Los sistemas de identificación biométrica interesan cada vez más a usuarios y empresas que optan por estos formatos de acceso alternativos a las contraseñas, por los beneficios que presenta.
Entre los más conocidos de estos se encuentran el escáner ocular o de la huella dactilar.
Sobre los beneficios que brinda, se destaca la agilidad y la comodidad a la hora de iniciar sesión en una cuenta o plataforma.
No obstante, cabe destacar que esta información también tiene su riesgo, debido a que con ella se pueden cometer actividades fraudulentas.
IDENTIFICARSE CON ATRIBUTOS PERSONALES
Se trata de herramientas de seguridad que pueden forman parte de dispositivos fabricados con este fin -como es el caso de los Orb que utiliza la compañía Worldcoin-
También pueden implicar nuevos recursos integrados en productos electrónicos de uso diario, como tabletas o ‘smartphones’ -el sensor de huella dactilar o de reconocimiento facial-.
Con estas soluciones tecnológicas, los usuarios podrán despojarse de las contraseñas e identificarse con uno o más atributos personales y físicos, que se entienden únicos.
TOUCHID Y FACEID
Entre estos últimos, se pueden mencionar la huella dactilar o el ojo, mediante el escáner de la retina o el iris.
El uso de la seguridad biométrica está creciendo en todo el mundo, gracias a su implantación en los teléfonos móviles, tanto del ecosistema iOS como en el de Android.
Principalmente, se trata del lector de huellas dactilares (TouchID, si se habla de iPhone) y del reconocimiento facial (FaceID en el sistema de Apple).
DIVERSOS SISTEMAS DE RECONOCIMIENTO
Samsung fue pionera en introducir el escáner del iris en sus dispositivos móviles, capaces de leer tanto la forma como el patrón de esta parte del ojo para y así desbloquear los equipos o hagan funciones.
También hay firmas que, incluso, han desarrollado sistemas de reconocimiento más atípicos, que van más allá del reconocimiento dactilar, facial y ocular.
Es el caso de Fujitsu, que hace unos años lanzó PalmSecure ID Access PSN900, una solución de acceso a través de la lectura de las venas de la palma de la mano.
VENTAJAS Y RIESGOS
Los datos biométricos son únicos e inmutables, y dan mayor seguridad a las personas que los usan a diario. Es elegido ya que agiliza el acceso a las aplicaciones o a servicios financieros, entre otros usos.
Esa es una de las ventajas de estos sistemas, que no exigen a los usuarios recordar contraseñas numéricas, patrones o números PIN para acceder a un teléfono móvil o a otro dispositivo electrónico.
Además, dan menos errores y falsos positivos que las contraseñas tradicionales. El hecho de que la información biométrica sea intransferible y no se pueda modificar también tiene sus inconvenientes.
ROBO DE DATOS DEL IRIS Y HUELLA DACTILAR
En caso de que se produzca el robo de una credencial biométrica, la persona afectada asume el riesgo de que otras personas puedan suplantar su identidad.
Ejemplo de esto puede ser el hurto de los datos de su iris o su huella dactilar.
Esto se debe a que una vez un registro biométrico llega a internet y se hace público, no es posible eliminarlo por completo.
LA POSIBILIDAD DE HACKEO
La recogida de la información biométrica se almacena en bases de datos locales -según el dispositivo desde el que se hayan recopilado los datos- o en la nube.
Esta última a pesar de disponer de sistemas de cifrado, pueden ser ‘hackeadas’ y comprometidas por vulnerabilidades y fallas de seguridad.
DIVERSOS ELEMENTOS EN EL PROCESO
Este proceso implica diversos elementos. En principio, un sensor para recoger los datos de entrada y un sistema informático que los procesa y los guarda.
A su vez, requiere un ‘software’ que actúa como intermediario y que compara la entrada biométrica con lo almacenado en su base de datos, para determinar que ambos registros coinciden.
RESPONSABILIDAD SOBRE LA INFORMACIÓN BIOMÉTRICA
Dada el creciente uso de la biometría las empresas responsables de estos sistemas están obligadas a ofrecer garantías en la recogida, el tratamiento y la protección de los datos de los usuarios.
También, que les faciliten la opción de ejercer su derecho de oposición al tratamiento de datos personales, además de solicitar su eliminación.
Así lo determina el Reglamento General de Protección de Datos (RGPD), que recoge que estas personas deben dirigirse al responsable del tratamiento de esta información.
EL CASO TOOLS FOR HUMANITY
En este caso, sería la firma que administre estos datos. De esa manera se puede pedir su retirada de sus bases de datos.
En España, la autoridad estatal de control que se encarga de velar por el cumplimiento de la normativa sobre protección de datos es la Agencia Española de Protección de Datos (AEPD).
Un caso reciente en esta materia es el de Worldcoin.
La AEPD ordenó en marzo el cese urgente en la recogida y tratamiento de datos personales de este proyecto de criptomoneda biométrica con reconocimiento de iris creado por Tools for Humanity.
Esta empresa fue fundado en 2019 el líder de OpenAI, Sam Altman.
SE ORDENÓ PAUSAR LA INICIATIVA
Worldcoin escanea el iris de personas voluntarias -mayores de edad, según sus políticas- a cambio de una compensación económica.
Más concretamente, de una criptomoneda perteneciente a este servicio.
La AEPD ordenó a la empresa responsable pausar esta iniciativa hasta esclarecer el tipo de tratamiento que Worldcoin hace con los datos de estas personas.
SE RECORDÓ EL FORMULARIO A DISPOSICIÓN
Luego, tras recibir reclamaciones por “una información insuficiente, la captación de datos de menores o que no se permite la retirada del consentimiento”
A raíz de esto, Worldcoin recordó que dispone de un formulario donde los usuarios pueden solicitar el borrado de sus datos personales, así como la información sobre su iris.
Sin embargo, destacan que no es posible eliminar por completo los datos de los usuarios.
UN CÓDIGO ÚNICO
Esto se debe a que el dispositivo que se utiliza para el escaneo ocular, Orb, guarda temporalmente la imagen escaneada de cada iris para convertirla en un código único formado por letras y números.
A dicho resultado lo han denominado ‘iris code’.
Una vez se ha creado el perfil de un usuario, Worldcoin elimina la imagen de su iris, pero mantiene el llamado Código del iris único.
PRUEBA DE SINGULARIDAD
Esto es una representación matemática del ojo denominada ‘Prueba de singularidad’ que permite a Worldcoin identificar a cada persona dentro de su red de usuarios.
Esta no se puede borrar a pesar de haber solicitado la retirada de los datos. cuyo
El almacenamiento de esta ‘Prueba de singularidad’ está justificado por un interés legítimo para defenderse “contra usuarios fraudulentos que intentan registrarse ilegalmente más de una vez”.
RIESGOS REALES
Con la aplicación de estos sistemas, empresas como el ‘exchange’ de criptomonedas Kraken demostraron lo fácil que es para los actores malintencionados copiar la huella dactilar de una persona.
Una vez que la víctima deja su huella impresa sobre un objeto, ya sea una tecla o una pantalla, se puede hacer un negativo de ella, crear una estructura 3D y un molde con la huella.
Dicha estructura se puede colocar sobre un panel para desbloquear la pantalla o un botón.
LA AUTENTICACIÓN DE VOZ TAMBIÉN ES RIESGOSA
El colectivo de ‘hackers’ Chaos Computer Club también descubrió hace unos años que era fácil burlar el sistema de escáner de iris de Samsung -más concretamente, del modelo Galaxy S8-.
Se podía hacerlo mediante el uso de un sistema sencillo que solo necesitaba de una fotografía del propietario del ‘smartphone’ y una lentilla.
Asimismo, en el evento de ciberseguridad Black Hat de 2018, investigadores de Salesforce demostraron que la autenticación de voz para el acceso a cuentas también era insegura.
Lograron demostrarlo empleando modelos de aprendizaje automático y módulos de conversión de texto a voz de libre acceso.
Fuente: EP.
