Biometría: amenazas, riesgos y vulnerabilidades
De acuerdo con lo dispuesto en el artículo 4.14 del Reglamento General de Protección de Datos (RGPD), se definen los datos biométricos como “aquellos datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos”.
Dicho de otro modo, la biometría es un método de reconocimiento de personas basado en sus características fisiológicas o de comportamiento. Se trata de un proceso similar al que habitualmente realiza el ser humano reconociendo e identificando a sus congéneres por su aspecto físico, su voz, su forma de andar, etc.
En la actualidad, la tecnología ha permitido automatizar y perfeccionar estos procesos de reconocimiento biométrico, de forma que tienen multitud de aplicaciones y finalidades, especialmente aquellas relacionadas con la seguridad.
El tratamiento de datos biométricos ha experimentado un notable crecimiento en los últimos años. Como consecuencia de ello, la probabilidad de que estos sistemas sean objeto de ataque ha aumentado, ya que los datos biométricos son de gran valor para los ciberdelincuentes.
Tanto si estás pensando en implementar esta tecnología como si ya la usas en tu empresa es necesario que consultes la Guía sobre tratamientos de control de presencia mediante sistemas biométricos, publicada por la AEPD, y sigas sus indicaciones.
En este artículo nos centraremos en identificar las amenazas y vulnerabilidades que pueden comprometer la seguridad o la confianza en los sistemas biométricos.
Pérdida o robo de información biométrica
La pérdida o robo de información biométrica puede tener consecuencias legales significativas para las empresas. A diferencia de las contraseñas o las tarjetas personales, los rasgos biométricos son características únicas e invariables de una persona, los cuales no pueden modificarse fácilmente, lo que resalta la importancia de su confidencialidad.
Cuando se produce la pérdida o robo de información biométrica, el impacto puede ser especialmente grave debido a la inherente relación con la identidad de cada individuo. Si alguien accede sin autorización a estos datos biométricos, puede utilizarlos para llevar a cabo actividades fraudulentas, como eludir sistemas de seguridad o suplantar la identidad de la persona afectada.
La suplantación de identidad basada en información biométrica es un delito que lleva aparejado importantes sanciones. Por ello, es de vital importancia que las empresas adopten un enfoque proactivo, implementando medidas sólidas de ciberseguridad que garanticen la seguridad de los sistemas y de los datos que se pudieran contener.
A continuación, enumeramos una serie de ejemplos de ataques dirigidos a la suplantación de identidad de los individuos:
Ataques de presentación: consistentes en el intento, utilizando un artefacto de algún tipo, para hacerse pasar por otro usuario. Los dispositivos actuales generalmente incluyen protecciones adicionales, como liveness check o prueba de vida, para evitar que este tipo de ataque funcione. Además, solo se permite un número de intentos de autenticación biométrica antes de que se deba introducir un PIN o contraseña, lo que protege contra ataques de fuerza bruta.
Por otro lado, debemos contar con que existen debilidades en la biometría de los teléfonos inteligentes. El reconocimiento facial, por ejemplo, no prueba el estado de alerta, lo que hace posible el desbloqueo de un dispositivo mientras el usuario está dormido o con los ojos cerrados. Estas debilidades se deben tener en cuenta al elegir los sistemas biométricos y los dispositivos a emplear en las organizaciones.
- Ataques de repetición: encaminados a adquirir datos biométricos originales, por ejemplo, de un cristal, del pomo de la puerta o de la pantalla de un dispositivo táctil, levantando la huella mediante una cinta y, posteriormente, digitalizando la impresión obtenida. De esta forma, se podría llegar a desbloquear el dispositivo de manera delictiva.
Sabotaje
El sabotaje de los sensores biométricos puede representar una amenaza para las empresas, ya que puede interrumpir el funcionamiento de los sistemas de autenticación y comprometer la seguridad de los datos y la confiabilidad de los procesos. Esto implica que las empresas deben implementar medidas de seguridad sólidas, como la monitorización constante de los sensores, la detección de intrusiones y la protección física de los dispositivos biométricos.
Fallos de seguridad del sistema biométrico
1. Calidad de la tecnología
Si la calidad de la tecnología implantada no alcanza los niveles recomendables, podría acarrear graves incidentes de seguridad, así como un deterioro notable de la percepción de las tecnologías debido a su mal funcionamiento. Los elementos que se deben tener en cuenta al respecto son, entre otros: la calidad del sensor, la eficiencia del algoritmo de comparación, el cifrado del almacenamiento de muestras obtenidas y la interoperabilidad con otros sistemas.
Además, habrá que prestar especial atención a los requisitos necesarios para garantizar la calidad del conjunto de datos utilizados y almacenados en los sistemas, así como la documentación técnica, registro y transparencia de la información a los usuarios.
2. Incidencias con el sistema
Es muy importante tener en cuenta que, como todo sistema informático, los sistemas de autenticación biométricos son susceptibles de fallos eléctricos y caída de las líneas de comunicación, del propio sistema o de los sistemas de soporte.
Será necesario, por lo tanto, tener implementadas medidas desde el diseño y por defecto, tal y como recoge el artículo 25.1 del RGPD y expone la AEPD en sus guías de protección de datos.
3. Indisponibilidad de sensor
Si el acceso o la autenticación se realizan exclusivamente mediante biometría, el fallo o ausencia del dispositivo de adquisición de muestras supone la imposibilidad de autenticación o acceso. Un ejemplo de esta situación es un empleado que tenga que acceder de forma urgente al correo electrónico desde fuera de la oficina mediante huella dactilar, pero no disponga de sensor en su ordenador.
Por lo tanto, será importante contar con alternativas de identificación para aquellos supuestos en los que no resulte posible acceder mediante el sistema biométrico.
4. Variación involuntaria en los rasgos biométricos
Los cambios en los rasgos biométricos, como variaciones de la voz, vello facial o el peinado también suceden de forma natural. En estos casos, el usuario no tiene intención de engañar al sistema. No obstante, estos cambios pueden dificultar el proceso de identificación y generar, incluso, una percepción negativa para el usuario.
Una vez identificadas las amenazas, podemos minimizar su impacto a través de la capacitación y concienciación del personal sobre la importancia de la seguridad de la biometría. Esto ayudará a promover una cultura de seguridad y a garantizar que todos los empleados estén comprometidos con la protección de los sistemas biométricos.
Recuerda que puedes contactar con nosotros a través de la Línea de Ayuda en Ciberseguridad de INCIBE (017), los canales de mensajería instantánea de WhatsApp (900 116 117) y Telegram (@INCIBE017), o del formulario de contacto para empresas, que encontrarás en nuestra web. Expertos en la materia resolverán cualquier conflicto online relacionado con el uso de la tecnología y los dispositivos conectado.