Un científico está trabajando en una investigación para poder desarrollar métodos de autenticación segura de usuarios examinando las ondas cerebrales, como identificadores individuales. Sin embargo esas ondas cerebrales pueden decir más sobre una persona que tan sólo su identidad, advierte este experto.
La seguridad cibernética y la autenticación han sido objeto de ataques en los últimos meses, al parecer cada dos días hay un nuevo informe de que los hackers han tenido acceso a información privada, o sensible. Recientemente, más de 500 millones de contraseñas fueron robadas cuando Yahoo divulgó que su seguridad se vio comprometida.
Los sistemas de seguridad han ido más allá de simplemente dar con una contraseña inteligente, que podría impedir que los expertos en informática nefasta (piratería) entren en su cuenta de Facebook. Cuanto más sofisticado sea el sistema, o la información sea más crítica, y más privada de mantener, más avanzado será el sistema de identificación de protección.
El escaneo de huellas digitales y la identificación del iris son sólo dos tipos de métodos de autenticación, una vez se pensó que era como de ciencia ficción, que son de uso generalizado por los sistemas más seguros. Pero las huellas dactilares pueden ser robadas y los escaneos de iris pueden ser replicados. Nada ha demostrado ser infalible para los piratas informáticos.
"El argumento principal para la autenticación del comportamiento es la biométrica que es el mejor de los modos estándar de autenticación, como una contraseña, que se autentica una vez antes de acceder al servicio", dijo Abdul Serwadda un experto en seguridad cibernética y profesor asistente en el Departamento de Ciencias de la Computación de la Universidad Tecnológica de Texas.
"Ahora, una vez que se haya accedido al servicio, no hay otra manera para que el sistema todavía sepa que es usted. El sistema es ciego, en cuanto a saber quién es el usuario del servicio. Por lo tanto el área de la autenticación del comportamiento se ve con otra identificación de patrones de usuarios, que pueden mantener el sistema al tanto de la persona que lo está utilizando. A través de estos patrones, el sistema puede realizar un seguimiento con cierta confianza métrica, sobre quién podría estar usando y le pedirá de inmediato el reingreso de la contraseña, cada vez que las medidas métricas de confianza caigan por debajo de un cierto límite."
Uno de esos patrones que está creciendo en popularidad dentro de la comunidad de investigación es el uso de ondas cerebrales, obtenidas a partir de un electroencefalograma o EEG. Varios grupos de investigación de todo el país han utilizados sistemas de EEG para autenticar a los usuarios con una precisión muy alta, y se está exhibiendo recientemente.
Sin embargo, esas ondas cerebrales pueden decir más sobre una persona que tan sólo su identidad. Se podría revelar aspectos médicos, conductuales o emocionales de una persona que, de ser sacado a la luz, podría ser embarazoso o perjudicial para ella. Y utilizando dispositivos de EEG la convertiría al sistema en mucho más asequible, preciso y con aplicaciones portátiles, siendo diseñado para que permita a la gente a leer más fácilmente una exploración EEG, la probabilidad de que eso ocurra es peligrosamente alta.
"El EEG se ha convertido en una aplicación de los productos básicos. Por $100 usted puede comprar un dispositivo de EEG que cabe en su cabeza al igual que un par de auriculares," dijo Serwadda. "Ahora hay muchas aplicaciones en el mercado, con un cerebro de detección donde se puede comprar el gadget, para descargar la aplicación en su teléfono y comenzar a interactuar con la aplicación a través de sus señales cerebrales que las han llevado a pensar”. Ahora tenemos estas señales cerebrales, que fueron tradicionalmente sólo de acceso por los médicos, que están siendo manejada por gente normal". Ahora, cualquier persona que pueda escribir una aplicación puede obtener el acceso a las señales cerebrales de los usuarios y tratar de manipularlos para descubrir lo que está pasando.
Ahí es donde Serwadda y el estudiante graduado, Richard Matovu centraron su atención: el intento para ver si ciertos rasgos se podrían extraer de las ondas cerebrales de una persona. Presentaron sus hallazgos recientemente en el Instituto de Ingenieros Eléctricos y Electrónicos (IEEE) Conferencia Internacional de Biometría.
Las ondas cerebrales y la seguridad cibernética
Serwadda dijo que la tecnología todavía está en desarrollo, en términos de ser capaz de utilizar las ondas cerebrales de una persona para fines de autenticación. Pero es un campo ampliamente investigado que ha atraído la atención de varias organizaciones federales. La National Science Foundation (NSF), financia un proyecto de tres años en los que Serwadda y otros de la Universidad de Syracuse y la Universidad de Alabama-Birmingham están explorando cómo varias modalidades del comportamiento, incluyendo patrones cerebrales EEG, podrían ser aprovechadas para aumentar los mecanismos tradicionales de autenticación del usuario .
"No hay instalaciones todavía, pero una gran cantidad de investigaciones se verá si los patrones EEG podrían incorporarse en los procedimientos de autenticación estándar del comportamiento," dijo Serwadda
Suponiendo que un sistema utiliza EEG como la modalidad de autenticación del usuario, por lo general tal sistema y todas las variables se optimizarían para maximizar la precisión de la autenticación. Una selección de tales variables incluiría:
• Las funciones que se utilizan para construir las plantillas del usuario.
• Los rangos de frecuencia de señal, de las que se extraen características.
• Las regiones del cerebro en la que se colocan los electrodos, entre otras variables.
Bajo esta suposición de un sistema de autenticación, finamente sintonizado, Serwadda y sus colegas abordaron las siguientes preguntas: • Si una entidad malintencionada de alguna manera pueda acceder a las plantillas de este sistema de autenticación optimizadas, ¿sería él o ella capaz de explotar estas plantillas para inferir la información de autenticación centrada sobre los usuarios con una alta precisión? • En el caso de que tales inferencias sean posibles, ¿qué atributos de diseño de la plantilla podría reducir o aumentar la amenaza?
Resulta que, de hecho, se encuentran los sistemas de autenticación de EEG para dar a conocer información de autenticación no centrada. El uso de un sistema de autenticación de la Universidad de California-Berkeley y una variante de otro, de un equipo de la Universidad de Binghamton y la Universidad de Buffalo, Serwadda y Matovu, probaron su hipótesis, utilizando el alcoholismo como la información privada sensible que un adversario podría querer inferir a partir de plantillas de autenticación de EEG .
En un estudio que incluyó a 25 alcohólicos diagnosticados formalmente y 25 sujetos no alcohólicos, la tasa de error más bajo obtenida en la identificación de los alcohólicos fue del 25 por ciento, lo que significa una precisión de clasificación de aproximadamente 75 por ciento.
Cuando se ajuste el sistema y se cambien varias variables, se encontraran que la capacidad de detectar el comportamiento alcohólico podría reducirse enormemente a costa de reducir ligeramente el rendimiento del sistema de autenticación de EEG.
La motivación para el descubrimiento
La motivación de Serwadda para demostrar las ondas cerebrales podría ser utilizada para revelar información personal potencialmente dañina, y no para mejorar los métodos para obtener esa información. Es para evitarlo.
Para ilustrar esto, él da una analogía usando la identificación de huellas dactilares en un aeropuerto. El escaneo de huellas digitales lee ‘crestas y valles’ en el dedo para determinar la identidad única de una persona, y eso es todo.
En un escenario hipotético de que estos sistemas no puedan funcionar con precisión es, si el dedo del usuario se pincha y algo de sangre es extraída de él, esto sería problemático porque la sangre dibujada por el pinchazo se podría usar para inferir otras cosas más que tan solo la identidad del usuario, tales como si una persona sufre de ciertas enfermedades, como la diabetes.
Dada la cantidad de información extra que los sistemas de autenticación de EEG son capaces de espiar sobre el usuario, los sistemas actuales de EEG se podrían comparar con el lector de huellas digitales hipotético de que se pincha el dedo del usuario. Serwadda quiere conducir la investigación para que se desarrollen sistemas de autenticación de EEG, y que realicen la finalidad prevista, al tiempo que revelen una información mínima sobre los rasgos distintos de la identidad del usuario, en términos de autenticación.
Actualmente, en la gran mayoría de los estudios sobre el problema de autenticación de EEG, los investigadores buscan principalmente el superarse unos a otros, en términos de las tasas de error del sistema. Trabajan con el objetivo central de diseñar un sistema que tenga tasas de error mucho más bajas que los modernos sistemas. Cada vez que un grupo de investigación desarrolla o publica un sistema de autenticación de EEG y que se logran bajos índices de error, tal sistema se instala inmediatamente como punto de referencia.
Una cuestión crítica que no se ha visto con mucha atención, hasta el momento, es el cómo ciertos atributos de diseño de estos sistemas, es decir, los tipos de funciones que se utilizan para formular la plantilla de usuario, podrían relacionarse con su potencial para filtrar información personal sensible. Si, por ejemplo, un sistema con las tasas de error de autenticación baja viene con el bagaje añadido de una fuga, una cantidad significativamente mayor de información no será privada. A continuación, un sistema de este tipo podría, en la práctica, no ser tan útil como sus bajos índices de error indican. Los usuarios sólo aceptarían y obtendrían la utilidad total del sistema, si las potenciales violaciones a la privacidad, asociados con el sistema, sean bien comprendidas y se realicen mitigaciones apropiadas.
Sin embargo, dijo Serwadda, mientras que el EEG está aún en estudio, la nueva ola de invención ya está comenzando.
"A la luz de los retos de privacidad, observados con el EEG, es destacar que ya se está desarrollando la próxima generación de la tecnología después de la EEG," dijo Serwadda. "Una de estas tecnologías es la espectroscopia de infrarrojo cercano y funcional (fNIRS), que tiene una proporción mucho más alta de señal al ruido, que un EEG. Se da una imagen más precisa de la actividad cerebral, dando una capacidad de concentrarse en una región particular del cerebro."
La buena noticia, por ahora, es la tecnología fNIRS pero sigue siendo bastante cara. Sin embargo es muy probable que los precios bajarán con el tiempo, y que podría dar lugar a una aplicación civil de esta tecnología. Gracias a los esfuerzos de los investigadores como Serwadda, se está reduciendo al mínimo las fugas de información personal a través de estas tecnologías y se está empezando a llamar la atención en la comunidad de investigadores.
"La idea básica detrás de esta investigación es, motivar a la investigación en una dirección que seleccione los parámetros de diseño de tal manera que no sólo se preocupen por el reconocimiento de los usuarios de forma muy precisa, sino también se preocupen por reducir, al mínimo, la cantidad de información personal que se pueda leer", dijo Serwadda.
Fuente: Materiales proporcionados por la Universidad Tecnológica de Texas .
