La biométrica como medio de identificación evoluciona constantemente ampliando sus usos y los dispositivos a los que se incorporan. En este desarrollo, el teléfono móvil se revela como el dispositivo más universal debido a su uso masivo y lidera las investigaciones que contribuyen a perfeccionar estos sistemas.
De los distintos indicadores sobre los que se basa la tecnología biométrica los más extendidos son la huella digital, la lectura del iris y el reconocimiento facial, además del reconocimiento de voz, que tiene por delante un papel decisivo en la «IoT» (internet de las cosas) por sus aplicaciones en la vida doméstica.
Cada vez que el uso de la tecnología biométrica llega a un nuevo sector, los responsables fundamentan esta decisión en su fiabilidad y nivel de seguridad. Así, el Banco Sabadell anunciaba que su Cuenta Expansión incorporaba el «innovador sistema de Identificación que permitirá a sus clientes usar como contraseña para sus operaciones aquello que nadie le puede sustraer: la huella dactilar». Sin salir de la banca, pero cambiando de indicador biométrico, CaixaBank acaba de introducir el reconocimiento facial en cuatro oficinas de Barcelona, los primeros cajeros automáticos del mundo con esta tecnología. La entidad declara que «de esta forma se consigue una mayor seguridad y agilidad a la hora de retirar el dinero y realizar trámites, sin necesidad de memorizar dígitos gracias a la tecnología biométrica». Según Gonzalo Gortázar, consejero delegado de CaixaBank, «el liderazgo tecnológico nos ayuda a dar el mejor servicio a nuestros clientes, y de una forma más cercana y especializada».
Las tecnologías biométricas aportan al usuario comodidad y le transmiten el mensaje de que una empresa está «al día», pero el elemento «seguridad» es el más esencial, ya que su uso cada vez se vincula a actividades más personales y delicadas como sacar dinero de un cajero, desbloquear el ordenador o el teléfono propios, y sin garantías de seguridad ninguna de estas operaciones se hubieran generalizado como hoy.
En concreto, el reconocimiento facial vive sus mejores días como indicador biométrico, y acaba de tener una «puesta de largo imperial» como el sistema elegido para controlar a los invitados a la ceremonia celebrada en el Teatro Nacional de Tokio del pasado 24 de Febrero para conmemorar los 30 años del emperador Akihito en el trono. Un estreno de campanillas para la tecnología biométrica que el ejecutivo japonés va a implantar en los Juegos Olímpicos de Tokio 2020 y en nuevas ceremonias relacionadas con el palacio imperial. La velocidad y seguridad del sistema de reconocimiento facial (tarda unos 10 segundos por persona y su tasa de precisión es del 99%) han sido los argumentos de los responsables nipones, y no concebimos que un país con la tradición tecnológica de Japón pueda asumir un sistema de identificación poco seguro en un homenaje a su emperador.
Los hackers no descansan
Al mismo tiempo, los retos de la ciberseguridad son proporcionales a las puertas que abre cada proceso tecnológico, y todo avance se refleja en un espejo de esfuerzos paralelos para contrarrestarlo o sortearlo. Teniendo en cuenta que la información de cualquier indicador biométrico es capturada por un dispositivo y luego enviada a otro lado para procesar y analizar la identidad, varios vectores de ataque pueden acechar por el camino. Uno puede ser el momento de leer los datos, otro estar en el proceso de transferirlos y otro más en la parte de análisis.
Un experto de Kaspersky Lab, compañía internacional dedicada a la seguridad informática con presencia en 200 países y sede central en Moscú, lo explica así: «Un reconocimiento facial se convierte en información, y esta digitalización se va a manejar y a procesar en algún momento. Los hackers podrán entonces acceder a esa información directamente en el dispositivo del usuario o atacando el sistema de nube de la compañía. Si la información se almacena de manera local, vulneran ese dispositivo instalándole un malware por medio de técnicas como phishing o con archivos que se descargan en páginas fraudulentas».
Universidades y empresas tecnológicas cuentan con el elemento «hacker» para perfeccionar la seguridad de los sistemas, ya que la inatacabilidad plena es un concepto del mundo ideal. Por ejemplo, en 2016, expertos de la Universidad de Carolina del Norte burlaron a sistemas de reconocimiento facial usando fotos digitales de los usuarios que estaban disponibles de forma pública en redes sociales y sitios de búsqueda. Y en 2017, investigadores de la Universidad de Nueva York consiguieron emular las huellas dactilares de cualquier persona usando “huellas maestras” alteradas digitalmente.
Desde que los lectores de huellas llegaron a los smartphones, no se han dejado de estudiar sus puntos débiles para evitar suplantaciones. La empresa china Vkansee creó el «doble» de una huella dactilar con el molde de una pasta similar a la usada para prótesis dentales que distintos sensores de smartphones identificaron como auténtica, desbloqueando el dispositivo. El objetivo de esta prueba fue proponer sensores con mayor resolución para evitar que una huella falsa se interprete como la original. Otro caso en relación con los smartphones y el reconocimiento del iris. La mayor asociación de hackers de Europa (Chaos Computer Club) ha demostrado que disponiendo de una foto de alta resolución del ojo del usuario se podría acceder a su teléfono. En su prueba, engañaron al escáner de iris del Galaxy S8 con una imagen infrarroja impresa de ojo humano unida a una lente de contacto, lo que hizo perder seguridad al sistema.
Lo cierto es que estas amenazas con finalidades ilícitas se concentran en los dispositivos móviles y personales en mayor medida que sobre sistemas de control de accesos habituales en empresas o recintos, pero los expertos en ciberseguridad prevén que este año se comiencen a vulnerar factores de autenticación como las huellas dactilares, el reconocimiento del iris y la autenticación facial.
Sin embargo, estos mismos expertos coinciden en que, aunque el reconocimiento facial ha tenido un boom en los últimos años, aún no detectan un nivel de «ataque dirigido» ni creen que se esté sacando información de reconocimiento facial masivamente, por lo que se podría considerar en este momento el sistema más seguro.