Mecanismos de protección de la privacidad de los ciudadanos aplicados a la firma manuscrita biométrica

Wendy Ponce Hernández

Ayuda

Mecanismos de protección de la privacidad de los ciudadanos aplicados a la firma manuscrita biométrica

Autores: Wendy Ponce Hernández
Directores de la Tesis: Raúl Sánchez Reillo (dir. tes.), Judith Liu Jiménez (codir. tes.)
Lectura: En la Universidad Carlos III de Madrid ( España ) en 2021
Idioma: español
Tribunal Calificador de la Tesis: Carmen Sánchez Ávila (presid.), Mariano López García (secret.), Enrique Cantó (voc.)
Programa de doctorado: Programa de Doctorado en Ingeniería Eléctrica, Electrónica y Automática por la Universidad Carlos III de Madrid
Materias:
- Ciencias de la vida
  - Biometría
Enlaces
- Tesis en acceso abierto en: e-Archivo
Resumen
- En las últimas décadas, las tecnologías biométricas han alcanzado un importante protagonismo en el reconocimiento automático de individuos, impulsadas en parte por el desarrollo de los sistemas móviles. El reconocimiento biométrico ha pasado de ser aplicado inicialmente en el ámbito forense, a convertirse en una tecnología indispensable en entornos gubernamentales y comerciales. Actualmente el despliegue de sistemas biométricos abarca varios sectores, desde aplicaciones a gran escala como el control de fronteras o la identificación de ciudadanos a través de documentos de identidad electrónicos, hasta tareas cotidianas como como desbloquear un teléfono móvil o extraer dinero de un cajero automático. Las ventajas específicas que ofrece la biometría en el reconocimiento automático de individuos han motivado el creciente auge de las tecnologías biométricas.
  
  A diferencia de los métodos tradicionales de autenticación (p.ej., PIN, contraseñas), donde los usuarios se ven obligados a recordar contraseñas, las cuales podrían ser olvidadas, o llevar consigo claves que podrían perderse o ser robadas, los sistemas biométricos tienen el atractivo de establecer la identidad de una persona a partir de sus características biológicas y de comportamiento, las cuales son inherentes al individuo y, por tanto, significativamente más difíciles de perder, olvidar, compartir o robar. Además, dado que el propio individuo constituye la clave de acceso y, en consecuencia, su presencia física es requerida en el momento del reconocimiento, los sistemas biométricos pueden disuadir a los usuarios de hacer falsas negaciones del uso de un servicio. La biometría ha emergido como una alternativa a los métodos de autenticación tradicionales, ofreciendo mayor fiabilidad y, al mismo tiempo, más conveniencia al usuario.
  
  Sin embargo, en la misma medida en que aumenta el despliegue de sistemas biométricos, crecen los intentos de ataques a los mismos, y con ello, las preocupaciones con respecto al posible mal uso de la información sensible manejada. Por tanto, identificar las brechas de seguridad de estos sistemas y, a partir de ellas, diseñar soluciones que permitan minimizar los riesgos detectados, es de gran importancia para una mayor aceptación de las tecnologías biométricas en entornos de seguridad.
  
  Los sistemas biométricos están constituidos por cuatro módulos principales, i) un sensor biométrico, ii) un módulo de extracción de características, iii) una base de datos y iv) un módulo comparador. Estos módulos, así como los canales de comunicación entre ellos, son propensos a ataques externos que pueden dañar seriamente el nivel de seguridad de estos sistemas. Típicamente, los ataques a nivel de sensor son realizados presentado una reproducción física de una característica biométrica que permite al intruso acceder ilegalmente al sistema. Por otro lado, el módulo de extracción de características y la base de datos del sistema pueden ser atacados para robar el patrón biométrico generado, modificarlo, o introducir un nuevo patrón preseleccionado por el intruso. Otra brecha de seguridad de estos sistemas está relacionada con las interfaces usadas para interconectar los módulos, las cuales podrían ser interceptadas para manipular la información biométrica transmitida. Finalmente, la puntuación generada por el comparador y la decisión final del sistema podría ser convenientemente modificada por el atacante.
  
  Si bien un sistema biométrico puede ser comprometido de diferentes maneras, el acceso no autorizado a los patrones biométricos almacenados ha sido identificado como uno de los ataques potencialmente más dañinos, debido a los graves problemas de seguridad y privacidad que trae aparejado. Mientras una clave comprometida podría ser fácilmente reemplazada, las características biométricas como parte intrínseca del cuerpo o comportamiento humano no pueden ser revocadas en caso de robo. Una vez comprometida la información biométrica, la característica asociada queda permanentemente inutilizada, viéndose afectada tanto la seguridad del sistema atacado como la del resto de sistemas que utilizan la misma información. Los datos biométricos robados podrían ser tratados con algún tipo de algoritmo de inversión para recuperar las muestras biométricas originales y crear falsificaciones que podrían ser aceptadas por el sistema como características auténticas. Estos ataques de inversión no solo tienen un impacto directo en la seguridad del sistema, sino que además pueden ser utilizados para suplantar la identidad del individuo y, en consecuencia, invadir su privacidad. Además, a partir de la información filtrada es posible rastrear la actividad de los usuarios del sistema mediante comparaciones cruzadas entre diferentes bases de datos. Los riesgos derivados del posible mal uso de la información biométrica almacenada revelan la estrecha relación existente entre la seguridad de los sistemas biométricos y la privacidad de sus usuarios. Por tanto, para mejorar la robustez de estos sistemas frente ataques externos, los patrones biométricos deben ser almacenados de manera protegida.
  
  Durante los últimos años se ha estado trabajando en el desarrollo de nuevos métodos de protección de patrones biométricos (BTP, Biometric Template Protection) que permitan aumentar la fiabilidad de las tecnologías biométricas en términos de seguridad y privacidad. Con este fin, las investigaciones han estado centradas en encontrar soluciones fiables que aporten revocabilidad, irreversibilidad y desvinculabilidad a los patrones biométricos almacenados, sin degradar importantes parámetros del rendimiento de estos sistemas como son, el nivel de precisión, los tiempos de verificación y los requisitos de almacenamiento.
  
  En general, las técnicas BTP desarrolladas se clasifican en tres categorías: biometría cancelable, sistemas cripto-biométricos y biometría en el dominio cifrado. Sin embargo, estas técnicas todavía no están lo suficientemente maduras para llevar a cabo implementaciones a gran escala. Sus limitaciones particulares, aún sin solucionar, ralentizan la introducción definitiva de esquemas BTP en entornos de seguridad. Mientras los enfoques de biometría cancelable y los sistemas cripto-biométricos generalmente degradan el rendimiento de verificación, las soluciones basadas en técnicas de cifrado demandan mayor ancho de banda y requieren mayor coste computacional, lo que se traduce en una alta ineficiencia en términos de rendimiento temporal. En la práctica la elección de un enfoque BTP específico deberá estar influenciada principalmente por factores como: la modalidad biométrica utilizada, el escenario de aplicación, la capacidad para manejar las variaciones intraclases, el rendimiento de verificación, el requisito de almacenamiento o el coste computacional.
  
  Entre las diferentes características biométricas admitidas para el reconocimiento de individuos, la firma manuscrita se ha convertido en uno de los métodos más utilizados. Esta técnica de reconocimiento se puede realizar a través de dos enfoques diferentes: firma estática y firma dinámica. En el caso de firma estática, el análisis es realizado solo a partir de la imagen de la firma escaneada, mientras que, en el enfoque dinámico típicamente se utilizan tabletas gráficas o lápices electrónicos que además de capturar las coordenadas espaciales del grafo final de la firma, son capaces de detectar parámetros como, la presión ejercida sobre la superficie de escritura, el cambio de estado de la punta del bolígrafo o el ángulo de inclinación de éste. Tradicionalmente, la verificación de firma dinámica ha reportado mejores resultados que el enfoque estático, ya que las características dinámicas disponibles son más discriminatorias y difíciles de imitar.
  
  La validez jurídica de la modalidad de firma manuscrita ha permitido su uso en una amplia variedad de escenarios como, por ejemplo, en entidades bancarias para aprobar transacciones económicas o retiradas de efectivo, en el sector sanitario para firmar el documento de consentimiento informado, en establecimientos comerciales para la aceptación de pagos, en el sector legal y registral para firmar contratos, etc. Generalmente, esta modalidad biométrica ha estado asociada a contextos legales, donde la firma manuscrita presentada por el usuario no solo es utilizada como mecanismo de autenticación, sino que además aporta aceptación y autenticidad al contenido de un documento electrónico. Estos escenarios, donde se trata con información delicada, son propensos a actividades delictivas como la usurpación de identidad y por ello, conviene aplicar técnicas BTP que aporten robustez a tales sistemas de reconocimiento biométrico.
  
  Sin embargo, proteger patrones de firma no es una tarea fácil. Como modalidad de comportamiento, la firma manuscrita se caracteriza por tener una alta variabilidad intraclase, es decir, dos firmas realizadas por un mismo usuario rara vez resultan en patrones biométricos idénticos. Factores como la edad o el estado de ánimo influyen directamente en el proceso de ejecución de las firmas y, en consecuencia, provocan el funcionamiento incorrecto del sistema. Si manejar estos problemas de variabilidad ha constituido un gran desafío en la implementación de sistemas de reconocimiento convencionales basados en firma, afrontar estos problemas resulta aún más complicado cuando se intentan aplicar técnicas BTP a la verificación de firma manuscrita. El diseño de cualquier sistema BTP basado en esta modalidad presenta dos retos fundamentales. Por un lado, es necesario generar patrones de representación suficientemente invariantes y discriminatorios, que permitan establecer comparaciones efectivas en el dominio protegido. Por otro lado, estos patrones deben tener el formato apropiado, de acuerdo con los requisitos de entrada del algoritmo de protección seleccionado. Aunque la investigación en torno a la protección de patrones biométricos se viene produciendo desde hace décadas, hasta la fecha solo se han publicado unos pocos trabajos sobre métodos BTP aplicados a la modalidad de firma manuscrita.
  
  A partir de lo expuesto anteriormente, esta tesis se centra en la implementación de un algoritmo BTP aplicado a la verificación de firma manuscrita dinámica. Para ello, en primer lugar, se ha realizado un estudio exhaustivo de las distintas soluciones BTP disponibles en la actualidad, lo cual permitió la selección adecuada del método de protección implementado. Por un lado, los tiempos de respuesta inmediatos demandados en los escenarios de aplicación de los sistemas de verificación de firma condujeron al descarte inicial de las soluciones basadas en técnicas de cifrado, típicamente caracterizadas por su elevada ineficiencia temporal. Mientras que, la capacidad de manejar los problemas de variabilidad fue otra razón de peso para seleccionar, entre las opciones restantes (es decir, biometría cancelable y sistemas cripto-biométricos), la solución definitiva.
  
  En particular, se ha implementado un sistema cripto-biométrico Fuzzy Vault (FV) basado en patrones de longitud fija extraídos de la firma dinámica. La idea general de esta técnica de protección es utilizar un conjunto desordenado (que en este caso corresponde al patrón de características biométricas), para bloquear una clave criptográfica secreta, obteniendo como resultado un conjunto indescifrable llamado “vault”, el cual es almacenado en la base de datos junto al valor hash de la clave secreta. Durante la autenticación, para desbloquear el vault y, por tanto, recuperar la clave de usuario, es necesario presentar al sistema otro conjunto desordenado lo suficientemente similar al original. De esta manera el sistema FV es capaz de gestionar tanto la seguridad de las claves criptográficas como la protección de los patrones biométricos. Esta solución involucra un paso de corrección de errores que permite manejar los problemas de variabilidad intraclase de la firma dinámica y, al mismo tiempo, acelerar los tiempos de verificación.
  
  Dado que el uso de técnicas de corrección de errores generalmente conduce a peores tasas de reconocimiento, para maximizar el rendimiento de verificación del esquema de protección utilizado se han seguido dos estrategias. Por un lado, los patrones de representación de las firmas son generados a partir de métricas con probada capacidad discriminatoria como son, el tiempo y el número de trazos, lo que ha permitido utilizar un conjunto reducido de características globales de la firma. Por otro lado, se ha mejorado el enfoque de protección seleccionado mediante la incorporación de una fase de entrenamiento inicial encargada de optimizar el funcionamiento del esquema FV a partir de un análisis estadístico aplicado a un conjunto de características globales extraídas de las firmas. Para la implementación de esta fase inicial se ha desarrollado una metodología que permite estimar los parámetros apropiados para el cálculo de los patrones biométricos y la tolerancia óptima del código corrector de errores utilizado por el esquema FV.
  
  En general, la arquitectura del sistema propuesto comprende tres fases de funcionamiento: entrenamiento, reclutamiento y verificación. Durante la fase de entrenamiento inicial se estiman automáticamente los parámetros de configuración del sistema de acuerdo con la base de datos de destino. En la segunda fase tiene lugar el reclutamiento, donde primero se generan los patrones de referencia desprotegidos utilizando para ello un número reducido de firmas de entrenamiento (cinco por usuario) y un conjunto de 15 características globales, y luego, estos patrones son protegidos con el codificador FV. Finalmente, en la tercera fase se lleva a cabo la verificación de las muestras de consulta, manteniendo la seguridad de los patrones embebidos en el vault. Un usuario es considerado correcto solo si la muestra biométrica presentada consigue desbloquear el vault y recuperar la clave secreta.
  
  Con el fin de evaluar la viabilidad del sistema implementado, se llevó a cabo un análisis experimental y teórico en términos de rendimiento de verificación, irreversibilidad, desvinculabilidad y rendimiento temporal. Para las evaluaciones experimentales se utilizaron tres bases de datos: una base de datos privada y las bases de datos MCYT y DS2-BioSecure disponibles públicamente. Además, se evaluó la precisión del sistema desprotegido equivalente (utilizando las mismas bases de datos y siguiendo un protocolo común) con el objetivo de establecer una comparativa entre los resultados alcanzados por ambos sistemas (es decir, protegido y desprotegido). El rendimiento de verificación fue estimado en términos de tasa de falsas no-coincidencias (FNMR, False Non-Match Rate) y tasa de falsas coincidencias (FMR, False Match Rate) considerando por un lado falsificaciones aleatorias (FMR_FA) y por otro lado falsificaciones entrenadas (FMR_FE). Respecto a la tasa FMR_FA, para cada usuario las firmas del resto de usuarios de la base de datos fueron tomadas como falsificaciones aleatorias.
  
  Los resultados experimentales mostraron que, en general, la mejor condición de rendimiento del sistema de protección implementado es alcanzada tolerando un máximo de 2 errores en los patrones de consulta, habiéndose obtenido para todas las bases de datos valores de FMR_FA, FMR_FE y FNMR por debajo del 5%, 9% y 30%, respectivamente. Además, en los puntos de operación soportados por el sistema, el rendimiento de verificación prácticamente se mantuvo inalterado con respecto al sistema desprotegido equivalente, es decir, no se mostró una pérdida significativa del rendimiento de verificación en el dominio protegido. Solo para una base de datos se observó cierta degradación en las tasas de error del sistema propuesto. En cuanto al rendimiento temporal, el sistema empleó tiempos muy reducidos durante la fase de verificación, tardando el proceso de verificación y obtención de la clave secreta alrededor de 40 ms. Con respecto al análisis de irreversibilidad, luego de evaluar la viabilidad de revertir la información almacenada aplicando ataques de fuerza bruta, se determinó que en el sistema propuesto la probabilidad de éxito de estos ataques está en el orden de 10^(−16).
  
  A partir del análisis estadístico realizado durante la fase de entrenamiento inicial se demostró que no todas las características alcanzan su rendimiento óptimo utilizando los mismos niveles de cuantificación. Además, en las evaluaciones realizadas considerando falsificaciones entrenadas, la mitad de las características incluidas en los patrones de representación seleccionados para cada base de datos, estuvieron relacionadas con el tiempo de la firma. Estos resultados permitieron confirmar la capacidad discriminatoria de la información temporal de la firma en la detección de falsificaciones entrenadas. Por tanto, se ha podido concluir que la elección individual de los niveles de cuantificación por característica y la selección correcta de las características involucradas en los patrones de representación, mejoran el rendimiento de verificación del sistema.
  
  Además, se señaló como principal desventaja del sistema implementado la posibilidad de vincular múltiples vaults generados a partir de una misma instancia biométrica. Para solucionar este problema como trabajo futuro se ha propuesto combinar el esquema FV implementado con una técnica de biometría cancelable basada en transformación de características con el objetivo de obtener un enfoque híbrido donde, la técnica de transformación de característica aplicada a los patrones de referencia aporte la desvinculabilidad deseada mientras, el esquema FV ofrezca seguridad a las referencias transformadas.

Acceso de usuarios registrados

¿Olvidó su contraseña?

¿Es nuevo? Regístrese

Ventajas de registrarse

Dialnet Plus

Opciones de compartir

Opciones de entorno

Sugerencia / Errata

Coordinado por: