La seguridad cibernética y la autenticación han sido atacadas en los últimos meses, ya que, aparentemente cada dos días, sale a la luz un nuevo informe de piratas informáticos que obtienen acceso a información privada o confidencial. Recientemente, se robaron más de 500 millones de contraseñas cuando Yahoo reveló sula seguridad se vio comprometida
Asegurar los sistemas ha ido más allá de simplemente crear una contraseña inteligente que evite que los expertos informáticos pirateen su cuenta de Facebook. Cuanto más sofisticado sea el sistema, o cuanto más crítica y privada sea la información que posee, más avanzado será el sistema de identificaciónprotegerlo se convierte.
Los escaneos de huellas dactilares y la identificación del iris son solo dos tipos de métodos de autenticación, una vez considerados como ciencia ficción, que son ampliamente utilizados por los sistemas más seguros. Pero las huellas dactilares se pueden robar y los escaneos del iris se pueden replicar. Nada ha demostrado ser infalible a partir deestar sujeto a piratas informáticos.
"El argumento principal para la autenticación biométrica conductual es que los modos estándar de autenticación, como una contraseña, lo autentican una vez antes de acceder al servicio", dijo Abdul Serwadda, experto en ciberseguridad y profesor asistente en el Departamento de Ciencias de la Computación de Texas TechUniversidad.
"Ahora, una vez que ha accedido al servicio, no hay otra manera para que el sistema aún sepa que es usted. El sistema no sabe quién está usando el servicio. Por lo tanto, el área de autenticación de comportamiento mira a otro usuario-identificar patrones que pueden mantener al sistema al tanto de la persona que lo está utilizando. Mediante dichos patrones, el sistema puede realizar un seguimiento de alguna métrica de confianza sobre quién podría estar usándola e inmediatamente solicitar el reingreso de la contraseña cada vez que la métrica de confianza cae por debajoun cierto umbral "
Uno de esos patrones que está creciendo en popularidad dentro de la comunidad de investigación es el uso de ondas cerebrales obtenidas de un electroencefalograma o EEG. Varios grupos de investigación en todo el país han mostrado recientemente sistemas que usan EEG para autenticar a los usuarios con una precisión muy alta.
Sin embargo, esas ondas cerebrales pueden decir más acerca de una persona que solo su identidad. Podría revelar aspectos médicos, conductuales o emocionales de una persona que, si salen a la luz, podrían ser embarazosos o perjudiciales para esa persona. Y conLos dispositivos EEG se vuelven mucho más asequibles, precisos y portátiles, y las aplicaciones que se diseñan permiten a las personas leer más fácilmente un escaneo EEG, la probabilidad de que eso suceda es peligrosamente alta.
"El EEG se ha convertido en una aplicación básica. Por $ 100 puedes comprar un dispositivo EEG que se ajuste a tu cabeza como un par de auriculares", dijo Serwadda. "Ahora hay aplicaciones en el mercado, aplicaciones de detección de cerebro donde puedespuede comprar el dispositivo, descargar la aplicación en su teléfono y comenzar a interactuar con la aplicación usando sus señales cerebrales. Eso nos llevó a pensar; ahora tenemos estas señales cerebrales a las que tradicionalmente solo los médicos manejaban personas normales. Ahora cualquieraquién puede escribir una aplicación puede acceder a las señales cerebrales de los usuarios e intentar manipularlas para descubrir qué está sucediendo ".
Ahí es donde Serwadda y el estudiante de posgrado Richard Matovu centraron su atención: tratando de ver si ciertos rasgos podían extraerse de las ondas cerebrales de una persona. Presentaron sus hallazgos recientemente en la Conferencia Internacional de Biometría del Instituto de Ingenieros Eléctricos y Electrónicos IEEE.
ondas cerebrales y ciberseguridad
Serwadda dijo que la tecnología todavía está evolucionando en términos de poder utilizar las ondas cerebrales de una persona para fines de autenticación. Pero es un campo muy investigado que ha llamado la atención de varias organizaciones federales. La National Science Foundation NSF, fondosun proyecto de tres años en el que Serwadda y otros de la Universidad de Syracuse y la Universidad de Alabama-Birmingham están explorando cómo se podrían aprovechar varias modalidades de comportamiento, incluidos los patrones cerebrales de EEG, para aumentar los mecanismos tradicionales de autenticación de usuarios.
"Todavía no hay instalaciones, pero se está investigando mucho para ver si los patrones de EEG podrían incorporarse en los procedimientos estándar de autenticación de comportamiento", dijo Serwadda
Suponiendo que un sistema usa EEG como la modalidad para la autenticación del usuario, generalmente para dicho sistema, todas las variables se han optimizado para maximizar la precisión de la autenticación. Una selección de tales variables incluiría :
• Las características utilizadas para crear plantillas de usuario.
• La frecuencia de la señal varía de donde se extraen las características.
• Las regiones del cerebro en las que se colocan los electrodos, entre otras variables.
Bajo esta suposición de un sistema de autenticación finamente ajustado, Serwadda y sus colegas abordaron las siguientes preguntas: • Si una entidad maliciosa tuviera acceso de alguna manera a las plantillas desde este sistema optimizado de autenticación, ¿podría explotar estas plantillas para inferir?información no centrada en la autenticación sobre los usuarios con alta precisión • En el caso de que tales inferencias sean posibles, ¿qué atributos del diseño de la plantilla podrían reducir o aumentar la amenaza?
Resulta que, de hecho, encontraron sistemas de autenticación EEG para regalar información no centrada en la autenticación. Utilizando un sistema de autenticación de UC-Berkeley y una variante de otro de un equipo de la Universidad de Binghamton y la Universidad de Buffalo, Serwadda y Matovu probaronsu hipótesis, utilizando el alcoholismo como la información privada sensible que un adversario podría inferir de las plantillas de autenticación EEG.
En un estudio en el que participaron 25 alcohólicos diagnosticados formalmente y 25 sujetos no alcohólicos, la tasa de error más baja obtenida al identificar a los alcohólicos fue del 25 por ciento, lo que significa una precisión de clasificación de aproximadamente el 75 por ciento.
Cuando modificaron el sistema y cambiaron varias variables, descubrieron que la capacidad de detectar el comportamiento alcohólico podría reducirse enormemente a costa de reducir ligeramente el rendimiento del sistema de autenticación EEG.
Motivación para el descubrimiento
La motivación de Serwadda para probar las ondas cerebrales podría usarse para revelar información personal potencialmente dañina no fue para mejorar los métodos para obtener esa información. Es para prevenirla.
Para ilustrar, él da una analogía usando la identificación de huellas digitales en un aeropuerto. Los escaneos de huellas digitales leen crestas y valles en el dedo para determinar la identidad única de una persona, y eso es todo.
En un escenario hipotético donde tales sistemas solo podrían funcionar con precisión si se pinchaba el dedo del usuario y se extraía algo de sangre de esto, esto sería problemático porque la sangre extraída por el pinchazo podría usarse para inferir otras cosas además de la identidad del usuario, comocomo si una persona sufre de ciertas enfermedades, como la diabetes.
Dada la cantidad de información adicional que los sistemas de autenticación EEG pueden obtener sobre el usuario, los sistemas EEG actuales podrían compararse con el lector hipotético de huellas dactilares que pincha el dedo del usuario. Serwadda quiere impulsar la investigación que desarrolle sistemas de autenticación EEG que realicen lo previstopropósito mientras revela información mínima sobre rasgos distintos de la identidad del usuario en términos de autenticación.
Actualmente, en la gran mayoría de los estudios sobre el problema de autenticación EEG, los investigadores buscan principalmente superarse unos a otros en términos de las tasas de error del sistema. Trabajan con el objetivo central de diseñar un sistema que tenga tasas de error que sean mucho más bajas que lasestado de la técnica. Cada vez que un grupo de investigación desarrolla o publica un sistema de autenticación EEG que alcanza las tasas de error más bajas, dicho sistema se instala inmediatamente como punto de referencia.
Una pregunta crítica que no ha recibido mucha atención hasta este momento es cómo ciertos atributos de diseño de estos sistemas, en otras palabras, los tipos de características utilizadas para formular la plantilla de usuario, podrían relacionarse con su potencial para filtrar información personal confidencial., por ejemplo, un sistema con las tasas de error de autenticación más bajas viene con el equipaje adicional de filtrar una cantidad significativamente mayor de información privada, entonces dicho sistema podría, en la práctica, no ser tan útil como sugieren sus bajas tasas de error.aceptar y obtener la utilidad completa del sistema, si las posibles infracciones de privacidad asociadas con el sistema se comprenden bien y se llevan a cabo las mitigaciones adecuadas.
Pero, dijo Serwadda, mientras el EEG aún se está estudiando, la próxima ola de invención ya está comenzando.
"A la luz de los desafíos de privacidad vistos con el EEG, cabe destacar que la próxima ola de tecnología después del EEG ya se está desarrollando", dijo Serwadda. "Una de esas tecnologías es la espectroscopía funcional de infrarrojo cercano fNIRS,que tiene una relación señal / ruido mucho más alta que un EEG. Da una imagen más precisa de la actividad cerebral dada su capacidad para concentrarse en una región particular del cerebro ".
La buena noticia, por ahora, es que la tecnología fNIRS sigue siendo bastante costosa; sin embargo, existe la posibilidad de que los precios bajen con el tiempo, lo que podría llevar a una aplicación civil a esta tecnología. Gracias a los esfuerzos de investigadores como Serwadda, minimizarLa filtración de información personal sensible a través de estas tecnologías está comenzando a llamar la atención en la comunidad de investigación.
"La idea básica detrás de esta investigación es motivar una dirección de investigación que seleccione los parámetros de diseño de tal manera que no solo nos preocupemos por reconocer a los usuarios con mucha precisión, sino también por minimizar la cantidad de información personal confidencial que puede leer"Dijo Serwadda.
Fuente de la historia :
Materiales proporcionado por Universidad Tecnológica de Texas . Nota: El contenido puede ser editado por estilo y longitud.
Cite esta página :