Seminario_t850si.pdf
-
Upload
grupoochogrupoocho -
Category
Documents
-
view
28 -
download
0
Transcript of Seminario_t850si.pdf
-
5/21/2018 Seminario_t850si.pdf
1/200
i
UNIVERSIDAD TCNICA DE AMBATO
FACULTAD DE INGENIERA EN SISTEMAS ELECTRNICA E INDUSTRIAL
CARRERA DE INGENIERA EN SISTEMAS COMPUTACIONALES E
INFORMTICOS
TEMA:
VULNERABILIDADES DE LOS RELOJES BIOMTRICOS EN LOS
REGISTROS DEL PERSONAL PARA LA PROTECCIN DE LA
INFORMACIN EN DETERMINADAS EMPRESAS DE AMBATO.
Proyecto de Trabajo de Graduacin. Modalidad: SEMINARIO, presentado previo a la
obtencin del ttulo de Ingeniero en Sistemas Computaciones e Informticos.
AUTOR: GEOVANNY FERNANDO FONSECA VELASCO.
PROFESOR REVISOR: ING RENE TERN.
AMBATOECUADOR
2013
-
5/21/2018 Seminario_t850si.pdf
2/200
ii
Aprobacin del tutor
En mi calidad de Tutor del trabajo de investigacin sobre el tema:
VULNERABILIDADES DE LOS RELOJES BIOMTRICOS EN LOS
REGISTROS DEL PERSONAL PARA LA PROTECCIN DE LA INFORMACIN
EN DETERMINADAS EMPRESAS DE AMBATO, del seor GEOVANNY
FERNANDO FONSECA VELASCO egresado de la carrera de INGENIERA EN
SISTEMAS INFORMTICOS Y COMPUTACIONALES, de la FACULTAD DE
INGENIERA EN SISTEMAS, ELECTRNICA E INDUSTRIAL, de la UNIVERSIDAD
TCNICA DE AMBATO, considero que el informe investigativo rene los requisitos
suficientes para que contine con los trmites y consiguiente aprobacin de conformidad el
Art. 16 del Captulo II, del Reglamento de Graduacin para obtener el ttulo terminal de
Tercer Nivel de la UNIVERSIDAD TCNICA DE AMBATO.
Ambato, Noviembre 4 del 2013
Atentamente,
.
Ing. Rene Tern
-
5/21/2018 Seminario_t850si.pdf
3/200
iii
Autora del trabajo
Los criterios emitidos en el trabajo de investigacin titulada VULNERABILIDADES DE
LOS RELOJES BIOMTRICOS EN LOS REGISTROS DEL PERSONAL PARA LA
PROTECCIN DE LA INFORMACIN EN DETERMINADAS EMPRESAS DE
AMBATO, es absolutamente original, autentico y personal en tal virtud los contenidos,
ideas, anlisis, conclusiones y propuesta son de exclusiva responsabilidad de mi persona,
como autor de este trabajo de grado.
Ambato, Noviembre 4 del 2013
Atentamente,
.
Geovanny Fernando Fonseca Velasco
C.I.1600521825
-
5/21/2018 Seminario_t850si.pdf
4/200
iv
Aprobacin de la comisin
La comisin calificadora del presente trabajo conforma por los seores docentes
...., reviso y aprob el informe final del
trabajo de graduacin titulado "VULNERABILIDADES DE LOS RELOJES
BIOMTRICOS EN LOS REGISTROS DEL PERSONAL PARA LA PROTECCIN
DE LA INFORMACIN EN DETERMINADAS EMPRESAS DE AMBATO",
presentado por el seor GEOVANNY FERNANDO FONSECA VELASCOde acuerdo
al Art. 17 del Reglamento de Graduacin para Obtener el Ttulo Terminal de Tercer Nivel
de la Universidad Tcnica de Ambato.
Ing. Edison lvarez
PRESIDENTE DEL
TRIBUNAL
Ing. Clay Aldas Ing. Teresa Freire
DOCENTE
CALIFICADOR
DOCENTE
CALIFICADOR
-
5/21/2018 Seminario_t850si.pdf
5/200
v
Dedicatoria
Dedico el presente trabajo de investigacin a mis Padres, quien con su amor, sacrificio, y
paciencia, han sabido Orientarme para caminar por las difciles etapas de mi vida, Nexo que
ha sido vital en mis estudios; y a mi querido Incondicional hermano quien con su cario
siempre me ha incentivado en mi desarrollo como persona y as terminar mi carrera
profesional con xito y satisfaccin.
Geovanny Fonseca
-
5/21/2018 Seminario_t850si.pdf
6/200
vi
Agradecimiento
Dedico esta tesis a DIOS porque ha estado conmigo a cada paso que doy, cuidndome y
dndome fortaleza para continuar, a mis padres y mi hermano quien con sus apoyos me
incentivaron para mi desarrollo personal y profesional, a lo largo de mi vida han velado por
mi bienestar y educacin siendo pilares fundamentales en cada momento, es por ello que soy
lo que soy ahora, tambin quiero agradecer a mis compaeros de curso que supieron
brindarme sus conocimientos y experiencias, para poder realizar este proyecto, y a la
Universidad Tcnica de Ambato que me dio la oportunidad de especializarme e incrementar
mis conocimientos en lo que concierne a Ingeniero en Sistemas Computacionales.
Tambin exteriorizo un agradecimiento especial a m Director de Tesis ya que gracias a su
profesionalismo y experiencia me ha sabido orientar y dirigir en el desarrollo de este
proyecto de investigacin.
Geovanny Fonseca
-
5/21/2018 Seminario_t850si.pdf
7/200
vii
ndice
Aprobacin del tutor .......................................................................................................................... ii
Autora del trabajo ............................................................................................................................. iii
Aprobacin de la comisin ................................................................................................................ iv
Dedicatoria ......................................................................................................................................... v
Agradecimiento ................................................................................................................................. vi
ndice ................................................................................................................................................ vii
ndice de figuras ................................................................................................................................. x
ndice de tablas ................................................................................................................................ xiv
Resumen Ejecutivo ........................................................................................................................... xv
Introduccin .................................................................................................................................... xvi
CAPTULO I ...................................................................................................................................... 1
El Problema .................................................................................................................................... 1
1.1. Tema ............................................................................................................................... 1
1.2. Planteamiento del problema ........................................................................................... 1
1.2.1. Contextualizacin ................................................................................................... 1
1.2.2. Anlisis Critico ....................................................................................................... 3
1.2.3. Prognosis ................................................................................................................ 3
1.2.4. Formulacin del Problema ..................................................................................... 41.2.5. Preguntas Directrices.............................................................................................. 4
1.2.6. Delimitacin ........................................................................................................... 4
1.3. Justificacin .................................................................................................................... 5
1.4. Objetivo .......................................................................................................................... 6
1.4.1. General ................................................................................................................... 6
1.4.2. Especficos ............................................................................................................. 6
CAPTULO II .................................................................................................................................... 7
Marco Terico ................................................................................................................................ 72.1. Antecedentes investigativos ........................................................................................... 7
2.2. Fundamentacin legal .................................................................................................... 7
2.3. Fundamentacin terica ................................................................................................. 9
2.3.1. Fundamentacin variable independiente ................................................................ 9
Sistemas Biomtricos ....................................................................................................... 10
Seguridad en Sistemas Biomtricos ................................................................................. 15
Vulnerabilidades de los Relojes Biomtricos ................................................................... 16
2.3.2. Fundamentacin variable dependiente ................................................................. 21Gestin de la Informacin ................................................................................................ 21
-
5/21/2018 Seminario_t850si.pdf
8/200
viii
Registro de informacin ................................................................................................... 25
Proteccin de la informacin............................................................................................ 26
2.3.3. Fundamentacin ................................................................................................... 28
Huellas dactilares ............................................................................................................. 28
Herramientas de bsqueda de vulnerabilidades para los relojes biomtricos .................. 34
Seleccin de herramientas ................................................................................................ 41
2.4. Hiptesis ....................................................................................................................... 41
2.5. Sealamiento de las variables....................................................................................... 42
2.5.1. Variable independiente ......................................................................................... 42
2.5.2. Variable dependiente ............................................................................................ 42
CAPTULO III ................................................................................................................................. 43
Marco Metodolgico .................................................................................................................... 43
3.1. Enfoque ........................................................................................................................ 43
3.2. Modalidades bsicas de la investigacin ...................................................................... 43
3.3. Tipos de investigacin .................................................................................................. 44
3.4. Poblacin y muestra ..................................................................................................... 44
3.5. Operacionalizacin de variables ................................................................................... 45
3.6. Recoleccin de anlisis de la informacin ................................................................... 47
3.7. Procesamiento y anlisis de informacin ..................................................................... 48
CAPTULO IV ................................................................................................................................. 49
Anlisis e interpretacin de resultados ......................................................................................... 49
4.1. Anlisis de los resultados. ............................................................................................ 49
4.2. Interpretacin ............................................................................................................... 57
CAPTULO V .................................................................................................................................. 58
Conclusiones y recomendaciones ................................................................................................. 58
Conclusiones ............................................................................................................................ 58
Recomendaciones ..................................................................................................................... 59
CAPTULO VI ................................................................................................................................. 60Propuesta ...................................................................................................................................... 60
6.1. Datos Informativos ....................................................................................................... 60
6.2. Antecedentes de la propuesta ....................................................................................... 60
6.3. Justificacin .................................................................................................................. 61
6.4. Objetivos de la propuesta ............................................................................................. 63
6.4.1. Objetivos generales .............................................................................................. 63
6.4.2. Objetivos especficos............................................................................................ 63
6.5. Anlisis de factibilidad ................................................................................................. 636.6. Fundamentacin terica ............................................................................................... 64
-
5/21/2018 Seminario_t850si.pdf
9/200
ix
Manuales .............................................................................................................................. 64
Clasificacin de manuales .................................................................................................... 66
6.7. Anlisis de vulnerabilidades en los relojes biomtricos ............................................... 68
6.7.1. Suplantacin de la huella dactilar. ........................................................................ 68
6.7.2. Borrado de informacin del reloj biomtrico. ...................................................... 79
6.7.3. Alteracin de informacin en la base de datos del software de control del
personal. 86
6.7.4. MANUAL BSICO DE CONFiguraCIONES .................................................... 95
RELOJ BIOMTRICO .................................................................................................... 95
SOFTWARE DE CONTROL ........................................................................................ 120
6.7.4.1. Conexiones Ethernet ...................................................................................... 133
6.7.4.2. Forma correcta de colocar la huella dactilar en el lector ptico..................... 134
6.7.4.3. PROCEDIMIENTOS DE UTILIZACIN DEL RELOJ BIOMTRICO Y
DEL SOFTWARE.............................................................................................................. 135
FORMATO DE PRESENTACIN DE LOS PROCEDIMIENTOS ............................ 135
PROCEDIMIENTOS ..................................................................................................... 137
CAPTULO VII ............................................................................................................................. 161
Conclusiones y recomendaciones ............................................................................................... 161
Conclusiones .......................................................................................................................... 161
Recomendaciones ................................................................................................................... 162
Glosario de trminos ...................................................................................................................... 163
Bibliografa .................................................................................................................................... 166
-
5/21/2018 Seminario_t850si.pdf
10/200
x
ndice de figuras
Figura 1.1. rbol de Problemas ................................................................. ........................................................ 3
Figura 2.2. Juan Vucetich ................................................................................................................................ 29
Figura 2.3. Epidermis y Dermis de una Huella ............................................................................................... 30Figura 2.4. Sistemas dactilares ........................................................................................................................ 31
Figura 2.5. Puntos singulares de la huella dactilar .......................................................................................... 32
Figura 2.6. Arco............................................................................................................................................... 32
Figura 2.7. Presilla interna ............................................................... ................................................................ 33
Figura 2.8. Presilla externa .............................................................................................................................. 33
Figura 2.9. Verticilo ........................................................................................................................................ 34
Figura 2.10. Logo Nessus ..................................................... ................................................................. .......... 35
Figura 2.11. Anlisis en Nessus....................................................................................................................... 36
Figura 2.12. Ultraport ...................................................................................................................................... 37
Figura 2.13. Wireshark .................................................................................................................................... 37
Figura 2.14. Backtrack .................................................................................................................................... 38
Figura 2.15. Attendance Management ........................................................ ..................................................... 40
Figura 2.16. Reporte del sistema ..................................................................................................................... 40
Figura 4.17. Pastel de porcentajes de la pregunta 1 ......................................................... ................................ 50
Figura 4.18. Pastel de porcentajes de la pregunta 2 ......................................................... ................................ 51
Figura 4.19. Pastel de porcentajes de la pregunta 3 ......................................................... ................................ 52
Figura 4.20. Pastel de porcentajes de la pregunta 4 ......................................................... ................................ 53Figura 4.21. Pastel de porcentajes de la pregunta 5 ......................................................... ................................ 54
Figura 4.22. Pastel de porcentajes de la pregunta 6 ......................................................... ................................ 55
Figura 4.23. Pastel de porcentajes de la pregunta 7 ......................................................... ................................ 56
Figura 6.24. Creacin del molde de una huella ..................................................................................... .......... 71
Figura 6.25. Molde de yeso ............................................................................................................................. 71
Figura 6.26. Relleno de silicona ...................................................................................................................... 72
Figura 6.27. Huella duplicada ......................................................................................................................... 73
Figura 6.28: Huella duplicada ......................................................................................................................... 73
Figura 6.29. Primera base ................................................................................................................................ 75
Figura 6.30. Pasta liviana ................................................................................................................................ 75
Figura 6.31. Segundo molde ............................................................ ................................................................ 76
Figura 6.32. Molde con pasta odontolgica..................................................................................................... 76
Figura 6.33. Pantalla de ingreso al programa ................................................................. ................................ 80
Figura 6.34. Pantalla del software ................................................................................................................... 81
Figura 6.35. Pantalla de cambio de IP ........................................................ ..................................................... 81
Figura 6.36. Conectar a un dispositivo ............................................................................................................ 82
Figura 6.37. Conectado el dispositivo ............................................................................................................. 82Figura 6.38: Propiedades del dispositivo .............................................................. ........................................... 83
-
5/21/2018 Seminario_t850si.pdf
11/200
xi
Figura 6.39. Pantalla de propiedades del dispositivo....................................................................................... 83
Figura 6.40. Pantalla del reloj biomtrico bloqueada ...................................................................................... 85
Figura 6.41. Limpiar privilegios ................................................................ ...................................................... 85
Figura 6.42. Reloj biomtrico sin acceso del administrador. ................................................................ ........... 86
Figura 6.43. Directorio de instalacin del sistema Atendance Manager ......................................................... 87Figura 6.44. Pantalla de la base de datos ......................................................................................................... 87
Figura 6.45. Tabla ATTPARAM ................................................................ ..................................................... 88
Figura 6.46. Muestra en el software ................................................................................................................ 88
Figura 6.47. OTPARAM ................................................................................................................................. 89
Figura 6.48. Muestra en el sistema donde afecta los cambios realizados ....................................................... 89
Figura 6.49. Machines ..................................................................................................................................... 90
Figura 6.50. Informacion que se puede verificar en el sistema. ...................................... ................................ 90
Figura 6.51. HOLIDAYS ................................................................................................................................ 91
Figura 6.52. Muestra en el sistema la informacin que se puede manipular ................................................... 91
Figura 6.53. SCHCLASS ................................................................................................................................ 92
Figura 6.54. Muestra en el sistema .................................................................................................................. 92
Figura 6.55. USER_SPEDAY ......................................................................................................................... 93
Figura 6.56. Muestra en el sistema .................................................................................................................. 93
Figura 6.57. ATTCHECKIN.EN ..................................................................................................................... 94
Figura 6.58. Vista del ATTCHECKIN.EN ........................................................... ........................................... 94
Figura 6.59. Muestra en el sistema .................................................................................................................. 95
Figura 6.60. Reloj biomtrico .......................................................... ................................................................ 96Figura 6.61. Teclado ............................................................. ................................................................. .......... 96
Figura 6.62. Parlantes posteriores.................................................................................................................... 98
Figura 6.63. Puertos USB y Boton de reseteo ................................................................................................. 98
Figura 6.64. Puertos .............................................................. ................................................................. .......... 99
Figura 6.65. Bateria de respaldo o UPS ................................................................ ......................................... 100
Figura 6.66. Adaptador de luz ....................................................................................................................... 100
Figura 6.67. Soporte del dispositivo biomtrico .............................................................. .............................. 100
Figura 6.68. Pantalla principal ......................................................... .............................................................. 101
Figura 6.69. Registro de huellas dactilares ........................................................... ......................................... 101Figura 6.70. Registro de tarjetas de proximidad .............................................................. .............................. 102
Figura 6.71. Pantalla de ingreso a un nuevo usuario ..................................................................................... 102
Figura 6.72. Colores de los LEEDS .............................................................................................................. 103
Figura 6.73. Opcion de gestin de usuarios .......................................................... ......................................... 104
Figura 6.74. Borrar un usuario ...................................................................................................................... 104
Figura 6.75. Opciones de borrado ................................................................................................................. 105
Figura 6.76. Pantalla de comunicaciones ...................................................................................................... 105
Figura 6.77. Opciones del direccionamiento IP ............................................................... .............................. 106
Figura 6.78. Configuracion del sistema ................................................................ ......................................... 107
-
5/21/2018 Seminario_t850si.pdf
12/200
xii
Figura 6.79. Opcin del sistema .................................................................................................................... 108
Figura 6.80. Opcin datos ............................................................................................................................. 108
Figura 6.81. Tipo de borrados de la informacin .......................................................................................... 109
Figura 6.82. Opcin de actualizacin ............................................................................................................ 109
Figura 6.83. Opcin de teclado...................................................................................................................... 110Figura 6.84. Opciones de las teclas de funcin ............................................................................................. 110
Figura 6.85. Opcin del displey .................................................................................................................... 111
Figura 6.86. Opciones de la configuracin del displey ............................................................... ................... 111
Figura 6.87. Opcin de reseteo ...................................................................................................................... 112
Figura 6.88. Tipo de reseteos ........................................................................................................................ 112
Figura 6.89. Opcin de timbres ..................................................................................................................... 113
Figura 6.90. Configuracin de timbres .......................................................................................................... 113
Figura 6.91. Opcin de alimentacin .......................................................... ................................................... 114
Figura 6.92. Configuracion de la alimentacin ............................................................................................. 114
Figura 6.93. Opcin de fecha y hora ............................................................................................................. 115
Figura 6.94. Configuracin de la fecha y hora .............................................................................................. 115
Figura 6.95. Opcin de pendrive ................................................................................................................... 116
Figura 6.96. Opciones de pendrive ................................................................................................................ 116
Figura 6.97. Opcin de autotest ................................................................. .................................................... 117
Figura 6.98. Tipos de autotest ....................................................................................................................... 118
Figura 6.99. Opcin de registros ................................................................................................................... 118
Figura 6.100. Opcin de informacin del sistema ......................................................................................... 119Figura 6.101. Informacin del sistema .......................................................................................................... 120
Figura 6.102 Icono del software biomtrico ......................................................... ......................................... 120
Figura 6.103. Pantalla del software biomtrico ............................................................... .............................. 120
Figura 6.104. Ingreso al sistema ATTENDANCE MANAGEMENT........................................................... 121
Figura 6.105. Opcin de la base de datos ...................................................................................................... 122
Figura 6.106. Configuracin de la base de datos ............................................................. .............................. 122
Figura 6.107. Dispositivos ............................................................... .............................................................. 123
Figura 6.108. Administracin de dispositivos ................................................................. .............................. 123
Figura 6.109. Mantenimiento de empleados.................................................................................................. 124Figura 6.110. Ventana de empleados .......................................................... ................................................... 125
Figura 6.111. Creacin de departamentos ..................................................................................................... 126
Figura 6.112. Manejo de departamentos ....................................................................................................... 126
Figura 6.113. Horarios .......................................................... ................................................................. ........ 127
Figura 6.114: ADMINISTRACIN DE HORARIOS .................................................................................. 127
Figura 6.115. Turnos ..................................................................................................................................... 129
Figura 6.116. CREACIN DE TURNOS ..................................................................................................... 129
Figura 6.117: Turnos ..................................................................................................................................... 130
Figura 6.118. Asignacin de turnos ............................................................ ................................................... 130
http://c/Users/Geovanny%20Fonseca/Dropbox/Personales/tesis%20fernando/imprimir/Tesis-2013.docx%23_Toc367431755http://c/Users/Geovanny%20Fonseca/Dropbox/Personales/tesis%20fernando/imprimir/Tesis-2013.docx%23_Toc367431755http://c/Users/Geovanny%20Fonseca/Dropbox/Personales/tesis%20fernando/imprimir/Tesis-2013.docx%23_Toc367431755 -
5/21/2018 Seminario_t850si.pdf
13/200
xiii
Figura 6.119. Men Overtime para acceder a sacar reportes ................................................................ ......... 131
Figura 6.120. Reportes generado ................................................................ ................................................... 132
Figura 6.121. Respaldo ......................................................... ................................................................. ........ 132
Figura 6.122. Conexin mediante un switch o hup ............................................................................... ........ 133
Figura 6.123. Conexin directa ..................................................................................................................... 133Figura 6.124. Forma correcta de marcar ................................................................ ........................................ 134
Figura 6.125. Forma incorrecta de marcar..................................................................................................... 135
-
5/21/2018 Seminario_t850si.pdf
14/200
xiv
ndice de tablas
Tabla 3.1. Detalle de las Empresas de Ambato ............................................................................................... 45
Tabla 3.2. Operacionalizacin de las variables ............................................................................................... 46
Tabla 3.3. Mtodos de investigacin ............................................................................................................... 47Tabla 3.4. Tcnicas de investigacin .......................................................... ..................................................... 47
Tabla 3.5. Recoleccin de la informacin ....................................................................................................... 48
Tabla 4.6. Frecuencias de la pregunta 1 .......................................................................................................... 49
Tabla 4.7. Frecuencias de la pregunta 2 .......................................................................................................... 51
Tabla 4.8. Frecuencias de la pregunta 3 .......................................................................................................... 52
Tabla 4.9. Frecuencias de la pregunta 4 .......................................................................................................... 53
Tabla 4.10. Frecuencias de la pregunta 5 ........................................................................................................ 54
Tabla 4.11. Frecuencias de la pregunta 6 ........................................................................................................ 55
Tabla 4.12. Frecuencias de la pregunta 7 ........................................................................................................ 56
Tabla 6.13. Lista de materiales ........................................................ ................................................................ 70
Tabla 6.14. Lista de materiales ........................................................ ................................................................ 72
Tabla 6.15. Lista de materiales ........................................................ ................................................................ 74
Tabla 6.16. Lista de materiales ........................................................ ................................................................ 77
Tabla 6.17. Tipo de suplantaciones ................................................................................................................. 78
Tabla 6.18. Procedimiento 1 ............................................................ .............................................................. 138
Tabla 6.19. Procedimiento 2 ............................................................ .............................................................. 140
Tabla 6.20. Procedimiento 3 ............................................................ .............................................................. 142Tabla 6.21. Procedimiento 4 ............................................................ .............................................................. 145
Tabla 6.22. Procedimiento 5 ............................................................ .............................................................. 148
Tabla 6.23. Procedimiento 6 ............................................................ .............................................................. 151
Tabla 6.24. Procedimiento 7 ............................................................ .............................................................. 153
Tabla 6.25. Procedimiento 8 ............................................................ .............................................................. 155
Tabla 6.26. Procedimiento 9 ............................................................ .............................................................. 157
Tabla 6.27. Procedimiento 10 .......................................................... .............................................................. 160
-
5/21/2018 Seminario_t850si.pdf
15/200
xv
Resumen Ejecutivo
El presente trabajo de investigacin tiene como objetivo principal Analizar las posibles
vulnerabilidades de los Relojes Biomtricos en el registro del personal a fin de realizar un
manual para su uso procedimientos de utilizacin y configuraciones.
La investigacin se fundamenta en informacin necesaria para obtener los resultados de las
posibles vulnerabilidades existentes en los relojes biomtricos mediante estudios de campo
y experimentos como la suplantacin de una huella dactilar y su comprobacin en los
dispositivos. De igual manera se utilizaron herramientas informticas para la identificacin
de vulnerabilidades.
Como parte de la experimentacin se ha realizado la suplantacin de una huella dactilar
dando como conclusin que si se puede realizar marcaciones con huellas falsas siempre y
cuando estn hechas de material flexible.
El trabajo es de gran importancia porque contribuir con la informacin de las posibles
vulnerabilidades que tiene los Relojes Biomtricos, para la cual se ha planteado un manual
de configuracin y de procedimientos de utilizacin y configuracin del dispositivo y su
software de control ATTENDANCE MANAGEMENT.
-
5/21/2018 Seminario_t850si.pdf
16/200
xvi
Introduccin
El objetivo de cualquier sistema de control de acceso es permitir la entrada del personal
autorizado a sitios o lugares especficos. Los sistemas de acceso basados en tarjetas de
proximidad o carnets pueden autorizar pero no pueden distinguir quien porta el carnet o
tarjetas de proximidad. Los sistemas que usan nmeros de identificacin personal slo
requieren que un individuo se sepa un nmero especfico para otorgarle acceso. Los
dispositivos biomtricos verifican la identidad de una persona mediante caractersticas
fsicas nicas e inalterables como las dimensiones, caractersticas o medidas de las huellas
digitales u otros tipos de identificaciones como son el reconocimiento de la voz, Iris, Palma
de la mano Rostros faciales.
El presente trabajo de investigacin se centra en el diseo de un Manual de buenas prcticas
de los Sistemas Biomtricos para definir y organizar las funciones que debe cumplir los
usuarios finales. Los sistemas biomtricos se pueden definir como dispositivos o equipos
para el control de personal que son utilizados por muchas empresas para controlar la
asistencia de sus empleados.
La implantacin de un Manual se convierte en el objetivo primordial de este trabajo; con el
fin de que el gerente guie correctamente todas y cada una de las, funciones en la utilizacin
del reloj biomtrico debido que todo sistema esta propenso a vulnerabilidades por ende
puede causar dao. Estas vulnerabilidades no solo se refieren a ataques realizados por
software pues tambin se involucra el factor humano.
La informacin presentada a continuacin, se ha dividido en captulos para facilitar la
comprensin del contenido de este trabajo:
En el primer captulo se describe de manera general el tema de investigacin del
anlisis de las vulnerabilidades del reloj biomtrico, iniciando desde la problemtica
general que presenta sus respectivas variables.
-
5/21/2018 Seminario_t850si.pdf
17/200
xvii
En el segundo captulo se detalla el marco terico, el mismo que contiene toda la
informacin general, comenzando con los antecedentes y el problema de investigacin.
El tercer captulohace referencia a la metodologa aplicada en la investigacin, los
estudios necesarios a realizarse para sustentar la correcta ejecucin, el establecimiento
del campo, la poblacin, muestra y un anlisis contencioso de las variables de
investigacin.
En el cuarto captulose establecen los parmetros necesarios con el objetivo de obtener
resultados, los cuales permitir tener la informacin suficiente para interpretar y verificar
la hiptesis, por lo tanto se pueden confirmar que las vulnerabilidades a los sistemas
biomtricos puede alterar la informacin registrada en los dispositivos biomtricos.
En el quinto captulo se desarrollan las conclusiones y recomendaciones que se
obtuvieron de los resultados de la ejecucin de la investigacin.
Finalmente en el captulo seisse enmarca la propuesta del investigador, lo cual est
desarrollada en base a una investigacin de las vulnerabilidades de los sistemas
biomtricos.
-
5/21/2018 Seminario_t850si.pdf
18/200
1
CAPTULO I
El Problema
1.1. Tema
Vulnerabilidades de los relojes biomtricos en los registros del personal para proteger la
informacin en determinadas empresas de Ambato.
1.2. Planteamiento del problema
1.2.1. Contextualizacin
Los sistemas biomtricos para ser eficaces tienen que disponer de una configuracin
correcta; los empleados deben sentirse motivados para llevar a cabo de manera satisfactoria
el registro en los relojes biomtricos.
El conocimiento de uso de los dispositivos y su configuracin es una parte fundamental para
un buen funcionamiento de los sistemas biomtricos, los mismos que disponen de procesos
complejos en el cual se relacionan los mecanismos psicofisiolgicos con el aspecto
intelectual de la comprensin, puesto que se trata del reconocimiento de caractersticas.
En el mundo moderno cada vez hay una mayor necesidad de mejorar los mtodos de
seguridad informtica y del control de personal, entre otras. Actualmente los sistemas son
-
5/21/2018 Seminario_t850si.pdf
19/200
2
eficaces pero an le falta aceptacin en el medio, estando limitado principalmente por los
costos de algunos productos.
Los relojes biomtricos a nivel mundial cada da van adquiriendo nuevas tecnologas como
el reconocimiento de voz y rasgos faciales, por este motivo las empresas debern estar
preparadas y predispuestas a la utilizacin de estos dispositivos para el control de personal.
Considerando que en nuestro medio existen diversas empresas importantes que disponen de
sistemas biomtricos por ende se ha visto la necesidad de realizar el estudio de anlisis de
vulnerabilidades y guas de buenas prcticas para minimizar posibles impactos, prdidas y
manipulacin de informacin.
Se tuvo conocimientos qu en varias empresas ecuatorianas como: ESUMAN CIA. LTDA.,
CASA PAZMIO S.A., ATIEMPOFFICE CIA. LTDA., entre otras las cuales distribuyen
relojes biomtricos, las mismas que se esfuerzan en comprender las necesidades de cada
empresa las cuales ofrecen dispositivos biomtricos de huellas dactilares o de diferentes
caractersticas para el control de asistencia al personal.
Los sistemas biomtricos seguirn creciendo en toda institucin pblica o privada para
controlar a sus empleados vindose reflejado en un notable crecimiento de adquisicin de
relojes biomtricos por parte de empresas ambateas.
Algunos de los principales problemas de los relojes biomtricos es la incertidumbre de
vulnerabilidades, la disponibilidad de la informacin de las marcaciones, la falta de
seguridad de acceso con los relojes, entre otros por lo que existe la necesidad de disponer de
una gua para la utilizacin correcta del software del reloj y la manipulacin de la
informacin, l mismo que ayudar a realizar un estudio exhaustivo de las polticas de
seguridad as como mejorara los procesos y por ende la calidad de servicios.
-
5/21/2018 Seminario_t850si.pdf
20/200
3
1.2.2. Anlisis Critico
Desconocimiento del
personal encargado
Base de datos
inconsistente
Fcil acceso al reloj
biomtrico
Suplantacin de las huellas dactilares en los relojes
biomtricos en el registro de personal en las
empresas
Malas configuracionesVulnerabilidades de la
informacinMalas configuraciones
Figura 1.1. rbol de Problemas
Fuente: Investigador
El fcil acceso a los relojes biomtricos puede provocar alteraciones, manipulaciones y
daos, los mismos como pueden ser lgicos y fsicos causando incertidumbre a los
administradores y a los empleados por no contar con una informacin adecuada de losregistros y disponibilidad del reloj biomtrico.
Considerando que el reloj biomtrico almacena temporalmente los registros, la mayora de
los sistemas biomtricos disponen de una base de datos centralizada en un computador
personal, que puede ser manipulada fcilmente si no se cuenta con un adecuado control de
acceso.
1.2.3. Prognosis
La falencia del anlisis de vulnerabilidades de los relojes biomtricos podra provocar la
manipulacin de los registros y presentar datos falsos en los ingresos y salidas del personal,
causando molestias ante el personal y posibles prdidas econmicas.
-
5/21/2018 Seminario_t850si.pdf
21/200
4
Por esta razn es necesario implementar polticas y controles que permitan proteger al equipo
e informacin en las empresas.
1.2.4. Formulacin del Problema
Cmo influye la vulnerabilidad de los relojes biomtricos en el registro del personal para
la proteccin de la informacin de las empresas de Ambato en el ltimo trimestre del ao
2011?
1.2.5. Preguntas Directrices
Cmo controlar el fcil acceso a los relojes biomtricos que pueden provocar alteraciones,
manipulaciones y daos, los mismos como pueden ser lgicos y fsicos causando
incertidumbre a los administradores y a los empleados?
Cmo almacena temporalmente los registros en los relojes biomtricos que disponen de una
base de datos centralizada en un computador?
1.2.6. Delimitacin
Terico
-
Campo: Tecnologa y la informtica
- rea: Tecnologa
- Aspecto: Anlisis de los relojes biomtricos
Tiempo
La presente investigacin se desarrollara en un periodo de 6 meses a partir de la aprobacin
del proyecto.
-
5/21/2018 Seminario_t850si.pdf
22/200
5
Espacio
La presente investigacin se desarrolla en la empresa ATIEMPOFFICE CIA. LTDA. De la
ciudad de Ambato donde cuentan con los sistemas biomtricos Marca BIOSYSTEM.
1.3. Justificacin
El proyecto desde el punto de vista tcnico es realizable, ya que est la disposicin en el
mercado los relojes biomtricos de la marca BIOSYSTEM, como tambin del software de
control de personal ATTENDANCE MANAGEMENT que dar soporte a la
implementacin de los objetivos.
Adems existe en la actualidad el personal tcnico capacitado para el manejo de los equipos,
los mismos que se encuentra ubicados especficamente en el rea de soporte tcnico de la
empresa ATIEMPOFFICE CIA. LTDA. Que permite atender de manera oportuna los
requerimientos de los clientes.
Los sistemas biomtricos desempean un papel de vital significacin en las empresas o
instituciones privadas y pblicas en su actividad, ya que es un medio fundamental de
reconocimiento de huellas para el registro del personal siendo de gran importancia.
Finalmente se cuenta con el apoyo de las empresas que disponen de equipos biomtricos,
sus empleados, docentes los conocimientos adquiridos durante la carrera universitaria y la
experiencia lograda durante las prcticas. Se posee adems bibliografa y recursos para la
investigacin de campo, aspectos que hacen viable la investigacin.
Los sistemas biomtricos nos ayudan a corregir las deficiencias que se tienen en los registros
de informacin de cada empleado, as como a desarrollar los mecanismos de configuracin
pero estos sistemas pueden ser mal manipulados o disponer de vulnerabilidades que afecten
los registros.
-
5/21/2018 Seminario_t850si.pdf
23/200
6
1.4. Objetivo
1.4.1. General
Analizar las vulnerabilidades de los Relojes Biomtricos en el registro del personal para la
proteccin de la informacin en determinadas Empresas de Ambato.
1.4.2. Especficos
Realizar un estudio de campo para determinar las vulnerabilidades ms comunes que
presentan los relojes biomtricos en el registro de personal en determinadas Empresas
de Ambato.
Analizar, estudiar y seleccionar las posibles herramientas de bsqueda de
vulnerabilidades para los relojes biomtricos.
Plantear una propuesta que permita el diseo de un manual de procedimientos y
configuracin de utilizacin y configuracin de los relojes biomtricos y del software
que lo administra para evitar la manipulacin de la informacin.
-
5/21/2018 Seminario_t850si.pdf
24/200
7
CAPTULO II
Marco Terico
2.1. Antecedentes investigativos
Al revisar en los archivos de trabajos de investigacin en las bibliotecas de la
UNIVERSIDAD TCNICA DE AMBATO no se han encontrado investigaciones similares.
2.2. Fundamentacin legal
Segn la CONSTITUCIN DE LA REPBLICA DEL ECUADOR DEL 2008dice en
la seccin tercera de Comunicacin e Informacin.
Art. 16.-Todas las personas, en forma individual o colectiva, tienen derecho a:
El acceso y uso de todas las formas de comunicacin visual, auditiva, sensorial y a otras
que permitan la inclusin de personas con discapacidad.
Art. 18.-Todas las personas, en forma individual o colectiva, tienen derecho a:
Buscar, recibir, intercambiar, producir y difundir informacin veraz, verificada,
oportuna, contextualizada, plural, sin censura previa acerca de los hechos,
acontecimientos y procesos de inters general, y con responsabilidad ulterior.
-
5/21/2018 Seminario_t850si.pdf
25/200
8
Mientras en la seccin novenaPersonas usuarias y consumidoras
Art. 52.-Las personas tienen derecho a disponer de bienes y servicios de ptima calidad y
a elegirlos con libertad, as como a una informacin precisa y no engaosa sobre su contenido
y caractersticas.
Art. 53.-Las empresas, instituciones y organismos que presten servicios pblicos debern
incorporar sistemas de medicin de satisfaccin de las personas usuarias y consumidoras, y
poner en prctica sistemas de atencin y reparacin.
Y en el captulo octavoDerechos de proteccin
Art. 78.- Las vctimas de infracciones penales gozarn de proteccin especial, se les
garantizar su no revictimizacin, particularmente en la obtencin y valoracin de las
pruebas, y se las proteger de cualquier amenaza u otras formas de intimidacin. Se
adoptarn mecanismos para una reparacin integral que incluir, sin dilaciones, el
conocimiento de la verdad de los hechos y la restitucin, indemnizacin, rehabilitacin,
garanta de no repeticin y satisfaccin del derecho violado.
Seccin octava - Ciencia, tecnologa, innovacin y saberes ancestrales
Art. 385.-El sistema nacional de ciencia, tecnologa, innovacin y saberes ancestrales, en
el marco del respeto al ambiente, la naturaleza, la vida, las culturas y la soberana, tendr
como finalidad:
Generar, adaptar y difundir conocimientos cientficos y tecnolgicos.
Recuperar, fortalecer y potenciar los saberes ancestrales.
Desarrollar tecnologas e innovaciones que impulsen la produccin nacional, eleven la
eficiencia y productividad, mejoren la calidad de vida y contribuyan a la realizacin del
buen vivir.
-
5/21/2018 Seminario_t850si.pdf
26/200
9
Art. 388.-El Estado destinar los recursos necesarios para la investigacin cientfica, el
desarrollo tecnolgico, la innovacin, la formacin cientfica, la recuperacin y desarrollo
de saberes ancestrales y la difusin del conocimiento.
Un porcentaje de estos recursos se destinar a financiar proyectos mediante fondos
concursables. Las organizaciones que reciban fondos pblicos estarn sujetas a la rendicin
de cuentas y al control estatal respectivo.
2.3. Fundamentacin terica
2.3.1. Fundamentacin variable independiente
Figura 2.1.Subordinacin de la variable independiente
Fuente: Investigador
SistemasBiomtricos
Seguridad enSistemas
Biomtricos
Vulnerabilidades de losRelojes Biomtricos
-
5/21/2018 Seminario_t850si.pdf
27/200
10
Figura 2.2. Anlisis de la variable independiente
Fuente: Investigador
Sistemas Biomtricos
La biometra aplicada al campo de la seguridad consiste en la utilizacin de tecnologas que
hacen uso de mtodos automticos para el reconocimiento de seres humanos basados en uno
o ms rasgos fsicos intrnsecos. La palabra biometra tiene dos significados:
El concepto tradicional de biometra se refiere a la aplicacin de las tcnicas matemticas
y estadsticas al anlisis de datos en las ciencias biolgicas;
Es el estudio de mtodos automticos para el reconocimiento nico de humanos basados
en uno o ms rasgos conductuales o fsicos intrnsecos.
El trmino se deriva de las palabras griegas "bios" de vida y "metron" de medida por lo que
se refiere a todo los equipos biomtricos que mide e identifica las caractersticas propias de
las personas.
El propsito de las tecnologas biomtricas es fundamentalmente la identificacin y la
autentificacin en control de accesos. Las huellas dactilares y los patrones faciales son lascaractersticas fsicas ms fiables y empleadas en la actualidad en sistemas de seguridad.
Vulnerabilidadesde los RelojesBiomtricos
Ataques
Identificaciones
Fase
operacional
Robo deidentidad
-
5/21/2018 Seminario_t850si.pdf
28/200
11
Aunque no son las nicas: las retinas, el iris, las venas de la mano, la geometra de la palma
de la mano o la voz son otras que tambin se emplean.
La "biometra informtica" es la aplicacin de tcnicas matemticas y estadsticas sobre los
rasgos fsicos o de conducta de un individuo, para verificar identidades o para identificar
individuos.
En las tecnologas de la informacin (TI), la autentificacin biomtrica se refiere a las
tecnologas para medir y analizar las caractersticas fsicas y del comportamiento humanas
con propsito de autentificacin.
Otros autores:
Entenderemos por sistema biomtrico a un sistema automatizado que realiza labores de
biometra. Es decir, un sistema que fundamenta sus decisiones de reconocimiento mediante
una caracterstica personal que puede ser reconocida o verificada de manera automatizada.
[1]
Un sistema biomtrico es bsicamente un sistema reconocedor de patrones que opera del
siguiente modo: captura un rasgo biomtrico, extrae un conjunto de caractersticas y lo
comprar con otro conjunto de caractersticas almacenado en una base de datos. Dependiendo
de su finalidad, en un sistema biomtrico puede actuar en dos modos: verificacin e
identificacin [2]
La biometra no se puso en prctica en las culturas occidentales hasta finales del siglo XIX,
pero era utilizada en China desde al menos el siglo XIV. Un explorador y escritor que
responda al nombre de Joao de Barros escribi que los comerciantes chinos estampaban las
impresiones y las huellas de la palma de las manos de los nios en papel con tinta. Loscomerciantes hacan esto como mtodo para distinguir entre los nios jvenes.
-
5/21/2018 Seminario_t850si.pdf
29/200
12
En un sistema de Biometra tpico, la persona se registra con el sistema cuando una o ms
de sus caractersticas fsicas es procesada por un algoritmo numrico, e introducida en una
base de datos. Idealmente, cuando entra, casi todas sus caractersticas concuerdan; entonces
cuando alguna otra persona intenta identificarse, no empareja completamente, por lo que el
sistema no le permite el acceso.
El contexto tecnolgico de la palabra biometra se refiere a la aplicacin automatizada de
tcnicas biomtricas a la certificacin, autenticacin e identificacin de personas en sistemas
de seguridad. Las tcnicas biomtricas se refieren para medir caractersticas corporales o de
comportamiento de las personas con el objeto de establecer identidad.
La biometra busca la automatizacin de tareas que involucran el reconocimiento del
individuo. Las maquinas no evalan ningn otro factor al tomar una decisin, solo se evala
la identidad. Esto resta cualquier factor sujeto que pueda comprometer la seguridad.
Los sistemas de seguridad o sistemas biomtricos utilizan tres mtodos de autenticacin:
Contrasea.
Unas llaves o tarjeta de proximidad.
Huellas dactilares.
Funcionamiento
En un sistema de Biometria tpico, la persona se registra con el sistema cuando una o ms
de sus caractersticas fsicas y de conducta es obtenida, procesada por un algoritmo
numrico, e introducida en una base de datos. Idealmente, cuando entra, casi todas sus
caractersticas concuerdan; entonces cuando alguna otra persona intenta identificarse, noempareja completamente, por lo que el sistema no le permite el acceso. Las tecnologas
-
5/21/2018 Seminario_t850si.pdf
30/200
13
actuales tienen tasas de error que varan ampliamente (desde valores bajos como el 60%,
hasta altos como el 999,9%).
El rendimiento de una medida biomtrica se define generalmente en trminos de tasa:
Tasa de falso positivo (False Acceptance Rate o FAR),
Tasa de falso negativo (False NonMatch Rate o FNMR,
Tasa de falso rechazo (False Rejection Rate o FRR), y
Fallo de tasa de alistamiento (Failure-to-enroll Rate, FTR o FER).
Figura 2.3. Tasa de medidas biomtricas
Fuente: Investigador
En los sistemas biomtricos reales el FAR y el FRR pueden transformarse en los dems
cambiando cierto parmetro. Una de las medidas ms comunes de los relojes biomtricos
reales es la tasa en la que el ajuste en el cual acepta y rechaza los errores es igual: la tasa de
error igual (Equal Error Rate o EER), tambin conocida como la tasa de error de cruce
(Cross-over Error Rate o CER). Cuanto ms bajo es el EER o el CER, se considera que el
sistema es ms exacto [3].
Las tasas de error anunciadas implican a veces elementos idiosincrsicos o subjetivos. Por
ejemplo, un fabricante de relojes biomtricos fij el umbral de aceptacin alto, para reducir
0
0,2
0,4
0,6
0,8
1
1,2
1,4
1,6
0 0,5 1 1,5 2 2,5 3 3,5
Error
Sensivilidad
Tasa de falsa aceptacin
Tasa de falso negativo
-
5/21/2018 Seminario_t850si.pdf
31/200
14
al mnimo las falsas aceptaciones; en la prctica, se permitan tres intentos, por lo que un
falso rechazo se contaba slo si los tres intentos resultaban fallidos (por ejemplo escritura,
habla, etc.), las opiniones pueden variar sobre qu constituye un falso rechazo. Si entro a un
sistema de verificacin de firmas usando mi inicial y apellido, puedo decir legtimamente
que se trata de un falso rechazo cuando rechace mi nombre y apellido?
A pesar de estas dudas, los sistemas biomtricos tienen un potencial para identificar a
individuos con un grado de certeza muy alto. La prueba forense del ADN goza de un grado
particularmente alto de confianza pblica actualmente (ca. 2004) y la tecnologa est
orientndose al reconocimiento del iris, que tiene la capacidad de diferenciar entre dos
individuos con un ADN idntico.
Para realizar la autenticacin biomtrica, primero se debe registrar a los individuos que van
a hacer uso del sistema. Para el registro se utiliza el dispositivo biomtrico para examinar el
atributo fsico o de comportamiento elegido. Un software o firmware se encarga de
cuantificar los datos examinados y transformarlos en datos matemticos. El conjunto de estos
datos matemticos se llama plantilla que identifica al individuo.
La autenticacin posterior se realiza cuando el individuo presenta su rasgo corporal o
muestra su comportamiento ante un dispositivo biomtrico. Nuevamente se cuantifica los
datos del rasgo en una nueva plantilla para compararlos contra la plantilla guardada. La
bsqueda de la plantilla guardada puede realizarse de dos maneras. La primera es una
bsqueda de uno a muchos (1:N), solamente se presenta el rasgo y el sistema se encarga de
buscar entre todas las plantillas guardadas, quien es el individuo, esto es conocido como
identificacin. Este mtodo requiere un mayor tiempo de bsqueda y es utilizado en bases
de datos pequeas. El segundo mtodo es una bsqueda uno a uno (1:1), donde el individuo
presenta adicionalmente su identificacin. El sistema se encarga de buscar la plantilla
guardada que este bajo el nombre o nmero de identificacin solamente, y realiza la
comparacin. Esto es como verificacin, y es utilizado en mayora de las aplicaciones
biomtricas.
-
5/21/2018 Seminario_t850si.pdf
32/200
15
Los relojes biomtricos pueden almacenar un nmero determinado de huellas dactilares que
generalmente puede ser como mximo diez por persona las mismas que son utilizadas para
el control de registro.
Las huellas dactilares son registradas mediante el lector conocida como prisma, donde el
usuario coloca sus dedos uno a uno por un determinado tiempo las misma que el reloj
biomtrico le da una seal de verificacin (ACCESO CORRECTO) o negacin (INTENTE
DE NUEVO) .
Seguridad en Sistemas Biomtricos
Hoy en da la palabra seguridad es muy importante a la hora de hablar de almacenamiento
de informacin crtica en un sistema informtico, esto debido, en gran parte, a la roliferacin
de virus, fallos de seguridad de distintos softwares (Bugs) y programas espas (spyware).
La biometra es una tecnologa de seguridad basada en el reconocimiento de una
caracterstica fsica e intransferible de las personas, que puede ser el reconocimiento del iris,
la identificacin del tono de voz o la utilizacin de la huella dactilar, algo similar a la firma
digital pero en este caso el password es una caracterstica fsica nica e irrepetible como las
mencionadas anteriormente; A dems del importante salto en seguridad que representa,
debemos tener en cuenta una mejora sustancial para el usuario de la PC, no caeremos en el
viejo error de olvidar la clave o simplemente perderla como pasaba o aun sucede hoy en da.
La seguridad informtica, en el rea de la informtica se enfoca en la proteccin de la
infraestructura computacional y todo lo relacionado con sta (incluyendo la informacin
contenida). Por lo que existen estndares, protocolos, mtodos, reglas, herramientas y leyes
concebidas para minimizar los posibles riesgos a la infraestructura o a la informacin. La
seguridad informtica comprende software, bases de datos, metadatos, archivos entre otras
-
5/21/2018 Seminario_t850si.pdf
33/200
16
y signifique un riesgo si sta llega a manos de otras personas. Este tipo de informacin se
conoce como informacin privilegiada o confidencial.
El concepto de seguridad de la informacin no debe ser confundido con el de seguridad
informtica, ya que este ltimo slo se encarga de la seguridad en el medio informtico, pero
la informacin puede encontrarse en diferentes medios o formas, y no solo en medios
informticos. La seguridad informtica es la disciplina que se ocupa de disear las normas,
procedimientos, mtodos y tcnicas destinados a conseguir un sistema de informacin
seguro y confiable.
Vulnerabilidades de los Relojes Biomtricos
Se han comentado extensamente las virtudes que poseen los sistemas biomtricos frente a
los sistemas tradicionales, pero no nos podemos olvidar de las vulnerabilidades que poseen
los sistemas de reconocimiento automtico. A continuacin se citan las diferentes amenazas
a las que se expone un sistema de seguridad en general:
Puenteo del sistema:un usuario no autorizado logra acceso fraudulento al sistema y a
los datos que ste posee
Repudio:el usuario que intenta acceder legtimamente, obtiene negacin de acceso al
sistema.
Contaminacin o adquisicin encubierta:los medios de reconocimiento del usuario
se ven comprometidos por ser usados por el impostor sin conocimiento del usuario
legtimo.
Una vulnerabilidadpor el contrario no es en modo alguno un programa, aunque muchas de
ellas se suelen crear precisamente en la creacin de otros programas. Una vulnerabilidad es
un fallo generalmente en un software que hace que este sea susceptible a un ataque de algn
tipo.
-
5/21/2018 Seminario_t850si.pdf
34/200
17
Las vulnerabilidades son el resultado de bugs o de fallos en el diseo del sistema. Aunque,
en un sentido ms amplio, tambin pueden ser el resultado de las propias limitaciones
tecnolgicas, porque, en principio, no existe sistema 100% seguro. Por lo tanto existen
vulnerabilidades tericas y vulnerabilidades reales (conocidas como exploits).
Las vulnerabilidades en las aplicaciones suelen corregirse con parches o cambios de versin.
En tanto algunas otras requieren un cambio fsico en un sistema informtico.
Las vulnerabilidades se descubren muy seguidas en grandes sistemas, y el hecho de que se
publiquen rpidamente por todo internet. Mientras ms conocida se haga una vulnerabilidad,
ms probabilidades de que existan piratas informticos que quieren aprovecharse de ellas.
Algunas vulnerabilidades tpicas suelen ser:
Vulnerabilidad de desbordamiento de buffer.- Si un programa no controla la cantidad
de datos que se copian en buffer, puede llegar un momento en que se sobrepase la
capacidad del buffer y los bytes que sobran se almacenan en zonas de memoria
adyacentes.
En esta situacin se puede aprovechar para ejecutar cdigo que nos de privilegios de
administrador.
Vulnerabilidad de condicin de carrera (race condition).-Si varios procesos acceden
al mismo tiempo a un recurso compartido puede producirse este tipo de vulnerabilidad.
Es el caso tpico de una variable, que cambia su estado y puede obtener de esta forma un
valor no esperado.
Vulnerabilidad de Cross Site Scripting (XSS).- Es una vulnerabilidad de las
aplicaciones web, que permite inyectar cdigo VBSript o JavaScript en pginas web
vistas por el usuario. El phishing es una aplicacin de esta vulnerabilidad. En el phishingla vctima cree que est accediendo a una URL (la ve en la barra de direcciones), pero
-
5/21/2018 Seminario_t850si.pdf
35/200
18
en realidad est accediendo a otro sitio diferente. Si el usuario introduce sus credenciales
en este sitio se las est enviando al atacante.
Vulnerabilidad de denegacin del servicio.- La denegacin de servicio hace que un
servicio o recurso no est disponible para los usuarios. Suele provocar la prdida de la
conectividad de la red por el consumo del ancho de banda de la red de la vctima o
sobrecarga de los recursos informticos del sistema de la vctima.
Vulnerabilidad de ventanas engaosas (Window Spoofing).-Las ventanas engaosas
son las que dicen que eres el ganador de tal o cual cosa, lo cual es mentira y lo nico que
quieren es que el usuario de informacin. Hay otro tipo de ventanas que si las sigues
obtienen datos del ordenador para luego realizar un ataque.
Para elaborar el anlisis de las vulnerabilidades de forma correcta, se deber primero analizar
las herramientas que se emplearan y se presentar de una manera global y detallada los
aspectos que interesan saber sobre las vulnerabilidades de los Relojes Biomtricos,
procurando tener una mejor informacin y as llegar a optar por posibles soluciones
adecuadas.
Estas amenazas son generalmente el resultado de posibles ataques al sistema sobre distintos
puntos vulnerables de un sistema de reconocimiento biomtrico llevados a cabo por un
agente externo.
Ataques
Diversos grupos de investigacin han hecho un esfuerzo por catalogar y clasificar diferentes
tipos de ataques a los que puede ser sometido un sistema de reconocimiento biomtrico
basado en huella dactilar.
Como es el de sensor
A la base de datos
-
5/21/2018 Seminario_t850si.pdf
36/200
19
Los sistemas biomtricos, a pesar de su aparente alto nivel de seguridad para los usuarios,
presentan un elevado nmero de puntos en los que pueden ser atacados. Recientemente, ante
la proliferacin de los sistemas de reconocimiento biomtrico en aplicaciones de
autenticacin para dispositivos electrnicos y control de acceso, su seguridad ha cobrado
gran relevancia. [4]
Definicin: los sistemas biomtricos igual que cualquier sistema tienes sus ataques como el
suplantar el dedo a travs de gelatina, silicona entre otros.
Identificaciones
La informacin provista por los templates permite particionar su base de datos de acuerdo a
la presencia o no de ciertos patrones particulares para cada indicador biomtrico. Las
"clases" as generadas permiten reducir el rango de bsqueda de algn template en la base
de datos. Sin embargo, los templates pertenecientes a una misma clase tambin presentarn
diferencias conocidas como variaciones intraclase. Las variaciones intraclase implican que
la identidad de una persona puede ser establecida slo con un cierto nivel de confianza. Una
decisin tomada por un sistema biomtrico distingue "personal autorizado" o "impostor".
Para cada tipo de decisin, existen dos posibles salidas, verdadero o falso. Por lo tanto existe
un total de cuatro posibles respuestas del sistema [1]:
Una persona autorizada es aceptada,
Una persona autorizada es rechazada,
Un impostor es rechazado,
Un impostor es aceptado.
Las salidas nmeros 1 y 3 son correctas, mientras que las nmeros 2 y 4 no lo son. El grado
de confidencia asociado a las diferentes decisiones puede ser caracterizado por la
distribucin estadstica del nmero de personas autorizadas e impostores. En efecto, las
estadsticas anteriores se utilizan para establecer dos tasas de errores. [1]
-
5/21/2018 Seminario_t850si.pdf
37/200
20
Definicin: todo sistema biomtrico tiene sus propios patrones de reconocimientos e
identificacin como son el Acceso Correcto, el Acceso Incorrecto o Intente De Nuevo
y Huella duplicada.
Fase operacional
Un sistema biomtrico operando en el modo de verificacin comprueba la identidad de algn
individuo comparando la caracterstica slo con los templates del individuo. Por ejemplo, si
una persona ingresa su nombre de usuario entonces no ser necesario revisar toda la base de
datos buscando el template que ms se asemeje al de l, sino que bastar con comparar la
informacin de entrada slo con el template que est asociado al usuario. Esto conduce a
una comparacin uno-a-uno para determinar si la identidad reclamada por el individuo es
verdadera o no. De manera ms sencilla el modo de verificacin responde a la pregunta:
eres t quin dices ser?
Un sistema biomtrico operando en el modo de identificacin descubre a un individuo
mediante una bsqueda exhaustiva en la base de base de datos con los templates. Esto
conduce a una comparacin del tipo uno-a-muchos para establecer la identidad del individuo.
[1]
Robo de identidad
Las preocupaciones acerca del robo de identidad por el uso de la Biometria an no han sido
resueltas. Si el nmero de tarjeta de crdito de una persona es robado, por ejemplo, puede
causarle a esa persona grandes dificultades. Si sus patrones de escaneado de iris son robados,
sin embargo, y eso permite a otra persona acceder a informacin personal o a cuentas
financieras, el dao podra ser irreversible. Frecuentemente, las tecnologas biomtricas han
sido puestas en uso sin medidas adecuadas de seguridad para la informacin personal que es
resguardada a travs de las mismas.
-
5/21/2018 Seminario_t850si.pdf
38/200
21
2.3.2. Fundamentacin variable dependiente
Figura 2.4.Subordinacin de la variable dependiente
Fuente: Investigador
Figura 2.5. Anlisis de la variable dependiente
Fuente: Investigador
Gestin de la Informacin
La finalidad de la Gestin de la informacin es ofrecer mecanismos que permitieran a la
organizacin adquirir, producir y transmitir, al menor coste posible, datos e informaciones
Gestin de la
Informacin
Registro deinformacin
Proteccin deinformacin
Proteccin deinformacin
Ataques
AmenazasMetodologas
-
5/21/2018 Seminario_t850si.pdf
39/200
22
con una calidad, exactitud y actualidad suficientes para servir a los objetivos de la
organizacin.
En trminos perfectamente entendibles sera conseguir la informacin adecuada, para la
persona que lo necesita, en el momento que lo necesita, al mejor precio posible para toma la
mejor de las decisiones.
En el momento actual parece indiscutible que el xito de la empresa no depender
nicamente de cmo maneje sus activos materiales, sino tambin de la gestin de los
recursos de informacin. La importancia de este recurso es tal que algunos autores estiman
que las organizaciones deben ser consideradas como sistemas de informacin.
Es frecuente confundir un sistema de informacin con la tecnologa que lo soporta. Las
Tecnologas de la informacin han supuesto una autntica revolucin en la capacidad de
manejo de los recursos de informacin, permitiendo un rpido y eficiente proceso de
adquisicin, enriquecimiento y acceso a la misma, aunque nunca hay que olvidar que un
Sistema de Gestin de Informacin va ms all de las propias herramientas utilizadas.
El Sistema de Gestin de Informacin es el encargado de seleccionar, procesar y distribuir
la informacin procedente de los mbitos interno, externo y corporativo.
Informacin interna. La producida en la actividad cotidiana de la institucin
Informacin externa. La adquirida por la institucin para disponer de informacin sobre
los temas de su inters
Informacin corporativa o pblica. La que la institucin emite al exterior
Las funciones de la Gestin Informacin abarcaran:
1. Determinar las necesidades de informacin en correspondencia a sus funciones y
actividades2. Mejora de los canales de comunicacin y acceso a la informacin
-
5/21/2018 Seminario_t850si.pdf
40/200
23
3. Mejora de los procesos informativos
4. Empleo eficiente de los recursos.
En este contexto, la informacin es considerada un recurso, un producto y un activo
La informacin como activo tiene un coste y debe tener un rendimiento.
La informacin como producto deber tener unas exigencias de calidad.
La informacin como activo implica que la organizacin se preocupe por poseerla,
gestionarla y utilizarla.
Gestin de la Informacin (GI), es un conjunto de procesos por los cuales se controla el ciclo
de vida de la informacin desde su creacin o captura, hasta su disposicin final, archivada
o eliminada.
Los procesos tambin comprenden la extraccin, combinacin, depuracin y distribucin de
la informacin a los interesados. El objetivo de la Gestin de la Informacin es garantizar la
integridad, disponibilidad y confidencialidad de la informacin.
La gestin de la informacin es clave para la toma de decisiones dentro de una organizacin
es una realidad que ningn directivo niega, sin embargo, pese a ser un axioma reconocido,
pocas son las compaas que han logrado desarrollar sistemas eficaces de gestin de su
informacin.
Las ingentes cantidades de datos generados cada da en las empresas estn dispersos en
diferentes almacenes y repositorios y se gestionan por plataformas diferentes. En muchas
ocasiones estos datos son de difcil acceso y estn contaminados por otros inservibles. Al
no disponer de soluciones analticas, las bases de datos utilizadas que han conseguido
almacenar informacin de calidad no pueden rentabilizarse al mximo.
-
5/21/2018 Seminario_t850si.pdf
41/200
24
Disponer de los datos adecuados es un imperativo a la hora de realizar anlisis predictivos
(predecir comportamientos futuros a partir de comportamientos pasados). El Business
Intelligence es la plataforma que transforma datos, a travs de tcnicas analticas para
cuantificar los elementos clave de la estrategia empresarial permitiendo a quien los usa ser
ms competitivo y proactivo en el diseo de su futuro.
El gran reto por tanto de las organizaciones, ya sean empresariales, o de otra naturaleza, es
conseguir una gestin de los datos que los transforme en informacin inteligente que sea la
clave para la toma de decisiones.
Existen formas diferentes de afrontar el reto de una buena gestin de la informacin, pero
para garantizar el xito es fundamental acometer el proceso siguiendo tres pasos claramente
definidos.
En primer lugar, como ocurre con otros procesos empresariales estratgicos, est la fase
de la planificacin. En ocasiones las empresas se olvidan de este paso previo y se lanzan
a la adquisicin de soluciones y herramientas tecnolgicas sin tener claro los objetivos
que alcanzarn. Antes de nada es vital fijar unos objetivos claros y disear una estructura
tecnolgica que permita obtener los objetivos marcados. En esta primera fase se deben
definir dos criterios fundamentales, que el sistema de informacin elegido sea el mismo
para toda la organizacin y que permita la mxima facilidad de acceso segn las
diferentes necesidades de cada departamento o segmento de negocio. Una mala
planificacin puede hacer que la empresa se ahogue en sus propios datos porque no sea
capaz de gestionarlos, o que disponga de demasiadas soluciones tecnolgicas que no
tengan ninguna utilidad.
La segunda fase del proceso es la de almacenamiento de los datos. En esta fase son
imprescindibles las soluciones de extraccin, transformacin y carga de datos, ETL.
Estas soluciones son capaces de detectar los datos, integrarlos y limpiarlos antes de
almacenarlos. Una de las caractersticas exigibles a los almacenes de datos es tambin
que proporcionen una gran flexibilidad en la acumulacin de datos e iguales prestaciones
para el acceso a esos datos. Los almacenes de datos deben incluir tecnologa de
-
5/21/2018 Seminario_t850si.pdf
42/200
25
seguridad, reserva y recuperacin, necesarios para el manejo de grandes volmenes de
informacin.
El tercer paso que completa el proceso es la implementacin de soluciones de
inteligencia que permitan analizar esos datos para obtener conocimiento inteligente a
partir de los mismos. En esta fase existen diferentes soluciones con distintos grados de
complejidad, comenzando por sencillas soluciones de reporting capaces de elaborar
informes predeterminados con tan solo pulsar una tecla. Estas aplicaciones no
proporcionan por ejemplo datos como cules han sido las diez mayores operaciones por
volumen de ingresos de un periodo determinado. En un nivel ms avanzado se sitan
las aplicaciones OLAP (online analytical processing) que permiten a los usuarios disear
sus propios procesos de gestin de datos para obtener conocimientos muy precisos. Las
aplicaciones OLAP permiten hacer diferenciaciones de ingresos por zonas geogrficas o
comparativas con periodos anteriores por ejemplo. Pero existen an soluciones ms
sofisticadas de gestin de datos, la implementacin de soluciones analticas de minera
de datos. [5]
Estas soluciones ofrecen respuestas a las preguntas clave para tomar decisiones a travs de
la aplicacin de modelos matemticos (estadstica, deteccin de valores extremos, redes
neuronales, rboles de decisin, regresiones, etc.). La potencia de las soluciones analticas
no deja de crecer y el conocimiento que se obtiene de ellas repercute directamente en la
operativa de las organizaciones. La minera de datos nos da informacin tal como quines
son nuestros diez mejores clientes, qu segmentos de negocio generan mayores beneficios y
cules prdidas, cul es la probabilidad de que determinados clientes nos abandonen o qu
propensin tiene cada uno de nuestros clientes a ampliar la gama de productos que nos
compra.
Registro de informacin
Mediantes las caractersticas ledas de cada usuario por el prisma el sistema registra en su
propia base de datos para ser leda despus de su verificacin.
-
5/21/2018 Seminario_t850si.pdf
43/200
26
En el modo de registro, los usuarios son dados de alta en el sistema. Para ello, se introducen
sus rasgos biomtricos en el sistema a travs de los sensores correspondientes al rasgo
empleado y se dan de alta en la base de datos quedando almacenada as la plantilla de usuario.
En la base de datos se podrn almacenar adems otros datos personales de los usuarios. [4]
Proteccin de la informacin
Definicin: Es defenderse de alguien o algo para evitarle un dao en nuestra informacin a
travs de software o mtodos de seguridad aplicables a la informacin.
Ataques
En este tipo de ataques estaran contemplando los casos en los que el atacante tuviera acceso
privilegiado a la base de datos o al canal de comunicacin entre el comparador y la base de
datos. En ese caso sera necesario que conociese el formato concreto en que se almacenan
los patrones en la misma y los modificase introduciendo nuevos patrones, cambiando o
eliminando alguno ya existente [4].
Definicin:del mismo modo como atacan a las bases de datos tiene sus ataques a la base de
datos el sistema biomtrico siempre y cuando alguien tenga el acceso como administrador
al biomtrico.
Amenazas
Las amenazas estn compuestas por una persona, la mquina y un suceso o idea en los
sistemas de informacin que dada una oportunidad se puede producir una violacin de la
seguridad como es la confidencialidad, integridad, disponibilidad.
Las categoras generales de amenazas o ataques son las siguientes:
-
5/21/2018 Seminario_t850si.pdf
44/200
27
Interrupcin:
Modificacin
Fabricacin
Control de acceso Autenticacin
No repudio
Disponibilidad
Metodologas
Para crear una metodologa de polticas de seguridad se debe desarrollar procedimientos y
planes que resguarden los recursos; para desarrollar una metodologa se debe considerar:
De quienes debemos protegernos.
Cules son las amenazas
Que recursos son los que se van a proteger
Entre otros.