que un EEG. Da una imagen más precisa de la actividad cerebral, dada su capacidad de concentrarse en una región particular del cerebro", explica el investigador.
La buena noticia, por ahora, es que la tecnología fNIRS sigue siendo bastante cara; sin embargo es muy probable que los precios bajen con el tiempo, lo cual daría lugar a una aplicación civil de esta tecnología.