Sistemas biométricos: cómodos y fáciles de usar, pero también vulnerables y peligrosos para la identidad del usuario

Los sistemas de identificación biométrica, como el escáner ocular o de la huella dactilar, interesan cada vez más a usuarios y empresas que optan por estos formatos de acceso alternativos a las contraseñas, por los beneficios que presenta, como la agilidad y la comodidad a la hora de iniciar sesión en una cuenta o plataforma; aunque compartir esta información también tiene su riesgo, debido a que con ella se pueden cometer actividades fraudulentas.

Se trata de herramientas de seguridad que, o bien forman parte de dispositivos fabricados con este fin -como es el caso de los Orb que utiliza la compañía Worldcoin- o bien están integradas en productos electrónicos de uso diario, como tabletas o 'smartphones' -el sensor de huella dactilar o de reconocimiento facial-.

Con estas soluciones tecnológicas, los usuarios tienen la oportunidad de despojarse de las contraseñas e identificarse con uno o más atributos personales y físicos, que se entienden únicos, como pueden ser la huella dactilar o el ojo, mediante el escáner de la retina o el iris.

El uso de la seguridad biométrica está creciendo en todo el mundo, gracias a su implantación en los teléfonos móviles, tanto del ecosistema iOS como en el de Android. Principalmente, se trata del lector de huellas dactilares (TouchID, si se habla de iPhone) y del reconocimiento facial (FaceID en el sistema de Apple).

Samsung también fue pionera en introducir el escáner del iris en sus dispositivos móviles, capaces de leer tanto la forma como el patrón de esta parte del ojo para permitir que estos desbloqueen el equipo informático o realicen determinadas funciones.

También hay firmas que, incluso, han desarrollado sistemas de reconocimiento más atípicos, que van más allá del reconocimiento dactilar, facial u ocular. Es el caso de Fujitsu, que hace unos años lanzó PalmSecure ID Access PSN900, una solución de acceso a través de la lectura de las venas de la palma de la mano.

Los datos biométricos son únicos e inmutables, lo que genera mayor seguridad para las personas que los utilizan a diario, que optan por ellos para agilizar el acceso a las aplicaciones del móvil o a servicios financieros, entre otros casos de uso.

Esa es una de las grandes ventajas de estos sistemas, que no exigen a los usuarios recordar contraseñas numéricas, patrones o números PIN para acceder a un teléfono móvil o a otro dispositivo electrónico. Además, dan menos errores y falsos positivos que las contraseñas tradicionales.

El hecho de que la información biométrica sea intransferible y no se pueda modificar también tiene sus inconvenientes. En caso de que se produzca el robo de una credencial biométrica, la persona afectada asume el riesgo de que otras personas puedan suplantar su identidad, por ejemplo, con los datos de su iris o su huella dactilar. Esto se debe a que una vez un registro biométrico llega a internet y se hace público, no es posible eliminarlo por completo.

La recogida de la información biométrica se almacena en bases de datos locales -según el dispositivo desde el que se hayan recopilado los datos- o en la nube que, a pesar de disponer de sistemas de cifrado, pueden ser 'hackeadas' y comprometidas por vulnerabilidades y fallas de seguridad.

Este proceso implica un sensor para recoger los datos de entrada; un sistema informático que los procesa y los guarda; y un 'software' que actúa como intermediario y que compara la entrada biométrica con lo almacenado en su base de datos, para determinar que ambos registros coinciden.

Dada la creciente adopción de la biometría las empresas responsables de estos sistemas están obligadas a ofrecer una serie de garantías en la recogida, el tratamiento y la protección de los datos de los usuarios. También, que les faciliten la opción de ejercer su derecho de oposición al tratamiento de datos personales, además de solicitar su eliminación.

Así lo determina el Reglamento General de Protección de Datos (RGPD), que recoge que estas personas deben dirigirse al responsable del tratamiento de esta información -en este caso, la firma que administre estos datos- para pedir su retirada de sus bases de datos.

En España, la autoridad estatal de control que se encarga de velar por el cumplimiento de la normativa sobre protección de datos es la Agencia Española de Protección de Datos (AEPD).

Un caso reciente en esta materia es el de Worldcoin. La AEPD ordenó a principios de marzo el cese urgente en la recogida y tratamiento de información personal de este proyecto de criptomoneda biométrica con reconocimiento de iris creado por la empresa Tools for Humanity y fundada en 2019 el líder de OpenAI, Sam Altman.

Worldcoin escanea el iris de personas voluntarias -mayores de edad, según sus políticas- a cambio de una compensación económica. Más concretamente, de una criptomoneda perteneciente a este servicio. La AEPD ordenó a la empresa responsable pausar esta iniciativa hasta esclarecer el tipo de tratamiento que Worldcoin hace con los datos de estas personas, y tras recibir reclamaciones por "una información insuficiente, la captación de datos de menores o que no se permite la retirada del consentimiento".

A raíz de esto, Worldcoin recordó que dispone de un formulario donde los usuarios pueden solicitar el borrado de sus datos personales, así como la información sobre su iris, aunque no es posible eliminar por completo los datos de los usuarios. Esto se debe a que el dispositivo que se utiliza para el escaneo ocular, Orb, guarda temporalmente la imagen escaneada de cada iris para convertirla en un código único formado por letras y números, llamado 'iris code'.

Una vez se ha creado el perfil de un usuario, Worldcoin elimina la imagen de su iris, pero mantiene el llamado Código del iris único. Esto es una representación matemática del ojo denominada 'Prueba de singularidad' que permite a Worldcoin identificar a cada persona dentro de su red de usuarios y que no se puede borrar a pesar de haber solicitado la retirada de los datos. cuyo

El almacenamiento de esta 'Prueba de singularidad' está justificado por un interés legítimo para denfenderse "contra usuarios fraudulentos que intentan registrarse ilegalmente más de una vez".

Con la implementación de estos sistemas de identificación biométrica a nivel global, empresas como el 'exchange' de criptomonedas Kraken han demostrado lo fácil que es para los actores malintencionados copiar la huella dactilar de una persona y utilizarla para desbloquear y acceder a su información personal.

Una vez la víctima deja su huella impresa sobre un objeto, ya sea una tecla o una pantalla, se puede hacer un negativo de ella, crear una estructura 3D y un molde con la huella, que se puede colocar sobre un panel para desbloquear la pantalla o un botón.

El colectivo de 'hackers' Chaos Computer Club también descubrió hace unos años que era fácil burlar el sistema de escáner de iris de Samsung -más concretamente, del modelo Galaxy S8- empleando un sistema sencillo que solo necesitaba de una fotografía del propietario del 'smartphone' y una lentilla.

Asimismo, en el evento de ciberseguridad Black Hat (Estados Unidos) celebrado en 2018, dos investigadores de Salesforce demostraron que la autenticación de voz para el acceso a cuentas también era insegura, empleando modelos de aprendizaje automático y módulos de conversión de texto a voz de libre acceso.