Los 3 principales mitos de la autenticación biométrica

Si quieres saber cómo funciona realmente la autenticación biométrica, sigue leyendo. Si la verdad que se esconde tras tantos mitos e ideas falsas despierta su interés, continúa un poco más. Si el género de suspense y espionaje es demasiado para resistirse, puedes ver ‘Sin tiempo para morir’, la vigesimoquinta película de James Bond.

La realidad es que ciertos tipos de factores de autenticación, como ‘algo que tienes’ (token de hardware, métodos basados en el teléfono, tarjetas de proximidad) y ‘algo que sabes’ (contraseñas, PIN) pueden ser robados fácilmente. Los datos biométricos no. Alguien malintencionado puede intentar copiar o falsificar datos biométricos o intentar robar plantillas de un servidor, pero esa información nunca puede ser realmente sustraída.

Ahora, puede que te estés preguntando: pero si se puede copiar o falsificar, ¿qué pasa con la prevención del fraude y el ‘restablecimiento’ de un dato biométrico que ha sido robado?

Es justo preguntárselo. Aunque las películas de espías describen la falsificación de un escáner facial o de retina como una hazaña fácil, eso está lejos de la realidad. La biometría a nivel empresarial, como la biometría vinculada a la identidad (Identity-Bound Biometrics, IBB), dispondrá de controles y equilibrios de detección de ataques de presentación (Presentation Attack Detection, PAD) para evitar que se utilice una falsificación. Además, los datos biométricos que se almacenan de forma centralizada están fuertemente protegidos mediante encriptación, manipulación algorítmica y otros controles para inutilizar cualquier dato biométrico robado. Una vez más, el alto nivel de seguridad de IBB no proviene de mantener su biometría en secreto, sino de mantener la integridad del proceso de coincidencia que se produce cada vez que se utiliza la biometría y se compara con la plantilla inscrita originalmente, y en la dificultad de suplantar a un individuo.

La biometría vinculada a la identidad (IBB) de BIO-key utiliza tecnología y algoritmos patentados de primera clase, junto con la detección de liveness incorporada, para proporcionar un PAD infalible y los más altos niveles de seguridad biométrica. Esto significa que los impostores no pueden utilizar falsificaciones como fotografías escaneadas o modelos impresos en 3D para suplantar tu identidad.

Aunque sí es cierto que ha habido un puñado de demandas en torno al almacenamiento y mantenimiento de datos biométricos, todas ellas han surgido como resultado de los métodos inadecuados utilizados para ir almacenando y recibiendo el consentimiento para atesorar dichos datos biométricos.

El Reglamento General de Protección de Datos europeo (RGPD), ampliado por la nueva Ley Orgánica de Protección de Datos (LOPD), define los datos personales como aquellos relativos a las características fisiológicas, de comportamiento o físicas de cualquier persona, obtenidos mediante un tratamiento técnico específico para la identificación unívoca del usuario en cuestión. En su artículo 9, estos datos están en la categoría de datos “Especialmente Protegidos”, por lo que es imprescindible que se cumplan los requisitos para su tratamiento. En el caso de los datos biométricos, el reglamento exige el consentimiento explícito para el tratamiento de los datos, una evaluación del impacto del sistema que se va a utilizar y un seguimiento del registro de actividades de tratamiento.

En EEUU, por ejemplo, en octubre de 2022, un jurado de Illinois dictaminó que la compañía ferroviaria BNSF había violado la Ley de Privacidad de la Información Biométrica (BIPA) del estado al recoger las huellas dactilares de más de 45.000 camioneros sin su consentimiento.

También en EEUU, en California existe una ley similar, la CCPA, que obliga a cualquier entidad que recopile datos biométricos a recibir primero el consentimiento del usuario final. En caso contrario, esa organización o empresa puede ser demandada.

Los límites de leyes como la CCPA y la BIPA son claros y precisos, pero eso no significa, ni mucho menos, que sea inevitable que se pueda recibir una demanda por almacenar, manejar o gestionar información biométrica. Simplemente hay que hacerlo bien, teniendo en cuenta la privacidad del usuario final y la normativa vigente.

La biometría vinculada a la identidad (IBB) se ha creado pensando en la privacidad y la seguridad, tanto para la empresa o el gestor de datos como para el usuario final. Con IBB, todas las personas deben dar su consentimiento antes de inscribirse y registrar sus datos biométricos y pueden eliminar o gestionar su inscripción como deseen. Cualquier empresa puede estar segura de que cumple todas las leyes relativas a la recopilación de datos biométricos.

Como cualquier otra cosa, la biometría puede ser cara, pero no tiene por qué serlo. En comparación con los métodos de autenticación basados en contraseñas, que cuestan a las grandes empresas hasta un millón de dólares al año, la mayoría de las soluciones de autenticación biométrica son mucho más rentables.

Con muchas soluciones biométricas, como la biometría vinculada a la identidad (IBB), no se requiere hardware adicional, como la necesidad de adquirir varios tokens de hardware para cada empleado. Los métodos basados en el teléfono también tienen un coste, ya que muchos empleadores tienen que pagar la factura de un dispositivo móvil o un plan de datos. IBB es independiente del dispositivo, por lo que las empresas y los usuarios finales tienen la flexibilidad de elegir cómo quieren autenticarse sin verse obligados a comprar artículos adicionales y costosos.

En términos de consumo de tiempo, un método de autenticación que utiliza la biometría es un enfoque más rápido y mucho más eficiente. Una captura y coincidencia biométrica puede verificar con precisión a una persona en menos de 2 segundos, con tasas de falsos rechazos y falsas aceptaciones estadísticamente insignificantes. En el caso de la autenticación multifactor (MFA) tradicional, el tedioso proceso de escribir la contraseña y esperar minutos a que aparezca una contraseña de un solo uso (OTP) resulta demasiado familiar. En cambio, la biometría ofrece una gran experiencia de usuario, ya que con un toque del dedo mediante un escáner de huellas dactilares, un rápido escaneado de la palma de la mano o un escaneado de reconocimiento facial se puede autenticar al usuario aprobado prácticamente al instante.

La reticencia a adoptar rápidamente la tecnología biométrica para la autenticación es comprensible. Es nueva (relativamente) y desafía el statu quo de los métodos basados en el teléfono y los tokens de hardware. Todo lo nuevo y diferente necesita tiempo para ser entendido, aceptado y adoptado. Con millones de personas en todo el mundo que utilizan biometría nativa de dispositivos, como Apple Face ID o Touch ID y Android Biometrics, estamos viendo que la adopción de la biometría se está generalizando. Es más, una encuesta realizada por VISA mostró que el 86% de los consumidores quieren utilizar algún tipo de sistema biométrico para la autenticación en lugar de un enfoque basado en contraseñas.

Aunque la adopción a nivel empresarial no será tan rápida, la autenticación de usuarios con biometría es una tendencia al alza, sobre todo ahora que la identity first se está convirtiendo en la norma. La realidad es que las soluciones de autenticación biométrica basadas en la nube, como la biometría vinculada a la identidad (IBB), son la opción más cómoda y segura tanto para los administradores como para los usuarios finales. Con IBB, una única inscripción facilita su uso en todos los dispositivos y ubicaciones. Para los administradores, el entorno controlado por la empresa evita el traspaso de cuentas para garantizar que solo las personas autorizadas puedan utilizar los privilegios de la cuenta.