Biometría, acceso seguro a dispositivos del IoT

• Escrito por Nikolay Velinski, Director Regional en Y Soft para Latinoamérica

A medida que las impresoras, en particular los equipos multifunción (MFD), se convierten en dispositivos de Internet de las Cosas (IoT) más sofisticados, su valor para una organización aumenta. Una vez vistos como la máquina en la esquina para imprimir y copiar, los MFD actuales se han convertido en las herramientas ideales para la productividad e iniciar el camino hacia una oficina sin papel.

No es de extrañarse entonces que, la industria necesita ver cómo ayudar a las organizaciones a garantizar el acceso a estos valiosos dispositivos. Además, regulaciones como GDPR (Reglamento General de Protección de Datos, por sus siglas en inglés) con fuertes consecuencias financieras, hacen que la seguridad y la privacidad de los datos sea un requisito cada vez más solicitado.

No obstante, las organizaciones han tenido algunas opciones hasta hace poco. Al usar software de gestión de impresión, por ejemplo, el acceso a estos dispositivos requiere la verificación de credenciales del usuario al solicitar que ingrese un nombre de usuario / contraseña, un PIN o deslice una tarjeta de identificación en un lector de tarjetas. Con cualquiera de estos métodos, el software de administración de impresión en el MFD verificará las credenciales de un directorio corporativo.

Sin embargo, las empresas tienen una necesidad inherente cada vez mayor de seguridad, y de hacer que el acceso a la información sea más seguro, por lo que muchas compañías están pidiendo más alternativas. De hecho, las organizaciones están solicitando métodos similares a los de acceso gubernamental, como la biometría y análisis para la detección de posibles fraudes.

Como regla general, los expertos en seguridad recomiendan que la elección del método de verificación de identidad se equilibre con los costos, los riesgos asociados con el acceso, las tecnologías requeridas y, por último, la experiencia del usuario (UX).

Veamos algunos de los próximos métodos de identificación de usuarios. Si bien algunos de estos métodos se aplican actualmente a las PC, no es difícil ver cómo se pueden aplicar a los equipos de oficina en red.

Autenticación móvil y la nube

Con la creciente adopción de Windows 10 y Windows Hello para empresas, es posible la entrega basada en la nube para la verificación de identidad. Ya sea que se verifique contra un Active Directory local o Azure Active Directory, la contraseña se reemplaza por una autenticación de dos factores vinculada a un dispositivo mediante un biométrico o PIN.

Para dispositivos móviles, hay un cambio hacia la autenticación fuera de banda (OOB, out of band). Un ejemplo es una notificación de inserción basada en red que requiere que el usuario ingrese un código o una notificación de inserción combinada con una autenticación adicional que el usuario debe poseer, algo que solo él conozca o tenga (como un token de seguridad) o algo que solo el usuario posee, como una huella dactilar o un reconocimiento facial. Los dispositivos de impresión en red pueden incluir una notificación de inserción móvil que proporciona una contraseña como segundo método de acceso. El método adicional requiere el almacenamiento de la información definida por el usuario, un sensor o tecnología para admitir tokens.

Acceso adaptativo

El acceso adaptativo es muy común en la banca en línea. Utiliza un conjunto de reglas e información para acceder a los datos. Estos pueden incluir información sobre el usuario, el tipo de dispositivo, la hora del día, la ubicación del dispositivo y el tipo de acceso solicitado. Si el riesgo se considera demasiado alto, se deniega el acceso y el usuario debe demostrar su identidad mediante capas o métodos adicionales. Para las impresoras en red, por ejemplo, las solicitudes de acceso fuera de horario pueden requerir capas de seguridad adicionales.

Biometría

El reconocimiento facial y las huellas digitales ya son comunes para garantizar el acceso a teléfonos inteligentes. No es difícil imaginarse cómo esa tecnología puede transferirse a equipos de oficina en red, como en los dispositivos multifuncionales. Aquí discutiremos dos tipos de datos biométricos: biológico / activo y conductual / pasivo. Como se mencionó anteriormente, la elección puede depender del nivel de seguridad necesario, la experiencia de usuario, el costo y la complejidad tecnológica requerida.

Biológico / activo

Ejemplos de estos métodos incluyen huellas digitales, impresión de la palma, latido del corazón, reconocimiento facial, escaneos del iris o incluso venas.

Conductual / pasivo

Estos métodos requieren acciones mensurables y generalmente tienen algún tipo de medida de tiempo. Son pasivos porque el usuario a menudo no tiene conocimiento del análisis que se realiza para verificar. Los ejemplos incluyen tono de voz, firma, teclas, gestos o la forma de andar del usuario.

De acuerdo con el Informe Cuantificando Identidades en América Latina, la biometría garantiza uno de los niveles de autenticación menos franqueables en la actualidad. En Perú la industria que más ha avanzado en la implementación de biométricas es el de las telecomunicaciones.

Si bien los rasgos biológicos activos cambian lentamente y son típicamente inalterables sin un trauma considerable, algunos pueden considerarlos algo invasivos. Los rasgos de comportamiento, por otro lado, pueden cambiar (edad, estrés, lesión o enfermedad) y generalmente requieren múltiples intentos para asegurar una buena base de datos. Sin embargo, a diferencia de las contraseñas o PIN actuales que se pueden olvidar, manipular o compartir, los datos biométricos se consideran más seguros, especialmente si se combinan dos o más métodos distintos.

Algo que las empresas deben tomar muy en cuenta, es que la adopción de medidas de seguridad como los rasgos biométricos, al tratarse de información de identificación personal, están sujetos a las regulaciones de privacidad como la ley GDPR, la cual indica que únicamente una empresa tendrá derecho a resguardar información de un usuario sólo cuando éste de su consentimiento explícito y se procese y almacena de forma sus datos, según la legislación de cada país.

Si bien algunos de los métodos biométricos pueden parecer de una película de ciencia ficción, es probable que pronto sean realidad en las oficinas. Con la adopción de asistentes tecnológicos como Amazon Alexa y Google Home, el reconocimiento de voz ya está en camino de integrarse con múltiples tipos de aplicaciones en los MFD, así como el reconocimiento facial y la exploración de huellas digitales. El salto a los dispositivos de red de la oficina ya está sucediendo.