¿Qué es la biometría?
La biometría es la medición y el análisis estadístico de las características físicas y de comportamiento únicas de las personas. Esta tecnología se utiliza principalmente para la identificación y el control de acceso o para identificar a personas que están bajo vigilancia. La premisa básica de la autenticación biométrica es que toda persona puede ser identificada con precisión por rasgos físicos o de comportamiento intrínsecos. El término biometría deriva de las palabras griegas bio, que significa vida, y metric, que significa medir.
¿Cómo funciona la biometría?
La autenticación mediante verificación biométrica es cada vez más común en los sistemas de seguridad públicos y corporativos, la electrónica de consumo y las aplicaciones de punto de venta. Además de la seguridad, la fuerza motriz de la verificación biométrica ha sido la comodidad, ya que no hay contraseñas que recordar ni fichas de seguridad que llevar encima. Algunos métodos biométricos, como la medición de la forma de andar de una persona, pueden funcionar sin contacto directo con la persona autenticada.
Los componentes de los dispositivos biométricos son los siguientes:
- un lector o dispositivo de escaneado para registrar el factor biométrico que se está autenticando
- un programa informático para convertir los datos biométricos escaneados en un formato digital normalizado y comparar los puntos de coincidencia de los datos observados con los datos almacenados; y
- una base de datos para almacenar de forma segura los datos biométricos para su comparación.
Los datos biométricos pueden almacenarse en una base de datos centralizada, aunque las aplicaciones biométricas modernas a menudo dependen de la recopilación de datos biométricos a nivel local y su posterior codificación criptográfica para que la autenticación o identificación pueda llevarse a cabo sin acceso directo a los propios datos biométricos.
Tipos de biometría
Los dos tipos principales de identificadores biométricos son las características fisiológicas o las características de comportamiento.
Los identificadores fisiológicos se refieren a la composición del usuario que se está autenticando e incluyen los siguientes:
- reconocimiento facial
- huellas dactilares
- geometría de los dedos (tamaño y posición de los dedos)
- reconocimiento del iris
- reconocimiento de venas
- escaneo de retina
- reconocimiento de voz
- comparación de ADN (ácido desoxirribonucleico)
- firmas digitales
Los identificadores de comportamiento incluyen las formas únicas de actuar de las personas, incluido el reconocimiento de patrones de tecleo, movimientos del ratón y de los dedos, patrones de participación en sitios web y redes sociales, forma de caminar y otros gestos. Algunos de estos identificadores de comportamiento pueden utilizarse para proporcionar autenticación continua en lugar de una única comprobación de autenticación. Aunque sigue siendo un método nuevo con índices de fiabilidad más bajos, tiene potencial para crecer junto con otras mejoras de la tecnología biométrica.
Los datos biométricos pueden utilizarse para acceder a información en un dispositivo como un smartphone, pero también hay otras formas de utilizar la biometría. Por ejemplo, la información biométrica puede almacenarse en una tarjeta inteligente, donde un sistema de reconocimiento leerá la información biométrica de un individuo y la comparará con la información biométrica de la tarjeta inteligente.
Ventajas e inconvenientes de la biometría
El uso de la biometría tiene muchas ventajas e inconvenientes en cuanto a su uso, seguridad y otras funciones relacionadas. La biometría es beneficiosa por las siguientes razones:
- difícil de falsificar o robar, a diferencia de las contraseñas;
- fáciles y cómodas de usar;
- generalmente, la misma a lo largo de la vida de un usuario;
- intransferibles; y
- eficientes porque las plantillas ocupan menos espacio de almacenamiento.
Las desventajas, sin embargo, son las siguientes:
- La puesta en marcha de un sistema biométrico es costosa.
- Si el sistema no consigue captar todos los datos biométricos, puede fracasar la identificación de un usuario.
- Las bases de datos que contienen datos biométricos pueden ser pirateadas.
- Pueden producirse errores como falsos rechazos o falsas aceptaciones.
- Si un usuario se lesiona, es posible que el sistema de autenticación biométrica no funcione; por ejemplo, si se quema la mano, es posible que el escáner de huellas dactilares no pueda identificarlo.
Ejemplos de biometría en uso
Además de en muchos de los smartphones que se utilizan hoy en día, la biometría se emplea en muchos campos diferentes. Por ejemplo, la biometría se utiliza en los siguientes campos y organizaciones:
- Aplicación de la ley. Se utiliza en sistemas de identificación de delincuentes, como los sistemas de autenticación de huellas dactilares o palmares.
- Departamento de Seguridad Nacional de Estados Unidos. Se utiliza en las dependencias de la Patrulla de Fronteras para numerosos procesos de detección, investigación de antecedentes y expedición de credenciales; por ejemplo, con sistemas para pasaportes electrónicos, que almacenan datos de huellas dactilares, o en sistemas de reconocimiento facial.
- Sanidad. Se utiliza en sistemas como las tarjetas nacionales de identidad para los programas de identificación y seguro médico, que pueden utilizar las huellas dactilares para la identificación.
- Seguridad aeroportuaria. En este campo se utiliza a veces la biometría, como el reconocimiento del iris.
Sin embargo, no todas las organizaciones y programas optarán por utilizar la biometría. Por ejemplo, algunos sistemas de justicia no utilizarán la biometría para evitar cualquier posible error que pueda producirse.
¿Cuáles son los problemas de seguridad y privacidad de la biometría?
Los identificadores biométricos dependen de la unicidad del factor considerado. Por ejemplo, generalmente se considera que las huellas dactilares son muy exclusivas de cada persona. El reconocimiento de huellas dactilares, especialmente tal y como se implementó en el Touch ID de Apple para iPhones anteriores, fue la primera aplicación de un factor de autenticación biométrico ampliamente utilizada en el mercado masivo.
Otros factores biométricos son la retina, el reconocimiento del iris, las venas y la voz. Sin embargo, hasta ahora no se han adoptado de forma generalizada, en parte porque se confía menos en la unicidad de los identificadores o porque los factores son más fáciles de falsificar y utilizar con fines malintencionados, como la usurpación de identidad.
La estabilidad del factor biométrico también puede ser importante para su aceptación. Las huellas dactilares no cambian a lo largo de la vida, mientras que el aspecto facial puede cambiar drásticamente con la edad, una enfermedad u otros factores.
El problema de privacidad más importante que plantea el uso de la biometría es que los atributos físicos, como las huellas dactilares y los patrones de los vasos sanguíneos de la retina, suelen ser estáticos y no pueden modificarse. A diferencia de los factores no biométricos, como las contraseñas (algo que se sabe) y los tokens (algo que se tiene), que pueden sustituirse si se vulneran o ponen en peligro. Un ejemplo de esta dificultad fueron los más de 20 millones de personas cuyas huellas dactilares se vieron comprometidas en la filtración de datos de la Oficina de Gestión de Personal de Estados Unidos en 2014.
La creciente omnipresencia de cámaras de alta calidad, micrófonos y lectores de huellas dactilares en muchos de los dispositivos móviles actuales significa que la biometría seguirá convirtiéndose en un método más común para autenticar a los usuarios, sobre todo porque Fast ID Online ha especificado nuevas normas para la autenticación con biometría que admiten la autenticación de dos factores con factores biométricos.
Aunque la calidad de los lectores biométricos sigue mejorando, todavía pueden producir falsos negativos, cuando no se reconoce o autentica a un usuario autorizado, y falsos positivos, cuando se reconoce y autentica a un usuario no autorizado.
¿Es segura la biometría?
Aunque las cámaras de alta calidad y otros sensores permiten el uso de la biometría, también pueden facilitarlo a los atacantes. Dado que las personas no protegen sus rostros, oídos, manos, voz o forma de andar, es posible realizar ataques simplemente capturando datos biométricos de las personas sin su consentimiento o conocimiento.
Uno de los primeros ataques a la autenticación biométrica de huellas dactilares se denominó el «hackeo del osito de gominola», y se remonta a 2002, cuando unos investigadores japoneses, utilizando un dulce a base de gelatina, demostraron que un atacante podía levantar una huella dactilar latente de una superficie brillante. La capacitancia de la gelatina es similar a la de un dedo humano, por lo que los escáneres de huellas dactilares diseñados para detectar capacitancia se verían engañados por la transferencia de gelatina.
Los atacantes decididos también pueden vencer otros factores biométricos. En 2015, Jan Krissler, también conocido como Starbug, un investigador biométrico del Chaos Computer Club, demostró un método para extraer suficientes datos de una fotografía de alta resolución para derrotar la autenticación por escáner de iris. En 2017, Krissler informó haber derrotado el esquema de autenticación del escáner de iris utilizado por el teléfono inteligente Samsung Galaxy S8. Anteriormente, Krissler había recreado la huella dactilar de un usuario a partir de una imagen de alta resolución para demostrar que el esquema de autenticación de huellas dactilares Touch ID de Apple también era vulnerable.
Después de que Apple lanzara el iPhone X, los investigadores solo tardaron dos semanas en burlar el reconocimiento facial Face ID de Apple utilizando una máscara impresa en 3D; Face ID también puede ser burlado por personas relacionadas con el usuario autenticado, incluidos hijos o hermanos.