Pasando la Prueba Biométrica

Cybersecurity
Pasando la Prueba Biométrica
 

​For the English version, click here.

Es tarde en la noche, y después de un largo día de conferencias y horas de oficina, una profesora entra en su cuenta de “Pizarrón” (un sistema de manejo de aprendizaje en línea) para comprobar los últimos mensajes de discusión de sus clases en línea antes de ir a la cama. Pero justo antes de que cierre la sesión, se da cuenta de algo extraño. En respuesta a sus preguntas, ocho estudiantes han publicado respuestas casi idénticas.

Después de un poco de investigación en las semanas previas, ella se da cuenta del aumento en las similitudes de los trabajos en el semestre entre los ocho estudiantes. Ella “marca” a los estudiantes, y, siguiendo el protocolo, notifica al departamento de ayuda financiera. Se inicia una investigación. El sondeo revela que un solo estudiante se había matriculado en la Universidad de la Comunidad bajo ocho nombres diferentes, utilizando un expediente firmado por un director de escuela preparatoria inexistente, y había obtenido numerosos préstamos estudiantiles.

Las clases en línea son ahora una característica estándar en los colegios comunitarios y universidades de los Estados Unidos y por todo el mundo, ya muchos en la educación están empezando a reconocer la necesidad de más métodos infalibles de verificación de estudiantes para que sea más difícil para las personas adoptar un comportamiento fraudulento. Cuyahoga Community College (Tri-C) en el noreste de Ohio, donde se inscribieron los ocho estudiantes idénticos, es una de esas instituciones.

Con sus seis campus, Tri-C educa anualmente a casi 52,000 estudiantes con crédito y sin crédito y un tercio de estos estudiantes están matriculados en al menos una clase en línea por semestre. Esto significa que la verificación es una necesidad absoluta para asegurar que los estudiantes son quienes dicen que son. Sin embargo, Tri-C encontró que sus métodos de verificación no fueron suficientes para mantenerse al día con su iniciativa de educación en línea.

"La misión de la universidad de la comunidad siempre ha sido de accesibilidad y nosotros hacemos todo lo posible para proporcionar acceso a las poblaciones que normalmente no podrían tener acceso a la educación superior", dice Charles Dull, decano adjunto de e-learning e innovación en Tri-C. "Tomamos un enfoque muy abierto sin pensar que la gente querría tratar de robar a un colegio de la comunidad."

Ese enfoque abierto consistió en el reconocimiento por parte del factor humano, o de un individuo que notó algo sospechoso en el expediente de un alumno y lo reportó a la cadena de mando. Tri-C también utiliza un sistema de notificación, que comprueba que los estudiantes que están matriculados en las clases en línea se han conectado al "Pizarrón" para participar en sus clases. Pero no comprueba que los estudiantes son quienes dicen que son, por lo que es fácil para alguien hacerse pasar por otro estudiante obteniendo su contraseña e información de acceso al "Pizarrón".

Esto puede ser especialmente problemático si alguien está participando en fraude de préstamos estudiantiles inscribiéndose en clases, solicitando ayuda financiera y préstamos, para luego dejar las clases, y así embolsarse el dinero sin intención de pagarlo.

Junto con las preocupaciones acerca de la conducta fraudulenta, Dull también estaba preocupado por las nuevas regulaciones federales que requieren a las universidades hacer más para la verificación del estudiante en lugar de solamente utilizar usuarios y contraseñas para las interacciones en línea. "Yo había estado leyendo los informes del gobierno acerca de que la autenticación del estudiante será un cumplimiento regulatorio", explica Dull. "Y la reglamentación que salió por parte de la Secretaría de Educación fue que el usuario y contraseña de los estudiantes no eran suficientes para cumplir con los estándares para la verificación de la identidad de un estudiante."

Con estas preocupaciones en mente, Tri-C decidió que necesitaba una nueva manera de verificar estudiantes a partir de su primera interacción en línea con la universidad. En el 2012, un grupo de miembros de la facultad que estaban en una conferencia descubrió una firma de productos biométricos llamada BioSig-ID. La cual funciona haciendo que los usuarios escriban "a mano" letras o números en un espacio específico haciendo uso ya sea de su dedo, el ratón, o el lápiz electrónico en tres ocasiones. Luego, BioSig-ID, mide la longitud, ángulo, velocidad, altura y número de trazos utilizados para hacer cada caractér y almacena la información en una base de datos encriptada.

Algoritmos de software comparan estos datos con los patrones obtenidos durante los posteriores "inicios de sesión" del usuario, confirmando si coinciden o no. Si no coinciden, el perfil del usuario se marca y se envía a un administrador, junto con un aviso que indica la probabilidad de que el intento de "inicio de sesión" era fraudulento, y se bloquea el acceso al perfil del usuario.

"Queríamos una herramienta que no sólo fuera a decir, oiga, esto es un fraude; deshágase de este estudiante', "sino que nos pudiera dar un rango de probabilidad a partir del cual nos fuera posible desarrollar una política", dice Dull. "Necesitábamos informes de fácil lectura que nos permitieran tomar una decisión, -no sólo tomar el resultado como negro o blanco." Esto es especialmente importante, ya que garantiza que los estudiantes que han olvidado sus credenciales de autentificación no se les acuse en forma automática de comportamiento fraudulento, añade Dull.

Después de entender como funcionaba BioSig-ID, Tri-C se acercó a la empresa, creó un comité de profesores que incluía a "IT", y llevó a cabo varias demostraciones para entender el producto y cómo informaría los hallazgos a los miembros del profesorado cuando un usuario fuera marcado por el sistema. Tri-C luego obtuvo los recursos y corrió una prueba con BioSig-ID a lo largo de un semestre con dos miembros de la facultad en la primavera de 2014.

"Hicimos la prueba un período donde creamos un "cajón de arena" en "Pizarrón" para que exploraran y comprendieran cómo el producto trabajaba", añade Dull, explicando que el profesorado aprendió a usar BioSig-ID como un "inicio de sesión" estándar para las clases, o solo como un autentificador extra para que los estudiantes lo utilizaran antes de hacer un examen en línea. Tri-C también utilizó ese período de prueba para ver si "¿los estudiantes verían la verificación basada en gestos como una molestia adicional para entrar en clase?, o si ¿los estudiantes iran a quejarse de que era demasiado complicado?"

Tri-C encontró que el sistema no era una molestia para los estudiantes. Se tarda apenas cinco minutos para instalar y se puede utilizar en computadoras, tabletas y dispositivos móviles, lo que facilita a los estudiantes utilizar la herramienta de verificación en cualquier formato tecnológico.

Otro factor que juega a favor de Tri-C es que muchos estudiantes también son contribuyentes del condado. "Así que hay una conexión mucho más fuerte entre nuestra universidad de la comunidad y nuestros estudiantes", explica Dull. "Realmente aprecian que la universidad de un paso para ofrecer mejores recursos a los estudiantes -porque si tenemos fraude, eso es dinero que no podemos destinar a la educación."

Bio-Sig-ID también se asegurará de que Tri-C siga en cumplimiento con las nuevas regulaciones federales por las que Dull estaba preocupado en un principio. Una de ellas está dentro de la re-autorizada Acta de Educación Superior, que exige que las instituciones que ofrecen educación a distancia -como en el caso de las clases en línea- cuenten con un proceso para establecer que el estudiante que se inscribe en una clase es el mismo estudiante que participa, completa, y recibe crédito por esa clase.

Tri-C no ha expandido el uso de BioSig-ID más allá de las pruebas realizadas en el 2014, pero esta en el proceso de obtener la aprobación final de la administración para implementar la solución en todo el campus para cualquier interacción segura con la universidad en línea, dice Dull.

Para más información: Biometric Signature ID, www.biosig-id.com, 877-700-1611 ext. 53.

Traducido por José Luis Hernández, CPP. Security Manager, Lexmark.