Estándar biométrico
| ||||||
Los estándares biométricos son reglas que deben cumplir los productos, procedimientos o investigaciones biométricas.
Ofrecen muchos beneficios, reduciendo las diferencias entre los productos y generando un ambiente de estabilidad, madurez y calidad en beneficio de consumidores e inversores.
Sumario
Definición
Un estándar es un conjunto de reglas que deben cumplir los productos, procedimientos o investigaciones que afirmen ser compatibles con el mismo producto. Los estándares ofrecen muchos beneficios, reduciendo las diferencias entre los productos y generando un ambiente de estabilidad, madurez y calidad en beneficio de consumidores e inversores.
Estándar biométrico
Un estándar biométrico no son más que las reglas que deben cumplir los productos, procedimientos o investigaciones biométricas.
La carencia de estándares biométricos a nivel industrial ha dificultado el desarrollo de algunos tipos de Sistemas Biométricos y el crecimiento de este sector industrial. Sin embargo la industria biométrica está teniendo un papel muy activo para solucionar el problema de la carencia de estándares generando resultados que empiezan a ser ampliamente aceptados por los industriales y marcando el camino a seguir en un futuro próximo. Los esfuerzos que se están realizando y los ya realizados han perseguido distintos objetivos que van desde la definición de API (Interface de Programación de Aplicaciones), los formatos de los ficheros con la información de parámetros biométricos, la encriptación de la información biométrica, la interacción entre dispositivos biométricos diferentes, etc.
Papel
Actualmente, la mayoría del hardware y software relacionado con los distintos sistemas biométricos están basados en tecnología propietaria (no estándar) de las empresas que los fabrican. Son varios los aspectos en los que estos dispositivos varían, por ejemplo la forma en que los sensores biométricos y los sistemas con las aplicaciones se comunican, el método utilizado para extraer las características con información discriminante de las muestras biométricas (huellas dactilar, voz, imagen del iris, etc) que se toman y procesan en cada caso, las técnicas o métodos de comparación de los patrones, la longitud y el contenido de los patrones, incluidos el método de almacenamiento y recuperación de los datos biométricos.
Como consecuencia de esto, cuando una compañía se decide por una determinada tecnología biométrica para integrar en alguno de sus productos o para producirla ella misma, queda atada a la misma en el futuro pues si en algún momento, decidiese incorporar nueva tecnología de esta naturaleza tendría que volver a implementar su sistema o al menos gran parte del mismo. Debido a la naturaleza emergente de esta tecnología y a la poca madurez de muchos productos de biometría, los desarrolladores de aplicaciones que hacen uso de tecnología biométrica temen que las empresas fabricantes de dicha tecnología cambien de rumbo o modifiquen sus productos obligándoles a tirar gran parte del trabajo que hayan realizado así como su dinero.
Sin embargo, se debe aclarar que el desarrollo de estándares biométricos y su adopción general, no asegurará una total compatibilidad entre dispositivos y tecnologías y que, en muchos casos, seguirá siendo necesaria una adaptación de los antiguos sistemas o aplicaciones para que funcionen con los nuevos dispositivos o tecnología que se decida utilizar. Esto es debido a que los algoritmos y los procesos diseñados e implementados por los fabricantes de tecnología biométrica para la extracción de los datos o muestras, el proceso de extracción de las características de las mismas, e incluso el proceso de autenticación biométrica del usuario difícilmente llegarán a ser estándares de la industria al constituir el valor añadido tecnológico de las mismas. Sin embargo es de esperar que el desarrollo y la utilización de los estándares biométricos permita a los desarrolladores-integradores de aplicaciones con tecnología biométrica puedan optar por un amplio rango de dispositivos y tecnologías intercambiables de una forma directa, es decir, sin necesidad de las ya mencionadas adaptaciones, de ese modo los riesgos que se mencionaron se verán reducidos de forma significativa.
Estándares Internacionales
BioAPI
El consorcio BioAPI nace en Abril de 1998 durante la conferencia CardTech/SecureTech con el apoyo de algunas de las compañías informáticas más importantes a nivel internacional como IBM y Hewlett-Packard. La primera especificación apareció en Septiembre de 2000 y la especificación final en Marzo de 2001. La idea era desarrollar una alternativa a otras iniciativas de estandarización. BioAPI ha llegado a ser uno de los esfuerzos más relevantes en la generación de estándares biométricos con varios objetivos como: desarrollar una Interfaz de Programación de Aplicaciones (API por sus siglas en inglés) independiente del parámetro biométrico y del hardware de los distintos fabricantes, crear un estándar independiente del sistema operativo, trabajar de forma coordinada con desarrolladores e integradores de aplicaciones con elementos biométricos para generar una API de fácil uso y de fácil convivencia con otros estándares ya existentes, entre otros.
Desde un punto de vista general, BioAPI intenta estandarizar el modo en el que las aplicaciones se comunican con los dispositivos biométricos y la forma en la que los datos son almacenados y utilizados, ofreciendo a los desarrolladores un conjunto común de llamadas a funciones para interactuar modularmente con los distintos dispositivos biométricos, algoritmos, etc. Sin embargo, no pretende estandarizar el modo en el que los datos son generados por los dispositivos biométricos, ni entrometerse en los rasgos distintivos que define la tecnología biométrica de cada fabricante. El resultado de ello es que, en algunos casos, obliga a los usuarios a re-entrenarse en el uso de estos dispositivos.
Las funciones de BioAPI cubren aspectos como el entrenamiento, la verificación e identificación de usuarios, la captura de datos, el proceso de los mismos, la comparación de patrones y el almacenamiento de la información biométrica. Establece un alto nivel de abstracción que permite a los desarrolladores olvidarse de los detalles particulares de fabricación de los distintos productos y de las tecnologías empleadas por los diferentes fabricantes.
Actualmente muy pocas soluciones en esta área son compatibles con BioAPI aunque es muy importante resaltar que es un estándar ampliamente aceptado por la industria biométrica, incluso es apoyado por agencias estatales como es el caso de Estados Unidos . Esta participación y apoyo por parte de tantos interlocutores ha prolongado el tiempo de desarrollo de este estándar, que tardó varios años en producir su versión 1.0. Esto puede convertirse en un problema a medio plazo ya que otros estándares están apareciendo con un mayor dinamismo y con un gran empuje, apoyados por otros grandes fabricantes de tecnología como es el caso de BAPI y Microsoft.
BAPI
BAPI es un nuevo estándar biométrico desarrollado y planeado por un vendedor de soluciones biométricas llamado I/O Software en lugar de un consorcio de compañías e instituciones como fue el caso de BioAPI. En Mayo de 2000, Microsoft licenció BAPI, aunque había sido uno de los primeros en apostar por BioAPI, con la intención de incluirlo en las futuras versiones de sus sistemas operativos (Windows). BAPI se fusionó con su predecesor BioAPI llegando casi a reemplazarlo. La idea de que la tecnología biométrica forme parte de un sistema operativo ha hecho madurar esta área tecnológica, dejando de ser considerada como una tecnología del futuro y formado parte de un panorama actual de posibilidades a tener en cuenta a la hora de desarrollar aplicaciones. Arrastrados por la iniciativa de Microsoft, otras compañías como Intel han apostado por BAPI, licenciando este estándar para incluirlo en sus plataformas PC móviles y dotarlas de aspectos de seguridad. En la actualidad el mundo de los estándares biométricos se encuentra dividido entre BAPI (apoyado por el consorcio Microsoft / Intel, en el que han colaborado otras compañías que también participan en el consorcio BioAPI) y BioAPI (considerado como el estándar de facto por agencias del gobierno de Estados Unidos para sus aplicaciones de seguridad). Esto nos conduce a una situación indeseada, contraria a la propia naturaleza de los esfuerzos encaminados a la generación de un único estándar. En los próximos años, BioAPI y BAPI deberán tener que ser considerados por todos los desarrolladores de aplicaciones hasta que ambos converjan en un único y definitivo estándar biométrico.
CBEFF
El CBEFF (Common Biometric Exchange File Format) .Se ha desarrollado un estándar conocido como Formato de Ficheros Común para el Intercambio Biométrico (CBEFF), cuyo objetivo es definir los formatos de los patrones biométricos para facilitar el acceso y el intercambio de diferentes tipos de datos biométricos a los sistemas que integran esta tecnología o entre diferentes componentes de un mismo sistema. CBEFF establece un formato para la cabecera de los ficheros definiendo campos obligatorios y opcionales que proporcionan elementos comunes (opciones de seguridad, de integridad de los datos, fecha de creación del fichero, firma, tipo de parámetro biométrico, etc) para el intercambio de información entre los dispositivos biométricos y los sistemas que hacen uso de los mismos, además favorece la interoperatividad entre las aplicaciones biométricas y los sistemas, simplifica la integración del software y el hardware, y posibilita la compatibilidad futura frente a los nuevos avances tecnológicos que se vayan produciendo. CBEFF no busca soluciones de interacción con los dispositivos o con los procesos, sino un método común para manejar los datos biométricos. La definición e implementación de este estándar está siendo considerada para su incorporación en dispositivos como las tarjetas inteligentes bajo los auspicios del grupo de trabajo NIST/BC Biometric Interoperability, Performance and Assurance Working Group. Actualmente BioAPI y CBEFF se han unido para construir un frente común a la estandarización biométrica. Muchos fabricantes están adoptando este estándar ofreciendo soluciones compatibles CBEFF, lo que implica que los ficheros que contienen los datos de los patrones biométricos tienen esta cabecera común.
ANSI X9.84
La industria de servicios financieros tiene necesidades particulares en cuanto a la integración de soluciones biométricas en sus propios procesos y sistemas. Estas necesidades especiales influyen en la definición de los estándares biométricos recomendados por la industria financiera para la creación e integración de productos biométricos en sus plataformas y soluciones. Existe una organización acreditada por el Instituto Nacional de Estándares de Estados Unidos (American National Standars Institute, ANSI) conocida como X9 que es responsable del desarrollo y la publicación de los consensos alcanzados en temas de estandarización para la industria de servicios financieros. Entre las tareas encomendadas a esta organización podemos destacar la comprobación de procesos, la comprobación de las transacciones electrónicas comerciales y personales, la gestión y la protección de los códigos de autenticación personal (PIN), el uso de técnicas criptográficas, pagos a través de Internet, intercambio de imágenes financieras, aspectos de seguridad de la banca en línea, etc.
Es fácil deducir que muchas de estas líneas de actividad despiertan el interés de empresas de soluciones biométricas que ofrecen el acceso lógico a esas aplicaciones o servicios mediante el empleo de información biométrica como si se tratase de claves públicas cuyo desciframiento no debería comprometer a los sistemas ni a los individuos. Por ello, dentro de X9, el grupo de trabajo X9.84-2000 (Biometric Information Managment and Security) se encarga de la estandarización biométrica, preocupados por la seguridad y la gestión de los datos biométricos de los usuarios durante el tiempo de su existencia. Aspectos como la seguridad en la transmisión y en el almacenamiento de esta información biométrica sensible, o la seguridad e integridad en el hardware y software utilizado, constituyen algunos de sus objetivos. Su misión es desarrollar los estándares biométricos necesarios antes de empezar a realizar grandes inversiones en esta tecnología para incluirla en sus propios servicios. El estándar X9.84 se aprobó en Marzo de 2001 y se pretende que también se convierta en un estándar ISO.
X9.84 ha revisado el flujo seguido por los procesos de autenticación para detectar posibles riesgos de seguridad, puntos débiles en el mismo, etc. Su idea es que, si el sistema es consistente, los bancos e instituciones similares pueden implementar soluciones con la confianza suficiente en las fuentes de datos (bases de datos con los patrones biométricos), en los resultados de la verificación que se produzcan, en la integridad y confidencialidad de los datos que intervienen en el proceso de autenticación, en los procesos de transmisión y almacenamiento de esos datos, etc.
El estándar X9.84 proporciona integridad y privacidad. La privacidad se consigue mediante técnicas criptográficas aplicadas sobre los datos biométricos específicos del usuario, después de aplicar la técnica criptográfica estos datos se concentran en un bloque de datos, el cual se conoce como opaco. La integridad se alcanza aplicando de igual manera técnicas criptográficas como las firmas digitales o un mensaje con un código de autenticación (Message Authentication Code, MAC) sobre todos los datos biométricos, es decir, la cabecera y el bloque de datos opaco con la información biométrica específica de ese usuario. La privacidad y la integridad pueden conseguirse de forma independiente, pero cuando se requieren ambas, primero se consigue la integridad, es decir, la firma y posteriormente la privacidad, es decir, se cifran las dos. En particular X9.84 soporta el transporte de claves asimétricas, acuerdos entre claves, etc, tanto para la privacidad como para la integridad.
Aunque X9.84 se ha convertido en un estándar de facto para las compañías que ofrecen servicios financieros, no se puede decir lo mismo para los fabricantes o vendedores de soluciones biométricas especialmente los que se encargan de las funciones de almacenamiento, transmisión, extracción y comparación de los datos, ya que el nuevo estándar les obliga a incorporar un nivel de seguridad y mecanismos criptográficos que no se encuentran implementados en los productos actuales.
Otras Iniciativas
NCITS-B10.8
NCITS-B10.8 (National Committee for Information Technology Standars).Existe un comité acreditado por el Instituto Nacional de Estándares Americano (ANSI) conocido como NCITS (Comité Nacional para los Estándares en Tecnología de la Información) o X3, cuyo objetivo es generar estándares consensuados, de forma voluntaria, teniendo en cuenta el mercado, en las áreas de multimedia, intercomunicación entre sistemas de información y computadoras, medios de almacenamiento, bases de datos, seguridad y lenguajes de programación. Toda la documentación que genera se conoce como ANSI NCITS, está formado por 35 comités, uno de los cuales se llama B10, que se dedica al desarrollo de estándares para las tarjetas de identificación y otros dispositivos relacionado ellas. Dentro de B10 un primer grupo de trabajo es B10.8 que se especializa en las licencias de los conductores y tarjetas de identificación similares. Una fuerza de trabajo dentro de B10.8 ha desarrollado un estándar biométrico de gran interés como es la definición de un método común para extraer y procesar las características conocidas como minucias de la imagen de una huella digitalizada. De esta forma la introducción de esta información biométrica en las licencias de los conductores, con el fin de verificar que las licencias pertenecen a quien las porta, está cada vez más cerca.
CDSA / HRS (Common Data Security Architecture Specification / Human Recognition Services) Es una arquitectura que se encuentra parcialmente involucrada en el desarrollo de estándares biométricos, fue creada por Intel en diciembre de 1997 con la participación de Netscape, JP Morgan, Shell, IBM, Motorola y HP. El CDSA / HRS está desarrollando una herramienta de software multiplataforma y segura para aplicaciones que incluyan elementos de comercio electrónico, comunicaciones y contenido digital. Trabajan directamente con el consorcio BioAPI con el fin de maximizar el consenso sobre la herramienta que está bajo desarrollo. El CDSA está desarrollando una API común a la que los programadores puedan añadir funcionalidad de autenticación. El componente HR es una extensión de la arquitectura propuesta por el CDSA relacionada directamente con el proceso de autenticación. La adopción de esta arquitectura puede ser una gran ayuda en el desarrollo de la industria biométrica, que vería a los distintos sistemas y tecnologías como parte de un todo.
HA-API
HA-API(Human Authentication Application Program Interface)El Consosrcio Biométrico americano (US Biometric Consortium) dirige, de forma coordinada con el gobierno americano, los esfuerzos en biometría que se llevan a cabo en Estados Unidos desde 1993. Su principal logro ha sido el desarrollo de una Interfaz de Programación de Aplicaciones para la Autenticación de Personas (HA-API). La primera especificación de esta API se anunció a finales de 1997. El proyecto se divide, esencialmente, en dos partes: la creación de una API biométrica genérica junto con la implementación de una prueba de concepto y la integración de la API en sistemas comerciales de autenticación que funcionan en red.
NBCT
NBCT(United States National Biometric Test Center).Este centro fue creado por el Consorcio Biométrico del Departamento de Defensa Americano a finales de 1997. Su principal objetivo es llevar más lejos los esfuerzos en estandarización biométrica relacionados por el gobierno de los Estados Unidos, generando procedimientos estándares de prueba o validación y midiendo objetivamente el rendimiento de los Sistemas Biométricos implementados existentes en el mercado. Esa metodología permitirá comparar los sistemas biométricos entre sí, ofreciendo información sobre el avance real de la tecnología.
INCITS M1
INCITS M1 (Technical Committee for Biometrics).Los atentados ocurridos el 11 de septiembre de 2001 en los Estados Unidos, causaron una reacción en el gobierno americano respecto al camino que se estaba siguiendo en el desarrollo de la tecnología biométrica, con el fin de asegurar que el uso de esta información y tecnología fuese el adecuado. En Noviembre de 2001 el comité Técnico M1 del INCITS fue creado con el objetivo de establecer un foro para el desarrollo de estándares biométricos genéricos dentro de los Estados Unidos. Este comité ha retomado todos los esfuerzos llevados a cabo con anterioridad en esta área incluidos BioAPI, CBEFF y la estandarización de los formatos de los patrones biométricos.
Uno de los objetivos del Comité M1 es acelerar el empleo de los, cada vez mejores, sistemas de autenticación biométrica para entornos gubernamentales donde la seguridad de la nación, la defensa y la prevención de la usurpación de identidades falsas dentro y fuera del país. M1 actúa como el grupo consejero en la organización internacional ISO/IEC JCT 1/SC 37 en temas biométricos. Es responsable de establecer la posición del gobierno americano y de realizar contribuciones al SC 37 en todas las reuniones de este comité internacional. Además, M1 ha creado a su vez cuatro grupos de trabajo para poder controlar la creciente actividad en biometría de un modo racional y especializado:
- M1.1: especializado en formatos de intercambio de datos biométricos (Biometric Data Interchange Formats).
- M1.2: dedicado a las interfaces biométricas con un enfoque técnico (Biometric Technical Interfaces).
- M1.3: trabaja en la interoperabilidad en los sistemas (Biometric Profiles). s
- M1.4: cuyo objetivo es la evaluación y la generación de informes en los sistemas biométricos (Biometric Performance Testing and Reporting).
AMBI
La AMBI Asociación Mexicana de Biometría e Identidad fue creada en 2007 por el Ingeniero Mexicano Humberto López Gallegos con el objetivo de promover el uso de mejores prácticas que pudieran contribuir a lograr una mayor eficiencia y seguridad en el uso masivo de soluciones biométricas e identificación así como posicionar los desarrollos hechos en México en otros países, principalmente en Estados Unidos, en Europa y especialmente en Latinoamérica. Otro aspecto que el Ingeniero y actual presidente de la Asociación consideró crucial para su creación es el marco jurídico alrededor del uso de tecnología biométrica puesto que no existe nada escrito que regule en México el uso de los datos biométricos de las personas por lo que una de las iniciativas de la AMBI es la de participar activamente en la generación de estándares y normas de identificación para uso masivo de esta tecnología no solo en México sino en muchos otros países, convirtiendo a México en un modelo a seguir en esta disciplina.
La AMBI, cuenta con el apoyo de compañías como Bioscrypt, LG Iris, SAGEM, Digital Persona,Crossmatch, L1, Quometrics, HID, Kimaldi, Ingressio y Nitgen y tiene como misión la consolidación de la industria de tecnología biométrica e identificación conduciendo foros de discusión, coadyuvar como el brazo tecnológico de las principales asociaciones de verificación de identidad a nivel internacional, generar y divulgar masivamente contenidos relevantes al aprovechamiento de las tecnologías biométricas.
Entre los servicios que ofrece la AMBI se encuentran el Análisis de desempeño de Identificación, Certificación de Aplicaciones, Capacitación especializada a través de cursos básicos de biométrica con la posibilidad de tomarlos directamente con el fabricante de alguna tecnología biométrica, Asesorías especializadas para proyectos de Identificación, los cuales se pueden solicitar a la página de Internet de la Asociación , sin embargo para que la solicitud de servicio sea procesada se deberá de ser miembro de la AMBI.
Por el momento, y a pesar de contar con el apoyo de las compañías ya mencionadas, la AMBI no ha desarrollado ningún estándar para el uso de tecnología biométrica en el país y tampoco ha participado en la creación y/o mejora de estándares internacionales. En la página de Internet de la Asociación no se da información acerca de cuál es el plan o estrategia que la AMBI está llevando a cabo o implementará en un futuro para participar en la creación de estándares de manera nacional e internacional.
Norma Oficial Mexicana
Conforme a la Ley Federal sobre Metrología y Normalización una Norma Oficial Mexicana es la regulación técnica de observancia obligatoria expedida por las dependencias competentes, conforme a las finalidades establecidas en el artículo 40, que establece reglas, especificaciones, atributos, directrices, características o prescripciones aplicables a un producto, proceso, instalación, sistema, actividad, servicio o método de producción u operación, así como, aquellas relativas a terminología, simbología, embalaje, marcado o etiquetado y las que se refieran a su cumplimiento o aplicación.
En materia de normalización esta ley tiene como objetivos:
- Fomentar la transparencia y eficiencia en la elaboración y observancia de normas oficiales mexicanas y normas mexicanas.
- Instituir la Comisión Nacional de Normalización para que coadyuve en las actividades que sobre normalización corresponde realizar a las distintas dependencias de la administración pública federal.
- Establecer un procedimiento uniforme para la elaboración de normas oficiales mexicanas por las dependencias de la administración pública federal.
- Promover la concurrencia de los sectores público, privado, científico y de consumidores en la elaboración y observancia de normas oficiales mexicanas y normas mexicanas.
- Coordinar las actividades de normalización, certificación, verificación y laboratorios de prueba de las dependencias de administración pública federal.
- Establecer el sistema nacional de acreditamiento de organismos de normalización y de certificación, unidades de verificación y de laboratorios de prueba y de calibración.
Las normas mexicanas son elaboradas por los organismos nacionales de normalización, y a falta de estos, será la Secretaría de Economía la responsable de su elaboración, en términos de lo dispuesto por los artículos 51-A y 51-B de la Ley Federal sobre Metrología y Normalización.
Es necesario resaltar que las normas mexicanas son de aplicación voluntaria, salvo en los casos en que los particulares manifiesten que sus productos, procesos o servicios son conformes con las mismas y sin perjuicio de que las dependencias requieran en una norma oficial mexicana su observancia para fines determinados. El campo de aplicación de estas normas puede ser nacional, regional o local.
Existen algunos distribuidores de tecnología biométrica en México que aseguran cumplir con la Norma Oficial Mexicana, sin embargo no existe una NOM que abarque las reglas, especificaciones y atributos que deben cumplir estas tecnologías por separado o en conjunto.
Las características que los distribuidores de este tipo de tecnología ofrecen a los consumidores abarcan características de suministro de voltaje y corriente, temperatura, humedad, las funciones para las cuales fue diseñada la tecnología, sus aplicaciones, y las normas que estos productos cumplen, que en su mayoría son normas Internacionales, por ejemplo normas de Comunicación como la FCC (Federal Comunications Commission) o de calidad como la ISO 9000, más nunca se mencionan los estándares internacionales y/o nacionales bajo los cuáles son creados y distribuidos los productos.
