Hasta 2019, se hablaba del mercado biométrico, de su potencial como uno de los vectores de crecimiento de negocios ligados a la IT, así como de una estimación de 25% de crecimiento en el mercado de técnicas biométricas entre 2018 y 2019. A dicho mercado se le valoró en $27,000 millones de dólares en 2020, con un crecimiento esperado de 15% anual hasta 2026.
La pandemia de COVID-19 transformó y aceleró muchos de los procesos de identificación biométrica que ya venían aplicándose vertical y transversalmente en el mundo. Las preocupaciones se han movido hacia la autenticación biométrica y la gestión de la identidad, que involucra la protección de datos personales y el espinoso asunto de la privacidad.
Los hechos son que ahora se habla de mercado biométrico de próxima generación y que, en lo que va del periodo 2021-2026, éste ha registrado un crecimiento del 35.5% de CAGR (Tasa de Crecimiento Anual Compuesta, por sus siglas en inglés) de acuerdo con el reporte de la firma de investigación de mercados MordorIntelligence.
Las tecnologías empleadas para autenticar la identidad de los individuos por medio de sus características biológicas tales como la voz, la expresión facial, la palma de la mano, las huellas dactilares, la firma, el iris, la red venosa y el ADN, son lo que se denomina biometría de próxima generación.
Identificación y autenticación biométrica
Se dice que la biometría conecta la vida física con la digital y que el reconocimiento de una parte del cuerpo como llave digital para acceder a un sitio, una plataforma o una aplicación, es factor clave en la ciberseguridad.
En términos muy simples, la identificación responde a la pregunta “quién es usted”; mientras que la autenticación valida si “usted es quien dice ser”.
Identificación y autenticación biométrica son dos procesos diferenciados que dan como resultado la validación de identidad de un individuo.
Los rasgos biométricos son únicos y prácticamente irrepetibles, salvo en casos de hermanos gemelos o algún otro parentesco sanguíneo muy cercano. Siendo únicos, constituyen identificadores inequívocos.
¿Qué es la autenticación biométrica y cómo se realiza?
La autenticación biométrica es un concepto de seguridad de datos que verifica la identidad de un individuo mediante sus rasgos físicos únicos o sus rasgos conductuales.
Para llevar a cabo la autenticación de usuario, es necesario que los individuos aporten previamente la información que los identifica. El primer paso es la identificación biométrica que permite determinar la identidad de un individuo.
Los datos de identificación son capturados o leídos mediante dispositivos tecnológicos diseñados especialmente para ello, como es el caso de un lector de huellas dactilares o una pantalla de captura digital de la firma autógrafa.
La información capturada recibe un tratamiento de digitalización y encriptación. A partir de ella se van a generar los registros o plantillas (templates) que servirán más adelante para hacer la comparación probabilística cuyo resultado es la autenticación o verificación de la identidad del individuo en cuestión.
Determinar donde se almacena esta información en forma segura es una de las tareas asignadas a las áreas de sistemas, como también los protocolos de acceso, mantenimiento y protección de datos personales.
Usualmente se utilizan bases de datos para el almacenamiento, así como software para gestión de biométricos capaz de procesar el reconocimiento de formas, aplicar algoritmos matemáticos complejos, así como procesar aprendizaje mediante inteligencia artificial (AI).
Aunque puede haber muchas variantes, a manera de ejemplo, estos son los elementos que conforman una arquitectura de sistema biométrico: dispositivos de captura, formato de la biometría, sistema de captura, formato de envío, middleware, motor biométrico y sistema de adjudicación.
Tipos de autenticación biométrica
Al revisar con más detalle cuales son los rasgos físicos o conductuales objeto de biometría y por lo tanto de identificación y autenticación mediante el uso de IT, tenemos una primera distinción entre las mediciones fisiológicas y las del comportamiento.
A su vez, las mediciones fisiológicas se dividen en morfológicas -las huellas dactilares, forma del rostro, de las manos, del iris y retina-; y biológicas
-composición de la sangre, ADN, saliva-.
Por lo que corresponde a las mediciones del comportamiento, se analiza la voz, la manera de caminar, la gesticulación, cómo se escribe/firma, la velocidad de tecleo o la ruta de actividades que se sigue al iniciar sesión en un dispositivo de cómputo, entre otros ejemplos.
Reconocimiento de huellas dactilares
El método que tal vez nos resulta más familiar porque ha sido utilizado desde la antigüedad a manera de firma. Luego, desde el siglo XIX, se asume que para cada individuo no cambian con el paso del tiempo y que son irrepetibles.
En la era digital, los escáneres de huellas dactilares registran las crestas y formas de impresión individuales, para luego comparar y autenticar.
Reconocimiento facial
El software que se utiliza hace un análisis de la geometría facial: la distancia entre los ojos, las proporciones de la frente, nariz, boca y el conjunto del rostro. Todo ello se encripta, creando un modelo, que luego se usa para comparar cuando se busca la autenticación.
Hay dos variantes, una que busca la detección de vida activa y obliga al individuo que está frente a la cámara o sensor de reconocimiento a que se mueva un poco o cierre los ojos; la otra es detección de vida pasiva que sucede cuando el individuo es parte de una escena más amplia y se le detecta a lo lejos. En términos de seguridad de datos y de autenticación, cada variante tiene retos distintos.
Reconocimiento de voz
Para la identificación se registra y analiza el sonido o huella vocal del individuo, con características como el tono, la frecuencia, las pausas y otras más. La autenticación resulta dudosa si hay ruido de fondo, si el individuo está resfriado o bien, si ha pasado por periodos de enfermedad.
Reconocimiento ocular
Que puede ser de iris o de retina. Es una modalidad más invasiva que las anteriores debido a que el dispositivo de identificación proyecta una luz al interior del ojo para mapear la red sanguínea en la retina o los anillos de colores en el iris.
Igual que en los otros tipos de reconocimiento, se encripta la información y luego, para buscar la autenticación, nuevamente se somete al individuo a la proyección de luz en el ojo. Se le considera una opción muy confiable en términos de vulneración de datos.
Ventajas de la autenticación biométrica
Las ventajas que para los gobiernos, las entidades militares y las policiales, tiene la autenticación biométrica de los individuos, responden a razonamientos que van desde lo político, hasta lo relacionado con seguridad nacional, por ello la implementación de estándares internacionales por ejemplo para el manejo de pasaportes biométricos, ha tenido buena acogida en 120 países.
Desde la perspectiva del sector privado de la economía, las principales ventajas que tienen las empresas u organizaciones al implementar sistemas de autenticación biométrica son conveniencia, precisión, disminución de algunos costos y mejora en la seguridad.
Por conveniencia se entiende que, al no haber necesidad de tarjetas de identificación, contraseñas o PIN, sino que un rasgo físico de cada individuo es la llave de acceso, el ahorro en costos es factor importante, así como la percepción de simplicidad entre los colaboradores.
En cuanto a la precisión, el individuo lleva en sí mismo sus rasgos biométricos, así que, como ejemplo, en el sector financiero, solo ciertas personas tienen acceso a los datos de los clientes y lo obtienen, con precisión, gracias a la autenticación biométrica.
La disminución de costos y la mejora en la seguridad son factores que demandan un análisis más profundo, ya que puede haber costos operativos que disminuyen, pero hay costos como el monto de las inversiones para poner en funcionamiento un sistema de identificación y autenticación biométrica que deben estar alineados con las necesidades del negocio.
Del mismo modo, la seguridad en general puede mejorar, pero la ciberseguridad indispensable para la gestión biométrica precisa de inversiones importantes. Por lo que resulta necesaria una evaluación integral costo-beneficio, antes de poner en marcha un sistema biométrico.
Riesgos
Ningún sistema es infalible, así que la autenticación biométrica tampoco lo es. Hay tres tipos de riesgos asociados al uso de este tipo de verificación de identidad: los falsos positivos, los falsos negativos y la suplantación de identidad.
Un falso positivo es cuando los sistemas de autenticación biométrica permiten el acceso de un individuo que no debería tenerlo, a causa de error en los sensores, o información imprecisa.
El caso del falso negativo ocurre cuando se niega el acceso a un individuo autorizado, porque el sistema de autenticación biométrica no reconoce sus datos biométricos, debido a fallas en la transmisión de datos o suciedad en el sensor del dispositivo.
La suplantación de identidad constituye el mayor riesgo de seguridad cuando de autenticación biométrica se trata, aunque también es común que suceda. El ejemplo más utilizado y sencillo para entender la situación es que un individuo utilice una huella dactilar falsa para tener acceso a un sistema o a información confidencial.
En otro ámbito de riesgos, la posibilidad de vulneración de los datos biométricos existe, ya sea porque la organización o empresa carece de un sistema completo y robusto de protección de datos, o bien porque su gestión de “Gobernanza de IT” es endeble, o incluso porque no se siguen los estándares y normas que regulan la vida de los registros en los sistemas de almacenamiento. Todo ello, campo de actividad de las áreas de IT y responsabilidad de la alta dirección corporativa.
¿Qué deben saber las pymes en cuanto a la autenticación biométrica?
Para las pequeñas y medianas empresas (pymes) este tema debiera ser de cuidadoso análisis. Porque la razón de negocios de una pyme –salvo contadas excepciones— no es identificar y autenticar a sus clientes, consumidores y usuarios, sino generar una dinámica de producción, venta o servicio que la mantenga funcionando.
Si una pyme decide colocar un lector de huellas dactilares para validar la asistencia de los colaboradores, sin más alcance que sustituir al reloj checador, obtendrá un registro confiable para efectos de nómina.
No obstante, otra situación muy distinta para esa misma pyme es considerar que tales huellas sean parte de un sistema biométrico cuyos costos de implementación y mantenimiento no sólo son elevados, sino que conllevan la obligación de establecer mecanismos de protección de datos personales y de garantizar la privacidad en su gestión, por mencionar sólo dos de los factores involucrados.
Así como ha crecido el mercado de técnicas biométricas y la biometría de próxima generación, han crecido también los equívocos, sobre todo dejando en una situación muy vulnerable a los individuos, desprovistos de su derecho a preservar sus rasgos biométricos y conductuales. Buena parte de las características biométricas de un individuo están expuestas y se pueden capturar a distancia, con el riesgo de que se usen sin autorización.
La complejidad del tema pasa por las regulaciones gubernamentales, por la legislación, por las capacidades tecnológicas, por la percepción de facilidad sin revisar las consecuencias y debiera pasar por un fuerte filtro ético.
