Soy uno de los tres integrantes del pequeño grupo de Auditoría de Sistemas dentro del departamento de Auditoria Interna de Ferrovial. Mi trabajo consiste en realizar revisiones y análisis técnicos de los principales sistemas que dan soporte a los procesos, negocios y filiales del grupo Ferrovial con el objetivo de mejorar los procesos y proporcionar un mayor marco de control dentro de la compañía. Nuestro trabajo alcanza a todo el grupo Ferrovial, por lo que realizamos dichas revisiones tanto a nivel nacional como internacional y consecuentemente en numerosas ocasiones tenemos que desplazarnos a distintos destinos (USA, Canadá, Polonia, etc.).
Acabo de cumplir mi cuarto año en la compañía y desde el pasado mes de diciembre la verdad es que puedo afirmar que ya estoy más tranquilo. La razón de dicha afirmación, que puede sonar inusual dentro de una empresa privada con todos los proyectos y actividades que hay continuamente, es que el 15 de diciembre del año pasado por fin presenté y aprobé con la máxima calificación mi tesis doctoral en la Universidad Politécnica de Madrid (UPM). Ahora mismo se puede afirmar que soy Doctor Ingeniero en Telecomunicaciones.
El iris como método de identificación de personas
¿Has oído alguna vez eso de que los gemelos son exactamente iguales excepto por sus huellas dactilares? Cada persona, tiene algunos elementos intrínsecos como precisamente la mencionada huella dactilar, la retina, el iris, la voz, e incluso la firma, el paso o el tecleo.
Investigar el uso del iris como método de identificación de personas y de sistema de seguridad surgió para desarrollar y avanzar en el análisis de otras alternativas distintas a la huella dactilar, que es la más extendida a la vez que también es un rasgo relativamente fácil de obtener, basta con recoger un objeto tocado por alguien podrías obtener sus huellas. Sin embargo, el iris es un rasgo “más” personal y difícil de extraer puesto que hace falta una mayor cercanía. Además, este hecho se unió a que al comienzo de mi investigación, mis tutores estaban inmersos en el análisis del iris junto con otros rasgos, como el olor o la geometría de la mano para identificar personas.
El título de la tesis es Autenticación biométrica de usuarios a través del iris mediante la ocultación de claves y funciones resumen que preservan la similitud, y lo he realizado en colaboración entre la UPM y el Instituto de Tecnologías Físicas y de la Información (ITEFI) perteneciente al Consejo Superior de Investigaciones Científicas (CSIC). Aunque el título puede parecer muy complejo y difícil de entender, para resumir se puede decir que el tema principal es la gestión de accesos de usuarios identificándolos mediante su iris. Las poco más de 200 páginas de las que consta, es la explicación de las herramientas desarrolladas para almacenar en un entorno seguro los patrones de iris extraídos (evitando que puedan estar comprometidos en caso de robo), así como el método de comparación y los umbrales definidos para que el sistema identifique correctamente a los usuarios evitando falsos positivos.
Han sido 6 años de duro trabajo desde que terminé mi carrera en 2009, compaginando mi trabajo, primero en Deloitte y desde el 2012 en Ferrovial, con la investigación. El mayor problema era sacar tiempo con tantos proyectos y viajes en el día a día, pero creo que aunque es fácil dejarse llevar por la rutina diaria, en una sociedad como la actual hay que mantener ese espíritu innovador y buscar retos nuevos.
Un poco de teoría: la biometría cancelable
El tema de una gestión correcta de usuarios no es nuevo, es un problema que siempre ha existido y al que todas las empresas deben enfrentarse. Si bien creo que actualmente debido al auge de las nuevas tecnologías de la información, el desarrollo de Internet de las Cosas, las redes sociales, y el uso cada vez más extendido del Cloud Computing, presenta nuevos retos a la sociedad. Hay que buscar soluciones para garantizar la confidencialidad de los datos y la protección y privacidad de la información para evitar que caigan en malas manos. Para ello centré la investigación en las siguientes aspectos:
- Criptografía como ciencia que se dedica a garantizar la confidencialidad, integridad y disponibilidad de la información
- Biometría para dotar de un medio de autenticación e identificación intrínseco en las personas a través de rasgos conductuales o físicos, por ejemplo la firma o la huella dactilar
Combinando ambas ciencias, se obtienen unos métodos de autenticación más seguros y fiables, conocidos criptosistemas biométricos o biocriptosistemas. También, la aparición del concepto de biometría cancelable ha supuesto una revolución en el proceso de autenticación de usuarios. Su principal objetivo es proporcionar propiedades de revocación, modificación y cancelación a los rasgos biométricos. Estas propiedades, tan comunes y obvias en el uso de contraseñas, en los rasgos biométricos conlleva un gran esfuerzo. Basta con pensar en el problema que existiría en caso de que robaran tu huella dactilar o iris, o pudieran imitar tu forma de hablar, ¿cómo podríamos modificar la huella dactilar? ¿y el iris? Es cierto que podemos utilizar otra mano o dedo, o que podemos modificar el tono de la voz, pero a la larga estas soluciones no son ni prácticas ni viables.
La solución que propone la biometría cancelable es enmascarar los rasgos biométricos mediante herramientas o funciones criptográficas y matemáticas (como son las funciones hash o la interpolación polinómica de Lagrange) de manera que en caso de que dichos patrones biométricos se encuentren comprometidos, puedan modificarse sin perjuicio para el usuario o incluso de manera transparente, únicamente modificando algunos parámetros de las funciones utilizadas.
La investigación
En la primera parte del proyecto, diseñé y desarrollé en el lenguaje de programación Java un criptosistema biométrico cancelable que identifica individuos a través de su iris. Después de identificarlos, entrega una clave vinculada unívocamente a su propio iris, válida para cifrar documentos o como autorización de acceso a salas privadas. Con este primer objetivo, realicé una serie de experimentos comparando iris reales (obtenidos de una base de datos pública CASIA) para comprobar la fiabilidad y eficacia del sistema.
Los resultados obtenidos si bien eran buenos inicialmente, para poder ser útiles en escenarios reales, debían mejorarse. De manera que para reducir el porcentaje de error y afinar un poco más la comparación, recurrí a otros métodos de comparación como paso adicional para identificar de una manera más precisa iris de una misma persona. Estos dos métodos son:
- Funciones hash que preservan la similitud. Este tipo de funciones son útiles para comparar ficheros similares. Se utilizan actualmente en las investigaciones digitales forenses para analizar textos o imágenes y determinar su grado de similitud.
Esta idea se ha utilizado para comparar patrones de iris de usuarios y filtrar aquellos que, según un umbral, pertenezcan a un mismo usuario.
- La transformada de Walsh-Hadamard. Es una función matemática ortogonal, es decir que todos sus elementos son perpendiculares entre sí, útil para representar secuencias discretas, es decir que toman valores determinados (como pueden ser los bits de un ordenador ya que sólo toman los valores 0 ó 1).
Con esta última opción conseguí resultados muy buenos para evitar el acceso de usuarios no reconocidos por el sistema, que era el objetivo de seguridad que se buscaba. Por el contrario, el porcentaje de usuarios conocidos que el sistema podía no reconocer correctamente también aumentó.
¿Y ahora qué?
Los siguientes pasos serían trabajar en la extensión de dichos resultados para poder utilizar el sistema en escenarios reales ajustando algunos de los parámetros de las funciones o desarrollando nuevos métodos que complementen a los explicados.
La posible aplicación más directa sería como método de autenticación de usuarios que tendría utilidad en muchos ámbitos, entornos y empresas, entre las que también se encuentra Ferrovial. Por ejemplo controlar el acceso a zonas protegidas (salas de control de aeropuertos, zonas restringidas, etc.) o a dispositivos cotidianos (ordenadores, móviles…). Otra utilidad sería vincular una clave secreta con determinadas personas autorizadas, de manera que sólo ellas puedan acceder a determinado contenido crítico (ofertas, análisis técnicos, etc.).
No obstante, después de tanto tiempo dedicado y los buenos resultados obtenidos, lo primero es lo primero, y ahora mismo voy a tomarme algo de tiempo de descanso que creo que me lo he merecido.
1 comentario
aa
03 de enero de 2017
Buen artículo