• Gemalto ahora es parte del Grupo Thales, descubra más.

Biometría para identificación y autenticación


Frente al fraude de documentos y al robo de identidad, con nuevas amenazas como el terrorismo o la delincuencia informática, y frente a los cambios comprensibles en las reglamentaciones internacionales, se están implementando nuevas soluciones tecnológicas gradualmente. Una de esas tecnologías, la biometría, se ha establecido rápidamente como el medio más pertinente para identificary autenticar individuos de una manera rápida y confiable, a través del uso de las características biológicas únicas.

Hoy en día, muchas aplicaciones usan esa tecnología. En el pasado, estaba reservada para aplicaciones sensibles, como la seguridad de los sitios militares, sin embargo, ahora se está desarrollando rápidamente, a través de aplicaciones de dominio público.

¿Qué es la biometría?

¿Qué es la biometría?

La biometría es la ciencia del análisis de las características físicas o del comportamiento, propias de cada individuo, con el fin de autenticar su identidad.

En el sentido literal y el más simple, la biometría significa la "medición del cuerpo humano".

Hay dos categorías de tecnologías biométricas: 

Mediciones fisiológicas​

Pueden ser morfológicas o biológicas. Los análisis morfológicos, consisten, principalmente, en las huellas dactilares, la forma de la mano, del dedo, el patrón de las venas, el ojo (iris y retina) y la forma de la cara​.

Los análisis biológicos, el ADN, la sangre, la saliva o la orina pueden usarse por parte de los equipos médicos y la policía forense.

Mediciones del comportamiento​

Las formas más comunes son el reconocimiento de voz, la dinámica de la firma (velocidad de movimiento del bolígrafo, aceleraciones, presión ejercida, inclinación), la dinámica de la pulsación de las teclas, la manera en que se utilizan los objetos, la marcha, el sonido de los pasos, los gestos, etc.

Las diferentes técnicas utilizadas son objeto de investigación y desarrollo constante, y, por supuesto, se mejoran continuamente. 

Sin embargo, los diferentes tipos de mediciones no tienen el mismo nivel de confiabilidad. Generalmente se considera que las mediciones fisiológicas ofrecen el beneficio de permanecer más estables durante toda la vida de un individuo. Por ejemplo, no están tan sujetas a los efectos del estrés, en comparación con la identificación mediante la medición del comportamiento.

La biometría permite que una persona se identifique y autentique con base en un conjunto de datos reconocibles y verificables, que son únicos y específicos para él/ella.

La identificación biométrica consiste en determinar la identidad de una persona. El objetivo es capturar un elemento biométrico, por ejemplo, tomando una foto del rostro, grabando la voz, o capturando una imagen de la huella dactilar. Luego, esos datos se comparan con los datos biométricos de otras varias personas, alojados en una base de datos. 

De ese modo, la pregunta es muy simple: "¿Quién es usted?".

La autenticación biométrica, también conocida como verificación, es el proceso por el que se comparan los datos de las características de una persona con la "plantilla" biométrica de esa persona, con el fin de determinar su semejanza. En primer lugar, el modelo de referencia se almacena en una base de datos o en un elemento seguro portátil, como una tarjeta inteligente. Luego se comparan los datos almacenados con los datos biométricos de la persona para autenticarse. Aquí, lo que se está verificando es la identidad de la persona. 

De este modo, la pregunta es: "¿Es usted realmente el señor o la señora X?".

Biometría: una historia muy antigua

La biometría responde a la eterna preocupación en cuanto a la capacidad de demostrar la identidad de manera irrefutable, usando aquello que hace a uno diferente.

Si nos remontamos a los tiempos prehistóricos, el hombre ya tenía la sensación de que ciertas características, tales como la huella digital, eran suficiente para identificarlo y, por ende, "firmaba" con el dedo.

En el siglo II aC, el emperador chino Ts'In She ya autenticaba ciertos sellos con una huella dactilar.

En el siglo XIX, Bertillon dio los primeros pasos en la policía científica. Utilizó las mediciones tomadas de ciertas características anatómicas para identificar a los criminales reincidentes, una técnica que, a menudo, tuvo éxito, aunque no ofrecía ninguna garantía real de confiabilidad.

Luego, este uso incipiente de la biometría fue un poco olvidado y lo redescubrió William James Herschel, un oficial británico, para usarlo con un propósito completamente diferente. Después de haber sido puesto a cargo de la construcción de carreteras en Bengala, solicitaba a sus subcontratistas firmar contratos con la huella dactilar, una forma segura de encontrarlos más fácilmente si no cumplían con lo acordado...

En el Reino Unido, la policía metropolitana comenzó a utilizar la biometría para su identificación en 1901. En los EE.UU., fue iniciado por la policía de Nueva York en 1902 y por el FBI en 1924. La policía francesa comenzó a usar el mismo proceso a finales de 1902 .​

Esta aplicación expresa el principio básico de la biometría: identificar a una persona basándose en ciertas características únicas.

La biometría está creciendo rápidamente, especialmente en el ámbito de los documentos de identidad. En general, se combina con otras tecnologías de seguridad, tales como las tarjetas inteligentes.

Biometría

La biometría está íntimamente vinculada a la cuestión de la identidad​

Hay tres maneras posibles de comprobar la identidad:

  1. Por medio de algo que usted posee. Hasta ahora, esto era algo relativamente fácil de hacer, ya fuera mediante el uso de la llave del vehículo, un documento, una tarjeta o una placa de identificación.

  2. Por medio de algo que usted sabe, un nombre, un secreto o una contraseña.

  3. Por medio de una parte de su cuerpo, la huella digital, la mano, la cara.

El uso de la biometría ofrece una serie de beneficios, el principal es el nivel de seguridad y de precisión* que garantiza. En contraste con las contraseñas, las placas de identificación o los documentos, los datos biométricos no se pueden olvidar, intercambiar o robar, y no se pueden falsificar.

*Según los cálculos realizados por Sir Francis Galton (primo de Darwin), la probabilidad de encontrar dos huellas dactilares similares es de 1 en 64 mil millones, incluso en el caso de gemelos idénticos (homocigotos).

En este sentido, la biometría está íntimamente vinculada a la cuestión de la identidad.​​

Biometría para identificación y autenticación
Usos de la biometría

Las autoridades nacionales son quienes, principalmente, introducen estas aplicaciones, debido a que el registro y la gestión biométrica de las huellas dactilares de una población necesitan un marco legal y técnico estrictamente regulado.

La aplicación más ampliamente implementada hasta la fecha es el pasaporte electrónico (ePassport), en particular con la segunda generación de esos documentos, también conocidos como pasaportes biométricos, en los que se almacenan dos huellas dactilares, además de una foto. La biometría proporciona pruebas irrefutables de la relación entre el documento y su titular.

Otra ventaja de esta solución es que acelera el cruce de fronteras, mediante el uso de escáneres que utilizan el principio de reconocimiento por comparación de la cara y/o las huellas digitales.

Existen otras aplicaciones, principalmente las tarjetas nacionales de identidad​, extendidas en países europeos y de Oriente Medio, o en África, para la identificación o los programas de salud, como es el caso de Gabón. Con estas tarjetas de identificación biométrica, las huellas digitales se utilizan para confirmar la identidad del titular de la tarjeta antes de que se le otorgue acceso a los servicios gubernamentales o de la salud.

Además, muchos países han establecido infraestructuras biométricas para el control de los flujos migratorios desde y hacia sus territorios. Las cámaras y los escáneres de huellas dactilares instalados en los puestos fronterizos capturan cierto tipo de información que ayuda a identificar, de una manera más precisa y confiable, a los viajeros que entran en el país. En algunos países, lo mismo aplica en los consulados para las solicitudes y las renovaciones de visas.

La adquisición de los datos requiere un equipo confiable para garantizar la captura óptima de las fotos y las huellas dactilares, lo cual es esencial para que los procesos de comparación y de verificación sean precisos.

Las bases de datos de la AFIS (Sistema de Identificación Automática de Huellas Digitales), a menudo vinculadas a una base de datos del registro civil, garantizan la identidad y la singularidad de los ciudadanos en relación con el resto de la población, de forma confiable, rápida y automatizada. Pueden combinar huellas dactilares, fotos y escaneos del iris para mayor confiabilidad.

Tecnologías biométricas

Tecnologías biométricas que combinan seguridad y comodidad

La biometría ofrece una amplia gama de técnicas y puede utilizarse en una amplia variedad de sectores que van desde la seguridad del Estado hasta la comodidad de las personas. 

Las técnicas biométricas se utilizan, principalmente, en los sectores de la identificación forense, la gestión de la identidad, así como en la administración y el control del acceso, tanto en instituciones públicas como privadas. La eficacia de esta tecnología está íntimamente vinculada al uso del procesamiento de datos. Los datos se almacenan en archivos para permitir la identificación rápida y confiable, que, a su vez, garantiza la comodidad y la seguridad.

Las técnicas más conocidas incluyen el reconocimiento de las huellas digitales, facial, del iris, de la palma y el reconocimiento basado en el ADN. Las investigaciones actuales están abriendo el camino para nuevos tipos de datos biométricos, como la forma de la oreja o la termografía facial.

Cualquiera que sea el método, lo que todas estas técnicas biométricas tienen en común es que recogen características que son:

  • Universales, ya que se pueden encontrar en todos los individuos.
  • Únicas, ya que hacen posible diferenciar un individuo de otro.
  • Permanentes, que permiten cambios en el tiempo.
  • Registrables, ya que las características de un individuo no pueden conseguirse sin su consentimiento.
  • Medibles, lo que permite la comparación futura.
  • A prueba de falsificaciones

Para aumentar la seguridad y la precisión, la biometría multimodal combina varias fuentes biométricas.

Los sistemas biométricos multimodales usualmente requieren dos credenciales biométricas para la identificación positiva, como la cara y las huellas dactilares en lugar de una. Son capaces de superar las limitaciones comúnmente encontradas en los sistemas unimodales​.

El desafío a enfrentar: el factor determinante en la elección de la técnica

El sistema judicial, por ejemplo, que debe tomarse el tiempo necesario para identificar a un criminal y no puede aceptar el más mínimo error, no tendrá que preocuparse por un proceso largo y costoso.

Un individuo común buscará proteger sus bienes personales y acceder a ellos fácilmente por un precio razonable.

Los gobiernos y las administraciones públicas se enfrentan con varios problemas a la vez: deben facilitar el cruce de fronteras, mientras controlan la inmigración ilegal, luchan contra el terrorismo, la ciberdelincuencia o el fraude electoral, mediante la emisión de documentos que cumplan con las nuevas normas y reglamentos internacionales, a la vez que garantizan la seguridad de los sistemas de producción, emisión y control de tales documentos, así como la interoperabilidad de los datos dentro de los límites de sus presupuestos.

En esta escala, solo un enfoque innovador de seguridad global que utilice soluciones y procesos tecnológicos que se adapten a los desafíos que deben cumplirse puede permitir a los Estados abordar eficazmente los problemas a los que se enfrenta y proporcionarles los medios para la construcción de confianza.

Confiabilidad de la biometría

La biometría se basa en algoritmos estadísticos. Por lo tanto, no puede ser 100% confiable cuando se utiliza por sí sola.

Aquí nos referimos a los "falsos rechazos" o a las "falsas aceptaciones". En un caso, la máquina no puede reconocer un elemento de los datos biométricos que, sin embargo, corresponde a la persona. En el otro caso, asimila dos elementos de los datos biométricos que no son de la misma persona. El "falso rechazo" o la "falsa aceptación" son síntomas que se producen con todas las técnicas utilizadas en la biometría.

Ya hace algunos años, el uso de varios datos biométricos combinados, por ejemplo, el rostro y el iris o el iris y las huellas dactilares, ha hecho posible reducir las tasas de error considerablemente.

De todas maneras, esa confiabilidad depende de que las herramientas de adquisición y los algoritmos sean de buena calidad. Aunque esta solución puede parecer atractiva en principio, la identificación requiere la implementación de un servidor centralizado, con una arquitectura particularmente segura

Tokens y las tarjetas de identificación inteligentes

La biometría se ve afectada por el hecho de que los algoritmos de comparación no se pueden comparar con los valores hash de las contraseñas.

Eso significa que dos medidas biométricas no se pueden comparar entre sí sin que, en algún momento, estén "en texto plano" en la memoria del dispositivo que realiza la comparación. 

Por lo tanto, los controles biométricos deben llevarse a cabo en un dispositivo de confianza, lo que significa que las alternativas son un servidor centralizado y supervisado, una terminal de confianza, o un componente de seguridad personal.

Esa es la razón por la que los tokens y las tarjetas inteligentes se consideran, cada vez más, los compañeros ideales para un sistema biométrico.

Tokens y las tarjetas de identificación inteligentes

Numerosas tarjetas de identificación nacionales (Portugal, Ecuador, Sudáfrica, Mongolia, Argelia, etc.) ahora incorporan características de seguridad digital basadas en el algoritmo de comparación de huellas digitales "Match-on-Card". A diferencia de los procesos biométricos convencionales, el algoritmo "Match-on-Card" permite que las huellas dactilares se comparen a nivel local con un marco de referencia, gracias a un microprocesador integrado en la tarjeta de identificación biométrica y sin tener que conectarse a una base de datos biométrica central (comparación 1:1). Los identificadores biométricos se comprueban localmente y se protegen, ya que se almacenan únicamente en la tarjeta. Además, es posible proceder con la autenticación incluso cuando no hay conexión con el servidor.​

Identificación o autenticación: el impacto sobre la protección de los datos 

La biometría puede cumplir dos funciones distintas, autenticación e identificación.

La identificación responde la pregunta "¿Quién es usted?". En ese caso, la persona se identifica como uno entre un grupo de otros (comparación 1:N). Los datos personales del individuo a identificar se comparan con los datos de otras personas, almacenados en la misma base de datos o, posiblemente, en otras bases de datos vinculadas.

La autenticación responde a la pregunta: "¿Es usted realmente quien dice ser?". En ese caso, la biometría permite que la identidad de una persona se certifique mediante la comparación de los datos que proporciona con los datos previamente registrados para la persona que dice ser (comparación: 1:1).

Estas dos soluciones invocan diferentes técnicas. 

La identificación, en general, requiere una base de datos centralizada que permite que se comparen los datos biométricos de varias personas. La autenticación puede prescindir de dicha base de datos centralizada. Los datos simplemente se pueden almacenar en un dispositivo descentralizado, tal como una de nuestras tarjetas inteligentes.

A los efectos de la protección de datos, es preferible un proceso de autenticación con un dispositivo descentralizado. Dicho proceso implica menos riesgos. El dispositivo descentralizado queda en posesión del usuario y sus datos no tienen que almacenarse en una base de datos. Por el contrario, si se utiliza un proceso de identificación que requiere una base de datos externa, el usuario no tiene el control físico de sus datos, con todos los riesgos que ello implica.

Se pueden identificar dos tipos de riesgo:

  • El uso de los datos biométricos para otros fines distintos a los acordados por el ciudadano, ya sea por los proveedores de servicios o por estafadores. Tan pronto como los datos biométricos está en posesión de un tercero, siempre existe el riesgo de que se usen para fines distintos de aquellos para los cuales el interesado ha dado su consentimiento. Así, puede haber casos de uso final indeseado si tales datos se interconectan con otros archivos, o si se utilizan para tipos de procesamiento diferentes de aquellos para los que se los pretendía inicialmente.

  • El riesgo en la base de datos biométrica y en los datos presentados para el registro biométrico. Los datos pueden capturarse durante la transmisión a la base de datos central y pueden replicarse, de manera fraudulenta, en otra transacción.

El resultado es que una persona puede perder el control de sus propios datos, lo cual plantea grandes riesgos en términos de privacidad. En la práctica, las autoridades de protección de los datos parecen preferir las soluciones que cuentan con dispositivos de datos descentralizados.

Para Gemalto, independientemente de si se trata de una cuestión de biometría, la identidad de una persona (suministrada por su país) debe permanecer bajo su control.

Los marcos legales

Los marcos legales

Aplicando el principio de proporcionalidad, tal como se define en el Artículo 5 de la Unión Europea, todo procesamiento de datos personales debe ser proporcional al objetivo con respecto al riesgo que representa para la privacidad de las personas afectadas. En consecuencia, cuando el objetivo perseguido pueda alcanzarse usando un sistema basado en la autenticación, Gemalto puede proponer un sistema de identificación que genere menos riesgos en términos de privacidad y de protección de datos. El consejo que podemos ofrecer a nuestros clientes es de fundamental importancia para la relación de confianza que construimos con ellos.

Si bien en el mundo apenas existen disposiciones legales específicas para los datos biométricos, a pesar del carácter muy específico de esos datos, la Ley de Protección de Datos francesa de 1978, titulada oficialmente "Loi relative à l'informatique, aux fichiers et aux libertés" [en español, Ley de tecnología de la información, archivos y libertades civiles] establece requisitos específicos para los datos biométricos.

También existen numerosos textos diferentes a nivel europeo e internacional. Sin intentar proporcionar una lista exhaustiva, vale la pena mencionar el "Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data" (Convenio para la protección de las personas con respecto al tratamiento automatizado de los datos personales) del 28 de enero de 1981, y la "Directiva europea sobre la protección de las personas con respecto al tratamiento de los datos personales y a la libre circulación de estos datos" del 24 de octubre de 1995. Esos textos establecen las obligaciones precisas correspondientes a los estados miembros del Consejo Europeo y la Unión Europea, respectivamente. La "Resolución de las Naciones Unidas" del 14 de diciembre de 1990 que establece las directrices para la reglamentación de los archivos computadorizados de datos personales no tiene ningún efecto vinculante.

El 14 de abril de 2016, el proyecto "General Data Protection Regulation" (en español, Reglamento general de protección de datos) fue adoptado por el Parlamento Europeo. Sus disposiciones serán directamente aplicables en los 28 Estados Miembros de la Unión Europea en la primavera de 2018. A continuación, va a sustituir la Directiva que data de 1995. Establece un marco armonizado en la Unión Europea, el derecho a ser olvidado, a un consentimiento "claro" y "afirmativo", y, entre otras cosas, dicta sanciones serias en caso de incumplimiento de estas normas.

Por lo tanto, las deliberaciones legales dependen, en gran medida, de las disposiciones relativas a los datos personales en el sentido amplio. Sin embargo, tales disposiciones a veces resultan poco adaptadas a la biometría.

Por último, cabe señalar que fuera de la Unión Europea el nivel de protección varía en función de la legislación vigente, si es que existe legislación alguna.

La biometría puesta a trabajar en favor de la seguridad digital, mediante la unión de las tecnologías que están adaptadas a cada caso particular

Gemalto posee su propia tecnología, reconocida en todo el mundo, que, combinada con su postura imparcial en lo referente a la fuente de los datos biométricos, permite ayudar a todo el mundo a confiar en el mundo digital.

Como experto en la identificación robusta, con más de 44 proyectos civiles gubernamentales que incorporan la biometría​, Gemalto puede actuar como una fuerza independiente para proponer y recomendar la solución más adecuada en cada caso. 

Con múltiples técnicas y una perspectiva muy lúcida sobre los márgenes de error implicados, Gemalto primero evalúa el tema y los desafíos que sus clientes desean abordar. Para cualquier proyecto determinado, debe ser posible cambiar las tecnologías, por ejemplo, cuando otra tecnología resulta dominante, o para adaptar la solución según parámetros importantes en áreas tales como el precio, el uso, la durabilidad, la seguridad y el medio ambiente. A fin de cuentas, los algoritmos de comparación que los clientes desean son lo que se integra en el software.

Gemalto otorga una gran importancia a la evaluación de los riesgos, lo cual puede no siempre ser visible para el público en general, así como a la capacidad de los operadores privados de gestionar esos riesgos. Del mismo modo, las implicaciones legales y sociales también son muy importantes.

Obviamente, nuestra elección de socios tecnológicos es crucial. Un cliente debe poder llevar a cabo pruebas previas en su propio entorno y bajo sus propias condiciones para poder comprobar la tasa de error. Si la tasa de error es demasiado alta, entonces, evidentemente, la solución elegida debe ser abandonada, en favor de otra solución mejor adaptada. Los gobiernos de los países a los que ofrecemos este tipo de soluciones a menudo instalan centros para ejecutar pruebas que se acerquen más a la realidad.

Si bien Gemalto mantiene una mente abierta con respecto a las técnicas biométricas, sigue convencido de que, cualquiera sea la elección biométrica, esta tecnología ofrece importantes beneficios para garantizar la identidad.​

 Documentos