Ciberseguridad
Password
Biometría

Entorno biométrico: seguridad y humanos

Diversas implicaciones de la tecnología biométrica en el escenario actual.

biometría

 

La gestión y desarrollo de los sistemas de lectura biométricos, en nuestro entorno de impulso tecnológico actual, está generando un interesante foco de expectativas de negocio y sociales sin precedentes. En el presente artículo, desarrollaremos una visión global que aúne aspectos técnicos, sociales y diversas consecuencias adicionales, que puedan derivar de la utilización de mencionada tecnología.

Sin perjuicio de lo novedoso del asunto en la vertiente que va a ser aquí analizada, el empleo de rasgos morfológicos del ser humano con distintas finalidades, no es algo que sólo podamos apreciar en la más rabiosa actualidad: nos encontramos con la utilización de la huella dactilar como “marca” por alfareros en la antigua China, las investigaciones antropológicas del Siglo XIX efectuadas por Alphonse Bertillon y los estudios de tono policial de Sir Francis Galton a principios del Siglo XX, entre otros.

La Agencia Española de Protección de Datos (AEPD) estima que son datos biométricos “aquellos aspectos físicos que, mediante un análisis técnico, permiten distinguir las singularidades que concurren respecto de dichos aspectos y que, resultando que es imposible la coincidencia de tales aspectos en dos individuos, una vez procesados, permiten servir para identificar al individuo en cuestión”.

Asimismo, en relación con lo expuesto, recordemos que la Ley Orgánica 15/1999, de 13 de Diciembre, de Protección de Datos de Carácter Personal, en su art. 3. a), indica que se considera como dato de carácter personal: “cualquier información concerniente a personas físicas identificadas o identificables”, por lo que la aplicación de la normativa vigente de protección de datos de carácter personal es incuestionable en relación con los datos biométricos (deberá analizarse la información al interesado, la correcta aplicación de las medidas de seguridad, etc …).

A su vez, la Real Academia Española (RAE), define la biometría como “estudio mensurativo o estadístico de los fenómenos o procesos biológicos”.

A los efectos que nos ocupan, las tecnologías biométricas existentes se pueden calificar como mecanismos de reconocimiento de individuos (humanos) fundamentadas en sus aspectos particulares e individuales de ámbito fisiológico o de comportamiento.

Es decir, nuestros rasgos, aspectos físicos o acciones se pueden estimar, de esta manera descrita, como “llaves” o “contraseñas” vivas, a ser empleadas con múltiples objetivos, que serán objeto de análisis a continuación.

Las dos tipologías principales de mediciones biométricas existentes en la actualidad son:

* Fisiológicas (que proceden del análisis y medición de rasgos físicos del sujeto).

Como ejemplos más representativos, podríamos incluir en esta categoría los siguientes reconocimientos o lecturas:

a) Huella dactilar.

b) Facial.

c) Iris.

d) Retina.

e) Mano o dedo (geometría y disposición venal).

f) ADN.

* Conductuales o de Comportamiento (que derivan del análisis y medición de una acción realizada por una persona y que incluyen la variable “temporal”).

Algunos de los supuestos ilustrativos en este apartado serían:

a) Voz.

b) Firma.

c) Escritura en el teclado.

d) Forma de caminar.

e) Patrón de dibujo plasmado “en el aire”.

Las principales ventajas de emplear estas técnicas son duales:

* Ventajas para el usuario:

a) Aumento de la privacidad y de la comodidad, en la mayoría de los supuestos.

b) Tramitaciones remotas.

c) Mayor seguridad.

d) Aprendizaje personal de nuevas tecnologías.

* Ventajas para las entidades:

a) Reducción de costes.

b) Incremento de eficacia y efectividad.

c) Mayor seguridad.

d) Reducción del fraude.

e) Ofertar nuevos servicios al cliente.

f) Mejora de la responsabilidad social corporativa.

Los sistemas descritos se están utilizando, hoy en día, en ámbitos tan significativos como puedan ser los siguientes:

* Entorno Financiero y Bancario, en lo que respecta a la identificación del cliente/usuario y prevención de fraudes (entre otros, Caixabank ya invita a los usuarios de su plataforma informática a acceder a través de su huella dactilar).

* Entorno Sanitario, en lo relativo a la identificación del paciente (ejemplo claro de ello es el proyecto desarrollado en el Hospital Clínico Universitario Virgen de la Arrixaca).

* Entorno Empresarial, en lo que atañe al control de accesos físicos, horarios y diversos permisos vinculados estrictamente al empleado.

* Entorno de identificación del individuo, como por ejemplo, el pasaporte biométrico (implantado en España desde el año 2007 e igualmente obligatorio en otros países, como EE.U. y Qatar…).

* Entorno de Administración Pública, en relación a la interactuación con el ciudadano y la debida supervisión a la actuación desplegada por el personal (especialmente destacable resulta, al respecto, el sistema implantado en Nigeria, en lo relativo al control a funcionarios y el existente en Polonia, de gestión efectiva de ayudas públicas).

* Entorno Hotelero, a fin de limitar el efectivo acceso a las habitaciones por parte de los huéspedes y el ahorro de consumibles (como pueda ser la emisión de tarjeta/llave).

Por otra parte, a pesar de que los sensores y algoritmos empleados despliegan una calidad y robustez cada vez más consolidadas, resulta lógico y previsible que ninguno de los sistemas descritos puede considerarse como infalible, ya que la actuación de terceros con intención de vulnerar los mecanismos tecnológicos implantados o la mera falla tecnológica, nunca son (ni serán) ajenas a los mismos.

De hecho, y como mero ejemplo, no son novedosos los logros de diferentes sectores en lo relativo a la vulneración de lectores de huellas de terminales de empresas punteras en telefonía móvil, con una simple impresora 3D.

Asimismo, la elección de un sistema biométrico concreto dependerá de llevar a cabo un estudio detallado de qué potenciales clases de atacantes pueden actuar, cuál será el mecanismo a emplear por los mismos, del tiempo del que dispondrán y de otros factores diversos, por lo que el análisis previo de riesgos (en su dimensión de seguridad de la información más amplia), se configura como un aspecto imprescindible a tener en cuenta antes de proceder a realizar la implantación de cualquier mecanismo de lectura biométrica.

Otro aspecto fundamental considerar es, no tanto la potencial vulnerabilidad de los sistemas de seguridad establecidos en la organización, sino la finalidad real del tratamiento de dichos datos biométricos: mi huella dactilar ¿se empleará para otras finalidades (aparte de la deseada) a través de una condiciones generales leoninas de uso de la plataforma correspondiente, aceptadas por mi parte sin haber analizado a fondo el contenido de las mismas, por lo tedioso del asunto?.

En el mismo sentido, ¿se podrán controlar eventuales enfermedades coronarias mediante el análisis de los datos captados por un sensor vascular de mano o dedo, con consecuencias quizá totalmente indeseadas por el individuo?.

¿O quizá, mediante un sistema avanzado de reconocimiento facial, efectuar análisis masivos (incluso no necesariamente controlados adecuadamente, en lo que a su finalidad se refiere) en entornos públicos?.

Todo ello sin mencionar de manera detallada cuestiones accesorias, como pudiesen ser las relativas a problemática cultural y religiosa (quizá no sea viable descubrir mi rostro, para efectuar un reconocimiento facial) o apreciaciones personales de individuos (puede llegar a considerarse como poco cómodo tener que estar con los párpados abiertos durante un tiempo determinado, a fin de que se reconozca el iris).

Y finalmente, ¿supondrá el desarrollo de las técnicas biométricas la completa desaparición de las denominadas como “contraseñas”?.

Al respecto, relevante es destacar que nuestros rasgos fisiológicos son, en principio y salvo circunstancia traumática de accidente, inmutables y por lo tanto, una vez que sean captados, tratados y reproducidos ilícitamente por terceros, nuestra esperanza de acceso individualizado, personalizado y “seguro” se derrumba como un castillo de naipes. Sin embargo, un código determinado, es fácilmente sustituible en cualquier momento si sospechamos que ha sido vulnerado.

Por ello, es más que probable que dicha pregunta tenga una respuesta negativa, configurándose el futuro más como una unión de técnicas de biometría avanzadas y diversas tipologías de contraseñas o claves (alfanuméricas o embebidas en tarjetas identificativas, por ejemplo) que como una vía de único sentido, dando lugar a la implantación de las soluciones denominadas de “doble factor”.

 

Stéfanos Altidis Cabrejas

Senior Associate Compliance & Risk en Picón & Asociados; Secretario Ejecutivo de la Asociación de Empresas de Protección de Datos; docente y colaborador en organismos públicos y privados. Máster en Derecho IT por la UCM con mención especial por calificaciones; múltiples Cursos Executive de especialización; Certificaciones: CDPP / CRISC / Certified BV ISO 27001 IA / AML UAM Specialist. Madrid, España.



Revistas Digitales

DealerWorld Digital

 

También es noticia...

Documentos Computerworld

Registro:

Eventos: