Identificación y autenticación biométrica
La identificación es el proceso de reconocer a un individuo particular entre un grupo. Este proceso compara los datos del individuo a identificar con los datos de cada individuo en el grupo. La autenticación es el proceso de probar que es cierta la identidad reclamada por un individuo. Este proceso compara los datos del individuo únicamente con los datos asociados a la identidad reclamada.
Se llama biometría al estudio para el reconocimiento inequívoco de personas basado en uno o más rasgos conductuales o físicos intrínsecos, que no mecánicos.
Aunque la identificación y autenticación biométrica son dos conceptos que van de la mano muchas veces se confunden cuando realmente no se trata de lo mismo. La identificación biométrica determina la identidad de una persona, podríamos decir que responde a la pregunta “¿Quién eres?”. Sin embargo, la autenticación biométrica es el proceso en el que se comparan los rasgos y características de un individuo con sus datos biométricos previamente registrados para certificar que realmente se trata de esa persona, en este caso la pregunta sería “¿Eres X persona?”.
Asociada a otras tecnologías de restricción de accesos, la biometría garantiza uno de los niveles de autenticación menos franqueables en la actualidad. Además, los inconvenientes de tener que recordar una contraseña o un número de PIN de acceso serán pronto superados gracias al uso de los métodos biométricos, debido a que estos últimos presentan notables ventajas: están relacionados de forma directa con el usuario, son exactos y permiten hacer un rastreo de auditorías.
La utilización de un dispositivo biométrico permite que los costos de administración sean más pequeños, ya que sólo se debe realizar el mantenimiento del lector, y que una persona se encargue de mantener la base de datos actualizada. Otro beneficio: las características biométricas de una persona son intransferibles a otra.
La información biométrica recogida (por ejemplo, la imagen de una huella dactilar) se procesa siguiendo procedimientos definidos en estándares y el resultado de ese proceso almacena en registros de datos denominados firmas, patrones o “templates”. Estos patrones registran numéricamente las características físicas que permiten diferenciar personas.
A diferencia de una contraseña o un certificado, los datos biométricos recogidos durante un procedimiento de autenticación o identificación revela más información personal sobre el sujeto. Dependiendo de los datos biométricos recogidos, pueden derivarse datos del sujeto como su raza o género (incluso de las huellas dactilares), su estado emocional, enfermedades, discapacidades y características genéticas, consumos de sustancias, etc. Al estar implícita, el usuario no puede impedir la recogida de dicha información suplementaria.
A diferencia de los procesos basados en contraseñas o certificados, que es 100% precisa (p. ej. una clave puede ser correcta o no serlo), la identificación/autenticación biométrica se basa en probabilidades (p. ej. una huella digitalizada proporcionará una correspondencia al 96% con un individuo). Existe una determinada tasa de falsos positivos (da por buena una suplantación) y falsos negativos (rechaza a un individuo autorizado). Estas tasas son mayores cuanto menos preciso sea el equipo de captura de datos y dependen de las condiciones de recogida (p. ej. la luminosidad o limpieza del sensor). La precisión de algunos datos biométricos, como las huellas dactilares o reconocimiento facial, también depende de la edad del individuo y es afectada por su envejecimiento.
Está demostrado que el parecido biométrico entre hermanos o familiares ha confundido a sistemas biométricos. Es más, las condiciones medioambientales en entornos no controlados (reconocimiento facial en espacios públicos, el uso de con pintura facial o máscaras antivirales) provoca el aumento de la tasa de error y por tanto que la confusión sea más probable.
Algunas personas no pueden utilizar determinados tipos de biometría porque sus características físicas no son reconocidas por el sistema. En casos de lesiones, accidentes, problemas de salud (como parálisis) y otros, la incompatibilidad puede ser temporal. La incompatibilidad biométrica permanente puede ser una causa de exclusión social.
Existen procedimientos y técnicas que permiten burlar sistemas de autenticación biométrica y asumir la identidad de otra persona. Algunos de esos medios, como el uso de máscaras o de reproducciones de la huella no requieren de grandes conocimientos técnicos o recursos económicos. Existen también los denominados “sistemas adversarios”, que están diseñados específicamente para tratar de engañar a los sistemas de reconocimiento de imágenes y que pueden utilizarse para burlar la identificación biométrica.
A diferencia de los procesos basados en contraseñas o certificados, la mayor parte de características biométricas de una persona están expuestas y se pueden capturar a distancia, ya que no se oculta habitualmente el rostro, las huellas, la forma de moverse, la huella térmica, etc. Por otro lado, aquellos sujetos que quieren burlar activamente los sistemas de seguimiento o identificación biométrica, tienen recursos disponibles para hacerlo, lo que no es el caso para la gran mayoría de los ciudadanos. Si no se toman medidas que reduzcan el riesgo de uso no autorizado de datos biométricos, su uso equivale a llevar escrito en la frente nuestras claves de acceso.
No necesariamente. Por ejemplo, el tratamiento biométrico del movimiento del ratón utilizado para determinar si un robot está accediendo a una página web implica tratar la información biométrica para diferenciar humano de máquina. Igualmente, se puede realizar tratamiento biométrico para determinar si en un espacio restringido existe un intruso humano o animal, o en sistemas publicitarios de digital signage donde se puede diferenciar un hombre, mujer o niño. Lo que existe es un riesgo de tratar esa información más allá del propósito original en el caso de que, por ejemplo, se produzca un fallo de seguridad, un cambio normativo o un tratamiento ilegítimo.
Por definición, un sistema de autenticación fuerte es aquel que exige que se proporcione, al menos, dos de los siguientes: algo que se sabe, algo que se tiene o algo que se es (biometría). Por ende, sólo utilizar biometría es un proceso de autenticación débil, mientras que utilizar una tarjeta de acceso y contraseña es fuerte. Aunque la autenticación biométrica muchas veces exige un proceso previo de registro o identificación en el que, por ejemplo, en reconocimiento facial, hay que comparar con la foto en el DNI, si, después del proceso de identificación, el proceso de autenticación sólo es biométrico, sigue siendo un sistema débil.