La biometría es el conjunto de métodos y técnicas, que toman como referencia los rasgos físicos y conductuales, para determinar e identificar de forma inequívoca a una persona, es decir, utiliza los puntos únicos que nos diferencian a unas personas de otras como, por ejemplo, el iris, las huellas dactilares, el rostro, la forma de hablar, etc.

En la actualidad, la tecnología ha permitido automatizar y perfeccionar estos procesos de reconocimiento biométrico, de forma que tienen multitud de aplicaciones y finalidades en gran parte referidas la seguridad.

​Las tecnologías biométricas se definen como métodos automáticos utilizados para reconocer a personas sobre la base del análisis de sus características físicas o de comportamiento.

Dependiendo de la técnica biométrica empleada, los parámetros considerados son diferentes: los surcos de la huella dactilar, la geometría de la mano, la voz, la imagen facial, etc. De estos parámetros se extrae un patrón único para cada persona, que será el que se utilice para posteriores comparaciones.

Las tecnologías biométricas se aplican en dos fases: registro y autenticación. Las características biométricas empleadas deben tener las siguientes propiedades:

1. universalidad, todos los individuos la tienen.
2. singularidad o univocidad: distinguen a cada individuo.
3. permanencia en el tiempo y en distintas condiciones ambientales.
4. medibles de forma cuantitativa.

Y las tecnologías para medir estas características deben proporcionar: 

• rendimiento: nivel de exactitud. 
• aceptación: por parte del usuario.
• resistencia: al fraude y a la usurpación.

El proceso de registro en el sistema que los individuos deben realizar de su identidad  es el siguiente:  

1. Captura de los parámetros biométricos. 
2. Procesamiento creando una plantilla con las características personales de los parámetros capturados.
3. Inscripción de la plantilla procesada guardándola en un medio de almacenamiento adecuado. Una vez que la inscripción está completa, el sistema puede autenticar a las personas mediante el uso de la plantilla. 

Los principales rasgos biométricos que se tienen en cuenta para poder reconocer e identificar a una persona respecto de otra, se agrupan en dos tipos:
​

1. Fisiológicos: como la huella dactilar, la voz, el rostro de la persona, el iris y la retina del ojo, la palma de la mano o vascular (a través de las venas y sus ramificaciones de la mano).
2. Conductuales: por ejemplo, la firma, la escritura, ya sea a mano o mediante las pulsaciones de teclado, la voz o la forma de andar de la persona.

​Tecnologías biométricas fisiológicas
​
Son las tecnologías conseguidas mediante la medición directa de algún rasgo físico del cuerpo humano para identificar a las personas. 

• Huella dactilar

Esta identificación es la más antigua de las técnicas biométricas y se ha utilizado en un gran número de aplicaciones debido a que se considera que las huellas dactilares son únicas  e inalterables.

Es el rasgo biométrico más utilizado para autenticación. Se han desarrollado una amplia gama de tecnologías de captura, con distintas características de funcionamiento. Además, tiene como ventajas su alta tasa de precisión y su facilidad de uso.

Existen dos tipos de técnicas de búsqueda en las huellas dactilares:

Basadas en minucias: Esta técnica basa su mecanismo de autenticación en las «minucias», es decir, en determinadas formas fácilmente identificables existentes en la huella dactilar. 

Basadas en correlación: Esta técnica analiza el patrón global seguido por la huella dactilar, es decir, el esquema general del conjunto de la huella.

• Reconocimiento facial

​Es una técnica mediante la cual se reconoce a una persona a partir de una imagen o una fotografía. Para llevarlo a cabo, se utilizan programas de cálculo que analizan rostros humanos. 

Algunos de los aspectos empleados para la comparación son las mediciones como la distancia entre los ojos, la longitud de la nariz o el ángulo de la mandíbula.

• Reconocimiento de iris

​El escaneado del iris se lleva a cabo con una cámara de infrarrojos especializada que ilumina el ojo realizando una fotografía de alta resolución. A partir de lo anterior, utiliza las características del iris humano para verificar la identidad de un individuo. 

Las peculiaridades del iris no se modifican y están marcados desde el nacimiento, por lo que es una de las técnicas más resistentes al fraude. Además, son muy complejos y contienen grandes cantidades de información. 
​

• Reconocimiento de la geometría de la mano 

Esta tecnología se basa en la forma de la mano para confirmar la identidad de un individuo. Su funcionamiento consiste en la captura realizada por una serie de cámaras que toman imágenes en 3D de la mano desde diferentes ángulos. 

Algunas de las características que se almacenan son las curvas de los dedos, su grosor y longitud, la altura y la anchura del dorso de la mano, las distancias entre las articulaciones y la estructura ósea en general.

• Reconocimiento de retina

​Se basa en la utilización del patrón de los vasos sanguíneos de la retina. El hecho de que cada patrón sea único (incluso en gemelos idénticos al ser independiente de factores genéticos) y que se mantenga invariable a lo largo del tiempo, la convierten en una técnica idónea para entornos de alta seguridad.

• Reconocimiento vascular

​En la biometría vascular se extrae el patrón biométrico a partir de la geometría del árbol de venas del dedo o de las muñecas.  Este patrón es interno, por esta razón no deja rastro y sólo se puede conseguir en presencia de la persona.

​Tecnologías biométricas conductuales

• Reconocimiento de firma

Esta técnica analiza la firma manuscrita para confirmar la identidad del usuario firmante. Existen dos variantes a la hora de identificar a las personas según su firma:

1. Comparación simple: se analiza el grado de parecido entre dos firmas, la original y la que está siendo verificada.
2. Verificación dinámica: se hace un análisis de la forma, la velocidad, la presión de la pluma/bolígrafo y la duración del proceso de firma. 

• Reconocimiento de voz

Estas aplicaciones de reconocimiento de voz usan sistemas de inteligencia artificial (redes neuronales) para identificar voces. Los algoritmos deben medir y estimar la similitud entre las muestras para conseguir un resultado o una lista de posibles candidatos. 

Este método está más extendido en sistemas de respuesta por voz y en centros de atención de llamadas telefónicas (call centers) que en el control de acceso físico a edificios o a redes y equipos informáticos. 

• Reconocimiento de escritura del teclado

Esta técnica se basa en la existencia de un patrón de escritura en un teclado que es permanente y propio de cada individuo. Se mide la fuerza de tecleo, la duración de la pulsación y el periodo de tiempo que pasa entre que se presiona una tecla y otra.

La principal ventaja de esta técnica es la escasa inversión que requiere ya que los ordenadores forman parte de nuestra vida cotidiana.

• Reconocimiento de la forma de andar 

Es una técnica en desarrollo que toma como referencia la forma de caminar de una persona. Este acto se graba y se somete a un proceso analítico que genera una plantilla biométrica única derivada de dicho comportamiento. 

Los dispositivos móviles se han convertido en un complemento indispensable en nuestro día a día, en dichos aparatos se almacenan grandes e importantes cantidades de información que pueden ser susceptibles de sufrir robos o pérdidas.

El riesgo que supone la sustracción o extravío puede comprometer la seguridad de la persona que es propietaria de esa información, además de implicar a terceras personas relacionadas con el propietario del smartphone.

Datos almacenados en smartphones

Los dispositivos móviles (smartphones, tabletas y smartwatches) almacenan una parte importante de la información que poseemos de nuestro día a día, ya que en numerosas ocasiones utilizamos las diferentes apps para hacer anotaciones o ellas mismas están autorizadas a monitorizar nuestra actividad y movimientos.

Por lo anterior es recomendable controlar los permisos que en muchas ocasiones se dan de manera generaliza a las aplicaciones, ya que se pueden comprometer datos sensibles tales como cuentas bancarias u  otras cuentas que albergan datos sensibles sobre nuestra persona o sobre terceros.

La información que maneja un smartphone y que recopila de distintas apps ayuda al dispositivo a recopilar datos sobre el usuario. Derivados de los primeros aparecen los metadatos que proporcionan información adicional sobre los primeros, como por ejemplo longuitud del mensaje, autor o localización .

Existen herramientas informáticas que permiten analizar y guardar los metadatos para identificar patrones de comportamiento, hábitos, relaciones y detalles personales. 

​Protección de información en dispositivos móviles  
​

• Protección física del dispositivo

Son las medidas que el propio propietario del dispositivo puede implantar para proteger la información en caso de robo o pérdida.

Una de las primeras acciones que se pueden realizar para garantizar la seguridad de los dispositivos es el uso de contraseñas para desbloquear nuestro dispositivo. También se puede realizar por medio de patrones de desbloqueo o de números.

La segunda capa de protección que se puede utilizar para evitar que los ciberdelincuentes accedan a nuestros datos sería descargar aplicaciones “antirrobo o pérdida”. Estás aplicaciones deben ser descargadas en plataformas oficiales y es necesario tenerlas siempre actualizadas.

• Gestión de cuentas de usuario

Los dispositivos Android tienen una ventaja frente a los sistemas Apple, la posibilidad de guardar varias cuentas de usuario en un mismo dispositivo.

Las ventajas de tener varios usuarios son:

• La posibilidad de compartir nuestros dispositivos con otros usuarios, manteniendo en cada cuenta una configuración concreta.
• Los datos quedan guardados de forma privada, por lo que es imposible acceder a ellos desde otra cuenta de usuario.
• Disponer de una selección de aplicaciones distinta para cada cuenta. Por ejemplo, podrían tener una cuenta de control parental, otra para gestiones y trámites, o para ocio.


• Creación de copias de seguridad

La creación de copias de seguridad es una de las maneras más útiles de mantener toda la información a salvo y disponible en todo momento. Es recomendable realizar copias en diferentes formatos como puede ser en dispositivos extraíbles o en crearlos en la nube que permiten configurarse para que determinados archivos se copien de manera diaria o periódica.

Otro formato para realizar copias de seguridad es almacenar de forma física directamente en el ordenador, o en un disco duro externo.
​

• Cifrado de la información

Consiste en hacer que la información contenida no sea accesible a personas no autorizadas a leer, modificar o borrar el contenido. Una vez producido el cifrado, la música, vídeos, fotos y los datos de las aplicaciones sólo serán accesibles si se introduce la contraseña o el código PIN con el que se haya configurado el dispositivo en el proceso de cifrado realizado con anterioridad.

Descarga de apps
​

• Revisar quién es el desarrollador de la app. 

Las empresas o desarrolladores conocidos ofrecen mayores garantías de seguridad, pero es recomendable comprobar que redirigen a un sitio seguro. 
​

• Prestar atención a los comentarios.

El número de comentarios de una app y como son los mismos nos ayuda a conocer si la aplicación es fiable y no se trata de una app falsa, que generará problemas en su posterior descarga. 
​

• Comprobar el número de descargas.

Una app conocida con pocas descargas puede llegar a ser una copia de dudosa autoría. 

Una vez que ya tenemos descargada la aplicación en cuestión es importante poner en práctica una serie de buenas prácticas para evitar dar más información de la que queremos, y que se use con fines maliciosos podemos llevar a cabo lo siguiente:

1. Leer los "términos y condiciones", es decir, analizar que permisos vamos a permitir en nuestro dispositivo antes de utilizarlos. 
2. Controlar los permisos que damos a los aplicaciones instaladas.
3. Comprobar con anterioridad que lo compartido en la red no contiene ningún dato visible que ponga al descubierto información que no queremos compartir.
4. Deshabilitar en el dispositivo el acceso a la ubicación de la cámara.

Una VPN o red privada virtual permite crear una red local segura sin necesidad de que sus integrantes estén conectados físicamente entre sí, sino a través de Internet.

En sentido más estricto una Red Privada Virtual es un servicio mediante el cual nuestro equipo se conecta a otro que hace de intermediario (el servidor VPN) entre nosotros y los servicios y páginas web de Internet a los que accedemos (como por ejemplo Gmail, Facebook, Dropbox, etc.).

Las Redes Privadas Virtuales, dividen la conexión en dos partes o zonas, la primera va desde nuestro equipo hasta el servidor VPN y la segunda desde el servidor VPN hasta el servidor o servicio al que nos vamos a conectar.

Dentro de las dos zonas en las que se divide nuestra VPN, la primera es la más susceptible a sufrir un ataque y robo de nuestra información

Una VPN se utiliza para proteger la información que se intercambia estableciendo un túnel de comunicación segura entre el cliente y el servidor. Es recomendable su utilización cuando usamos conexiones no confiables como redes wifi públicas, ya que protege nuestra información mediante el cifrado.

Tipos de VPN

1. Aplicaciones cliente/ servidor, diseñadas para acceder mediante HTTP a los datos almacenados en el servidor.
2. Puertas de enlace VPN que permiten el acceso HTTP a las aplicaciones del servidor que no poseen un interfaz nativo basado en web.
3. Puertas de enlace VPN que actúan como proxy web de tunneling, aceptando las conexiones HTTP provenientes de la aplicación cliente, eliminan el encabezado HTTP del protocolo nativo cliente/ servidor y lo reenvían al servidor.
4. Conexiones VPN de acceso remoto que usan SSL y transportan todos los protocolos de red.

Teletrabajo y VPN

El teletrabajo precisa de un determinado nivel de seguridad que es necesario establecer para mantener un intercambio de información seguro; y que es posible conseguir mediante el uso de determinados controles dentro de la conexión VPN.

Las metodologías de seguridad más utilizadas para reforzar las debilidades de seguridad de las VPN son:

• Autenticación de los usuarios y dispositivos

El usuario debe autentificarse antes de poder acceder a cualquier parte de la red, por ello es recomendable utilizar un sistema de autoidentificación complementario al aportado por el sistema operativo utilizado por el operador en cuestión para proteger la información existente.

• Pruebas de carga

​Es recomendable realizar pruebas en entornos simulados para conocer y controlar el número máximo de usuarios conectados a la vez a la misma red. Lo anteriormente citado es necesario para brindar la mejor experiencia y evitar posibles demoras, malas conexiones u otros fallos. 

Además es igualmente necesario realizar una evaluación de distintos aspectos como la conectividad, autenticación, aplicaciones, gestión o registro.
​

• Protección del entorno del cliente

El cliente VPN desde su ordenador personal no goza de la protección frente a virus y ataques de la que el entorno empresarial dispone dentro de una red.  Por ello es necesario dotar de herramientas que puedan hacer frente a las posibles amenazas como un antivirus propio o control de acceso. 

• Control de dispositivos

​Los dispositivos utilizados para el teletrabajo deben ser corporativos y no personales, ya que es necesario que cumplan con las políticas de seguridad implantadas por la organización. Si es necesario usar los dispositivos personales se deberán implantar y seguir las medidas necesarias para mantener un buen funcionamiento.

Las buenas prácticas y el sentido común, la implantación de un software actualizado y legítimo, el uso de contraseñas seguras, realización de copias de seguridad periódicamente, políticas antirrobo y de cifrado de la información; son algunas de las acciones que debe llevar a cabo el trabajador de para trabajar de manera segura. 

• Control de acceso

​El acceso en remoto a la información se deberá realizar mediante la validación de la identidad y la autenticación para evitar la suplantación de la identidad de algún miembro de una organización. 

• Gestión de permisos y roles

El uso de los diferentes roles asignados en función del cargo que ostenta y de la actividad que lleva a cabo cada miembro de una organización, son recomendables para evitar accesos indebidos a información o herramientas especialmente durante el teletrabajo. 

• Monitorización de la actividad de red

La detección de actividad sospechosa dentro de una red se lleva a cabo mediante la realización de distintas comprobaciones sobre acciones cotidianas dentro de una entorno de trabajo. Este control se realiza mediante el análisis de  intentos recurrentes de autenticación fallida, accesos simultáneos, descargas de datos, intentos de accesos a recursos no autorizados o intentos de ejecución remota desde clientes VPN, etc.

Todo lo anterior se produce para detectar y tomar las medidas oportunas contra acciones inapropiadas que puedan comprometer la seguridad de una organización. 

• Operaciones y mantenimiento

Los procesos operacionales que son útiles para mantener la seguridad del teletrabajo y el acceso en remoto son: 

1. Comprobar las actualizaciones y parches de los componentes del software de acceso remoto, y adquirir, probar y desplegar las actualizaciones.
2. Reconfigurar  las opciones de control de acceso cuando sea necesario.
3. Analizar y documentar las anomalías detectadas dentro de la infraestructura de acceso remoto.

 

• Red móvil

Es una alternativa disponible en caso de urgencia y de no disponer de una implementación de conexión segura establecida VPN, sería la utilización de redes móviles proporcionadas por la organización. Estas conexiones 4G son más seguras, ya que la seguridad de red va intrínseca. 

• Videoconferencias

Las reuniones son una parte importante para el desarrollo de la actividad de una organización. Durante el teletrabajo, las opciones de comunicación audiovisual disponibles son varias: a través de red LAN o WAN por infraestructura local o en la nube, terminales hardware o aplicaciones software ejecutándose desde diferentes terminales.

Las modalidades bajo infraestructura son aquellas que funcionan como cliente-servidor. Las locales se refieren a soluciones específicas de la organización, gestionadas y alojadas en sus propios servidores; mientras que en la nube son aquellas provistas por un proveedor a modo de suscripción, dejando en sus manos la disponibilidad, seguridad y soporte.

Ventajas e inconvenientes de una VPN

Ventajas

• Privacidad y confidencialidad: una conexión con un servidor VPN no permite acceder a nuestra información. 
• Integridad: nuestros datos se encuentran cifrados por lo que no se pueden modificar. 

Inconvenientes

• En los servidores gratuitos, el servidor VPN nos puede proporcionar una dirección IP de otro país, por lo que muchos sitios web modifican el idioma ya que interpretarán que estamos cargando la página desde ese país.
  
• La comunicación suele ser más lenta que si fuera directa, y en caso de servicios gratis limitan la velocidad y la cantidad de datos que podemos transferir. En los servicios de pago no suele haber limitaciones de transferencia de datos, aunque la velocidad, auque disminuirá siempre en comparación con una conexión directa a través de fibra óptica o ADSL.

Un navegador web es un software, aplicación o programa que permite el acceso a Internet, interpretando la información recogida de distintos archivos y sitios webs para hacerlos visibles.

La funcionalidad más importante de los navegadores web es permitir la visualización de textos que en la mayoría de los casos tienen incrustados elementos multimedia. Además, permite visitar páginas web y realizar distintas acciones en las mismas.

Los documentos mostrados en un navegador pueden estar guardados en el dispositivo desde el cual se accede a la red o situarse en la propia red.

La tecnología de los navegadores web se ha ido incrementando en los últimos años, lo que ha supuesto una mejora de sus funciones provocando que nuestras búsquedas sean más sencillas y rápidas. Otra de las mejoras es la usabilidad conseguida, lo que se ha llevado a cabo mediante la recopilación de los datos de los usuarios.  

Los navegadores se caracterizan por ser el lugar donde se almacenan más datos sobre nuestra actividad en la red, por lo que es necesario tomar medidas de seguridad para que nuestros datos estén protegidos frente a posibles amenazas. Por ello, las páginas web registran todas las acciones realizadas en Internet. 

Mecanismos de los navegadores para recopilar información

• Cookies:

Son pequeños archivos de información que se intercambian entre páginas web y navegadores. Permiten identificar y recordar a un usuario haciendo que estos datos se mantengan en la configuración del navegador utilizado, así consiguen recavar datos más específicos sobre el usuario.  
​

• Historial de navegación web:

Los navegadores poseen un historial de todas las páginas que ha visitado un usuario a través de su dispositivo. Lo anteriormente citado favorece que el navegador auto complete términos concretos que se utilizan habitualmente. 

• Historial de ubicación y búsquedas:

Se basa en la sincronización de las diferentes cuentas que posee una persona en distintos dispositivos para que sea posible acceder a determinados contenidos sin importar el medio desde el que se realice.

• Historial de descargas:

Es la recopilación de todas las descargas realizadas en un dispositivo, lo que se traduce en conocer una serie de datos de los usuarios.

• Imágenes y datos en caché:

Los navegadores recopilan información y datos de las imágenes utilizadas para agilizar la carga de los contenidos de una página concreta en el momento en el que una persona los requiere.  

• Datos de contraseñas y formularios:

Los datos de los usuarios relativos a sus contraseñas se almacenan para que se pueda utilizar en un futuro, sin necesidad de volver a escribir la información provista con anterioridad.
 
Extensiones en los navegadores

1. HTTPS: protocolo de seguridad que aplica medidas de cifrado de transmisión segura.
2. Toolbar: barra de herramientas que aparece en la parte superior de tu navegador.
3. Extensiones: son un tipo de software que permite personalizar los navegadores web.
4. Notificaciones: son avisos, mensajes o noticias que puede enviar una página web o una aplicación.
5. HTML: es el principal lenguaje utilizado para crear y dar formato a las páginas web.
6. Motor de búsqueda: es un software para buscar contenidos en Internet.
7. Historial de navegación: histórico de todas las páginas web que has visitado, y de la actividad online.
8. Pop ups: son ventanas emergentes (normalmente de publicidad) que aparecen de manera repentina durante la navegación.
9. Cookie: es una información que se intercambia entre tu navegador y una página web para identificarte y ofrecerte una experiencia de navegación personalizada. 
10. Addons: son extensiones, complementos y pluggins que añaden funcionalidades extras al navegador. 
11. Caché: Almacena la información de las webs que visitas para reducir el tiempo de carga. 

La privacidad en Internet es una de las preocupaciones más extendidas entre los usuarios, ya que todo lo que hacemos en esta red deja un rastro que muy difícilmente se puede borrar. Por ello, es importante llevar a cabo determinadas acciones orientadas a prevenir una difusión generalizada de datos privados, que resulta muy valiosa para otras personas y posibles ciberdelincuentes.

Para evitar esta difusión es importante seguir una serie de consejos:

• Tener cuidado con la información que se publica: cuando se comparte una información en la red esta escapa del control de su emisor y todo el mundo puede acceder a ella.
• Configurar adecuadamente las propiedades de privacidad presentes en los distintos perfiles sociales de los que dispone un individuo.
• Conocer tus derechos: La Ley de protección de datos (LOPD) obliga a todas las empresas españolas a proteger tus  datos , por lo que cada individuo debe estar al tanto de cada una de las políticas vigentes en cada empresa.
• Proteger tus  dispositivos  de posibles ataques o robos de información. Es recomendable tener especial atención con el uso de los mismos en lugares públicos.
• Si alguna información que aparece sobre tu persona en la red te perjudica puedes ejercer el derecho al olvido, es decir, solicitar al servicio donde se encuentra que proceda a su retirada.  

Riesgos de no proteger la privacidad

La información personal que se puede encontrar en internet en gran parte ha sido suministrada  a través de nuestros perfiles personales en redes sociales, publicaciones en blogs (en la actualidad en desuso) o foros. Debido a lo anterior, es recomendable ser conscientes y ser precavidos a la hora de dar conocer datos personales.

A continuación se muestran una serie de recomendaciones:

• Datos personales: no se debemos facilitar ni el DNI o el pasaporte en la red, ya que los datos se pueden utilizar para realizar fraudes o cometer delitos. 
• Correo electrónico: poseer un correo electrónico público lleva consigo la llegada masiva de spam y posibles fraudes económicos. 
• Datos bancarios: no es recomendable dar a conocer nuestros datos bancarios en páginas no facilitar esta información a través del correo electrónico. 
• Ubicación geográfica: publicar los lugares donde solemos ir puede provocar que alguien malintencionado conozca nuestras rutinas, y puedan utilizar estos datos  para realizar hechos delictivos.
• Fotografías y vídeos: las fotografías personales poseen información muy relevante que pueda dar datos de nuestra vida y de nuestras rutinas.   ​

La privacidad en los dispositivos móviles

La seguridad en los dispositivos móviles supone una de las preocupaciones más importantes ya que son utilizados de manera masiva , y cada vez en edades más tempranas. Por ello se recomienda seguir una serie de medidas para proteger la información que guardan en su interior: 

1. Utilizar un método de bloqueo de pantalla y  cifrar la información para evitar un posible robo de información.
2. Usar herramientas de seguridad que pueden ayudar a localizar un dispositivo robado. Además permite bloquear el mismo, y en algunas ocasiones eliminar la información que se guarda en su interior.
3. Realizar copias de seguridad en otro soporte, para que la información no se pierda en caso de robo o extravío.