Inicio / Protege tu empresa / Blog / ¿Estás a salvo de Piggybackers?

¿Estás a salvo de Piggybackers?

Publicado el 20/12/2011, por Miguel Ángel Hernández Ruiz
Post_piggybacking

El mundo de la seguridad de la información no es sólo lógico, las amenazas que pueden afectar a la organización pueden tener un origen en el mundo físico aunque finalmente el impacto se refleje en un archivo digital robado. Es por esto que se disponen los controles de entrada para evitar que miembros ajenos a la organización accedan a sus instalaciones sin ser previamente autenticados. Tomo como base el post de Samuel Segarra para desarrollar este tema.

Si el control de entrada no se dispone de forma que obstaculice el paso a cualquiera que acceda a la ubicación de la organización, se genera la posibilidad de que alguien acceda a un área restringida ya sea de manera intencionada o no.

Un control de entrada mal dispuesto y/o con una tecnología o procedimientos inadecuados puede permitir que se presenten amenazas conocidas como Piggybacking y Tailgating. Esto supone que alguien sin autorización de acceso sea capaz de entrar en las instalaciones o la zona restringida usando una autenticación válida de un usuario anterior. En los casos en los que la persona con credenciales válidas es consciente de que está entrando otra persona con su autenticación tras de sí, se utiliza el término Piggybacking. En caso de que la persona autenticada no sea consciente se utiliza el término Tailgating.

Algunos controles de entrada físicos que previenen de estas amenazas son los siguientes:

  • Tornos giratorios: por si mismos no impiden el Piggybacking aunque en sentido estricto, sí el Tailgating.
  • Puertas dobles: estos sistemas son comunes en el entorno bancario aunque para el acceso a un área restringida, dependiendo de las particularidades de la mencionada área, tendrían alguna modificación. Una vez traspasada la primera puerta que da acceso a un habitáculo intermedio, ésta se cierra y alguien desde el interior comprueba quién hay en el habitáculo y decide aprobar o no la apertura de la segunda puerta.
  • Guardias de seguridad: un control de acceso únicamente basado en guardias de seguridad es hoy día poco común y aplicable a entornos muy limitados (aunque sí está extendida la variante del recepcionista), puede ser un recurso que se utiliza en combinación con cualquiera de los dos anteriores y ayude a prevenir de ambas amenazas si el procedimiento aplicado es efectivo y se lleva a cabo de forma correcta.

Una aproximación posible para establecer un buen control de entrada puede estar basada en la combinación de una supervisión humana y un control técnico, que realiza el proceso de autenticación basado en tarjeta inteligente o alguno de los siguientes tipos de sistemas biométricos:

  • Huella Dactilar: este mecanismo es poco invasivo y se basa en la obtención de una imagen de la huella dactilar en la cual se identifican los patrones de siete tipos de puntos característicos denominados minucias. El patrón de combinación de estos 7 tipos de puntos característicos en la huella en un número de hasta 120 combinaciones permite autenticar al usuario. Su uso y el proceso de registro es sencillo y su efectividad y tasas de falso rechazo y falsa aceptación se encuentran en torno al 0,5% y el 0,001% respectivamente.
  • Escáner de iris: Este sistema extrae una fotografía en alta definición del iris, creando unos patrones internos que permiten comparar con los adquiridos en el momento de la autenticación. Una de sus principales críticas es la intrusividad del método que en sus primeras versiones exigía al usuario acercarse a escasos centímetros del dispositivo pero actualmente son capaces de hacer una fotografía de alta definición hasta a 2 metros de distancia y un proceso de autenticación de un tiempo estimado de alrededor de 3 segundos.
  • Geometría de la palma de la mano: a través de este control se podrá autenticar al usuario con la forma de su mano. El sistema realiza mediciones de la longitud y ancho de los dedos, la anchura de la palma de la mano y otros parámetros característicos. La principal peculiaridad de este sistema es que la plantilla creada en el momento del registro cambia con el tiempo adaptándose a los cambios en los parámetros medidos sobre la mano. En los dos métodos anteriores, la plantilla creada en el momento del registro es muy estable y apenas cambia con el tiempo.
  • Reconocimiento facial: mediante una extracción de los rasgos faciales de una persona en una imagen, la tecnología hace una comparación con el resto de personas reconocidas identificando las variaciones significativas determinando los rasgos clave, como los pómulos, la boca, la nariz o la posición de los ojos.
  • Reconocimiento de las venas de la mano: esta innovadora técnica detecta la hemoglobina desoxidizada presente en la sangre, construyendo una imagen a partir de una proyección de rayos infrarojos. Esta técnica, de aparición más reciente tiene como particularidad que se basa en un rasgo interno del individuo que está más allá de lo que se puede percibir a simple vista. La tecnología se ha probado con una muestra de 140.000 personas y ha demostrado unos ratios de falsa aceptación del 0.00008% y el índice de falso rechazo del 0.01%.

La Guía sobre tecnologías biométricas aplicadas a la seguridad de reciente publicación por INTECO, hace un repaso a éstas y otras técnicas biométricas basadas en características fisiológicas y de comportamiento. Este documento amplía la información tratada en este post en relación al uso de la biometría para el control de acceso, describiendo otros usos posibles de estas tecnologías en el ámbito de la seguridad.