InfoSecMan Blog

Mucho se habla de los controles de acceso biométricos y la cantidad de falsos positivos que presuntamente presentan. Lectores de huellas dactilares, del iris del ojo, reconocedores de voz y otros muchos dispositivos tienen grandes problemas de implantación por diversas causas.

Por una parte su alto coste. Habitualmente, son dispositivos caros (aunque esto como siempre, va disminuyendo) que, si tenemos en cuenta el problema de los “falsos positivos” (y también, “falsos negativos”), hacen que las compañías no acaben de desplegar este tipo de controles ampliamente, dejándolo solo para grandes corporaciones que invierten ingentes cantidades de dinero en proyectos muy avanzados con necesidades de control realmente importantes.

Otro de los problemas es el de la reticencia del usuario a la hora de “dejar reconocerse”. Hay personas que no soportan tocar cosas que otros hayan tocado por cuestiones de higiene, o incluso por puras manías. No hablemos ya de escanearse la córnea o el iris… “El Perro Andaluz” ha marcado siempre mucho 😉

Hace ya un par de años que nuestro “predicador” Schneier ya hablaba de un método de reconocimiento biométrico sencillo y barato, pero que en aquel entonces aún estaba algo verde: “el reconocimiento por los patrones de tecleo” (o tecleado? 😉 , keystroke patterns, vamos).

El tiempo ha pasado y parece que ahora la tecnología está más madura. En este artículo, indican que BioPassword, la compañía que está comercializando este control está consiguiendo muy buenos resultados y ha sacado ya su versión 3.0 que se integra con Citrix, OWA y Windows XP, entre otros sistemas.

Este método me parece una solución muy interesante porque no se introduce ningún disposito “extraño” al usuario ni éste tiene que hacer nada especial, simplemente se añade un parámetro o característica más a los credenciales que el usuario habitualmente teclea: su forma de teclearlo, su patrón, la velocidad con que lo escribe, cómo se retrasa más o menos al escribir determinadas teclas, etc.

Lo único que se necesita es un pequeño agente software que se incrusta y une a la GINA de Windows (el control de acceso gráfico inicial) y que identifica el usuario o no dependiendo de sus credenciales de acceso (usuario/password) y su forma de teclearlo.

No he tenido la oportunidad de probarlo, pero a priori me parece algo sumamente interesante por la rapidez de implantación, la nula intrusión en el entorno del usuario (como persona) y, según parece, lo económico de la solución (desde 19US$ por usuario y año).

Probablemente no sea un control extremadamente seguro, pero es una forma sencilla, rápida y eficaz (creo) de incorporar un nivel adicional de seguridad en los ya conocidos usuarios y claves que todos utilizamos en casi todos nuestros controles de acceso… ¿o no? 😉