Los biométricos son la forma más adecuada para identificar y autenticar individuos de manera rápida y confiable por medio de características biológicas permitiendo la autenticación basada en datos reconocibles y verificables, únicos y específicos.
De acuerdo con la Real Academia Española[1], el término autenticación es equivalente a autentificación, cuyo significado tiene dos acepciones:
1. tr. Autorizar o legalizar algo.
2. tr. acreditar (‖ hacer digno de crédito).
Por su parte, acreditar se define con diversas acepciones, de las cuales las siguientes cuatro son las que tienen relación con la materia:
1. tr. Hacer digno de crédito algo, probar su certeza o realidad. U. t. c. prnl.
2. tr. Afamar, dar crédito o reputación. U. t. c. prnl.
3. tr. Dar seguridad de que alguien o algo es lo que representa o parece.
4. tr. Dar testimonio en documento fehaciente de que alguien lleva facultades para desempeñar comisión o encargo diplomático, comercial, etc.
De lo anterior, se desprende que autenticación es la identificación certera de algo o alguien; sin embargo, cuando se habla en términos técnicos, estos conceptos tiene un uso distinto.
Autenticación biométrica
La autenticación biométrica es el mecanismo a través del cual se comparan los datos de las característica de una persona contra el “patrón” de esa persona para determinar su semejanza. Primero se registra el modelo de referencia (el patrón), luego, los datos registrados son comparados contra los datos biométricos de la persona, en un momento dado, para realizar la autenticación[2].
En este modo se responde a la pregunta: ¿Eres, de hecho, el señor o la señora X?
Identificación biométrica
La identificación biométrica consiste en determinar la identidad de una persona. El objetivo es capturar un elemento de los datos biométricos de esa persona. Puede ser una fotografía de su cara, una grabación de voz o una imagen de su huella dactilar[3].
Los datos son comparados contra los biométricos de muchas otras personas guardados en una base de datos.
En este modo se responde a la pregunta: ¿Quién eres tú?
Identificadores biométricos
Existen diversos tipos de biométricos que pueden se utilizan en la identificación o autenticación[4].
Medidas fisiológicas. Identificadores morfológicos consisten principalmente en huellas dactilares, forma de la mano, del dedo, patrón venoso, ojo (iris y retina) y la forma de la cara. En materia de análisis biológicos, se utilizan elementos como el ADN, sangre, saliva u orina puede ser utilizada por equipos médicos o policía forense.
Medidas de comportamiento. Los identificadores de comportamiento más comunes son: Reconocimiento de voz, dinámica de firmado, dinámica de tecleo, la manera de manipular objetos, el andar (sonido de los pasos), gesticulaciones, etc. No todas las medidas tienen el mismo nivel de confiabilidad, pues pueden variar con la edad o con el nivel de estrés.
Identidad y biométricos
Existen tres maneras de comprobar la identidad de una persona:
Usando algo que tienes: Este método es relativamente sencillo, como utilizar la llave de un vehículo, un documento, una tarjeta o una identificación.
Usando algo que sabes: Un nombre, secreto o clave.
A través de lo que eres: Tu huella digital, tu mano, tu cara.
El uso de biométricos tiene muchos beneficios, siendo la principal la garantía de la seguridad y precisión. A diferencia de las claves, identificaciones o documentos, los biométricos no pueden ser olvidados, intercambiados, robados o falsificados.
En este sentido, los biométricos están inextricablemente ligados a la identidad.
Casos de uso
Históricamente el uso de biométricos tuvo orígenes militares para control de acceso, o identificación civil o criminal bajo un régimen legal y técnico muy estricto.
Hoy, sectores como el bancario, menudeo y comercio electrónico, muestran un apetito real por los beneficios de los biométricos. La conciencia y aceptación de su uso se ha acelerado en los últimos siete años, ya que millones de usuarios de teléfonos inteligentes están desbloqueando su teléfono con su huella digital o su cara.
Su uso no se limita al militar, también las fuerzas del orden la utilizan para control migratorio y vigilancia de viajeros. En algunos países se utiliza para el control del otorgamiento de subsidios, identidad civil, registro poblacional y registro de votantes.
Ventajas de los biométricos
Al margen del método, lo que todas estas técnicas biométricas tienen en común es que todos colectan características humanas:
Universal, pues puede encontrarse en todos los individuos.
Única, pues hacen posible diferenciar entre individuos.
Permanente, ya que no cambian con el tiempo.
Registrable (con o sin consentimiento).
Medibles, permitiendo comparaciones en el tiempo.
A prueba de falsificación.
Confiabilidad de los biométricos
La autenticación biométricas depende de algoritmos estadísticos, por tanto, no puede ser 100% confiable cuando se utiliza sola. Existen falsas-aceptaciones y falsos-rechazos.
Los falsos-rechazos son cuando una máquina falla en reconocer un elemento de datos biométricos que corresponden a la persona. Es un rechazo falso. El caso inverso es una falsa-aceptación, cuando elementos que no son de la misma persona coinciden. Estas dos situaciones ocurren con todas las técnicas biométricas.
Seguridad de los biométricos
Como se ha indicado, los biométricos pueden tener dos funciones: autenticación e identificación. En el caso de la identificación generalmente requiere de una base de datos centralizada de biométricos, que permite que los biométricos de las personas sean comparados.
Para el caso de la autenticación, esto se puede hacer sin una base de datos centralizada. Los datos pueden simplemente estar guardados en un artefacto descentralizado, como un teléfono inteligente.
Para efectos de protección de datos, el proceso de autenticación con un artefacto descentralizado es preferible. Este abordaje representa menos riesgos.
Un token, como una tarjeta de identificación, tarjeta militar, etc., es mantenido en posesión del usuario, y sus datos no requieren estar guardados en ninguna base de datos; por el contrario, en un proceso de identificación que requiere una base de datos externa, el usuario no tiene control físico sobre sus datos, con los riesgos que esto conlleva.
Controversia sobre los biométricos
La seguridad biométrica ofrece muchas ventajas, como una robusta identificación y autenticación, pero no se logra sin controversia. Este reto está ligados a la privacidad y a la habilidad de los ciudadanos para controla su propia información.
Dos tipos de riesgo se identifican:
El uso de biométricos para propósitos ajenos a aquellos acordados por el ciudadano y su proveedor de servicios. Tan pronto como los datos biométricos se encuentran en manos de terceras personas, existe el riesgo de que puedan ser usados para fines diversos.
El riesgo de la reutilización de datos presentados para verificaciones biométricas. Los datos pueden ser capturados durante su transmisión a la base de datos central y ser replicados de forma fraudulenta en otra transacción.
El resultado de ambos es que la persona pierde control sobre sus datos, lo que implica riesgos de privacidad. En la práctica, las autoridades de protección de datos prefieren soluciones que utilizan servicios de datos descentralizados.
Protección de datos
Existe la “Resolución de las Naciones Unidas” del 14 de diciembre de 1990, que establece lineamientos para regular los archivos computarizados de datos personales, pero no tiene fuerza vinculante.
No obstante, a mayo de 2018, la nueva regulación de la Unión Europea remplaza a todas las leyes existentes a ese momento.
La Regulación General de Protección de Dato (General Data Protection Rule -GDPR-) se aplica directamente sobre 27 estados miembros de la Unión Europea (UE) y del Reino Unido, en donde los datos biométricos están claramente definidos y protegidos. De manera resumida, esta legislación establece:
Un régimen homologado en la Unión Europea
El derecho al olvido
Consentimiento “claro” y “afirmativo”
Penas severas por incumplimiento
Afuera de la UE el nivel de protección varía según la legislación vigente, asumiendo que esta existe. Un ejemplo son los Estados Unidos de América (EUA), en donde tres estados (Illinois, Washington y Texas) protegen los datos biométricos, y el resto de los 47 estados no, hasta 2019. Posterior a este año algunos estados, como California, se han movido en este sentido.
___________ Notas al pie
[1] Real Academia Española: Diccionario de la lengua española, 23. ª ed., [versión 23.4 en línea]. https://dle.rae.es. Última visita enero 31, 2022.
[2] OECD (2004-06-30), “Biometric-based Technologies”, OECD Digital Economy Papers, No. 101, OECD Publishing, Paris. http://dx.doi.org/10.1787/232075642747. Última visita enero 31, 2022.
[3] Idem.
[4] Thales. Biometrics: definition, use cases, latest news. Enero, 2022. https://www.thalesgroup.com/en/markets/digital-identity-and-security/government/inspired/biometrics. Última visita enero 31, 2022.