Películas como Star Wars, Mission Impossible o Matrix, por mencionar la más conocidas, siempre nos han mostrado escenas en las que la identificación personal, especialmente para acceder a zonas reservadas, es verificada a través de la voz u otros rasgos físicos. ¿Ciencia ficción? No siempre.
La identificación biométrica, así se llama, es un análisis controlado por computadora que identifica a un individuo mediante la medición de ciertos rasgos biológicos escaneados por sensores y cotejándolos con los datos almacenados en una base de datos.
Históricamente, la identificación biométrica comenzó en 1870, cuando un francés, Alphonse Bertillon, comenzó a usarla en una prisión de París para registrar e identificar a todos los detenidos. Hoy, la biometría está creciendo mucho y la integración de tecnologías biométricas en dispositivos móviles está ayudando mucho a este sector. De acuerdo con un estudio de Acuity Market Intelligence, el volumen de negocios de los sistemas biométricos alcanzará los 33.3 billones de dólares en 2020, con 4.76 billones de dispositivos móviles habilitados para realizar detecciones biométricas. Ahora esta tecnología se usa para controlar el acceso físico y lógico y, desde el 11/9/2001, su uso ha aumentado también en inspecciones policiales (por ejemplo, en aeropuertos).
Distintos tipos de mediciones biométricas
Las mediciones biométricas pueden dividirse en dos categorías: 1) fisiológicas y 2) conductuales. A continuación algunos ejemplos de mediciones fisiológicas, esto es, basadas en los rasgos físicos de un individuo:
Cotejo de ADN
Reconocimiento de oído
Reconocimiento de iris/retina
Reconocimiento facial
Reconocimiento de huellas dactilares/geometría del dedo
Reconocimiento venoso
Reconocimiento de olor
A continuación algunos ejemplos de mediciones conductuales:
Reconocimiento dactilográfico y de firma
Reconocimiento de voz
Reconocimiento del modo de andar
Principales preocupaciones sobre privacidad y tecnologías biométricas
Como toda recolección de datos personales, las tecnologías biométricas también pueden plantear problemas relacionados con la protección de privacidad. En primer lugar, muchas tecnologías biométricas pueden detectar enfermedades.
El reconocimiento venoso, de hecho, detecta enfermedades vasculares, mientras que algunos tipos de reconocimiento de huellas dactilares pueden mostrar enfermedades cromosómicas. Las mediciones conductuales pueden presentar el mismo problema: el reconocimiento del modo de andar, o el reconocimiento dactilográfico y de firma pueden mostrar señales de enfermedad neurológica, además de identificar a la persona.
Las preocupaciones sobre la privacidad pueden dividirse en tres grupos:
identificación más allá del objetivo: la propia finalidad de reconocer a una persona es distorsionada y su condición médica es revelada.
objetivo no deseado: reconocer a una persona que no quería ser identificada.
identificación oculta: se identifica a una persona sin su conocimiento
Sin embargo, el principal problema con la privacidad parece ser la preocupación de la gente por no ser informados sobre el uso de estas tecnologías. Durante la Super Bowl XXXV las autoridades usaron la medición de reconocimiento facial mediante cámaras de vigilancia en aproximadamente 100.000 personas cotejando al instante sus rasgos faciales con una base de datos de sospechosos de terrorismo y criminales. Se abrió un amplio debate entre los que apoyan la privacidad personal y los que apoyan la seguridad pública.
Plantillas biométricas: cómo están protegidas nuestra privacidad e identidad
Una plantilla biométrica es la representación de los rasgos únicos de un individuo; los problemas con la privacidad surgen cuando las plantillas biométricas se almacenan sin precaución en una base de datos central o directamente en algún dispositivo. El riesgo es obvio: si un atacante se hace con algunas plantillas biométricas, podría hacerse pasar por el usuario de una plantilla biométrica, cometiendo el delito de suplantación de identidad.
Uno de los puntos clave de la identificación biométrica es que las plantillas biométricas no pueden actualizarse o renovarse; si se descubre una contraseña podrá generarse una nueva de entre infinitas posibles; sin embargo, cada individuo sólo tiene 10 dedos, 2 ojos y 2 orejas. Las tecnologías que protegen a las plantillas biométricas se llaman Protección de Plantillas biométricas. Como las características biométricas son inmutables, cuando se roba una plantilla biométrica esa característica queda expuesta para siempre. Sin embargo, la Biometría Cancelable permite revocar una plantilla biométrica comprometida, como si fuera una contraseña perdida.
La Biometría Cancelable consiste en proveer una distorsión intencional, sistemática y repetible para proteger los datos sensibles del usuario. Por ejemplo, si se roba una característica “cancelable”, las distorsiones provistas se modifican y se remapean en una nueva plantilla que reemplazará a la que haya resultado expuesta. La ventaja de la “biometría cancelable” es que protege la privacidad del usuario, ya que los datos biométricos reales no se revelan durante la autenticación. La distorsión provista, evidentemente, debe ser inadvertible, pues es necesario evitar que se puedan recomponer los datos biométricos originales a partir de los que fueron modificados.
Otro tipo de protección de plantillas son los llamados Criptosistemas Biométricos basados en la protección provista por claves criptográficas. En estos sistemas no hay un cotejo directo entre plantillas biométricas, sino que la comparación entre datos biométricos se deriva de forma indirecta de la validación de las claves.
¿Qué es mejor, tecnologías biométricas o una contraseña?
La mayoría de nosotros usamos tecnologías biométricas a diario, como se puede ver en los ejemplos siguientes:
el iPhone 5s introdujo un sensor para el reconocimiento de huellas dactilares en 2013. No hay necesidad de recordar un PIN, el teléfono móvil puede ser desbloqueado simplemente con un dedo
muchos sistemas de emparejamiento Bluetooth en coches usan el reconocimiento de voz para seleccionar un contacto de la agenda y para llamar a alguien diciendo su nombre
mucho software y tecnologías gráficas usadas para gestionar las imágenes en las redes sociales incorporan reconocimiento facial
En cuanto a la seguridad, ¿es mejor usar tecnologías biométricas o una contraseña? En primer lugar hay que decir que la biometría se basa en la medición de ciertas características únicas del cuerpo humano. Esta es su fortaleza y su debilidad. Si una contraseña resulta robada, puede ser rápidamente reemplazada por una nueva, mientras que si los datos biométricos son robados, un individuo no puede modificar sus huellas dactilares o su iris.
Ciertamente los rasgos físicos en los que se basan los datos biométricos van con el individuo allá donde vaya, permitiéndole desechar docenas de contraseñas o PIN y todos los servicios relacionados con ellos. Como ninguna tecnología es 100% segura, ni siquiera los sistemas biométricos son infalibles.
De hecho, deben lidiar con eventuales cambios en los rasgos del usuario, como una herida en el rostro; por lo tanto necesitan algún tipo de restricción de reconocimiento, lo que los proveedores de dichas tecnologías llaman Tasa de Falsa Aceptación (False Acceptance Rate, o FAR) y Tasa de Falso Rechazo (False Rejection Rate, o FRR).
Sin embargo, las contraseñas y la biometría no están reñidos, de hecho pueden complementarse. En base al nivel de seguridad deseado, estas dos tecnologías pueden funcionar juntas, usando un PIN para identificar a un individuo y la tecnología biométrica para la siguiente autenticación.