Conoce la biometría, características, aplicaciones, beneficios y riesgos que conlleva su uso.
Hoy en día todos usamos la biometría para identificarnos en diferentes ambientes y aplicaciones; bancos, identificaciones personales como INE, pasaporte o licencia, acceso a lugares como nuestra casa u oficina e incluso para cosas que nos pasan desapercibidas como desbloquear el teléfono celular o hablar con Siri o Alexa.
Nuestro cuerpo se ha convertido en identificador único ya que tenemos aspectos característicos que no se repiten en otra persona, el físico, la geometría de la mano, el iris, la voz e incluso los vasos sanguíneos son identificadores biométricos.
Todos estos métodos de reconocimiento son usados todos los días en nuestra vida cotidiana y están sustituyendo a las contraseñas o llaves físicas. Por esta razón, es necesario conocer todos los métodos de identificación, así como las medidas y prácticas que se deben llevar a cabo para que sea seguro y se cumpla con la privacidad de los datos.
Las tecnologías biométricas se definen como métodos automáticos utilizados para reconocer a personas analizando sus características físicas o de comportamiento. Es un proceso similar al que realiza el ser humano reconociendo e identificando a otras personas por su aspecto físico y su voz, entre otras características.
Hoy en día la tecnología permite automatizar estos procesos de reconocimiento biométrico para múltiples aplicaciones y fines, pero en especial aquellas que tienen que ver con la seguridad.
Existen diversas técnicas biométricas y los parámetros son diferentes dependiendo de cada una de ellas: la geometría de la mano, los surcos de la huella dactilar, la voz, la imagen facial, etc.
De cada uno de estos parámetros se extrae un patrón único para cada persona, mismo que será el que se utilice para posteriores comparaciones.
Las tecnologías biométricas se aplican en dos fases:
1.- registro.
2.- autenticación.
Y las características biométricas empleadas deben tener las siguientes propiedades:
- son universales: todos los individuos las tienen.
- singularidad o univocidad: distinguen a cada individuo.
- permanencia en el tiempo y en distintas condiciones ambientales.
- deben ser medibles de forma cuantitativa.
Las tecnologías para medir estas características deben proporcionar nivel de exactitud, aceptación por parte del usuario y resistencia al fraude y usurpación.
Para que las tecnologías biométricas puedan ser usadas, los individuos deben registrar su identidad en algún sistema por medio de la captura de una serie de parámetros. Este proceso es llamado proceso de registro y se compone de 3 fases distintas: captura, procesamiento e inscripción.
- Captura: se registran los parámetros biométricos.
- Procesamiento: se realiza creando una plantilla con las características personales de los parámetros capturados.
- Inscripción: se registra la plantilla procesada almacenándola en un medio adecuado y seguro. Una vez que la inscripción esté completa, el sistema puede identificar a las personas por medio de la plantilla.
Mediante el proceso de autenticación se captura una muestra biométrica de la persona y se compara con las plantillas ya registradas.
Esta autenticación puede realizarse de dos modos diferentes:
Identificación: es la comparación de la muestra tomada en una base de datos de rasgos biométricos registrados previamente. No se realiza la identificación inicial del usuario, es decir, el único dato que se recoge en ese momento es la muestra biométrica, sin un nombre de usuario o cualquier otro tipo de reconocimiento. Este método requiere de un proceso de cálculo complejo, puesto que se compara esta muestra con cada una de las anteriormente almacenadas para buscar una coincidencia.
Verificación: en este método, si realiza la identificación del usuario mediante algún nombre de usuario, tarjeta o algún otro método. Se selecciona de la base de datos el patrón que anteriormente se haya registrado para el usuario y posteriormente, el sistema recoge la característica biométrica y la compara con la que tiene almacenada. Es un proceso simple, al tener que comparar únicamente dos muestras, en el que el resultado es positivo o negativo.
Existen dos grupos de tecnologías biométricas; las que analizan características fisiológicas de las personas y las que analizan su comportamiento y dependiendo de qué tecnología utilizan los sistemas de identificación biométrica se dividen en:
Estáticos: tecnologías fisiológicas que comparan rasos físicos.
Dinámicos: tecnologías que comparan acciones y movimientos.
Multimodales: combinan las dos técnicas anteriores; estáticas y dinámicas.
¿Cuáles son las tecnologías fisiológicas?
- Huella dactilar. Es la más antigua de las técnicas biométricas y se utiliza en un gran número de aplicaciones ya que se considera que las huellas dactilares son únicas e inalterables.
- Reconocimiento facial. Es la técnica mediante la cual se reconoce a una persona a partir de una imagen o fotografía utilizando programas de cálculo que analizan imágenes de rostros humanos donde se comparan la distancia entre los ojos, la longitud de la nariz o el ángulo de la mandíbula entre otros.
- Reconocimiento de iris. Los patrones de iris vienen marcados desde el nacimiento y son extremadamente complejos ya que contienen una gran cantidad de información con más de 200 propiedades únicas. El escaneado del iris se lleva a cabo con una cámara de infrarrojos que ilumina el ojo realizando una fotografía de alta resolución.
- Reconocimiento de geometría de la mano. Esta tecnología utiliza la forma de la mano para confirmar la identidad de la persona. Se emplean una serie de cámaras que toman imágenes en 3-D de la mano desde diferentes ángulos y las características extraídas incluyen las curvas de los dedos, grosor, longitud, altura y la anchura del dorso de la mano, la distancia entre las articulaciones y la estructura ósea en general.
- Reconocimiento de retina. Esta técnica se basa en la utilización del patrón de los vasos sanguíneos contenidos en la retina. Como cada patrón es único y se mantiene invariable a lo largo del tiempo, la convierten en una técnica idónea para entornos de alta seguridad.
- Reconocimiento vascular. En esta técnica se extrae el patrón biométrico a partir de la geometría del árbol de venas del dedo o de las muñecas. A diferencia de la huella dactilar el patrón biométrico es interno, por esta razón no deja rastro, sólo se puede conseguir en presencia de la persona y es muy difícil el robo de identidad.
¿Cuáles son las tecnologías de comportamiento?
- Reconocimiento de firma. Esta técnica analiza la firma manuscrita para confirmar la identidad del usuario firmante teniendo dos variantes de identificación:
- Comparación simple. Se compara el parecido entre dos firmas, la original y la que está siendo verificada.
- Comparación dinámica. Se hace un análisis de la forma, la velocidad, la presión de la pluma y la duración del proceso de firma. No se analiza la forma o el aspecto de la firma, sino los cambios en la velocidad y la presión que ocurren durante el proceso, ya que sólo el firmante original puede reproducir estas características.
- Reconocimiento de escritor. El objetivo de esta técnica es confirmar la identidad del autor de un determinado texto manuscrito con de un software OCR (Optical Character Recognition). Cada persona tiene una forma de escribir diferente con rasgos propios e inconfundibles para cada letra y también un grado de inclinación en la escritura y nivel de presión al escribir. El software es capaz de detectar la persona que está escribiendo un texto manuscrito.
- Reconocimiento de voz. Esta técnica utiliza sistemas de inteligencia artificial para aprender a identificar voces con algoritmos que deben medir y calcular la similitud entre las muestras para regresar un resultado. La identificación se complica debido a factores como el ruido de fondo, por lo que siempre es necesario considerar un margen de error.
- Reconocimiento de escritura de teclado. Esta técnica se basa en la medición de la fuerza de tecleo, la duración de la pulsación y el periodo de tiempo que pasa entre que se presiona una tecla y otra ya que existe un patrón de escritura en el teclado que es permanente y propio de cada individuo.
- Reconocimiento de la forma de andar. Esta técnica graba y se somete a un proceso analítico que genera una plantilla biométrica única derivada de dicho comportamiento. Es una tecnología en desarrollo y no ha alcanzado los niveles de rendimiento necesarios para ser implantada de manera similar a las demás tecnologías.
La biometría se utiliza en muchos aspectos de nuestra vida diaria muchas veces combinada con otras medidas como tarjetas inteligentes, claves de cifrado o firmas digitales, pero tiene muchas ventajas ya que solo se asocian a un individuo mientras que una contraseña puede ser usada por varias personas con el riesgo que una de ellas no sea el usuario autorizado, otra ventaja es que no es necesario recordar datos o información, además que es altamente resistente al fraude.
La biometría no es infalible y también está propensa a fallas que afectan directamente a cualquiera de los procesos de implantación, operación y rendimiento.
Podemos nombrar varias fallas que encontramos en esta tecnología:
- Dispositivos de captura deficientes y de poca calidad.
- Ubicar a los dispositivos de captura en lugares poco accesibles o inadecuados.
- Falta de conocimientos técnicos de personal que implantan y utilizan la tecnología.
- Condiciones climatológicas que afectan a los dispositivos de lectura.
- Trabajos por el usuario que afecten a la lectura de las huellas como cortaduras, uso de productos químicos o inflamaciones.
- Variación en el aspecto diario que imposibilita la lectura de forma correcta como el peinado, uso de anteojos, gorras o sombreros.
- Enfermedades oculares y uso de lentes de contacto.
- Velocidad de escritura en la firma.
- Postura del usuario al momento de realizar su firma.
Como toda tecnología, la biometría también tiene riesgos, los cuales debemos prevenir y realizar una adecuada gestión de estos, ya que están expuestas a una serie de amenazas que pueden ser exclusivas o compartidas con otras tecnologías de autenticación.
- Pérdida o robo de información biométrica.
- Suplantación de identidad.
- Incumplimiento a la ley de protección de datos personales.
- Calidad de la tecnología.
- Idoneidad de la implantación cuando se cree que un sistema biométrico garantiza la seguridad total.
- Falla o indisponibilidad del sensor.
- Fallas o incidencias con el sistema.
- Uso de forma negativa por parte de los usuarios.
- Variación involuntaria de los rasgos biométricos.
- Falta de aceptación.
Para reducir estos riesgos y otros que puedan ocurrir, es necesario gestionarlos de forma adecuada y aplicar controles mitigantes, así como prácticas de seguridad.
Antes de realizar la implantación de este tipo de tecnología es importante evaluar las ventajas y desventajas de su uso y lo más importante que cumplan con las leyes de privacidad de datos para garantizar la privacidad y accesos no autorizados.
Podemos usar doble factor en el proceso de autenticación, utilizando dos técnicas biométricas distintas o combinarlas con el uso de contraseñas o autenticadores físicos como tarjetas de identificación.
Con el objetivo de prevenir el uso fraudulento de las muestras, es necesario implantar controles en las tomas, así como el almacenamiento. Un ejemplo puede ser que en lugar de almacenar la huella completa se pueda guardar únicamente minucias de huellas dactilares y de esta forma no se pueda recrear la huella en caso de robo o alteración de los datos.
Se debe adquirir tecnología de calidad para la obtención de muestras y realizar comparativas fiables y seguras. La adecuada selección de los equipos puede prevenir el fraude y la resistencia de los usuarios al uso de la tecnología.
Para la implantación y el uso correcto de las tecnologías biométricas es necesario que la empresa realice una buena formación a los usuarios explicando brevemente el uso, beneficios, seguridad y alcanzar el éxito del proyecto.
Como conclusión y comentario final podemos decir que este tipo de tecnología deberá implementarse de acuerdo con los objetivos de la empresa, finalidad del proceso y necesidades a cubrir. No adquirir sistemas muy complejos para control de horario y control de acceso sencillo, pero tampoco muy débiles para aplicaciones más delicadas como credenciales de identificación gubernamental, control de presencia o acceso a aplicaciones bancarias y siempre tomando en cuenta como principal punto la seguridad y privacidad de los datos de los usuarios.
De acuerdo con Dark Web Price Index 2023, los ciberdelincuentes ya ofrecen datos personales e información biométrica para realizar ciberataques a organizaciones con algoritmos para suplantar la identidad de una persona.
Fuentes:
Biometrics: Personal Identification in a Networked Society. Kluwer Academic Press.
Introducction to biometrics. Janin, A.K, et al, Springer.
Biometrics in Identity Management: Concepts to Applications. Modi, Shimon K., Artech House.