Estados

Si desbloqueas tu celular con tu huella esto te interesa

Se puede cancelar la información de una tarjeta de crédito si alguien la roba, pero ¿qué haces si alguien roba los datos de tu reconocimiento facial?

Por  Faviola Verdugo

Si desbloqueas tu celular con tu huella esto te interesa

Si desbloqueas tu celular con tu huella esto te interesa

La biometría es una de las tecnologías del momento, tanto los dispositivos móviles como entidades bancarias y financieras está adoptando modelos biométricos para sus sistemas de autenticación. Como suele ser habitual, las leyes van siempre un paso por detrás de la tecnología y las leyes que se aplican para otro tipo de información personal no son idóneas para tratar problemas relacionados con datos biométricos. Al contrario que las contraseñas u otros mecanismos de seguridad, los datos biométricos no pueden cambiarse si se produce un problema de seguridad y ese es uno de los principales problemas que tendrán que afrontar las compañías que los utilizan. Podemos cancelar la información de una tarjeta de crédito si alguien la roba, pero ¿qué hacemos si alguien roba los datos de nuestro reconocimiento facial?, ¿cirugía estética?

Qué es la biometría y cómo se utiliza

En este contexto entendemos como biometría el reconocimiento inequívoco de personas basado en uno o más rasgos intrínsecos, en especial su uso con fines de autenticación de usuario. Actualmente se utilizan este tipo de tecnologías:

Reconocimiento facial. Toma una serie de medidas de los patrones del rostro, distancias entre elementos y contornos faciales, los primeros algoritmos eran en 2D, pero actualmente los algoritmos en 3D son menos sensibles a sombras y posiciones. Los datos recabados se procesan mediante un algoritmo matemático que genera un vector de reconocimiento que se compara con el almacenado en la base de datos, la complejidad del algoritmo depende de la cantidad de datos que se tomen de la imagen inicial.

  • Reconocimiento de Iris. Se basa en la identificación de patrones en el iris del ojo (el área de color alrededor de la pupila). Aunque no se utiliza mucho en el Mercado de usuario, es ampliamente utilizado en el mercado de seguridad.
  • Huellas dactilares. Captura los patrones únicos que cada persona tiene en las huellas.
  • Reconocimiento de voz. Mide las particularidades únicas de las ondas sonoras de cada persona.
  • Geometría de la mano. Mide las características de forma y tamaño de la mano y las utiliza para identificar a la persona. Fueron ampliamente utilizadas en aplicaciones de seguridad en los 80.
  • Características de comportamiento. Analiza un conjunto de factores de interacción o movimiento, incluyendo la escritura, la forma en la que el usuario agarra o utiliza teclado y ratón o incluso la forma en la que caminas o realizas movimientos.

Qué amenazas sufren nuestros datos biométricos

Todas las organizaciones aseguran que disponen de todos los medios de seguridad necesarios para evitar el acceso a sus datos, pero la historia nos ha demostrado que hasta los más grandes pueden sufrir robos de datos: NASDAQ, Google, Facebook, Adobe, Ebay, AOL, Sony, Evernote, AT&T, Apple, … Todos han sido víctimas de robos de datos, aunque ellos aseguraban disponer de todos los medios de seguridad necesarios.

En todos estos casos una vez detectado el daño pudo ser reparado bien cambiando datos bancarios o cambiando datos de acceso o cancelando cuentas de correo. Pero ¿qué ocurre si esos datos robados son datos biométricos, el cambio de datos no es una opción y el daño provocado por una pérdida de datos es irreversible.

Qué deberían hacer empresas y gobiernos para protegernos

Lo primero que es necesario por parte de las empresas es reconocer exactamente qué datos se almacenan y que el usuario sea consciente de qué datos están siendo almacenados. Además, es necesaria una política más abierta de comunicación ya que las compañías silencian los problemas y no los hacen públicos hasta que no están controlados, esto hace que los datos obtenidos de los usuarios puedan ser utilizados sin que el usuario tenga la capacidad de tomar medidas para evitarlo.

En estos cambios de políticas es fundamental que los usuarios tomen un papel activo a la hora de reclamar sus derechos. Los usuarios tenemos la falsa idea de que al no tener nada que ocultar ni ser personajes relevantes nadie se va a interesar en nuestros datos, pero al margen de no ser cierto a día de hoy, tampoco sabemos qué relevancia van a tener esos datos en el futuro, en palabras de Edward Snowden: “Opinar que no nos preocupa el derecho a la privacidad porque no tenemos nada que ocultar no es distinto a pensar que no nos preocupa la libertad de expresión porque no tenemos nada que decir”. Hemos de ser conscientes de que cualquier dato privado que no sea correctamente obtenido, almacenado y gestionado es un ataque contra nuestra libertad y hacer valer nuestros derechos, aunque sea rechazando aquellos servicios que no nos garanticen estos mínimos.

Qué deberían hacer las compañías para garantizar la seguridad

Existe un problema de concepción acerca de la seguridad de los datos sensibles, no es el usuario quién debe probar que hay problemas de seguridad, es la organización que recaba los datos quien tiene que demostrar que todos los mecanismos garantizan no solo la seguridad, sino la detección temprana de cualquier problema que pudiera surgir. Citando a Harold Li, vicepresidente de la compañía de seguridad y privacidad en línea ExpressVPN: “Los datos biométricos son algunos de los datos personales más sensibles que tenemos. Es irresponsable que cualquier organización los recoja en masa cuando no hay garantías de que puedan protegerlos suficientemente contra las fugas o los ataques”.

Las organizaciones realizan políticas de seguridad para proteger su infraestructura y para protegerse de posibles acciones legales en lugar de focalizar la seguridad en la gestión de los datos de usuarios. Las organizaciones que gestionan datos tan sensibles han de hacer un especial esfuerzo para garantizar que, aun en el evento de que haya un problema de seguridad que permita acceder a los datos, eso datos no den acceso a los patrones biométricos de los usuarios, bien sea mediante encriptaciones no reversibles o mediante división de los datos entre distintos almacenes no interconectados.

Qué podemos hacer para mantener nuestra seguridad

No existe ninguna forma de asegurar nada de forma absoluta, esta debe ser siempre la base sobre la que evaluemos la seguridad, nuestra seguridad es siempre un equilibrio entre comodidad y riesgo. Incluso aunque no entregásemos ningún dato biométrico a ninguna compañía, estos datos los toman los gobiernos, al hacer el pasaporte, al registrarnos en un aeropuerto o simplemente al pasar por una zona videovigilada nuestros patrones biométricos están siendo registrados.

Obviamente la primera medida de seguridad es elegir bien en qué servicio compartimos nuestros datos y qué datos compartimos, leer detenidamente las condiciones de uso antes de aportar datos y evaluar si la comodidad que este servicio nos aporta compensa los riesgos que asumimos.

Aunque la organización que toma los datos observa todas las medidas de seguridad necesarias, los datos han de viajar a través de internet y durante ese tránsito pueden ser vulnerables, en estos casos es recomendable utilizar una red VPN para encriptar las comunicaciones e impedir que esos datos puedan ser interceptados.

Si utilizamos este tipo de datos biométricos en un dispositivo es importante que observemos todas las medidas de seguridad en el mismo, especialmente encriptar el almacenamiento para evitar que alguien que tenga acceso al dispositivo pueda acceder a los datos.

Conclusiones

Gobiernos y compañías obtienen multitud de datos biométricos de sus ciudadanos y usuarios y muchas veces no se almacenan o se controlan con el cuidado debido. Estos datos son extremadamente sensibles porque, al contrario que otros datos, no pueden invalidarse o cambiarse y actualmente pueden dar acceso a terceros a nuestras cuentas o a nuestros datos. Además de todo esto, no sabemos qué uso se podrá dar a estos datos en el futuro, p.e. suplantación de identidades, y eso es algo que nos debe hacer ser más cuidadosos con nuestros propios datos. Aunque no existe forma absoluta de eliminar los riesgos, los usuarios tienen la responsabilidad de proteger sus propios datos y de hacer valer sus derechos frente a las organizaciones que almacenan dichos datos.