Archivo de diciembre, 2011

Este post ha sido publicado previamente en el blog de seguridad de la información de Inteco.

Hace poco que leía un estupendo post de Samuel Segarra en Security Art Work titulado “¿Traes invitación? Sí, corbata y decisión…” que me hacía pensar en algo que resulta muy necesario hoy día, los test de intrusión físicos. Casi en cualquier organismo público de ámbito regional hay un guardia de seguridad en la puerta y un “control de acceso”. Me  encantaría saber cuál sería el resultado si, como comentaba Samuel, nos ponemos traje y corbata y pasamos decididamente como si supiésemos donde vamos realmente.

Un control de entrada mal dispuesto y/o con una tecnología o procedimientos inadecuados puede permitir que se presenten amenazas conocidas como Piggybacking y Tailgating. Esto supone que alguien sin autorización de acceso sea capaz de entrar en las instalaciones o la zona restringida usando una autenticación válida de un usuario anterior. En los casos en los que la persona con credenciales válidas es consciente de que está entrando otra persona con su autenticación tras de sí, se utiliza el término Piggybacking. En caso de que la persona autenticada no sea consciente se utiliza el término Tailgating.

Si alguien ajeno a la organización es capaz de entrar en sus instalaciones de forma no autorizada puede ser por varios motivos:

• El control de entrada no se dispone de forma que obstaculice el paso a cualquiera que acceda a la ubicación de la organización. Esto es básico, si el control de entrada no obstaculiza, se genera la posibilidad de que alguien acceda a un área restringida ya sea de manera intencionada o no.
• El control de la entrada no impide el paso pero se han situado guardias de seguridad que tienen la responsabilidad de que los usuarios crucen por el control. Los guardias “conocen” a los miembros de la organización y sólo hacen pasar por el control a los “extraños”. En este caso el eslabón más débil es el factor humano. Al no cumplirse el requisito del punto anterior, la responsabilidad del control se traslada a los guardias quedando expuestos al factor humano.
• El control de acceso permite el piggybacking o el tailgating. Esto supone que alguien sin autorización de acceso sea capaz de entrar en las instalaciones o la zona restringida usando una autenticación válida de un usuario anterior. En los casos en los que la persona con credenciales válidas es consciente de que está entrando otra persona con su autenticación, se utiliza el término piggybacking. En caso de que la persona autenticada no sea consciente de que alguien está entrando tras de sí, se utiliza el término tailgating (Samuel se convirtió en un tailgater de forma involuntaria según nos cuenta en su post).

Algunos mecanismos que previenen el piggybacking y el tailgating son los siguientes:

• Tornos giratorios: por si mismos no impiden el piggybacking aunque en sentido estricto, sí el tailgating.

• Puertas dobles: estos sistemas son comunes en el entorno bancario aunque para el acceso a un área restringida, dependiendo de las particularidades de la mencionada área, tendrían alguna modificación. Constan de una primera puerta que da acceso a un habitáculo intermedio, cuando se accede al habitáculo, la primera puerta se cierra y alguien desde el interior, comprueba quién hay en el habitáculo y decide aprobar o no la apertura de la segunda puerta.

• Guardias de seguridad: un control de acceso sólamente basado en guardias de seguridad es hoy día poco común y aplicable a entornos muy limitados (aunque sí está extendida la variante del recepcionista), puede ser un recurso que se utiliza con cualquiera de los dos anteriores y ayude a prevenir de ambas amenazas si el procedimiento aplicado es efectivo y se aplica de forma correcta.

Algunas tácticas que pueden utilizar los piggybackers o tailgaters para lograr entrar en las zonas de área restringida pueden ser las siguientes:

• Hacerse pasar por integrante de la organización: en empresas u organismos públicos uniformados, conseguir un uniforme de trabajador y pasar por el control de accesos de manera natural tras otros trabajadores.
• Pasar en hora punta junto a la muchedumbre: esperar a una hora en la que los recursos habilitados para el control de acceso (en caso de ser recepcionistas o guardias) no son suficientes como para seguir un procedimiento formal, entrando junto a miembros auténticos de la organización.
• Hacerse pasar por escolta: vestirse y disponer de elementos identificativos de escolta para pasar tras un integrante de la organización vestido con traje simulando ser su escolta.
• Entrar por la puerta de salida: Según esté dispuesto el control de seguridad, entrar por la puerta de salida tras un empledo autorizado que sale en ese momento puede ser una de las opciones posibles.
• Encontrar a alguien autorizado que por cualquier razón (ya sea por descuido, exceso de confianza o por venganza hacia la organización) quiera amablemente que pases tras de sí sin identificarte en el control de entrada.

Una aproximación posible para establecer un buen control de entrada puede estar basada en la combinación de una supervisión humana y un control técnico, que realiza el proceso de autenticación basado en tarjeta inteligente o alguno de los siguientes tipos de sistemas biométricos:

• Huella Dactilar: este mecanismo es poco invasivo y se basa en la obtención de una imagen de la huella dactilar en la cual se identifican los patrones de siete tipos de puntos característicos denominados minucias. El patrón de combinación de estos 7 tipos de puntos característicos en la huella en un número de hasta 120 combinaciones permite autenticar al usuario. Su uso y el proceso de registro es sencillo y su efectividad y tasas de falso rechazo y falsa aceptación se encuentran en torno al 0,5% y el 0,001% respectivamente.
• Escáner de iris: Este sistema extrae una fotografía en alta definición del iris, creando unos patrones internos que permiten comparar con los adquiridos en el momento de la autenticación. Una de sus principales críticas es la intrusividad del método que en sus primeras versiones exigía al usuario acercarse a escasos centímetros del dispositivo pero actualmente son capaces de hacer una fotografía de alta definición hasta a 2 metros de distancia y un proceso de autenticación de un tiempo estimado de alrededor de 3 segundos.
• Geometría de la palma de la mano: a través de este control se podrá autenticar al usuario con la forma de su mano. El sistema realiza mediciones de la longitud y ancho de los dedos, la anchura de la palma de la mano y otros parámetros característicos. La principal peculiaridad de este sistema es que la plantilla creada en el momento del registro cambia con el tiempo adaptándose a los cambios en los parámetros medidos sobre la mano. En los dos métodos anteriores, la plantilla creada en el momento del registro es muy estable y apenas cambia con el tiempo.
• Reconocimiento facial: mediante una extracción de los rasgos faciales de una persona en una imagen, la tecnología hace una comparación con el resto de personas reconocidas identificando las variaciones significativas determinando los rasgos clave, como los pómulos, la boca, la nariz o la posición de los ojos.
• Reconocimiento de las venas de la mano: esta innovadora técnica detecta la hemoglobina desoxidizada presente en la sangre, construyendo una imagen a partir de una proyección de rayos infrarojos. Esta técnica, de aparición más reciente tiene como particularidad que se basa en un rasgo interno del individuo que está más allá de lo que se puede percibir a simple vista. La tecnología se ha probado con una muestra de 140.000 personas y ha demostrado unos ratios de falsa aceptación del 0.00008% y el índice de falso rechazo del 0.01%.

La Guía sobre tecnologías biométricas aplicadas a la seguridad de reciente publicación por INTECO, hace un repaso a éstas y otras técnicas biométricas basadas en características fisiológicas y de comportamiento. Este documento amplía la información tratada en este post en relación al uso de la biometría para el control de acceso, describiendo otros usos posibles de estas tecnologías en el ámbito de la seguridad.