Curso online: Seguridad en los

Sistemas Informáticos

Módulo 4. Sistemas de verificación e

identificación

Autores

Florina Almenares Mendoza

Patricia Arias Cabarcos

Seguridad en los Sistemas Informáticos
Módulo 4. Sistemas de verificación e identificación Página 2
Índice de contenidos
CAPÍTULO 1 INTRODUCCIÓN A LOS SISTEMAS DE VERIFICACIÓN E
IDENTIFICACIÓN .................................................................................................................... 5
CAPÍTULO 2 SISTEMAS BASADOS EN ALGO CONOCIDO ................................. 6
2.1 Contraseñas .................................................................................................................. 6
2.2 Gestión de contraseñas ............................................................................................ 7
2.3 La suite shadow........................................................................................................... 7
2.4 Envejecimiento de la contraseña .......................................................................... 9
CAPÍTULO 3 SISTEMAS BASADOS EN ALGO POSEÍDO .................................... 9
3.1 Tarjetas Inteligentes ................................................................................................. 9
3.1.1 Estructura ............................................................................................................ 10
3.2 Tipos de tarjetas ....................................................................................................... 11
3.2.1 Tipos de tarjetas según sus capacidades ................................................ 11
3.2.2 Tipos de tarjetas según la estructura de su sistema operativo ...... 12
3.3.3 Tipos de tarjetas según el tamaño ............................................................ 12
3.2.4 Tipos de tarjetas según la interfaz ............................................................ 12
3.3 Funcionamiento ......................................................................................................... 13
3.4 Ventajas e inconvenientes .................................................................................... 13
3.5 Ataques ......................................................................................................................... 14
3.5.1 Ataques pasivos ................................................................................................ 14
3.5.2 Ataques activos ................................................................................................. 14
3.6 Uso en sistemas reales ........................................................................................... 15
3.6.1 Control De Presencia Inteligente (CPI) .................................................... 15
3.6.2 Controles de acceso físico ............................................................................. 15
3.6.3 Control de Ordenador personal ................................................................... 16
3.6.4 Control informático de aplicaciones ........................................................... 16
3.6.5 Internet................................................................................................................. 16
CAPÍTULO 4 SISTEMAS BIOMÉTRICOS ................................................................ 17
4.1 Introducción ................................................................................................................ 17
4.2 Tipos de biometría.................................................................................................... 17

Seguridad en los Sistemas Informáticos

Módulo 4. Sistemas de verificación e identificación Página 3
 4.3 Características de los sistemas biométricos................................................... 17
4.4 Funcionamiento de los sistemas biométricos ................................................ 18
4.4.1 Modo identificación........................................................................................... 18
4.4.2 Modo verificación .............................................................................................. 18
4.5 Tecnologías de los sistemas biométricos......................................................... 19
4.5.1 Huella dactilar .................................................................................................... 19
4.5.2 La forma de la mano ....................................................................................... 20
4.5.3 Sistemas de reconocimiento de voz .......................................................... 21
4.6 Ataques ......................................................................................................................... 21
4.6.1 Sensor ................................................................................................................... 21
4.6.2 Transmisión entre el sensor y el extractor de características ......... 22
4.6.3 Extractor de características .......................................................................... 23
4.6.4 Transmisión de las características extraídas ......................................... 23
4.6.5 Clasificadores ..................................................................................................... 23
4.6.6 Bases de datos................................................................................................... 23
4.6.7 Transmisión de los modelos de la base de datos al clasificador .... 24
4.6.8 Decisión ................................................................................................................ 24
4.7 Consideraciones ........................................................................................................ 24
4.8 Conclusión ................................................................................................................... 25
CAPITULO 5 GESTIÓN DE IDENTIDAD................................................................... 26
5.1. Introducción .............................................................................................................. 26
5.2 Security Assertion Markup Language (SAML) ............................................... 27
5.2.1 Seguridad en SAML .......................................................................................... 28
5.2.2 Federación de identidad en SAML .............................................................. 29
5.3 OpenID.......................................................................................................................... 31
5.3.1 Funcionamiento ................................................................................................. 33
5.3.2 Vulnerabilidades ................................................................................................ 34
GLOSARIO DE TÉRMINOS ................................................................................................. 36
BIBLIOGRAFÍA ............................................................................................................... 40

Seguridad en los Sistemas Informáticos

Módulo 4. Sistemas de verificación e identificación Página 4
CAPÍTULO 1 INTRODUCCIÓN A LOS SISTEMAS DE
VERIFICACIÓN E IDENTIFICACIÓN

Uno de los requerimientos primordiales de los sistemas informáticos que desempeñan tareas
importantes son los mecanismos de seguridad adecuados a la información que se intenta
proteger. El conjunto de tales mecanismos ha de incluir al menos un sistema que permita
identificar a las entidades (elementos activos del sistema, generalmente usuarios) que
intentan acceder a los objetos (elementos pasivos, como ficheros o capacidad de cómputo),
mediante procesos tan simples como una contraseña o tan complejos como un dispositivo
analizador de patrones retinales. Los sistemas que habitualmente se utilizan para identificar a
una persona, como el aspecto físico o la forma de hablar, son demasiado complejos para una
computadora. El objetivo de los sistemas de identificación de usuarios no suele ser identificar a
una persona, sino autenticar que esa persona es quien dice ser realmente. Aunque ambos
términos parezcan equivalentes, para un ordenador existe una gran diferencia entre ellos. Un
potencial sistema de identificación estrictamente hablando, por ejemplo uno biométrico
basado en el reconocimiento de la retina, actuaría de la siguiente forma: una persona mira a
través del dispositivo lector y el sistema tiene que ser capaz de decidir si es un usuario válido, y
en ese caso decir de quién se trata; esto es identificación. Sin embargo, lo que habitualmente
hace el usuario es introducir su identidad (un número, un nombre de usuario) además de
mostrar sus retinas ante el lector. El sistema, en este caso, no tiene que identificar a esa
persona, sino autenticarlo, comprobando los parámetros de la retina que está leyendo con los
guardados en una base de datos para el usuario que la persona dice ser. De esta forma, se está
reduciendo el problema de una población potencialmente muy elevada a un grupo de usuarios
más reducido, el grupo de usuarios del sistema que necesita autenticación.

Los métodos de autenticación se suelen dividir en tres grandes categorías, en función de lo

que utilizan para la verificación de identidad:

 Algo que el usuario sabe.

 Algo que éste posee.
 Una característica física del usuario o un acto involuntario del mismo.

Esta última categoría se conoce con el nombre de autenticación biométrica. Es fácil ver
ejemplos de cada uno de estos tipos de autenticación: un password (Unix) o passphrase (pgp)
es algo que el usuario conoce y el resto de personas no, una tarjeta de identidad es algo que el

Seguridad en los Sistemas Informáticos

Módulo 4. Sistemas de verificación e identificación Página 5
usuario lleva consigo, la huella dactilar es una característica física del usuario. Por supuesto, un
sistema de autenticación puede (y debe, para incrementar su fiabilidad) combinar mecanismos
de diferente tipo, como en el caso de una tarjeta de crédito junto al PIN a la hora de utilizar un
cajero automático o en el de un dispositivo generador de claves para el uso de One Time
Passwords (OTPs). Cualquier sistema de autenticación ha de poseer unas determinadas
características para ser viable; obviamente, ha de ser fiable con una probabilidad muy elevada
(se puede hablar de tasas de fallo de 10-4 en los sistemas menos seguros). Asimismo, debe ser
económicamente factible para la organización (si su precio es superior al valor de lo que se
intenta proteger, tenemos un sistema incorrecto) y ha de soportar con éxito cierto tipo de
ataques. Un ejemplo de lo último es que cualquier usuario puede descifrar el password
utilizado en el sistema de autenticación de Unix en tiempo polinomial (esto sería inaceptable).
Aparte de estas características existe otra, no técnica sino humana, pero quizá la más
importante: un sistema de autenticación ha de ser aceptable para los usuarios, que serían al
fin y al cabo quienes lo utilicen.

CAPÍTULO 2 SISTEMAS BASADOS EN ALGO CONOCIDO

2.1 Contraseñas

El modelo de autenticación más básico consiste en decidir si un usuario es quien dice ser
simplemente basándose en una prueba de conocimiento que a priori sólo ese usuario puede
superar. Esa prueba de conocimiento no es más que una contraseña que en principio es
secreta. Evidentemente, esta aproximación es la más vulnerable a todo tipo de ataques, pero
también la más barata, por lo que se convierte en la técnica más utilizada en entornos que no
precisan de una alta seguridad, como es el caso de los sistemas Unix en redes normales (y en
general en todos los sistemas operativos en redes de seguridad media-baja). En todos los
esquemas de autenticación basados en contraseñas se cumple el mismo protocolo: las
entidades (generalmente dos) que participan en la autenticación acuerdan una clave, que han
de mantener en secreto si desean que la autenticación sea fiable. Cuando una de las partes
desea autenticarse ante otra se limita a mostrarle su conocimiento de esa clave común, y si
esta es correcta se otorga el acceso a un recurso. Lo habitual es que existan unos roles
preestablecidos con una entidad activa que desea autenticarse y otra pasiva que admite o
rechaza a la anterior (en el modelo del acceso a sistemas Unix: usuario y sistema que le
permite o deniega la entrada). Como se ha indicado anteriormente, este esquema es muy
frágil, basta con que una de las partes no mantenga la contraseña en secreto para que toda la
seguridad del modelo se pierda. Por ejemplo, si el usuario de una máquina Unix comparte su
clave con un tercero, o si ese tercero consigue leerla y rompe su cifrado (por ejemplo, como se
verá seguidamente, mediante un ataque de diccionario), automáticamente esa persona puede
autenticarse ante el sistema con éxito con la identidad de un usuario que no le corresponde.

Seguridad en los Sistemas Informáticos

Módulo 4. Sistemas de verificación e identificación Página 6
2.2 Gestión de contraseñas

En las primeras distribuciones de GNU/Linux (y en Unix en general) las contraseñas se

almacenaban en el archivo /etc/passwd. Esto último, era una práctica poco segura, debido
a que este archivo ha de ser legible por todos los usuarios del sistema, especialmente por
algunas aplicaciones, de manera que cualquiera tenía acceso al hash (resumen de la
contraseña obtenida mediante algún algoritmo unidireccional) de la contraseña de otro
usuario. Este hash está generado empleando alguno de los cifrados más comunes, de menos a
más seguro, DES o md5. Pero esto no garantiza su seguridad, ya que otro de los problemas a
los que se debe enfrentar el administrador es la fortaleza de las contraseñas elegidas por los
usuarios. Debido a estos problemas, la seguridad de la contraseña exige un enfoque de dos
niveles. El primero, tiene que ver con las herramientas que se utilizan para generar las
contraseñas que han de ser lo más potentes posibles. El segundo es relativo a la necesidad de
educar a los usuarios en la seguridad e inculcarles políticas de contraseña básicas. A partir de
lo que se ha comentado anteriormente, la primera de las tareas que se debe asumir es el
cambio en el manejo de contraseñas mediante la suite shadow.

2.3 La suite shadow

Este mecanismo extrae los hashes de las contraseñas del archivo /etc/passwd, dejando el
lugar de la contraseña vacío [1]. Estos van a ser guardados en el archivo /etc/shadow, al
que no pueden acceder los usuarios o aplicaciones del sistema, de forma que éstos no tengan
acceso a los hashes de las contraseñas. Aun así hay que vigilar con qué función de hash se
realiza la codificación de las contraseñas. Por ejemplo, el hash basado en DES es vulnerable, es
decir, se han encontrado en fallos que permiten obtener una secuencia de bytes que generen
ese hash, en un corto espacio de tiempo con una máquina medianamente potente. Con este
esquema sólo se podrá acceder a dichos hashes con permisos de superusuario (root) pero
cuando la seguridad en uno de los servidores es vulnerada y el atacante consigue el acceso al
archivo shadow, si las contraseñas están codificadas con un algoritmo sin gran fortaleza, se
pueden obtener contraseñas que generen esos hashes y comprometer otros equipos en los
que los usuarios tengan cuenta, ya que la probabilidad de que el usuario y la contraseña de
éstos sea la misma es muy elevada. Como se ha dicho el hash DES (y también el MD5, que ya
está comprometido) no se debe utilizar y hay que cambiarlo por algoritmos más fiables como
el hash basado en SHA con tamaños de clave a partir de 2561. El fichero /etc/shadow sólo
contiene el nombre de usuario y su clave, e información administrativa, como cuándo expira la
cuenta, etc. El formato del fichero /etc/shadow es similar al siguiente (los dos puntos
separan los campos):

user:contraseña:último:mínimo:máximo:aviso:inactivo:expiración:reservado

donde:

 user, es el usuario al que corresponde el hash de la contraseña.

1
http://www.keylength.com/en/8/
Seguridad en los Sistemas Informáticos
Módulo 4. Sistemas de verificación e identificación Página 7
  contraseña: se encuentra el hash de la contraseña. Dicho hash se expresa de la
siguiente manera:
1) primero se utiliza una etiqueta para señalar la función de hash utilizada

 $0 = DES (también se aplica DES por defecto cuando no se especifica

explícitamente ninguna etiqueta)
 $1 = MD5
 $2 =Blowfish
 $2a=eksblowfish
 $5 =SHA-256
 $6 =SHA-512

2) Se concatena el salt, un valor aleatorio generado para ser combinado con la contraseña
y hacerla más segura. Para indicar el fin del salt se añade un símbolo $.
3) Se concatena el hash del password+salt.
 último: días transcurridos del último cambio de clave desde el día 1/1/1970.
 mínimo: número mínimo de días que deben pasar antes de que la contraseña pueda ser
cambiada de nuevo.
 máximo: número de días que deben pasar antes de exigir un cambio de clave.
 aviso: días de aviso al usuario antes de que expire la clave.
 inactivo: días de validez de la cuenta una vez que la contraseña expire.
 expiración: días de duración de la cuenta desde el 1/1/70.
 reservado: Un campo reservado.

Un ejemplo puede ser el siguiente:

jlopez $1$Etg2ExUZ$F9NTP7omafhKIlqaBMqng1:12514:5:30:4:1:12783:

 la contraseña pertenece al usuario jlopez

 el hash se ha hecho con el algoritmo MD5
 el salt es Etg2ExUZ y el valor del hash aplicado a la combinación de contraseña+salt es
Etg2ExUZ$F9NTP7omafhKIlqaBMqng1

 12514: último cambio de contraseña el 6 de Abril de 2004

 5: se permite cambiar la contraseña a partir de 11 de abril de 2004
 30: contraseña válida hasta el 6 de mayo de 2004
 4: se avisará a partir del 2 de mayo de 2004
 1: se bloqueará la cuenta el 7 de mayo de 2004 si no se cambia la contraseña
 12783: la cuenta caduca el 31 de diciembre de 2004

Seguridad en los Sistemas Informáticos

Módulo 4. Sistemas de verificación e identificación Página 8
2.4 Envejecimiento de la contraseña

El envejecimiento de contraseñas es una técnica utilizada por los administradores de sistemas

para defenderse de las malas contraseñas dentro de la organización. El envejecimiento de
contraseñas significa que tras un tiempo determinado (usualmente 90 días) se le pide al
usuario que cree una nueva contraseña. La teoría detrás de esto es que si un usuario es
forzado a cambiar su contraseña periódicamente, una contraseña que ha sido descifrada por
un cracker sólo le es útil por un tiempo determinado. La desventaja del envejecimiento de
contraseñas, es que los usuarios tienden a escribir sus contraseñas.

Existen dos programas principales usados para especificar la caducidad de contraseñas bajo
Linux: el comando chage o la aplicación gráfica “Administrador de usuarios” (para Fedora y
Red Hat).

La opción -M del comando chage especifica el número de días máximo en que la contraseña
será válida. Por lo tanto, si se desea que la contraseña de un usuario expire en 90 días, se
escribiría el comando siguiente:

chage -M 90 <username>

Para desactivar la expiración de contraseñas, es común utilizar un valor de 99999 después de

la opción -M (esto equivale a un poco más de 273 años).

CAPÍTULO 3 SISTEMAS BASADOS EN ALGO POSEÍDO

3.1 Tarjetas Inteligentes

El origen de la tarjeta inteligente se encuentra en Europa a comienzos de los años 70 [2-3].

Dicha tarjeta es similar a las bancarias o a las de crédito, pero capaz de incorporar un
dispositivo programable. A finales de los 80 se dispone ya de chips suficientemente pequeños,
pero con unas capacidades de memoria muy reducidas. La tarjeta inteligente se constituye por
un plástico donde se observa un procesador (microchip) en el cual se almacena información.
Esto permite mayor eficiencia que el sistema de tarjetas de crédito tradicional en cuanto a
agilidad y seguridad. Es a principios de los 90 cuando las tarjetas inteligentes inician su
despegue al empezar la telefonía móvil GSM, inicialmente con tarjetas con 1K de memoria
(luego aparecerán tarjetas de 8K, 16K, 32K hasta hoy donde podemos encontrar tarjetas de 1G
de memoria). El abanico de servicios ofrecidos por ellas se multiplica cada día en parte
impulsado

Seguridad en los Sistemas Informáticos

Módulo 4. Sistemas de verificación e identificación Página 9
por las nuevas posibilidades que presentan las tarjetas inteligentes frente a las tarjetas
convencionales:

 Permiten la utilización de una única tarjeta para aplicaciones variadas y muy distintas.
 Generan menores costes por transacción que las tarjetas de plástico convencionales. El
coste por tarjeta también se reduce debido, sobre todo, al mayor tiempo de vida de la
tarjeta y a que ésta puede actualizarse.
 Permiten un alto grado de seguridad en las transacciones con ellas efectuadas frente a las
tarjetas convencionales.
 Como mecanismo de control de acceso las tarjetas inteligentes hacen que los datos
personales y de negocios solo sean accesibles a los usuarios apropiados y aseguran la
portabilidad, seguridad y confiabilidad de la información. La incorporación de un circuito
integrado ofrece tres nuevos elementos que pueden favorecer su utilización generalizada:
 Miniaturización: Las densidades de integración de controladores y memorias que se
alcanzan en la actualidad, permiten ofrecer un nuevo abanico de posibilidades y de
funciones, lo que origina su expansión en el mercado y un nuevo medio de intercambio de
información.
 Lógica programable: La tarjeta inteligente incorpora un procesador que permite definir
funciones lógicas y de control que se aplican a los negocios, junto con funciones
avanzadas de seguridad y nuevas aplicaciones.
 Interfaz directa de comunicaciones electrónicas: Las comunicaciones están en
crecimiento constante. Cada nuevo avance ofrece un nuevo campo en el que puede
aplicarse el uso de las tarjetas inteligentes. Las especificaciones físicas, eléctricas, el
formato de los comandos y todo lo relacionado con tarjetas se especifica en la norma ISO
7816.

3.1.1 Estructura

En la figura 4.3.1 se muestra la estructura más generalista de una tarjeta inteligente; en ella
podemos observar que el acceso a las áreas de memoria solamente es posible a través de la
unidad de entrada/salida y de una CPU (típicamente de 8 bits), lo que evidentemente aumenta
la seguridad del dispositivo. Existe también un sistema operativo empotrado en la tarjeta -
generalmente en ROM - aunque también se puede extender con funciones en la EEPROM -
cuya función es realizar tareas criptográficas (algoritmos de cifrado como RSA o Triple DES,
funciones resumen...). El criptoprocesador apoya estas tareas ofreciendo operaciones RSA con
claves de 512 a 1024 bits. Un ejemplo de implementación real de este esquema lo constituye
la tarjeta inteligente CERES, de la Fábrica Nacional de Moneda y Timbre española; en ella se
incluye además un generador de números aleatorios junto a los mecanismos de protección
internos de la tarjeta.

Seguridad en los Sistemas Informáticos

Módulo 4. Sistemas de verificación e identificación Página 10
 Figura 4.3.1. Estructura general de una smartcard

Las tarjetas inteligentes dependen de tres zonas fundamentales:

 Zona Abierta: Contiene información que no es confidencial (p.ej.: el nombre del portador
y su dirección).
 Zona de Trabajo: Contiene información confidencial (p.ej.: aplicaciones bancarias: cupo
de crédito disponible, el número de transacciones permitidas en un periodo de tiempo).
 Zonas Secretas: La información es totalmente confidencial. El contenido de estas zonas no
es totalmente disponible para el portador de la tarjeta, ni tiene porqué conocerla la
entidad que la emite ni quien la fabrica.

3.2 Tipos de tarjetas

3.2.1 Tipos de tarjetas según sus capacidades

Según las capacidades de su chip, las tarjetas más habituales son:

 Memoria: tarjetas que únicamente son un contenedor de ficheros pero que no albergan
aplicaciones ejecutables. Por ejemplo, MIFARE. Éstas se usan generalmente en
aplicaciones de identificación y control de acceso sin altos requisitos de seguridad.
 Microprocesadas: tarjetas con una estructura análoga a la de un ordenador (procesador,
memoria volátil, memoria persistente). Éstas albergan ficheros y aplicaciones y suelen
usarse para identificación y pago con monederos electrónicos.
 Criptográficas: tarjetas microprocesadas avanzadas en las que hay módulos hardware
para la ejecución de algoritmos usados en cifrados y firmas digitales. En estas tarjetas se

Seguridad en los Sistemas Informáticos

Módulo 4. Sistemas de verificación e identificación Página 11
 puede almacenar de forma segura un certificado digital (y su clave privada) y firmar
documentos o autenticarse con la tarjeta sin que el certificado salga de la tarjeta (sin que
se instale en el almacén de certificados de un navegador web, por ejemplo) ya que es el
procesador de la propia tarjeta el que realiza la firma.

3.2.2 Tipos de tarjetas según la estructura de su sistema

operativo

Según la estructura de su sistema operativo, las tarjetas más habituales son:

 Tarjetas de memoria: tarjetas que únicamente son un contenedor de ficheros pero que
no albergan aplicaciones ejecutables. Disponen de un sistema operativo limitado con una
serie de comandos básicos de lectura y escritura de las distintas secciones de memoria y
pueden tener capacidades de seguridad para proteger el acceso a determinadas zonas de
memoria.
 Basadas en sistemas de ficheros, aplicaciones y comandos: Estas tarjetas disponen del
equivalente a un sistema de ficheros compatible con el estándar ISOIEC 7816 parte 4 y un
sistema operativo en el que se incrustan una o más aplicaciones (durante el proceso de
fabricación) que exponen una serie de comandos que se pueden invocar a través de APIs
de programación.

 Java Cards: una Java Card es una tarjeta capaz de ejecutar mini-aplicaciones Java. En este
tipo de tarjetas el sistema operativo es una pequeña áaquina virtual Java (JVM) y en ellas
se pueden cargar dinámicamente aplicaciones desarrolladas específicamente para este
entorno.

3.3.3 Tipos de tarjetas según el tamaño

En el estándar ISOIEC 7816 parte 1 se definen los siguientes tamaños para tarjetas inteligentes:

 ID 000 : el de las tarjetas SIM usadas para teléfonos móviles GSM. También acostumbran
a tener este formato las tarjetas SAM (Security Access Module) utilizadas para la
autenticación criptográfica mutua de tarjeta y terminal.
 ID 00 : un tamaño intermedio poco utilizado comercialmente.
 ID 1 : el más habitual, tamaño tarjeta de crédito.

3.2.4 Tipos de tarjetas según la interfaz

Según la interfaz, las tarjetas más habituales son:

Seguridad en los Sistemas Informáticos

Módulo 4. Sistemas de verificación e identificación Página 12
  De contacto: estas tarjetas disponen de unos contactos metálicos visibles y debidamente
estandarizados (parte 2 de la ISOIEC 7816). Estas tarjetas, por tanto, deben ser insertadas
en una ranura de un lector para poder operar con ellas. A través de estos contactos el
lector alimenta eléctricamente a la tarjeta y transmite los datos oportunos para operar
con ella conforme al estándar.
 Sin contacto: por medio de etiquetas RFID el chip se comunica con el lector de tarjetas
mediante inducción a una tasa de transferencia de 106 a 848 Kbps).

3.3 Funcionamiento

Cuando el usuario poseedor de una smartcard desea autenticarse necesita introducir la tarjeta
en un hardware lector; los dos dispositivos se identifican entre sí con un protocolo a dos
bandas en el que es necesario que ambos conozcan la misma clave (CK o CCK, Company Key o
Chipcard Communication Key), lo que elimina la posibilidad de utilizar tarjetas de terceros para
autenticarse ante el lector de una determinada compañía; además esta clave puede utilizarse
para asegurar la comunicación entre la tarjeta y el dispositivo lector. Tras identificarse las dos
partes, se lee la identificación personal (PID) de la tarjeta, y el usuario teclea su PIN. Se inicia
entonces un protocolo desafío-respuesta: se envía el PID a la máquina y ésta desafía a la
tarjeta, que responde al desafío utilizando una clave personal del usuario (PK, Personal Key). Si
la respuesta es correcta, el host ha identificado la tarjeta y el usuario obtiene acceso al recurso
pretendido.

3.4 Ventajas e inconvenientes

Las ventajas de utilizar tarjetas inteligentes como medio para autenticar usuarios son muchas
frente a las desventajas; se trata de un modelo ampliamente aceptado entre los usuarios,
rápido, y que incorpora hardware de alta seguridad tanto para almacenar datos como para
realizar funciones de cifrado. Además, su uso es factible tanto para controles de acceso físico
como para controles de acceso lógico a los hosts, y se integra fácilmente con otros
mecanismos de autenticación como las contraseñas; y en caso de desear bloquear el acceso de
un usuario, no tenemos más que retener su tarjeta cuando la introduzca en el lector o
marcarla como inválida en una base de datos (por ejemplo, si se equivoca varias veces al
teclear su PIN, igual que sucede con una tarjeta de crédito normal).

Como principal inconveniente de las smartcards podemos citar el coste adicional que supone
para una organización el comprar y configurar la infraestructura de dispositivos lectores y las
propias tarjetas. Otro problema es que un usuario pierda su tarjeta es bastante fácil, y durante
el tiempo que no disponga de ella o no puede acceder al sistema, o hemos de establecer reglas
especiales que pueden comprometer nuestra seguridad (y por supuesto se ha de marcar como

Seguridad en los Sistemas Informáticos

Módulo 4. Sistemas de verificación e identificación Página 13
tarjeta inválida en una base de datos central, para que un potencial atacante no pueda
utilizarla). También la distancia lógica entre la smartcard y su poseedor - simplemente nos
podemos fiar de que la tarjeta no tiene un interfaz para el usuario - puede ser fuente de varios
problemas de seguridad.

3.5 Ataques

3.5.1 Ataques pasivos

Mediante cambio de estado: el microprocesador puede pasar a un modo de test en el que es

posible el acceso a toda la EEPROM sin control. Si se logra obligar a la tarjeta inteligente a
ponerse en este estado se habrá roto la seguridad. Para llevarlo a cabo es necesario
cortocircuitar dos fusibles. Uno de estos fusibles es físico y se quema al terminar el proceso de
fabricación. El otro es lógico y se encuentra dentro de la EEPROM.

Mediante acceso directo a memoria: para llevarlo a cabo, hay que extraer la superficie de
silicio de su envoltorio. Luego deberíamos o bien acceder a las pistas que conectan los
diferentes componentes de la tarjeta o usar un microscopio óptico.

Generación de números aleatorios: los números aleatorios son utilizados por terminal y
tarjeta en el proceso de autenticación. El objetivo es comprobar que ambos utilizan el mismo
algoritmo de cifrado. El ataque consiste en forzar la tarjeta inteligente a generar una secuencia
de números tan grande que llegue a ser predecible o bien que se bloquee de manera que
siempre genere el mismo número.

3.5.2 Ataques activos

Funcionamiento interno de la tarjeta: estos ataques están basados en la inclusión de código

objeto en la EEPROM de las tarjetas. Se puede hacer uso de troyanos para modificar el
contenido de la tarjeta.

Manipulación del dialogo tarjeta-terminal: la única vía de comunicación de la tarjeta

inteligente con el mundo exterior es a través de un contacto IO. Se podría poner un dispositivo
conectado a ese contacto y a un ordenador potente. Desde este último eliminar o añadir
instrucciones y datos para alterar el dialogo tarjeta-terminal.

Emulación de la tarjeta o del terminal: si emulamos la tarjeta es posible averiguar que

operaciones solicita el terminal. Analizando estas peticiones podemos llegar a desarrollar una
tarjeta que responda a estas órdenes. Por otro lado, la emulación del terminal permite

Seguridad en los Sistemas Informáticos

Módulo 4. Sistemas de verificación e identificación Página 14
verificar el juego de instrucciones de la tarjeta mediante la transmisión de todos los valores
posibles del los bytes que las definen.

Evaluación externa: la operación de escritura sobre la EEPROM genera un aumento en el

consumo de potencia de la tarjeta. Cuando se detecta un aumento en el consumo se sabrá que
se ha demandado una operación de escritura sobre la EEPROM. Este conocimiento se puede
utilizar para buscar el PIN u otra clave de la tarjeta inteligente.

3.6 Uso en sistemas reales

3.6.1 Control De Presencia Inteligente (CPI)

La consolidación en el ámbito de los recursos humanos y de la cultura empresarial, de

conceptos como el de capital humano y gestión del conocimiento y fenómenos como el
teletrabajo, la contratación flexible y la competencia global están cambiando la visión del
departamento de personal. Los CPI ayudan a los responsables de recursos humanos a "pilotar"
ese cambio a las funciones clásicas con un enfoque operacional determinados por el día a día,
los CPI incorporan:

 Rutinas de Absentismo: permiten planificar las sustituciones para que la empresa no se

detenga.
 Rutinas de integración de procesos y personas: al conocer las capacidades intelectuales
del personal pueden ligarlos con los planes y objetivos de la empresa optimizando la
información, la posibilidad de equipos de trabajo, protegiendo a la empresa de la fuerte
competencia y asegurando una transferencia de conocimientos equilibrada y fortalecida
en la orientación del mercado.
 Reporting: el CPI distribuye informes, estadísticas y gráficos por cada una de las rutinas o
funciones de las que el sistema está dotado.
 Centralización y comunicaciones: los CPI trabajan sobre redes LAN y WAN y bajo
Windows NT extendiendo el control de la presencia a sus delegaciones o a su sistema de
teletrabajo.
 Seguridad mediante tarjetas inteligentes: la autenticación del personal mediante tarjetas
inteligentes desterrara el fraude en fichaje. La función de copia (Backup), asegura la
custodia de los datos.

3.6.2 Controles de acceso físico

Control de apertura de puertas y horario, registro por fotografía digital y acceso por huella
digital. El control de acceso es el elemento más obvio y el que más se descuida por ejemplo el
acceso a la estación de administración de la red o a la sala de servidores, por otro lado es muy
importante que exista un sistema de contraseñas que es la única forma de autentificar e
identificar a los usuarios en el momento en que acceden al sistema informático.

Seguridad en los Sistemas Informáticos

Módulo 4. Sistemas de verificación e identificación Página 15
 3.6.3 Control de Ordenador personal

Protección de acceso al PC, bloqueo del PC en caso de retirar la tarjeta y desbloqueo por el
usuario, protección por huella digital. Permite restringir nuestro acceso al ordenador mediante
la inserción de la tarjeta inteligente, sin ella no podremos acceder al ordenador. Si insertamos
una tarjeta no valida el ordenador se bloquearía y lo mismo ocurriría si extrajésemos la tarjeta
del lector.

3.6.4 Control informático de aplicaciones

Permite proteger la información y el uso del software de la empresa, una vez dentro de la
aplicación cada tarjeta permite el acceso a unos determinados datos. Cumple casi al 100% los
requerimientos más rigurosos de seguridad informática. Lleva además un gestor que nos
permite realizar estudios y estadísticas con la temporalidad que se ha deseado, el gestor se
proyecta bajo requerimientos de la empresa o de sus directores de seguridad, para darle aun
más potencial a la solución.

3.6.5 Internet

Control de navegación en Internet y control de acceso al ordenador: Este es un programa

desarrollado para la gestión de cybercafes, cyberbibliotecas, cyberaulas y cybersalas, donde la
navegación virtual o uso de software, estén sujetos a cobro o tiempo. El sistema utiliza como
base de seguridad la tecnología de tarjas inteligentes. Al insertar el usuario la tarjeta en el
lector incorporado en el ordenador, dispone de un tiempo limitado que es regulado por la
tarjeta que controla el uso del ordenador, realizando un bloqueo o desbloqueo del equipo.

Seguridad en los Sistemas Informáticos

Módulo 4. Sistemas de verificación e identificación Página 16
CAPÍTULO 4 SISTEMAS BIOMÉTRICOS

4.1 Introducción

En el ámbito de las TI, la biometría informática es un conjunto de métodos automatizados de

identificación y verificación de la identidad de una persona, basados en una característica
fisiológica, que analiza y mide ciertos rasgos unívocos de un individuo para crear un
identificador biométrico, articulado en base a una serie de algoritmos matemáticos que son
traducidos a una serie de caracteres. Este identificador puede ser almacenado en una base de
datos y recuperado para su comprobación posterior. En comparación con otros sistemas de
seguridad existentes, los dispositivos biométricos presentan numerosas ventajas: no se
pueden perder o robar (como sucede con las tarjetas inteligentes), no se pueden olvidar o
adivinar (como ocurre con las contraseñas) y otras personas no los pueden memorizar (como
pasa con los códigos). De este modo, no se corren riesgos tales como que claves o contraseñas
sean interceptadas o exponer información crítica de la empresa al criterio de funcionarios que
muchas veces pueden estar cansados o sencillamente tener poco interés en verificar
realmente los documentos que les son presentados [4].

4.2 Tipos de biometría

Existen dos tipos de biometría dependiendo de lo que es cuantificado:

 La biometría estática, que es la medición de las características corporales de las personas.

Los principales estudios y aplicaciones de la biometría estática están basados en la
medición de impresiones dactilares, geometría de la mano, iris, forma de la cara, retina y
venas del dorso de la mano. Existen también, pero menos usadas, las técnicas biométricas
basadas en forma de las orejas, temperatura corporal (termografía) y forma del cuerpo.
 La biometría dinámica, que es la medición de las características del comportamiento de
las personas. Los principales estudios y aplicaciones de la biometría dinámica están
basados en el patrón de voz, firma manuscrita, dinámica del tecleo, cadencia del paso y
análisis gestual.

4.3 Características de los sistemas biométricos

Para que una característica biométrica resulte de utilidad debe cumplir algunas propiedades
esenciales:

 Universalidad: toda persona debe poseer dicho rasgo biométrico.

Seguridad en los Sistemas Informáticos

Módulo 4. Sistemas de verificación e identificación Página 17
  Unicidad: personas distintas deben poseer rasgos distintos.
 Permanencia: el rasgo debe ser invariante con el tiempo a corto plazo.
 Perennidad: el rasgo debe ser perpetuo, es decir, invariante con el tiempo a largo plazo
(vida de la persona).
 Mensurabilidad: el rasgo debe poder ser caracterizado cuantitativamente.
 Rendimiento: precisión en el proceso de identificación

4.4 Funcionamiento de los sistemas biométricos

Desde el punto de vista del funcionamiento de los sistemas automáticos de reconocimiento de

personas mediante rasgos biométricos, se hace necesario clasificar las dos perspectivas
fundamentales de trabajo de los mismos:

 Sistemas de reconocimiento en modo identificación.

 Sistemas de reconocimiento en modo verificación.

4.4.1 Modo identificación

El objetivo es el de clasificar una realización determinada de un rasgo biométrico de identidad

desconocida como perteneciente a uno de entre un conjunto de N posibles individuos.

Dentro de estos sistemas, debemos diferenciar dos posibles casos:

 Identificación en conjunto cerrado: en este caso, el resultado del proceso es una

asignación de identidad a uno de los individuos modelados por el sistema, y conocidos
como usuarios. Existen, por tanto, N posibles decisiones de salida posibles.
 Identificación en conjunto abierto: aquí debemos considerar una posibilidad adicional a
las N del caso anterior, que el individuo que pretende ser identificado no pertenezca al
grupo de usuarios, con lo que el sistema de identificación debería contemplar la
posibilidad de no clasificar la realización de entrada como perteneciente a las N posibles.

4.4.2 Modo verificación

Los sistemas de verificación de individuos toman dos entradas:

 Una realización del rasgo biométrico a verificar.

Seguridad en los Sistemas Informáticos

Módulo 4. Sistemas de verificación e identificación Página 18
  Una solicitud de identidad, que puede ser realizada de diversas formas (lectura de tarjeta
magnética individual, introducción mediante teclado o mediante voz de un código de
locutor, etc.)

De este modo, las dos únicas salidas o decisiones del sistema son la aceptación o rechazo del
individuo como aquél que pretende ser. De esta forma, el locutor solicitante será catalogado
como usuario auténtico o bien como impostor, respectivamente. La decisión de aceptar o
rechazar la locución de entrada como correspondiente al locutor solicitado dependerá de si el
valor de parecido o probabilidad obtenido supera o no un determinado umbral de decisión.

Los sistemas de verificación pueden ser vistos como un caso particular de identificación en
conjunto abierto, en el que N=1.

4.5 Tecnologías de los sistemas biométricos

4.5.1 Huella dactilar

Es la tecnología más asequible, y si a eso añadimos que la probabilidad de igualdad de dos

huellas dactilares de personas distintas es extremadamente baja, aproximadamente de 1 en 67
billones, se entiende que sea una de las más empleadas. Se trata, de hecho, de uno de los
procedimientos más antiguos que existen, y uno de los más populares policialmente, como
todo el mundo sabe. El funcionamiento básico de un sistema de identificación de huellas
dactilares es el siguiente: el usuario pone su dedo sobre un sensor, que captura una imagen de
la huella. De dicha imagen se buscan y extraen las características: patrones y minucias. El
patrón hace referencia a la posición de las líneas y valles, mientras que las minucias se refieren
a la aparición de singularidades en las líneas, como puntos de bifurcación, cercado, unión,
terminación, etc (ver Figura 4.4.1). Dos dedos diferentes nunca pueden poseer más de ocho
minucias iguales, y cada uno tiene más de 30 o 40 minucias.

Seguridad en los Sistemas Informáticos

Módulo 4. Sistemas de verificación e identificación Página 19
 Figura 4.4.1. Características del patrón de una huella dactilar.

Los detalles relativos a las líneas (curvatura, separación, etc.), así como la posición absoluta y
relativa de las minucias extraídas, son procesados mediante algoritmos que permiten
componer un índice numérico correspondiente a esa huella. Este índice numérico de la huella
es guardado en la base de datos del programa, en una tarjeta u otro tipo de soporte. Es
imposible reconstruir la huella a partir del índice registrado en el fichero ya que la información
guardada es información numérica (patrones), extraída a partir de la imagen de la huella, no la
propia imagen. Cuando el usuario solicita acceso al sistema, pone su dedo sobre el lector, y su
huella dactilar es digitalizada y analizada a fin de extraer los elementos característicos y tras el
análisis de las líneas y las minucias se compara el nuevo índice obtenido con el anteriormente
almacenado. Se trata de un tipo de sistema muy fiable. Las tasas de falso rechazo (FRR False
Rejection Rate) se sitúan por debajo del 0.1 %, y las de falsa aceptación (FAR o False
Acceptance Rate ), están alrededor del 0.01 %. Las velocidades de proceso e identificación
están por debajo del segundo en sistemas actuales.

4.5.2 La forma de la mano

Estos sistemas obtienen una imagen del perfil de la mano completa, de dos dedos o de un solo
dedo, con una cámara convencional o con una cámara infrarroja. Una vez tomada la imagen se
extraen una serie de características de la mano y los dedos, como pueden ser longitudes,
anchuras, alturas, posiciones relativas de dedos, articulaciones, disposición de venas, etc. Esas

Seguridad en los Sistemas Informáticos

Módulo 4. Sistemas de verificación e identificación Página 20
características se transforman en una serie de patrones numéricos, que luego se comparan
con los patrones previamente almacenados. Los sistemas comerciales presentan tasas típicas
de falso rechazo en torno al 0.1% y de falsa aceptación en torno al 1 %. Una variante de este
sistema toma una imagen de la palma de la mano, y sus líneas y detalles se analizan con
procedimientos semejantes a los sistemas de identificación de huellas dactilares.

4.5.3 Sistemas de reconocimiento de voz

Generalmente se tiende a confundir este tipo de sistema con el de reconocimiento de palabras

o interpretador de comandos hablado, las cuales existen comercialmente para ser integradas a
una computadora personal. Este reconocimiento de palabras no es biometría, ya que solo está
diseñado para reconocer palabras del interlocutor. En un sistema para el reconocimiento de
voz, se emplea la biometría física y de conducta con el objetivo de analizar patrones de habla e
identificar al interlocutor. Para llevar a cabo esta tarea, el patrón creado previamente por el
interlocutor, debe ser digitalizado y mantenido en una base de datos. En el análisis se buscan
principalmente patrones de intensidad y frecuencia.

Existen dos tipos principales de reconocimiento de voz:

 De texto dependiente, en los que el reconocimiento se basa en un conjunto muy limitado

de frases estándar.
 De texto independiente, en los que la variedad de frases es mucho más amplia. De hecho
el sistema va proponiendo al usuario que diga varias palabras extraídas de un conjunto
bastante grande.

Se trata de un sistema poco costoso de implementar, por lo que se encuentra muy extendido.
Sin embargo, uno de los problemas que frenan su difusión es que se trata de una tecnología
todavía propensa a errores. La probabilidad de falso rechazo está en torno al 3 %, y la de falsa
aceptación, en valores algo superiores al 1%.

4.6 Ataques

Un análisis de los sistemas biométricos permite identificar ocho niveles de vulnerabilidad.

4.6.1 Sensor

Un ataque en este nivel consiste en presentar una característica biométrica falsa. Cualquier
sistema biométrico puede estar sometido a este tipo de ataque, no tan solo la voz. La tabla
Seguridad en los Sistemas Informáticos
Módulo 4. Sistemas de verificación e identificación Página 21
4.4.1 resume las principales tecnologías biométricas, cómo vulnerarlas, y las soluciones a
aplicar. Por ejemplo, en el caso de voz, se puede eludir al sistema usando una grabación del
locutor auténtico, pero si el sistema funciona en el modo dependiente del texto, el problema
queda solventado a menos que se use un sintetizador de voz, el cual todavía no está disponible
con suficiente calidad para imitar a cualquier locutor. Otra posibilidad es usar algoritmos de
conversión de voz entre locutores, para transformar una voz dada en la voz a imitar.
Nuevamente, el estado del arte de la tecnología todavía no permite suficiente calidad. Sin
embargo, cabe esperar que en el futuro estos sistemas estén disponibles, y entonces será
necesario disponer de algoritmos de reconocimiento más sofisticados.

Tabla 4.4.1. Diferentes vías de vulnerabilidad a nivel de sensor.

4.6.2 Transmisión entre el sensor y el extractor de

características

En este nivel, el ataque consiste en reenviar datos grabados previamente. Obviamente esta
posibilidad es especialmente importante en aplicaciones remotas, en las que existe un
ordenador cliente que proporciona el dato biométrico y un sistema remoto que realiza la
autenticación biométrica. Este tipo de ataques es especialmente dirigido en aplicaciones de
Seguridad en los Sistemas Informáticos
Módulo 4. Sistemas de verificación e identificación Página 22
Internet, en las que puede resultar relativamente simple la adquisición fraudulenta de los
datos biométricos suministrados por un usuario autorizado. En cualquier caso, este mismo
problema también existe en aplicaciones de comercio electrónico y el envío de tarjetas de
crédito VISA, Mastercard, etc. Obviamente en el caso de datos biométricos existe un problema
adicional: mientras que resulta sencillo proporcionar al usuario un nuevo número de tarjeta,
no es posible reemplazar los datos biométricos. Para evitar este problema, pueden usarse
técnicas de marcas de agua (watermarking).

4.6.3 Extractor de características

En este nivel el ataque consiste en forzar al extractor de características a proporcionar un

determinado conjunto de valores escogidos por el atacante, en vez de los valores reales
extraídos a partir de la señal biométrica captada por el sensor. Un programa o DLL puede
introducirse en el sistema como caballo de Troya y reemplazar el extractor de características
genuino.

4.6.4 Transmisión de las características extraídas

Este ataque consiste en reemplazar las características auténticas extraídas de la señal de

entrada, por un nuevo conjunto adquirido de forma ilegal previamente o generado
sintéticamente. Este tipo de ataque es especialmente importante en aplicaciones remotas. Se
puede proteger el sistema frente a este tipo de ataques mediante la inclusión de un "sello
temporal" y encriptación de datos. El sello temporal permite detectar si las características
biométricas han sido previamente almacenadas o si son actuales. Por tanto, actúa como "fecha
de caducidad".

4.6.5 Clasificadores

Consiste en atacar el clasificador para producir puntuaciones (scores) menores o mayores a los
reales.

4.6.6 Bases de datos

El resultado de la autenticación depende de la comparación entre los modelos almacenados en

la base de datos y las características extraídas de la señal de entrada. Si la base de datos ha
sido alterada de alguna forma, el sistema podrá ser eludido de forma permanente. De forma
alternativa, la base de datos puede permanecer inalterada, pero el modelo almacenado puede
pertenecer a un usuario impostor. En el primer caso, debe cuidarse especialmente la
integridad de la base de datos, y que no resulta modificada externamente. Esto puede implicar
constantes copias de seguridad para detectar modificaciones, eliminar los permisos de
escritura salvo para nuevos usuarios, etc. En el segundo caso, debe tenerse un especial

Seguridad en los Sistemas Informáticos

Módulo 4. Sistemas de verificación e identificación Página 23
cuidado durante el proceso de entrenamiento de nuevos usuarios, mediante una fuerte
supervisión de todo el proceso por parte de una persona autorizada (supervisor).

4.6.7 Transmisión de los modelos de la base de datos al

clasificador

Un ataque en este nivel consiste en reemplazar los modelos que la base de datos suministra en
el proceso de lectura, por otros falsos. La base de datos suele estar en el mismo ordenador o
dispositivo que ejecuta el algoritmo de clasificación, por lo que es difícil crackear esta
transmisión. Puede resultar un problema cuando la base de datos está en un sistema remoto.
Por ejemplo, un sistema de autenticación biométrico con una única base de datos que se
comparte de forma remota por varios clientes que adquieren la información biométrica del
usuario, consultan la base de datos remota, y realizan la clasificación.

4.6.8 Decisión

El último nivel consiste en saltar completamente el sistema biométrico y reemplazar la

decisión. Por ejemplo, un sistema biométrico de control de accesos puede consistir en un
sensor conectado a un ordenador que realiza la identificación y produce una señal de salida
que abre (o no) una determinada puerta. Una forma de eludir el sistema, por muy sofisticado
que sea, puede ser tan simple como cortar los cables eléctricos de control que actúan sobre el
relé de la puerta y reemplazarlos por la señal adecuada (aplicar una tensión suficiente para
activar el relé).

En resumen, los diferentes ataques se pueden clasificar en dos grandes grupos:

 Contra canales de comunicaciones. Este tipo de ataques reciben el nombre de replay

attacks.
 Contra módulos del sistema.

Existe otro tipo de ataques, que también es posible en sistemas protegidos por password, y se
denomina ataque de fuerza bruta. Se basa en hacer pruebas con un conjunto suficientemente
grade de datos biométricos generados sintéticamente. Este método es análogo a realizar
repetidos intentos probando diferentes palabras contenidas en un diccionario.

4.7 Consideraciones

Hemos comentado las características biométricas susceptibles de ser utilizadas en un sistema

de reconocimiento, y hemos descrito brevemente algunos de estos sistemas. Pero, para que
estos sistemas se implanten y se utilicen de forma regular, es necesario que cuenten con la
confianza de los usuarios. Ello implica que el sistema debe considerar aspectos como:

Seguridad en los Sistemas Informáticos

Módulo 4. Sistemas de verificación e identificación Página 24
  Probabilidad de fallos (falsos rechazos y falsas aceptaciones). Ya hemos hablado
de cifras al considerar cada uno de los sistemas anteriores.
 Estabilidad, o robustez del sistema a cambios (normales) en la característica
biométrica que mide. Nos referimos, por ejemplo, a cambios en el timbre de voz
por un catarro, o a cambios en las características de las manos o de la cara
debidas a heridas, etc.
 Comodidad y facilidad de uso del sistema por parte de los usuarios. Invasividad.
 Aceptación de los usuarios de que sus datos biométricos no serán accesibles por
terceros.
 Posibilidad de engañar al sistema, obteniendo autorización suplantando una
identidad verdadera, es decir, suplantando una característica biométrica.

En cuanto a la seguridad, y a la posibilidad de "engañar" al sistema hoy en día cualquier

sistema biométrico (exceptuando algunos modelos de reconocimiento de voz) es robusto
frente a los ataques basados en suplantación (por ejemplo, utilizando partes del cuerpo
amputadas al usuario legítimo). La mayor parte de los analizadores de huellas dactilares, de
iris, de retina o de la geometría de la mano son capaces, además de decidir si la característica
biométrica es de un usuario autorizado, de discriminar si éste está vivo.

No obstante, no conviene bajar la guardia, puesto que cualquier sistema es, al final susceptible
de ser eludido.

4.8 Conclusión

En los sistemas informáticos uno de los problemas fundamentales a solventar es la necesidad

de autenticar de forma segura las personas que pretenden acceder a un determinado servicio.
Se han definido diferentes tecnologías de autenticación y sus características. Las técnicas de
identificación biométrica, frente a otras formas de autenticación personal como el uso de
tarjetas magnéticas, de chip o llaves codificadas, tienen la ventaja de que los patrones no
pueden perderse o ser sustraídos, ni pueden ser usados por otros. Por tanto, el problema de
suplantación de identidad queda resuelto con el uso de patrones biométricos como medio de
autenticación personal. Los sistemas biométricos, probablemente, sean los más cómodos de
utilizar para los usuarios, ya que eliminan la necesidad de recordar contraseñas o números de
identificación y la posibilidad de olvido en casa de la tarjeta o de la clave. De toda forma estos
sistemas, que se basan en las características físicas del usuario, son mucho más difíciles, pero
no imposibles, de falsificar, por lo que tampoco son 100% seguros.

En este capítulo hemos presentado los conceptos relacionados con las tres grandes categorías
de métodos de autenticación. Primero hemos visto la autenticación basada en algo conocido.
En particular hemos analizado la autenticación por contraseña en sistema Unix. Luego hemos
analizado los sistemas basados en algo que el usuario posee. Aquí hemos hablado de las
tarjetas inteligentes, su estructura y funcionamiento así como su clasificación. Hemos visto que
son sistemas susceptibles a ataques pasivos y activos. Finalmente hemos analizado los
sistemas biométricos. Hemos visto sus características, su modos de funcionamiento: modo
Seguridad en los Sistemas Informáticos
Módulo 4. Sistemas de verificación e identificación Página 25
identificación y modo verificación. Hemos analizado alguna tecnología existente y presentado
sus debilidades. Por concluir hemos hecho algunas reflexiones sobre la seguridad de estos
sistemas.

CAPITULO 5 GESTIÓN DE IDENTIDAD

5.1. Introducción

La gestión de identidad digital se refiere al sistema integrado de políticas y procesos

organizacionales que pretende facilitar y controlar el acceso a los sistemas de información y a
las instalaciones.

El concepto generalmente se relaciona con la informática, medio en el que se ha vuelto cada

vez más crítico proteger la información personal, las bases de datos y las aplicaciones tanto
personales como profesionales, del uso más o menos malintencionado de los usuarios propios
y del espionaje y sabotaje de intrusos.

La gestión de identidad se enfoca usualmente desde el punto de vista de identidad federada o

desde el punto de vista user-centric.

El objetivo principal de la gestión de identidad federada es permitir que identidades y atributos

de entidades sean compartidos a través de distintos dominios de confianza según las políticas
establecidas. Dichas políticas definen, entre otras cosas, formatos y opciones, además de los
requisitos de privacidad y confianza. El objetivo es separar los sistemas de gestión de identidad
de la provisión de servicios para simplificar la gestión de identificadores, credenciales,
atributos, etc., y hacer la experiencia del usuario satisfactoria cuando interactúa con distintos
dominios administrativos. En este tipo de soluciones se enmarcan frameworks como
SAML/Liberty-ID-*, o el protocolo OAuth [5] que asume federación implícita.

En el caso de la gestión de identidad centrada en el usuario, se pone más énfasis en la relación

del usuario con los proveedores de identidad y de servicio, y en la consciencia de este sobre las
transacciones realizadas. Un ejemplo bien conocido es el protocolo OpenID.

En las siguientes subsecciones se explican SAML [6] y OpenID [7] como ejemplos de
frameworks de gestión de identidad federada y centrada en el usuario,
respectivamente.

Seguridad en los Sistemas Informáticos

Módulo 4. Sistemas de verificación e identificación Página 26
5.2 Security Assertion Markup Language (SAML)

Además de los trabajos efectuados para la adopción de PKI por el comité de OASIS Public Key
Infrastructure Adoption (PKI) TC2, el comité OASIS Security Services (SAML) TC3 dirige sus
esfuerzos a la estandarización de SAML, un marco de trabajo de autenticación, autorización, y
atributos. SAML permite expresar asertos acerca de la identidad, los atributos y las
autorizaciones de un sujeto para facilitar las relaciones entre empresas y de éstas con sus
usuarios. El marco de trabajo facilita a las compañías la creación de federaciones de identidad,
para facilitar la gestión de perfiles, autenticaciones y autorizaciones de usuarios. El interés de
los usuarios finales radica fundamentalmente en las facilidades de single sign-on (sso), esto es,
que una única autenticación sea válida para múltiples sitios en la federación.

Las especificaciones de SAML, estandarizado desde 2005, están basadas en XML, y definen
esquemas y formatos para los distintos elementos y mensajes. SAML v2.0 ha sido adoptado
por otras iniciativas como Shibboleth de Internet2, Identity Federation Framework de Liberty
Alliance, o Web Services Security de OASIS. SAML se integra de forma natural con OASIS
XACML para la definición de políticas de seguridad.

La estructura de documentos del marco de trabajo se refleja en la figura 4.5.1, sacada

precisamente de la revisión técnica (las cajas de color claro reflejan documentos informativos
pero no normativos).

Figura 4.5.1. Documentos SAML V2.0 (Copyright © OASIS Open 2005)

2
http://www.oasis-open.org/committees/pki/
3
http://www.oasis-open.org/committees/security/
Seguridad en los Sistemas Informáticos
Módulo 4. Sistemas de verificación e identificación Página 27
A grandes rasgos, SAML define cuatro elementos:

 ASSERTIONS: tres tipos distintos de asertos (asertos de autenticación, de atributos y de

decisiones de autorización).
 PROTOCOLS: seis protocolos solicitud/respuesta distintos (para solicitar asertos,
autenticaciones, registrar identificadores, etc.).
 BINDINGS: seis maneras distintas de transportar los mensajes de los protocolos en otros
protocolos estándar (sobre HTTP Redirect, SOAP, etc.).
 PROFILES: ocho asociaciones distintas de protocolos y transportes específicos a un caso
de uso/aplicación (Web SSO profile, Attribute profile, etc.).

Hay diversas implementaciones de SAML comerciales y también de código abierto en distintos

lenguajes: C (ZXID), C++/Java (OpenSAML), PHP (simpleSAMLphp), Python, etc. Además
también está soportado en distintos proyectos que utilizan SAML como Shibboleth, WS-
Security, ID-FF, etc. En el propio sitio de SAML4 se puede encontrar una lista no exhaustiva.

5.2.1 Seguridad en SAML

SAML define unas declaraciones de contextos de autenticación y una serie de clases para ello.
La motivación es poder dar información adicional acerca del nivel de confianza en la
autenticación, que se deriva directamente de las tecnologías, protocolos y procesos que se han
utilizado para la autenticación. Dentro de los contextos posibles, actualmente hay definidos los
siguientes esquemas: main schema, common schema types, IP, IP password, Kerberos, mobile
one-factor contract, mobile one-factor unregistered, mobile two-factor contract, mobile two-
factor unregistered, nomadic telephony, personal telephony, PGP, password-protected
transport, password, previous session, smartcard, smartcard PKI, software PKI, SPKI, secure
remote password, SSL certificate, telephony, authenticated telephony, time sync token, X.509,
XML Signature. Es decir, que están considerados la práctica totalidad de los esquemas de
autenticación que utilizamos hoy en día, y además el mecanismo es extensible.

SAML no define cifradores, códigos de integridad o firmas digitales para autenticar o garantizar
la integridad o privacidad de sus mensajes. SAML requiere la preexistencia de una relación de
confianza previa entre la parte que solicita un aserto (relying party, RP) y el que lo emite
(asserting party), típicamente derivada del uso de una PKI (aunque no es obligatoria). En los
distintos perfiles, cada vez que se necesita:

 garantizar la integridad y confidencialidad de un mensaje, se recomienda HTTP sobre

SSL/TLS (HTTPS);

4
http://saml.xml.org/products
Seguridad en los Sistemas Informáticos
Módulo 4. Sistemas de verificación e identificación Página 28
  enviar una solicitud de un aserto, se recomienda autenticación de ambas partes
cliente/servidor de SSL/TLS;
 devolver un aserto, se requiere que el mensaje de respuesta vaya firmado con XML.
 El documento “Security and Privacy Considerations for the OASIS Security Assertion
Markup Language (SAML) V2.0” hace un análisis de posibles ataques, amenazas y riesgos
presentes en las especificaciones de los distintos elementos de SAML (core, binding y
profiles), aspectos de privacidad, y recomendaciones para mitigar los riesgos de
seguridad.

5.2.2 Federación de identidad en SAML

Dentro de los distintos casos de uso de SAML, los más relevantes para el proyecto España
Virtual son los que reflejan los escenarios en federación de identidad contemplados por SAML:

 Federación enlazando cuentas fuera de banda (Federation via Out-of-Band Account

Linking): establecimiento de identidades federadas de usuarios y la asociación de dichas
identidades a identidades de usuarios locales. En SAML v1 era el estilo de federación
contemplada y se sigue contemplando en SAML v2.
 Federación por atributos de identidad (Federation via Identity Attributes): El IdP define
unos atributos que se utilizan a la hora de enlazar la cuenta utilizada por el usuario en el
SP.
 Federación utilizando pseudónimos persistentes (Federation via Persistent Pseudonym
Identifiers): Un proveedor de identidad federa la identidad del usuario local con la
identidad del usuario en el proveedor de servicios utilizando un identificador de nombre
persistente de SAML.
 Federación utilizando pseudónimos temporales (Federation via Transient Pseudonym
Identifiers): Este estilo de federación permite utilizar identificadores temporales entre el
IdP y el SP. Los identificadores solo son válidos durante la sesión (SSO).
 Terminación de la federación (Federation Termination): finaliza una federación existente:
la sesión y los identificadores temporales en caso de haberlos.

La federación clásica (caso A) soportada desde SAML v1 permite a un usuario Bob (conocido
por dicho nombre en el IdP y en los SPs) una sesión SSO mediante el siguiente procedimiento:

 El usuario Bob desea iniciar sesión en el SP, accede al IdP para autenticarse, y el IdP le
envía un reto de autenticación (de acuerdo con los contextos de autenticación utilizados
por el IdP: contraseña, certificado, etc.).
 Bob se autentica con éxito frente al IdP (por ejemplo enviando sus credenciales).
 Bob indica al IdP que quiere acceder a un recurso del SP (por ejemplo mediante una
opción del menú del IdP).

Seguridad en los Sistemas Informáticos

Módulo 4. Sistemas de verificación e identificación Página 29
  El IdP envía un formulario HTML a Bob en el que se incrusta la respuesta SAML (el aserto
SAML firmada por el IdP sobre Bob).
 Bob envía dicha respuesta SAML al SP.
 El servicio consumidor de asertos del SP valida la firma del aserto, crea una nueva sesión
local (basada en la cuenta local de Bob) y envía a Bob una cookie que identifica la nueva
sesión. Si conoce el recurso que quería acceder Bob, puede acompañar la cookie de una
redirección para acceder al recurso solicitado.
 Bob solicita el recurso deseado (bien directamente o siguiendo la redirección) y el SP
comprueba si Bob está autorizado para acceder en cuyo caso permite el acceso.

Nótese que la federación no resuelve la autorización de Bob al recurso en el SP, puesto que la
fuente de la autorización siempre es local y generalmente no se delega, aunque para resolver
la autorización si se utiliza la autenticación que proporciona la federación.

La federación del caso B permite a las empresas federadas registrar atributos de los usuarios
con una semántica común (por ejemplo “miembro VIP”). La federación de atributos permite un
nivel mayor de privacidad a los usuarios, pues no es necesario que el aserto que emite el IdP
acerca del usuario contenga la identidad verdadera del usuario, y puede utilizar un
identificador de nombre cualquiera (por ejemplo “abcdef”). En nuestro ejemplo el aserto diría
que “abcdef” es “miembro VIP” cuyo número de miembro es “1234” se ha autenticado
correctamente. Este nivel mayor de privacidad no siempre implica el anonimato, puesto que
en este ejemplo el SP puede resolver el nombre del usuario a partir del atributo y el número de
miembro.

Sin embargo, si es posible garantizar el anonimato mediante el uso de atributos de grupo

genéricos (en el caso del ejemplo anterior si el aserto solo indica que es “miembro VIP” sin
indicar el número de miembro, ni otros atributos del perfil. Si el recurso solicitado requiere de
otros atributos, el SP podría pedirlos al IdP con el consentimiento del usuario (si el usuario así
lo hubiera indicado).

El caso C es muy similar al caso B. El escenario contempla que el inicio del procedimiento de
federación comienza cuando Bob intenta acceder a un recurso en el SP. El SP redirige a Bob al
IdP incluyendo una solicitud de autenticación y la creación de un nuevo identificador para el
usuario. Una vez que Bob se autentica correctamente con el IdP, el IdP crea un nuevo
identificador (si no existía ya uno) para el SP y construye y firma el aserto para el SP. El SP
comprueba si el identificador es conocido en cuyo caso se crea la sesión local con la cuenta
local de Bob en el SP (cuyo identificador puede ser distinto del que utiliza Bob en el IdP). En
caso de que no exista, Bob tendrá que autenticarse ante el SP, para vincular el identificador
permanente con su cuenta local en el SP. Es importante notar que esta autenticación solo es
necesaria una vez, puesto que el vínculo quedará para posteriores sesiones.

Seguridad en los Sistemas Informáticos

Módulo 4. Sistemas de verificación e identificación Página 30
El caso D es equivalente al C pero el identificador generado por el IdP se elimina al finalizar la
sesión del usuario. Esto permite a los SP que lo deseen dar un servicio completamente
anónimo, no realizar ninguna gestión de identidades de usuarios, o dar servicios en los que no
sea necesaria ninguna gestión de usuarios gestionadas únicamente por políticas de acceso de
grupos.

El caso E permite a los SP terminar la federación de la identidad de un usuario. Este caso de

uso aparece por ejemplo cuando Bob se da de baja del SP. El SP envía directamente al IdP una
solicitud firmada para finalizar el vínculo del identificador permanente asociado a Bob en el IdP
para el SP. El IdP comprueba la firma, borra la asociación y responde con un código afirmativo.

5.3 OpenID

OpenID se define como un marco para la gestión de la identidad digital de carácter

descentralizado, abierto y centrado en el usuario. Además, su funcionamiento se apoya en
tecnologías de Internet ya existentes y ampliamente utilizadas, por lo que está principalmente
orientado a ser utilizado en la World Wide Web: usa URIs o XRIs como identificadores, envía
los mensajes sobre el protocolo HTTP, y recomienda el uso de Diffie-Hellman y SSL para
reforzar la seguridad.

El concepto de funcionamiento de OpenID es sencillo: una identidad viene dada por una URI o
un XRI, y puede ser verificada por un servidor que soporte el protocolo. De lo único que se
encarga el protocolo es de proveer una forma de demostrar que alguien es el propietario de
cierto identificador.

OpenID, desarrollado bajo el auspicio de la OpenID Foundation5, permite que un usuario pueda
acceder a varios sitios Web con una única identidad, es decir, ofrece SSO. Pretende así reducir
la cantidad de credenciales de identidad, tales como nombres de usuario y contraseñas, que
deben ser mantenidas por un usuario para acceder a distintos servicios en Internet. Además, la
fundación también tiene como objetivo que los sitios Web puedan aceptar credenciales
OpenID de manera sencilla y poco costosa.

El hecho de que OpenID sea descentralizado significa que cualquiera puede actuar como IdP
sin necesidad de registrarse ni de obtener permiso de alguna organización o autoridad central.

El beneficio de la descentralización es que el usuario es libre para elegir un proveedor en el

que confíe y que satisfaga sus necesidades. Los proveedores públicos de OpenID compiten en
un mercado libre para ofrecer el mejor valor a los usuarios sin necesidad de una autoridad
central. Además, si el usuario considera que ningún proveedor se adapta a sus necesidades, él
mismo puede actuar como su propio servidor de identidad.

5
http://openid.net/foundation/
Seguridad en los Sistemas Informáticos
Módulo 4. Sistemas de verificación e identificación Página 31
Adicionalmente, OpenID ofrece la posibilidad de delegar. Es decir, se tiene en cuenta que los
usuarios pueden poseer identidades en la web: por ejemplo un blog o una página personal, y
permite que utilicen estas identidades, que ya les son familiares, como identificador cuando
accedan a cualquier otro servicio que soporte el protocolo. La principal ventaja que ofrece la
delegación radica en que el usuario no está ligado a un proveedor concreto sino que puede
elegir y cambiar de proveedor siempre que lo desee y sin necesidad de cambiar de
identificador.

Por otra parte OpenID es abierto. Es decir, su especificación es pública y está basada por
completo en estándares conocidos de Internet.

Además el modelo de gestión de identidad definido por OpenID puede calificarse de centrado
en el usuario, pues es éste quien controla su información y decide qué datos personales deben
enviarse cada vez que se accede a un servicio.

Las especificaciones de OpenID, recogidas en [6], describen de manera conjunta el formato de

los mensajes, el funcionamiento del protocolo, el proceso de descubrimiento de proveedores
de identidad a partir de un identificador, la definición de los identificadores de usuario y la
forma en que se proporciona SSO. Además, también se define un mecanismo para extender el
protocolo con el fin de añadir nuevas funcionalidades.

En cuanto a la adopción de OpenID, puede decirse que, desde su creación en 2005, ha ido
incrementando considerablemente el número de IdPs y de páginas web que soportan acceso
OpenID. De hecho su popularidad se ha hecho mayor últimamente debido a la adopción de
este sistema por parte de grandes compañías, como AOL, Yahoo, Microsoft, VeriSign, Google o
IBM. En España existen varios proveedores de identidad como: openid.es6, openid.blogs.es7,
miID.es8 y Movistar OpenID9, que es el primer operador móvil en lanzar un IdP OpenID.

6
http://www.openid.es
7
http://www.openid.blogs.es
8
http://www.miID.es
9
http://openid.movistar.es

Seguridad en los Sistemas Informáticos

Módulo 4. Sistemas de verificación e identificación Página 32
 5.3.1 Funcionamiento

En un sistema de identidad OpenID existen tres elementos fundamentales: un usuario con un

navegador Web; un Consumidor o Relying Party (RP), que sería el sitio Web que ofrece el
servicio al que desea acceder el usuario; y un Proveedor de Identidad OpenID (IdP), que se
encarga de verificar que un usuario posee un determinado identificador URI o XRI. Además, el
proveedor puede disponer de ciertos elementos extra de información de identidad acerca del
usuario, tales como el nombre, la dirección de correo electrónico, la fecha de nacimiento, etc.

A continuación se explica el flujo de mensajes intercambiado en un diálogo OpenID, mostrado

gráficamente en la Figura 4.5.2. El usuario final introduce su identificador en el sitio Web de un
RP utilizando el navegador. Tras normalizar el identificador presentado por el usuario, el RP
lleva a cabo el descubrimiento de la localización del IdP OpenID utilizado por el usuario para
ser autenticado.

Opcionalmente, el RP puede establecer una asociación con el proveedor. En este caso, ambas
partes intercambian un secreto compartido siguiendo la especificación de Diffie-Hellman. El
IdP utilizará la asociación para firmar todos los mensajes subsecuentes, y el RP podrá
verificarlos.

En el siguiente paso, el RP redirige el navegador al IdP por medio de un mensaje de petición de

autenticación.

A continuación, el IdP pide al usuario que se autentique y redirige el navegador de nuevo al RP

por medio de un mensaje de respuesta, indicando si la autenticación del usuario ha sido positiva
o negativa. Además, el RP puede solicitar el envío de cierta información personal del usuario,
pero esta sólo será enviada bajo su consentimiento.

Finalmente, el RP verifica la respuesta recibida del IdP y, en caso de que la autenticación sea
positiva, el usuario tendrá acceso al servicio.

Si el usuario ya se había autenticado previamente, entonces el proveedor enviará una

confirmación al RP de manera transparente al usuario sin necesidad de interaccionar con él,
proporcionando así la funcionalidad de SSO.

Seguridad en los Sistemas Informáticos

Módulo 4. Sistemas de verificación e identificación Página 33
 Figura 4.5.2. Funcionamiento de openID.

5.3.2 Vulnerabilidades

La especificación de OpenID define un formato de mensajes muy sencillo y apenas se centra en

la seguridad. Se han identificado numerosas vulnerabilidades del protocolo, resultando
especialmente susceptible a ataques de phishing debido a que gran parte de la comunicación
se basa en redirecciones del navegador.

Por ejemplo, la arquitectura de OpenID hace posible que un RP malicioso pueda re-direccionar
al usuario final a un IdP falso para robar las credenciales que introduzca el usuario a la hora de
autenticarse.

Para solventar el problema del phishing se formulan varias recomendaciones en la definición

de OpenID, como la utilización de plug-ins en el navegador que verifiquen la autenticidad de la
URL del servidor de identidad, o el uso del protocolo SSL en todas las interacciones de la
comunicación.

Además de estas recomendaciones, se ha propuesto una extensión, denominada Provider

Authentication Policy Extension (PAPE), que proporciona un mecanismo para que el RP pueda
solicitar al IdP que aplique una determinada política de autenticación para comprobar la
identidad del usuario. Esta extensión también permite que el IdP informe al RP acerca del
método de autenticación empleado. De este modo, un servicio podría, por ejemplo, pedir que
se emplee un método de autenticación más fuerte y resistente al phishing que la introducción
de un par usuario-contraseña típicamente utilizado en muchos IdPs.

Seguridad en los Sistemas Informáticos

Módulo 4. Sistemas de verificación e identificación Página 34
Adicionalmente, la fundación OpenID mantiene una wiki dedicada exclusivamente a tratar el
problema del phishing y sus posibles soluciones.

Otro aspecto que no se trata en profundidad en la especificación de OpenID es la privacidad.

Debido al formato de los mensajes y a la arquitectura del protocolo, siempre se revela la
identidad del RP al IdP, por lo que toda la actividad online del usuario quedaría registrada en el
servidor OpenID.

Por otra parte, OpenID no especifica el mecanismo de autenticación que se utiliza para
verificar que un usuario posee una identidad. Por lo tanto, la seguridad de una conexión
OpenID depende de la confianza que tenga el RP en el IdP. Si no existe confianza en el
proveedor, el RP no aceptará la autenticación del usuario y no permitirá acceso al servicio
ofrecido. Con la extensión PAPE también se mejora esta situación, ya que los RPs podrán
disponer de más información sobre el proceso de autenticación a la hora de tomar decisiones
de confianza sobre un determinado IdP.

Seguridad en los Sistemas Informáticos

Módulo 4. Sistemas de verificación e identificación Página 35
GLOSARIO DE TÉRMINOS

APIs (Application Programming Interfaces) son las interfaces de programación de aplicaciones,

es decir, el conjunto de funciones o métodos y objetos (en la programación orientada a
objetos), que ofrece ciertas bibliotecas para ser utilizados para desarrollar otro software o una
aplicación como una capa de abstracción. Por ejemplo, funciones que un programador puede
utilizar para imprimir un carácter en pantalla, leer el teclado, escribir en un fichero, etc.

Blowfish es un codificador de bloques simétricos, diseñado por Bruce Schneier en 1993 e

incluido en un gran número de conjuntos de codificadores y productos de cifrado. No se han
encontrado técnicas de criptoanálisis efectivas contra el blowfish. Sin embargo, se ha dado
más atención de la decodificación de bloques con bloques más grandes, como AES y Twofish.
Schneier diseñó Blowfish como un algoritmo de uso general, que intentaba reemplazar al
antiguo DES y evitar los problemas asociados con otros algoritmos.

CERES CERtificación Española, es una iniciativa puesta en marcha por la Administración,

liderada por la Fábrica Nacional de Moneda y Timbre-Real Casa de la Moneda (FNMT-RCM),
que consiste en establecer una Entidad Pública de Certificación que permita autentificar y
garantizar la confidencialidad de las comunicaciones entre ciudadanos, empresas u otras
instituciones y administraciones públicas a través de las redes abiertas de comunicación.

Cracker Los crackers son individuos con interés en atacar un sistema informático para obtener
beneficios de forma ilegal, o simplemente, para provocar algún daño.

DES Data Encryption Standard (DES) es un algoritmo de cifrado, es decir, un método para cifrar
información, escogido como un estándar FIPS en los Estados Unidos en 1976, y cuyo uso se ha
propagado ampliamente por todo el mundo. El algoritmo fue controvertido al principio, con
algunos elementos de diseño clasificados, una longitud de clave relativamente corta, y las
continuas sospechas sobre la existencia de alguna puerta trasera para la National Security
Agency (NSA). Posteriormente DES fue sometido a un intenso análisis académico y motivó el
concepto moderno del cifrado por bloques y su criptoanálisis.

DLL Biblioteca de enlace dinámico o más comúnmente DLL (sigla en inglés de dynamic-link
library) es el término con el que se refiere a los archivos con código ejecutable que se cargan
bajo demanda de un programa por parte del sistema operativo. Esta denominación es
exclusiva a los sistemas operativos Windows siendo ".dll" la extensión con la que se identifican
estos ficheros, aunque el concepto existe en prácticamente todos los sistemas operativos
modernos.

Seguridad en los Sistemas Informáticos

Módulo 4. Sistemas de verificación e identificación Página 36
EEPROM son las siglas de Electrically Erasable Programmable Read-Only Memory (ROM
programable y borrada eléctricamente). Es un tipo de memoria ROM que puede ser
programada, borrada y reprogramada eléctricamente, a diferencia de la EPROM que ha de
borrarse mediante un aparato que emite rayos ultravioleta. Son memorias no volátiles.

FAR son las siglas de False Acceptance Rate (Tasa de Falso Positivo) y se refiere al porcentaje
de veces que un sistema biométrico verifica como correcto a un usuario no autorizado. Se le
denomina también error de tipo II y se considera uno de los errors más serios en seguridad
biométrica puesto que daría acceso al Sistema a usuarios no autorizados. El FAR se mide la
probabilidad de aceptar a un usuario no autorizado y se expresa como el ratio entre el número
de falsos positivos sobre el total de intentos de identificación.

FRR son las siglas de False Rejection Rate (Tasa de Falso Negativo) y se refiere a la probabilidad
de que un Sistema biométrico rechace a un usuario al que debiera permitirse acceso. El FRR se
expresa como el ratio entre el número de falsos negativos sobre el total de intentos de
identificación.

GSM El sistema global para las comunicaciones móviles (del inglés Global System for Mobile
communications, GSM, y originariamente del francés groupe spécial mobile) es un sistema
estándar, libre de regalías, de telefonía móvil digital.

MIFARE es una tecnología de tarjetas inteligentes sin contacto (TISC), de las más ampliamente
instaladas en el mundo, con aproximadamente 250 millones de TISC y 1,5 millones de módulos
lectores vendidos. Las tarjetas MIFARE son tarjetas de memoria protegida. Están divididas en
sectores y bloques y mecanismos simples de seguridad para el control de acceso. Su capacidad
de cómputo no permite realizar operaciones criptográficas o de autenticación mutua de alto
nivel, estando principalmente destinadas a monederos electrónicos simples, control de acceso,
tarjetas de identidad corporativas, tarjetas de transporte urbano o para ticketing.

MD5 En criptografía, MD5 (abreviatura de Message-Digest Algorithm 5, Algoritmo de Resumen

del Mensaje 5) es un algoritmo de reducción criptográfico (hash) de 128 bits ampliamente
usado.

OTP Una contraseña de un solo uso u OTP (del inglés One-Time Password) es una contraseña
válida solo para una autenticación. OTPs evitar una serie de deficiencias que se asocian con la
tradicional (estática) contraseñas. La deficiencia más importante que se aborda en las OTP es
que, en contraste con contraseñas estáticas, no son vulnerables a ataques de replay. También
hace al sistema más resistente frente ataques de fuerza bruta ya que cada vez que cambia la

Seguridad en los Sistemas Informáticos

Módulo 4. Sistemas de verificación e identificación Página 37
contraseña los intentos realizados anteriormente para romper la anterior contraseña no sirven
para nada y hay que empezar desde cero. Esto significa que un posible intruso que logre
registrar una OTP que ya se utiliza para iniciar sesión en un servicio o realizar una transacción
no será capaz de abusar de ella, puesto que ya no será válida. En el lado negativo, las OTP son
difíciles para los seres humanos para memorizar. Por lo tanto, requieren una tecnología
adicional para funcionar.

RFID RFID (siglas de Radio Frequency IDentification, en español identificación por

radiofrecuencia) es un sistema de almacenamiento y recuperación de datos remoto que usa
dispositivos denominados etiquetas, tarjetas, transpondedores o tags RFID. El propósito
fundamental de la tecnología RFID es transmitir la identidad de un objeto (similar a un número
de serie único) mediante ondas de radio. Las tecnologías RFID se agrupan dentro de las
denominadas Auto ID (automatic identification, o identificación automática). Las etiquetas
RFID (RFID Tag, en inglés) son unos dispositivos pequeños, similares a una pegatina, que
pueden ser adheridas o incorporadas a un producto, un animal o una persona. Contienen
antenas para permitirles recibir y responder a peticiones por radiofrecuencia desde un emisor-
receptor RFID. Las etiquetas pasivas no necesitan alimentación eléctrica interna, mientras que
las activas sí lo requieren. Una de las ventajas del uso de radiofrecuencia (en lugar, por
ejemplo, de infrarrojos) es que no se requiere visión directa entre emisor y receptor.

ROM La memoria de solo lectura, conocida también como ROM (acrónimo en inglés de Read-
Only Memory), es un medio de almacenamiento utilizado en ordenadores y dispositivos
electrónicos, que permite sólo la lectura de la información y no su escritura,
independientemente de la presencia o no de una fuente de energía.

Root En sistemas operativos del tipo Unix, root es el nombre convencional de la cuenta de
usuario que posee todos los derechos en todos los modos (mono o multi usuario). root es
también llamado superusuario. Normalmente esta es la cuenta de administrador. El usuario
root puede hacer muchas cosas que un usuario común no puede, tales como cambiar el dueño
o permisos de archivos y enlazar a puertos de numeración pequeña.

RSA (Rivest, Shamir y Adleman) es un sistema criptográfico de clave pública desarrollado en

1977. Es el primer y más utilizado algoritmo de este tipo y es válido tanto para cifrar como
para firmar digitalmente.

Salt En criptografía, el salt comprende bits aleatorios que se usan como una de las entradas en
una función derivadora de claves. La otra entrada es habitualmente una contraseña. La salida
de la función derivadora de claves se almacena como la versión cifrada de la contraseña. El salt
también puede usarse como parte de una clave en un cifrado u otro algoritmo criptográfico. La
función de derivación de claves generalmente usa una función hash. Los datos con salt
complican los ataques de diccionario que cifran cada una de las entradas del mismo: cada bit
de sal duplica la cantidad de almacenamiento y computación requeridas.

Seguridad en los Sistemas Informáticos

Módulo 4. Sistemas de verificación e identificación Página 38
SAML El Lenguaje de Marcado para Confirmaciones de Seguridad, conocido como SAML,
(pronunciado como "sam-el") es un estándar abierto que define un esquema XML para el
intercambio de datos de autenticación y autorización. Usualmente las partes que intervienen
en el intercambio son un proveedor de identidad y un proveedor de servicio. SAML es un
producto del comité OASIS (Security Services Technical Committee).

SHA Secure Hash Algorithm, o Algoritmo de Hash Seguro, es una familia de funciones hash de
cifrado publicadas por el Instituto Nacional de Estándares y Tecnología (NIST). La primera
versión del algoritmo fue creada en 1993 con el nombre de SHA, aunque en la actualidad se la
conoce como SHA-0 para evitar confusiones con las versiones posteriores. La segunda versión
del sistema, publicada con el nombre de SHA-1, fue publicada dos años más tarde.
Posteriormente se han publicado SHA-2 en 2001 (formada por diversas funciones: SHA-224,
SHA-256, SHA-384, y SHA-512) y la más reciente, SHA-3, que fue seleccionada en una
competición de funciones hash celebrada por el NIST en 2012. Esta última versión se
caracteriza por ser la que más difiere de sus predecesoras.

Seguridad en los Sistemas Informáticos

Módulo 4. Sistemas de verificación e identificación Página 39
BIBLIOGRAFÍA

[1] Suite shadow: http://www.tldp.org/HOWTO/Shadow-Password-HOWTO-3.html, Julio 2014.

[2] Introducción a las tarjetas inteligentes:

http://sumitdhar.blogspot.de/2004/11/introduction-to-smart-cards.html, Julio 2014.

[3] Tutorial de tarjetas inteligentes: http://www.smartcardbasics.com/, Julio 2014.

[4] ¿Qué es la biometría? – Documentos informativos:

http://www.aware.com/es/biometrics/whitepapers/wab_identity-trust.html, Julio 2014.

[5] D. Hardt (Ed.), "The OAuth 2.0 Authorization Framework", IETF RFC 6749, Octubre 2012.

[6] http://openid.net/, Julio 2014

[7] http://saml.xml.org/, Julio 2014

Seguridad en los Sistemas Informáticos

Módulo 4. Sistemas de verificación e identificación Página 40