Sign In Sign-Up

Welcome!

Close

Would you like to make this site your homepage? It's fast and easy...

Yes, Please make this my home page!

No Thanks

  Don't show this to me again.

Close

Se han dado diversas definiciones de la autenticación en cada uno de los organismos que se han ocupado del tema, como la OCDE, Unión Europea, ISO. En el caso del comercio electrónico, la autenticación es el proceso que impide que personas no autorizadas accedan indebidamente a una información o suplanten a otra al hacer una transacción. Las personas han de ser conocidas por su identidad, pero en ocasiones, también por su posición en una organización, por su código (nombre dentro de una organización) o sus características físicas. En función del parámetro que determine la identidad de la persona, así serán los elementos utilizados para garantizarla. Son ejemplos el documento nacional de identidad, donde a la identidad se adjunta una foto, forma de recoger algunas de las características unívocas de una persona.

En el capítulo 8 pudo verse cómo, en Internet, la verificación de la autenticidad puede basarse

en el conocimiento (de una clave), en la posesión (de un documento o información) o en la propiedad de las personas (lo que son). Está última ha dado lugar a técnicas que tratan de reconocer una serie de propiedades de las personas que se conocen como características biométricas. Algunas de estas técnicas están siendo utilizadas desde hace ya algún tiempo y cuentan con una gama de servicios empresariales y administrativos que las utilizan. A pesar de ello, y aun considerando que han adquirido una maduración tecnológica, estas técnicas no están enteramente disponibles para el comercio electrónico, salvo en el plano experimental o para su utilización en ámbitos privados. Su potencial en un futuro próximo y su actual consideración por muchos organismos e instituciones justifica su inclusión en el presente estudio.

Otras técnicas están en un estado aún más distante de la experimentación práctica, como pueden ser las que analizan el DNA de las personas, la configuración de las venas de las manos, reconocimiento del oído o detección de olores. Aun reconociendo su existencia, se considera que su descripción se sale del alcance de este estudio.

El objetivo de todos estos métodos es llegar a conseguir de cada individuo un patrón de características que determinen de forma unívoca la identidad de la persona. Este patrón deberá concretarse en una ficha biométrica, que será el registro permanente de esa persona, registro que se enfrenta a los mismo retos de todos los documentos de esa misma naturaleza, como son su obtención, utilización, custodia y administración. Las técnicas biométricas pueden agruparse en dos familias:

i ) Las relacionadas con las constantes fisiológicas de la persona.

ii ) Las relacionadas con los comportamientos.(p.188)

Si bien la autenticación basada en las características biométricas ha sido usada desde hace tiempo en aplicaciones tales como en dispositivos de control de personas, de accesos y de identidades, ninguna de estas técnicas ha sobresalido hasta el momento como candidata a una aceptación universal de medio de verificación. Entre las dificultades para ello están la necesidad de sistemas y equipos auxiliares, la adopción de nuevos procedimientos y el siempre presente aspecto de la falta de soporte legal. Solamente algunas de las basadas en la firma autógrafa, por disponerse en la actualidad de una gama de equipos auxiliares como lápices electrónicos y tabletas digitalizadoras, y por sus semejanzas con los procedimientos tradicionales de firma, han recibido la atención de algunos legisladores, pero, aun así, su situación dista mucho de tener el soporte legal de la firma electrónica.

Cualquiera de las técnicas biométricas que se vaya a utilizar, requiere el cumplimiento de una serie de condiciones que la hagan viable. En primer lugar, debe ser socialmente aceptable, concepto que significa exigir una colaboración solo mínima de la persona identificada, que sea no discriminatoria y que no revele aspectos de las personas que pudieran ser considerados como íntimos o confidenciales. Ello se hará más difícil de cumplir según las aplicaciones de las técnicas biométricas atraviesen fronteras y culturas distintas.

Destacan dos problemas: la tolerancia a errores –de índole organizativa– y el almacenamiento

de la ficha biométrica –de carácter tecnológico–. Ambos están en el centro de las actuales discusiones. Aunque muy pocos se han atrevido a asignar límites a la posibilidad de errores, existe el acuerdo de que este es un aspecto capital, puesto que, si bien en todo procedimiento se admite una tasa de fallos, esta debe ser precisamente acotada, dado que estos límites pueden ser posteriormente utilizados en temas legales, actuariales, de seguros, etcétera. El problema de la acotación radica en la falta de normas para su medida y la existencia de organizaciones independientes que las puedan verificar. Hoy día, los límites vienen dados por las propias empresas que desarrollan la tecnología que, como es evidente, tiene intereses comerciales en el tema y no deberían involucrarse en el establecimiento de parámetros tan sensibles. Se hacen necesarios instituciones independientes que evalúen estas técnicas, establecimiento de normas internacionales y recomendaciones de utilización.

El almacenamiento de estas características plantea dilemas semejantes a los de otros tipos de firmas. O bien la firma la lleva el sujeto guardada en un dispositivo de memoria o se custodia en un lugar central, como una base de datos. Hay argumentos en favor de cada una de las alternativas y, de igual manera, están distribuidas sus desventajas. Serán final(p.189)mente las aplicaciones en actividades de uso masivo las que dictarán sentencia, y lo más probable será que, en muchos casos, haya que recurrir a ambas formas de almacenamiento.

Cualquier aplicación que se haga, para su extensión, necesita estar respaldada por una normativa de cobertura internacional lo más amplia posible. El problema radica aquí en que, debido al potencial mostrado por estas técnicas, los temas han sido abordados por innumerables organismos de normalización que tienen poca o ninguna práctica en actividades colaboradoras, algo que tarda mucho en desarrollarse. A modo de ejemplo, pueden mostrase algunos de estos organismos:

§ National Bureau of Standards (NBS) para establecimiento de métodos de evaluación.

§ US Army para temas y técnicas de reconocimiento facial.

§ Federal Bureau of Investigation (FBI) para compresión de huellas dactilares.

§ Intitute of Electrical and Electronic Engineers (IEEE) para recomendaciones en temas relacionados con Internet.

§ Internet Architecture Board (IAB) para temas de encriptación del correo electrónico.

§ Organización de Aviación Civil Internacional (OACI) para usos de lectura informatizada de pasaportes.

§ Comisión Electrotécnica Internacional (CEI) para establecer prácticas de cooperación internacional.

§ Federal Telecommunication Standards Commitee (FTSC), que debe participar en todos los foros de normalización.

§ International Standards Organization (ISO) para sancionar normas que van a ser propuestas a otros organismos internacionales.

Además de estas organizaciones, están presentes por su participación en todo momento, representantes de la Casa Blanca (Presidencia de EEUU), organizaciones relacionadas con las tecnologías de encriptación y biometría, universidades, centros de investigación, grupos industriales, profesionales del derecho y organizaciones americanas relacionadas con la protección de los derechos civiles.

Esta lista, resumida, debe dar una idea del camino que queda por recorrer. No obstante, se debe recordar que muchas de las prácticas del comercio electrónico han comenzado su andadura con una falta total de normalización y de respaldo legal, por lo que no es descartable que en este campo pueda ocurrir algo parecido, y se llegue a normas de facto y a acuerdos de utilización adoptados y validados por la sociedad civil.

Ateniéndose a la aplicación para el comercio electrónico y la banca electrónica, cualquiera de las técnicas aquí descritas tiene que competir con las ya en vías de implantación, como la firma digital, cuyas aplicaciones vienen integradas en los programas de navegación. La ficha biométrica requiere un equipamiento especial (sensores biométricos, tabletas digitalizadoras,lectores fisiológicos, etcétera) para su obtención y verificación, que hace incurrir en costes adicionales. Además, su uso tiene otros costes, como los de verificación, administra(p.190)ción, custodia y clasificación, siendo esta un área sobre la cual las Terceras Partes de Confianza podrían extender su gama de servicios.

Se trata de una versión electrónica de las huellas digitales utilizadas desde hace años para la identificación de personas. Esta técnica se considera muy sólida, puesto que el dibujo y la geometría de las huellas digitales permanecen constantes a lo largo de toda la vida. No es aplicable a los casos de ciertas personas. Aunque se ha utilizado con frecuencia por los gobiernos en asuntos como identificación o control de inmigración, su práctica no es muy aceptada por el usuario.

Puede ser adecuada, en términos generales, en el comercio. Pero como sistema de identificación, no es utilizable en situaciones donde el usuario necesita llevar guantes (hospitales, laboratorios, plantas químicas). Las pruebas de las huellas dactilares y de la palma de la mano son extremadamente precisas, pero requieren dispositivos especiales de captura de datos, que no siempre son compatibles con los actuales equipos informáticos y de telecomunicación, por lo que no son prácticos para autenticaciones desde lugares remotos, personas desplazadas, etcétera.

§ Seguros médicos.

§ Agencias gubernamentales.

§ Verificación de la identidad.

§ Seguridad de aeropuertos.

§ Acceso a equipos informáticos.

§ Banca.

§ WinFing 3.1 (PrintScan International, EEUU).

§ Fingerprint Scanner (The National Registry, EEUU).

§ FingerCheck (Startek, Taiwan).

§ FingerScanner (FingerMatrix, EEUU)

§ FingerScan (Australia).

§ TouchPrint 600 (Identix, EEUU).

A III. 2.2 Análisis del iris.191

Los oftalmólogos descubrieron a través de análisis clínicos que el iris de las personas permanece sin cambios y, además, que es característico de cada individuo. El iris, como elemento de identificación, tiene las propiedades de estar protegido del entorno exterior, es casi imposible de modificar a través de la cirugía, y pueden efectuarse comprobaciones a una cierta distancia sin necesidad de contacto físico.

Aun así, el análisis del iris ha presentado problemas de aceptación en las aplicaciones que se han utilizado hasta el momento, al tener que utilizar un haz de rayos infrarrojos. En la actualidad se ensayan técnicas de medida a distancia del iris, pero sus resultados no inspiran aún la confianza necesaria. No es adecuado para personarse con minusvalías de la visión y diabéticos.

§ IrisScan 2020, System 2000 EAC (IrisScan, EEUU).

§ IrisIdent System (Sensor, EEUU).

§ 2001 (Eye Dentify, EEUU).

Se trata de analizar las características de la cara, como el contorno del rostro, tamaño de la nariz, forma de los ojos, barbilla, cejas, y boca, etcétera, características que hasta ahora se consideraban óptimas para reconocer a una individuo por los medios tradicionales. Su versión

electrónica es compleja, puesto que se requiere para su análisis el empleo de técnicas algorítmicas de redes neuronales, procedimientos muy intensivos en cálculo y que necesitan, por tanto, un cierto tiempo de procesado. La informática asociada requiere equipos periféricos convencionales y no demasiado costosos.

El método tiene bastantes restricciones, porque, en primer lugar, se requiere una cierta colaboración del sujeto que se va a identificar y, además, porque con estas técnicas no se podrán autenticar personas con características físicas sobrepuestas a las normales, como la barba, el peinado, ciertas expresiones faciales. Las características personales son también modificables por actuaciones como la cirugía estética o reparadora. Por su semejanza con las técnicas tradicionales, este método se considera aceptable por el público. El registro de estas características ha de ser actualizado para compensar los efectos del envejecimiento en el rostro de las personas.

§ Banca.

§ Seguridad en los aeropuertos..192

§ Asistencia social

§ Hospitales.

§ Acceso a ordenadores

§ Internet.

§ Servicios telefónicos.

§ Compañías de tarjetas de crédito.

§ Permisos de conducir.

§ Facial Data Base Systems (Dectel Security Systems, Reino Unido).

§ True Face, True Face Cyber Watch (Miros, EEUU).

§ Thermace, VIAS (Forensic Security Services, Reino Unido).

§ FR1000 (Technology Recognition Systems).

§ Sherlock Face Recognition (Facial Reco Associates).

§ Facial Search System (Identicator, EEUU).

§ KEN (Lawrence Livermore National Laboratory, EEUU).

§ MufMaster (NeuroMetric Vision Systems).

§ ZN-Face (Zentrum fur Neuroinformatik, Alemania).

§ FACEit (National University of Singapoore).

§ ARGUS (George Mason University).

§ Face Pass (MIT Artificial Intelligence Laboratory).

§ FACE-SOM (UMIST).

§ Facial Recognition Software (University of Essex, Reino Unido).

§ Dextel Crime Net (Dextel Security Systems, Reino Unido).

§ One on One Facial Recognition Systems (Identification Technologies International

Inc., EEUU).

En la vida diaria, es posible reconocer a muchas personas por la voz. Las características vocales, tales como cavidad bucal, tracto, etcétera, hacen que cada persona emita la voz de una forma diferente, lo que permite fácilmente su reconocimiento a personas familiarizadas. En su versión electrónica, ello se consigue mediante el análisis estadístico de la voz digitalizada, y puede requerirse en situaciones tales como cuando una persona habla o da órdenes por teléfono.

Algunos ensayos han dado resultados espectaculares, pero como técnica biométrica no es tan precisa como el análisis del iris o de las huellas dactilares. Esta técnica es adecuada cuando se quieren manejar dispositivos de manos libres.(p.193)

Una amenaza para estas técnicas es la impostación, así como duplicaciones de la voz registradas en cintas. Enfermedad, fatiga, procesos febriles o estados emocionales, son factores que pueden dificultar una identificación. La voz también pueden cambiar por consumo del alcohol o llevar prótesis dentales. También dificulta el análisis el ruido ambiental en el lugar de registro o identificación.

§ Dispositivos antirrobo.

§ Acceso a equipos informáticos.

§ Autorización de tarjetas de pago.

§ Servicios personales a través de telefonía.

§ VOCAL, VOCAL SCW1, VOCAL ZKE (ABS, Alemania).

§ PIN-LOCK, Voice Verification System (T-NETIX, EEUU).

§ Caller Verification System (Bell Security, Reino Unido).

§ Tele-MAtic (Speakez, EEUU).

§ TESPAR/FANN (Domain Dynamic Limited, Reino Unido).

Versión digital de la firma a actual en documentos. En ella se analizan velocidad, aceleración,

etcétera, para lo se requiere una tabla digitalizadora o un lápiz electrónico. En su análisis, se aplican métodos estadísticos y se determinan unos parámetros que son los que figurarán en la ficha biométrica. Posteriormente, esta firma podrá agregarse a documentos electrónicos, para ser comparada con la de la ficha biométrica. Los datos cifrados son resultado del análisis de más de cuarenta características de la firma manuscrita, como velocidad y aceleración de la escritura, trazos, rasgos, etcétera.

Cada vez que se quiera validar se ha de comparar la ficha vinculada al documento con la ficha registrada. Está validación no suele dar resultados absolutos sino una graduación de la semejanza entre ambas firmas, que se valoran de acuerdo con una escala. El umbral de aceptación será variable en función de la trascendencia del documento o transacción.

Dada la familiaridad de la firma manuscrita para la verificación de la autenticidad de un documento, la firma manuscrita es generalmente aceptable. Para ciertas aplicaciones con personas disminuidas, con enfermedad de Parkinson o analfabeta, no se puede utilizar esta tecnología. Tampoco con personas que cambien su firma de forma radical o con individuos bajo la influencia de drogas o alcohol.

A III.3.2.3 Aplicaciones (p.194)

§ Banca.

§ Servicios postales.

§ Telecompra.

§ Asistencia médica.

§ Signature Analyzer (PenOp Inc., EEUU).

§ Rolls Royce Signature Verification (British Technology Group, Reino Unido).

§ Electronic Signature Verification System (Quintet, EEUU).

§ Cyber-SIGN (Gadix, EEUU).

§ Signature Verification Software (Communication Intelligence Corp., EEUU).

§ Countermatch (AEA Technology, Reino Unido).

§ ID-007 (Cadix International, Japan).

§ IBM Transaction Security System (IBM. EEUU).

§ Sign/On (Checkmate Electronice, EEUU).

Este método se halla en fase de desarrollo y se basa en las características mecanográficas de algunos individuos, tales como pulsaciones y duración, tiempo entre pulsaciones, frecuencia de errores mecanográficos, fuerza de las pulsaciones, etcétera.

Si bien este sistema no es abiertamente rechazado, su aplicación suscita ciertas dudas en cuanto a la estabilidad de las características analizadas, que pueden verse afectadas por circunstancias tales como la fatiga, minusvalías, traumatismos, etcétera.

Está considerado como un sistema auxiliar de otras técnicas.

Hay productos en desarrollo de las empresas siguientes:

§ BioPassword Security Systems, Reino Unido.

§ Electronic Signature Lock Marketing, EEUU.

§ M&T Technologies, EEUU.

La autenticación mediante técnicas biométricas está pendiente de avances en un gran número de áreas.

§ Tecnológicas, para mejorar las prestaciones y confiabilidad actuales de las técnicas.(p.195)

§ De control de calidad, respecto a pruebas de homologación y de medida.

§ Aceptación social, que en gran parte va a depender de pautas culturales y tecnológicas.

§ Respaldo de instituciones y textos legales..197

AC Autoridad de Certificación

ACE Autoridad de Certificación Electrónica

ADSL Asymmetric Digital Subscriber Loop

AECE Asociación Española de Comercio Electrónico

AN Autoridad Notarial

ATM Asynchronous Transfer Mode

ATM Automated Teller Machine (cajero automático)

BBS Bulletin Board System

CAD Computer Aided Design

CAFE Conditional Access For Europe

CALS Computer-aided Acquisition and Logistics Support

CAM Computer Aided Manufacturing

CEI Comisión Electrotécnica Internacional

CHAPS Clearing House Automated Payment System

CHIP Clearing House International Payment

DSA Digital Security Algorithm

EDI Electronic Data Interchange

EEUU Estados Unidos

EFT Electronic Funds Transfer

EGM Estudio General de Medios

ETSI European Telecommunication Standards Institute

FBI Federal Bureau of Investigation

FEDI Failure Experience on Data Interchange

FESTE Fundación para el Estudio de la Seguridad en las Telecomunicaciones

FSTC Financial Services Technology Consortium

FTP File Transfer Protocol

FTSC Federal Telecommunication Standards Committee

HTML Hyper-Text Mark Language

IAB Internet Architecture Board

IBOS InterBank On-line System

ICP Infraestructura de Claves Públicas

IEEE Institute of Electrical and Electronic Engineers

IETF Internet Engineering Task Force

IKP Internet Keyed Payment

IP Internet Protocol

IRC Internet Relay Chat

ISO International Standards Organization

ISOC Internet Society

MIT Massachusetts Institute of Technology

NBS National Bureau of Standards.198

NGII Next Generation Internet Initiative

NIP Número de Identificación Personal

OACI Organización de Aviación Civil Internacional

OCDE Organización para la Cooperación y el Desarrollo Económico

OFTP Odette File Transfer Protocol

OSI Open System Interconnection

PC Personal Computer (ordenador personal)

PGP Pretty Good Privacy

PKI Public Key Infrastructure

PKI Public Key Infraestructure

PSI Proveedor de Servicios Internet

PYME Pequeña Y Mediana Empresa

RDSI Red Digital de Servicios Integrados

RPV Redes Privadas Virtuales

RSA Rivest, Shamir & Adleman

SET Secure Electronic Transaction

SMD Sistema Mundial de Distribución

SSL Secure Sockets Layer

SWIFT Society for Worldwide Interbank Financial Telecommunication

TARGET Trans-european Automated Real Time Gross settlement Express Transfer

TCP Transmission Control Protocol

THISCO The Hotel Industry Switch Company

TIPHON Telephony on Internet Protocols Harmonised Over Networks

TPC Terceras Partes de Confianza

TPV Terminal Punto de Venta

UE Unión Europea

UIT Unión Internacional de Telecomunicaciones

UMTS Universal Mobile Telecommunication System

UNCITRAL United Nations Commission on International Trade Law

UNCTAD United Nations Conference on Trade and Development

UNIDROIT United Nations International Institute for the Unification of Private Law

UPS Uninterrupted Power Supply (fuentes de alimentación ininterrumpidas)

URL Uniform Resource Locator

VAN Value Added Network (red de valor añadido)

WWW World Wide Web

XML Extensive Mark Language

REGRESAR