La identificación y autenticación biométricas son dos conceptos que normalmente se malinterpretan o se usan indistintamente, de manera equívoca. Una reciente publicación conjunta del EDPS y la AEPD aclara los 14 equívocos más comunes al respecto.
La identificación y la autenticación biométricas están a veces relacionadas, pero en realidad se refieren a dos conceptos distintos. La identificación biométrica es el proceso de identificar a un individuo de entre otros de un grupo a través del uso de datos biométricos como huellas digitales o reconocimiento facial, y comparando sus datos con los de los demás. Por otro lado, la autenticación, es el proceso de comparar los datos del sujeto con los datos de una determinada y probada identidad a fin de comprobar su coinciden y si por tanto dicha identidad es la del individuo. El aumento de la popularidad del uso de datos biométricos ha conducido a varios equívocos en torno a esta tecnología. El EDPS y la AEPD han decidido aclarar los catorce más comunes. Os dejamos un resumen a continuación;
Equívoco
“La información biométrica se almacena en un algoritmo”.
Aclaración
El algoritmo no es un medio para almacenar información, sino un conjunto de procesos e instrucciones. La información se almacena en registros denominado platillas, patrones o firmas, que diferencian a unas personas de otras registrando características físicas de manera numérica. Sin embargo, algunos conocimientos relativos al procedimiento se pueden transmitir a algunas máquinas.
Equívoco
“El uso de datos biométricos es tan intrusivo como cualquier otro sistema de identificación o autenticación”.
Aclaración
Los datos biométricos son de hecho más intrusivos, pues se puede extraer mucha más información de forma involuntaria de una simple muestra de datos, incluyendo información personal que puede fácilmente singularizar a una persona y recoger información que puede resultar irrelevante para la finalidad perseguida. La raza, el género, el consume de sistancias, las enfermedades e incluso el estado emocional de la persona pueden deducirse de datos biométricos.
Equívoco
“La identificación y autenticación biométricas son precisas”.
Aclaración
Se dan muchas más probabilidades de error que en los sistemas que funcionan mediante contraseña o código, por el simple hecho de que hay más variables involucradas. La identificación biométrica se basa en probabilidad, en oposición a los sistemas basados en contraseña o código, que son o bien 100% correctos o bien tratados como incorrectos. Debido a la naturaleza de la materia biológica, se ven afectados por circunstancias como la humedad, regracción, dificultades técnicas, edad y otros, pues cualquier podría sesgar la precisión de los resultados y dar lugar a falsos positivos o falsos negativos.
Equívoco
“La identificación y autenticación biométricas son lo suficientemente precisas como para diferenciar siempre entre dos personas”.
Aclaración
Esto no siempre es así, y resulta especialmente difícil en el caso de hermanos gemelos y en espacios abiertos en los que el reconocimiento facial es menos preciso. Asimismo, obstrucciones en la cara, como las ocasionadas por el uso de mascarillas en las circunstancias actuales, pueden también reducir ampliamente la precisión. Ésta está sin embargo mejorando poco a poco, pues la tecnología continúa evolucionando.
Equívoco
“La identificación y autenticación biométricas son apropiadas para todos”.
Aclaración
Algunas discapacidades físicas impiden que se pueda utilizar cualquier tipo de biometría todo el tiempo. Ya sea un estado temporal o una condición permanente, a veces es más difícil recoger y tratar datos biométricos con algunas personas.
Equívoco
“Los procesos de identificación y autenticación biométricas no se pueden evadir”.
Aclaración
Esto no es cierto. Algunos tipos de identificación y autenticación biométricas son difíciles de evadir. Sin embargo, con el paso del tiempo han surgido muchos medios asequibles económicamente que permiten sortear estas medidas de seguridad. Hay sistemas cuyo total propósito es engañar al software de reconocimiento facial, mientras que los escáneres de retina y huella digital pueden también ser engañados con el equipamiento y preparación adecuadas.
Equívoco
“La información biométrica no está expuesta”.
Aclaración
La información proporcionada a los escáneres biométricos y las bases de datos son simplemente características que son reconocibles y fácilmente identificables. Y este es el motive por el que está expuesta. La radiación infrarroja, las imágenes de alta calidad y otro equipamiento pueden fácilmente obtener información biométrica de otros sin su consentimiento e incluso sin su conocimiento. Sí es cierto que evitar la lectura o exposición de información biométrica es mucho más difícil para el ciudadano medio.
Equívoco
“Cualquier proceso biométrico implica identificación o autenticación”.
Aclaración
Este no es el caso. La autenticación simplemente pretende diferenciar entre usuarios elegibles y no elegibles. Sin embargo, no es un sistema infalible y así por y tanto no puede evitarse con una precisión del 100%. Los falsos positivos o negativos existen, con lo que las autenticaciones no son protocolos de seguridad muy rigurosos en los que uno pueda depender a prueba de fuego como principal fuente de seguridad.
Equívoco
“Los sistemas de identificación y autenticación biométricas son más seguros para los usuarios”.
Aclaración
Puede ser de hecho muy problemático almacenar toda la información biométrica en un único lugar, pues no puede cambiarse como se puede hacer con una contraseña o un código: una vez comprometida, hay muy pocas formas de evitar un posible daño. Normalmente, la mayoría de entidades que tratan datos biométricos tienden a invertir un poco más en medidas de seguridad, dada la sensibilidad de la información.
Equívoco
“La autenticación biométrica es fuerte“.
Aclaración
La biometría en sí misma se considera débil debido a su protocolo de capa única de seguridad pero normalmente habrá otro pre-requisito que se requerirá antes de acceder a los datos biométricos, como por ejemplo la introducción de un código de empleado o la utilización de una tarjeta a fin de entrar en una sala con escáner de retina. Pero el escáner de retina como tal es débil.
Equívoco
“La identificación y autenticación biométricas son agradables para el usuario”.
Aclaración
Dependiendo de la implementación y facilidad de inscripción y/o inclusión en estos sistemas biométricos, el resultado podría ser un proceso muy ágil o extremadamente tedioso y con problemas que son difíciles de rectificar, especialmente si se comparan con el simple acto de resetear una contraseña u obtener un nuevo código y desactivar o invalidad los anteriores. Los datos biométricos no se pueden cambiar una vez que se han recogido.
Equívoco
“La información biométrica convertida a hash no es recuperable”.
Aclaración
Como capa añadida de seguridad en el tratamiento de datos biométricos, se recomienda que el patrón biométrico del cual se obtuvo el “hash” o “biohash” sea eliminado. Sin embargo, algunos estudios muestran que es posible revertir el biohash y obtener el patron biométrico original, sobre todo si se ha obtenido la clave secreta.
Equívoco
“La información biométrica almacenada no permite reconstruir la información biométrica original de la cual se obtuvo”.
Aclaración
Los patrones biométricos o la información biométrica almacenada no permite la reconstrucción de la información biométrica original (por ejemplo, generar una cara de un patrón biométrico de reconocimiento facial). En algunos casos, la información biométrica reconstruida del patrón es lo suficientemente precisa para ser reconocida como la información original. La precisión de la reconstrucción depende de la cantidad de información biométrica recogida.
Equívoco
“La información biométrica no es interoperable”.
Aclaración
Los sistemas de tratamiento de información biométrica son diseñados especialmente para ser interoperables. Los sistemas que funcionan comparando el resultado de aplicar una función hash a los patrones biométricos pueden también hacerse interoperables simplemente compartiendo las claves usadas durante el proceso de hash.
¿Cuáles son las implicaciones de esta información para mi negocio?
Comprender el concepto y el funcionamiento interno de los procesos de identificación y autenticación biométricos es esencial para asegurar que los datos se tratan de manera ética si tu negocio maneja este tipo de información. De esta forma, una correcta comprensión conduce en sí misma a una protección de los datos suficiente y adecuada. Es Importate señalar que el RGPD clasifica los datos biométricos como una categoría especial de datos en la gran mayoría de los casos, exigiendo protección adicional sobre los mismos. Los datos biométricos se consideran una categoría especial de datos personales desde el momento em que se utilizan “para la finalidad de identificar de manera única a una persona”.