®

Uso de la biometría para el restablecimiento de contraseñasAumente la seguridad y la simplicidad a la hora de restablecer una contraseña.

Información legal

Ninguna parte de este documento puede copiarse o reproducirse de ninguna manera ni por ningún medio sin el previo consentimiento por escrito de ImageWare Systems, Inc. (“ImageWare”). ImageWare no da ninguna garantía con respecto a esta documentación y renuncia a toda garantía implícita de comercialización o aptitud para un propósito particular. La información de este documento puede sufrir modificaciones sin previo aviso. ImageWare no se responsabiliza por ningún error que pueda aparecer en este documento. Periódicamente, los productos de ImageWare que se describen en este documento pueden sufrir modificaciones. Es ilegal distribuir digitalmente o de cualquier otra forma este documento a terceros.

Restricciones

Este software y la documentación relacionada se le proporcionan a usted en virtud de un contrato de licencia, y su uso está expresamente condicionado al usuario de conformidad con los términos de dicho contrato de licencia. Es ilegal copiar, publicar o proveer de cualquier otra forma el contenido de cualquier documento, base de datos, formato de distribución o aplicación, excepto para su propio uso o respaldo, sin autorización escrita por parte de ImageWare.

Información de marcas registradas

Todo el contenido está protegido por derechos de autor. Copyright © 2016 ImageWare Systems, Inc. Todos los derechos reservados.

GoVerifyID, IWS Biometric Engine, GoMobile Interactive, CloudID, GoCloudID, EPI Builder, EPI Suite, EPI Web, ImageWare, IWS y pillphone son marcas registradas de ImageWare Systems, Inc.

Patentes de ImageWare

Para ver una lista completa de las patentes de ImageWare Systems, visite iwsinc.com/resources/intellectual-property/.

© ImageWare Systems Inc. (Rev. 1.2) 3

Según el simposio NDSS (Seguridad de Redes y Sistemas Distribuidos)1, el usuario promedio tiene 25 cuentas en línea, pero usa solo 6 o 7 contraseñas, y entre el 43 % y el 51 % de los usuarios reutilizan las contraseñas.

El 80 % de las violaciones a la seguridad de los datos no ocurren por ataques de virus o piratas informáticos, sino por el uso de una contraseña conocida que facilita la infiltración.2

Un grupo de piratas informáticos accedió a 1.200 millones de nombres de usuario y contraseñas y a más de 500 millones de direcciones de correo electrónico en uno de los robos de datos e información confidencial más grandes de la historia.3

Según estudios de la industria, el personal de una mesa de ayuda puede tardar, al menos, 40 minutos para restablecer una contraseña manualmente. Además, el 50 % de los pedidos realizados a las mesas de ayuda están relacionados con el restablecimiento de una contraseña.4

Para las empresas, el restablecimiento manual de una contraseña puede generar riesgos y costos significativos, entre ellos, los siguientes:

Menor productividad La empresa sufre un letargo generalizado si el restablecimiento de una contraseña afecta de manera negativa la productividad del usuario (cuando la espera para resolver el inconveniente es larga y durante horario laboral). La situación puede ser peor si ocurre fuera del horario laboral, ya que el personal de la mesa de ayuda suele estar ocupado o ya se ha ido.

Baja satisfacción de los clientes Por lo general, cuando la contraseña de un cliente queda bloqueada, el personal de atención al cliente no puede ayudar. Eso puede poner en riesgo los acuerdos de nivel de servicio y aumenta el potencial de perder clientes.

Riesgo de suplantación de identidad Cuando los clientes restablecen sus contraseñas manualmente, la potencial exposición de datos críticos aumenta el riesgo de que un pirata informático los utilice para la suplantación de identidad.

Problemas de rastreo El rastreo manual de contraseñas puede ser problemático y generar infracciones de regulación y de auditoría.

Uso de recursos de TI En promedio, el trabajo del personal de la mesa de ayuda de TI en restablecimientos de contraseñas equivale a $125.000 anuales4 (2.500 restablecimientos a $50 cada uno). Muchas veces, los recursos de la mesa de ayuda deben ser asignados y reasignados de un proyecto a otro, y eso insume tiempo y dinero.

1 “The Tangled Web of Password Reuse” (La intrincada red de las contraseñas reutilizadas), Universidad de Illinois 2014, jbonneau.com, goo.gl/938Roz (en inglés).

2 “Self-Service Password Management” (Administración de autoservicios de contraseñas), NetWrix 2014, netwrix.com, goo.gl/qOusZ3(en inglés).

3 “Russian Hackers Amass Over a Billion Internet Passwords” (Piratas informáticos rusos capturan más de mil millones de contraseñas de Internet), New York Times 2014, nytimes.com, goo.gl/rt8KE3 (en inglés).

4 “Reduce IBM i Help Desk Costs with Self Service Password Reset” (Cómo reducir los costos de la mesa de ayuda de IBM con el autoservicio de restablecimiento de contraseñas), 2015, seasoft.com, goo.gl/4cnD2k (en inglés).

Las contraseñas son costosasVivimos en un mundo hiperconectado y orientado a la tecnología. Casi todos somos capaces de estar conectados en prácticamente cualquier momento y lugar. Con semejante nivel de conectividad, cabe preguntarse qué tanta seguridad tenemos. Todos los días, usamos múltiples dispositivos para iniciar sesión en diversos portales: Facebook, Gmail, PayPal, cuentas comerciales, sitios web de proveedores de atención de la salud y otros.

¿Crea contraseñas que usa solo una vez?

¿Sus contraseñas tienen más de 12 caracteres?

¿Contienen su nombre real o de usuario?

¿Incluyen números y letras en mayúscula y minúscula?

¿Incluyen caracteres especiales? (Caracteres como @$%&!*).

¿Cambia todas sus contraseñas cada tres meses?

¿Su contraseña es fácil de adivinar?

¿Sabe cuántas contraseñas tiene?

Usuario promedio de Internet

Cada usuario tiene unas 25 cuentas en línea

4 © ImageWare Systems Inc. (Rev. 1.2)

Tipos de restablecimiento de contraseñasActualmente, muchas empresas usan herramientas de PM (gestión de contraseñas) para que los usuarios restablezcan su contraseña. Además, las herramientas de PM permiten sincronizar las contraseñas de los usuarios en múltiples aplicaciones usando una misma contraseña.

• Autoservicio de restablecimiento de contraseñas (SSPR) En general, se realiza por pedido del usuario final.

$$$$

$

Dos grandes clases de restablecimiento de contraseñas

• Restablecimiento manual de contraseñas En general, lo realiza el personal de atención al cliente o de la mesa de ayuda de TI.

La funcionalidad de SSPR es muy utilizada porque permite ahorrar bastante en costos y reduce el trabajo del personal. En general, se considera que el SSPR es el primer nivel de soporte, seguido por el restablecimiento manual de contraseñas. Cabe destacar que la funcionalidad SSPR de las herramientas de PM no reduce la cantidad de contraseñas que el usuario debe recordar ni simplifica las complicaciones que sufre el usuario a raíz de las complejas políticas de contraseñas. Este documento habla de esa funcionalidad: el autoservicio de restablecimiento de contraseñas.

© ImageWare Systems Inc. (Rev. 1.2) 5

HALLAZGOS PRINCIPALESA continuación, presentamos un resumen de los enfoques más utilizados para el restablecimiento de contraseñas. El resumen incluye las ventajas y desventajas asociadas a cada uno.

Método tradicional Generalmente comienza cuando el cliente contacta a la mesa de ayuda luego de comunicarse con atención al cliente. Los usuarios llaman a atención al cliente y responden una serie de preguntas predeterminadas (preguntas basadas en conocimiento). Es un enfoque costoso porque hay que considerar los gastos que genera la asistencia de más empleados de atención al cliente. Pero solo ofrece una “ilusión de seguridad”, ya que algunas respuestas de las preguntas predeterminadas se pueden hallar en las redes sociales o las pueden adivinar amigos o familiares.

Método automatizado Hay tres formas automatizadas de restablecer una contraseña:

1 En línea 2 Por correo electrónico

3 Por mensaje de texto

Estos métodos tienen como objetivo automatizar el restablecimiento de contraseñas e incluyen estrategias como responder preguntas predeterminadas en un navegador, enviar una contraseña temporal a una dirección de correo electrónico o enviar un mensaje a un número de teléfono móvil. Estos enfoques suelen ser bastante prácticos, pero carecen casi totalmente de seguridad.

Enfoques seguros de restablecimiento automático de contraseñas

Dispositivos/Tokens con contraseñas de un solo uso (OTP). Los tokens RSA son un buen ejemplo de esta categoría. Un usuario lleva un dispositivo adicional que muestra una serie de números que cambian de tanto en tanto. Este enfoque aumenta ligeramente la seguridad, pero es una estrategia costosa para la empresa. Se agrega otra capa de infraestructura y es poco práctico para los usuarios, ya que deben estar pendientes de un dispositivo con un único propósito, leer los códigos y volver a ingresarlos una y otra vez.

Datos biométricos Usar características físicas en vez de una contraseña para la autenticación del usuario es el método más práctico. No puede olvidarse de sus características físicas: usted es la contraseña. El rostro, la voz, las huellas dactilares, el iris y las venas de la palma de la mano son algunas de las características físicas únicas de cada persona. Y siempre las llevamos con nosotros.

Identificación biométrica multimodal Usar solo un parámetro biométrico no provee la flexibilidad y la adaptabilidad suficientes para diversos casos de uso, como usar solo autenticación por voz en un entorno ruidoso o solo reconocimiento facial en un lugar oscuro. Además, al combinar el uso de varias características biométricas, se aumenta significativamente el nivel de seguridad.

La tabla 2 compara varios enfoques de restablecimiento de contraseñas. Las soluciones que brindan el nivel más alto de seguridad y conllevan los costos más bajos usan datos biométricos multimodales.

MÉTODO Ventajas Desventajas

En línea Practicidad

Adopción masiva

Falta de seguridad

Respuestas a preguntas predeterminadas que alguien podría adivinar fácilmente (amigos, contactos de redes sociales, etc.)

Respuestas a preguntas que quedaron desactualizadas (como el número telefónico del usuario de hace 10 años) se pueden olvidar fácilmente

Por correo electrónico

Practicidad

Adopción masiva

Falta de seguridad

Acceso de un pirata informático al correo electrónico o a la contraseña

Método de ataque común

Por mensaje de texto

Practicidad

Autenticación fuera de banda

Falta de seguridad

Complejidad del código clave

Acceso de un pirata informático o de un ladrón a un dispositivo robado o extraviado

Tabla 1: Comparación de tipos de restablecimiento automático de contraseñas

Personal de la mesa de ayuda

Preguntas secretas

Mensaje de correo

electrónico

Mensaje de texto

Dispositivo/ tokens

Un solo dato biométrico

Varios datos

biométricos

Costos del trabajo de TI $$$$$ $$$$$ $$$$$ $$$$$ $$$$$ $$$$$ $$$$$

Dificultad de configuración para el usuario

Alta Alta Alta Alta Alta Baja Baja

Dificultad de uso para el usuario Alta Alta Alta Alta Alta Baja Baja

Propensión a robos/extravíos Variable Variable Baja Sí Sí No No

Nivel de seguridad ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★ ★★★★★

Tabla 2: Comparación de tipos de restablecimiento de contraseñas

6 © ImageWare Systems Inc. (Rev. 1.2)

ELEMENTOS CRÍTICOS DE UNA SOLUCIÓN DE BIOMETRÍA La biometría es como una contraseña personal que nunca podrá olvidar, que no podrá perder y que nunca le podrán robar. Los usuarios ya no necesitan recordar las respuestas a sus propias preguntas de restablecimiento de contraseña ni llevar siempre consigo un dispositivo de token que solo tiene una función. Tampoco es necesario que vuelvan a ingresar una contraseña temporal compleja.

A la hora de evaluar las soluciones de seguridad de biometría, los criterios mínimos que se deben considerar incluyen los siguientes: autenticación multifactor, biometría multimodal, almacenamiento anónimo de características biométricas, comparaciones basadas en la nube, escalabilidad, resultados en tiempo real y versatilidad.

Autenticación multifactor Combina información basada en conocimiento (algo que el usuario sabe), un dispositivo físico (algo que el usuario tiene) y datos biométricos (características físicas).

Biometría multimodal Utiliza más de un dato biométrico (como el rostro o la voz) para brindar un nivel de precisión considerablemente mayor al verificar la identidad.

Almacenamiento anónimo de características biométricas Almacena información de biometría de forma anónima (separada de cualquier tipo de información que identifique al usuario) con el objetivo de que la información no tenga valor en caso de ser vulnerada.

Comparaciones basadas en la nube Si bien el uso de la biometría aumenta considerablemente el nivel de precisión al verificar la identidad, es necesario garantizar la seguridad de los datos biométricos. Las imágenes biométricas almacenadas en dispositivos móviles o computadoras pueden ser robadas electrónicamente. Almacenarlas en un centro de datos seguro aumenta significativamente el nivel de protección de esos datos.

Escalabilidad y rendimiento Solo un sistema biométrico de gran escalabilidad ofrece resultados en tiempo real.

Versatilidad La solución de datos biométricos debe adaptarse a los procesos corporativos existentes.

GoVerifyID DE IMAGEWARE OFRECE RESTABLECIMIENTO AUTOMÁTICO DE CONTRASEÑAS GoVerifyID permite añadir datos biométricos al proceso existente de autoservicio de restablecimiento de contraseñas.

Por ejemplo, para restablecer una contraseña, el usuario debe decir una frase previamente registrada, como “Soy María López y vivo en México” y/o tomarse una selfie.

El usuario elige los datos biométricos que le permitirán validar su identidad y restablecer su contraseña.

Beneficios clave de esta solución:

Mayor seguridad El restablecimiento de contraseñas será el procedimiento interno de TI más seguro gracias a la autenticación multifactor y fuera de banda.

Menores gastos de mesa de ayuda Al reducir la necesidad de que el personal de la mesa de ayuda restablezca contraseñas, una empresa puede ahorrar hasta un 50 % en trabajo realizado por la mesa de ayuda.5

Experiencia de usuario mejorada Restablecer la contraseña puede ser tan sencillo como decir “Mi voz restablecerá mi contraseña”.

Cómo funciona el restablecimiento automático de contraseñas1 Se inicia el restablecimiento de la contraseña.

2 Se envía una notificación a la aplicación para dispositivos móviles de GoVerifyID registrada por el usuario.

3 Se le solicita al usuario que envíe sus datos biométricos para la correspondiente autenticación.

4 Según el resultado de autenticación, se niega o se aprueba el restablecimiento de la contraseña.

1 2 3 4!

Notificación del usuario

Autenticación de datos biométricos

Restablecimiento de la contraseña

?

Nueva contraseña

5 “Reduce IBM i Help Desk Costs with Self Service Password Reset” (Cómo reducir los costos de la mesa de ayuda de IBM con el autoservicio de restablecimiento de contraseñas), 2015, seasoft.com, goo.gl/4cnD2k (en inglés).

© ImageWare Systems Inc. (Rev. 1.2) 7

RESUMEN Cuando se trata del restablecimiento de contraseñas, es crucial elegir soluciones que provean el más alto nivel de seguridad, la mejor experiencia de usuario y compatibilidad con los procesos de la empresa. Como las características biométricas no se pueden compartir con otros, los administradores experimentados utilizan esta tecnología para la protección de datos y la autenticación de identidad cuando es vital asegurar los datos y el sistema. Los desafíos que suponen el uso de contraseñas complejas y distintos tipos de tokens para la autenticación de usuario, especialmente en dispositivos móviles, aumenta el interés en los métodos de autenticación biométrica.

Al combinar la biometría multimodal con una tecnología móvil y en la nube, se puede obtener el mayor nivel de seguridad, practicidad y usabilidad para el autoservicio de restablecimiento de contraseñas. GoVerifyID de ImageWare combina esas características y es la mejor herramienta del mercado para el autoservicio de restablecimiento de contraseñas.

Si añade GoVerifyID a su solución para restablecimiento de contraseñas, contará con autenticación fuera de banda y verificación de identidad biométrica multimodal en los dispositivos móviles. Esto proporciona el más alto nivel de seguridad y una gran practicidad a la hora de restablecer contraseñas. Es una solución muy segura, escalable y fácil de configurar que brinda resultados en tiempo real.

Acerca de ImageWare

ImageWare Systems®, Inc. es un desarrollador líder de soluciones móviles y basadas en la nube para la gestión de la identidad que ofrece tecnologías biométricas utilizadas en autorizaciones seguras y en la labor de las autoridades. La línea de productos biométricos patentados de ImageWare es escalable para la implementación a nivel mundial e incluye Biometric Engine®, un motor biométrico multimodal independiente de hardware y de algoritmos. Además, permite el registro y la administración de poblaciones sin límite de tamaño. Los productos de identificación de ImageWare se utilizan para administrar y emitir autorizaciones seguras, como documentos de identificación nacionales, pasaportes, licencias de conducir, tarjetas inteligentes y autorizaciones de control de acceso. Los productos para fichas policiales digitales de ImageWare les brindan a las autoridades herramientas que integran fotos de prontuario, tecnología de escaneo digital de huellas dactilares y funciones de investigación. ImageWare tiene sede en San Diego (California, EE. UU.), y oficinas en Portland (Oregón, EE. UU.) y Washington (District of Columbia, EE. UU.); Ottawa y Ontario (Canadá); y México.

Para obtener más información acerca de ImageWare Systems, Inc., visite iwsinc.com.

Contáctenos

@iwsinc

linkedin.com/company/imageware-systems-inc

facebook.com/imagewaresystems