Biometría: para acceder muestre…

En un conocido centro comercial, el vendedor le presenta a un cliente que se acaba de comprar dos ordenadores un nuevo producto “revolucionario” con el que “podrá olvidarse de asignar contraseñas a los usuarios, a un precio ridículo”. Éstos solo necesitarían su dedo para acceder al sistema “con total seguridad”. Toda una muestra de la pujanza del negocio de la biometría, que –a pesar de las evidentes carencias del aparatito- comienza a introducirse incluso en el sector de consumo.

En su acepción tradicional , la biometría sería la aplicación de técnicas matemáticas y estadísticas al análisis de datos en ciencias biológicas, pero la acepción más moderna de la palabra biometría se refiere a la aplicación de técnicas biométricas a la identificación automatizada de personas en sistemas de seguridad. Las técnicas biométricas se utilizan para medir características corporales o de comportamiento de las personas con el objeto de establecer una identidad.

Así, la biometría permite automatizar la identificación y reconocimiento de personas, y por tanto, las tareas que implican dicha identificación. Frente a los sistemas clásicos de identificación, basados en algo que el identificado conoce (una clave) o en algo que éste posee (una tarjeta o una llave), o en una combinación de ambas dirigida a incrementar la seguridad (tarjeta con clave), los métodos de identificación basados en la biometría evalúan más bien algo que el identificado “posee”, esto es, una característica física que le identifica, o le hace único, lo que a priori le dotaría de una seguridad mayor, y de un gran futuro técnico y, por tanto, económico, aunque en la actualidad, diste mucho de ser infalible, como pudieron comprobar distintos experimentos –el más célebre de ellos, de Tsutomu Matsumoto, que consiguió burlar el 80% de los sistemas que tentó, con una huella dactilar de gominola-.

Así funciona

A grandes rasgos –no es el objetivo de este artículo, pudiendo encontrarse con relativa facilidad toda clase de publicaciones que lo tratan con más detalle- el funcionamiento de un sistema de autenticación biométrica sería el siguiente:En primer lugar, se requiere una identificación o registro previo, es decir, la inclusión del atributo físico que se va a evaluar en una base de datos que servirá de comparación, transformando estos datos en algoritmos matemáticos con los que se comparará posteriormente.
Así, cuando se requiere la autenticación de un individuo, este mostrará el rasgo corporal vinculado, estableciéndose una comparación con las plantillas guardadas que puede ser 1 a 1 (se solicita una identificación previa al individuo, como una tarjeta o un número, y se compara solo con ese registro), o uno a todos (se comprueba si una serie de puntos de control coincide con alguno de los registros almacenados y se le asignan los permisos establecidos a ese usuario).

Para la comparación, existen distintos tipos de algoritmos matemáticos, que se basan en el establecimiento de puntos de control, lo cual evita comparar la “huella entera” (lo que sería prácticamente imposible, pues las probabilidades de presentar una lectura que coincida al 100% con la plantilla almacenada es extremadamente baja, debido a la influencia de características dinámicas, como sudoración, posición respecto al lector, etc).

A pesar de ser una disciplina de seguridad con mucho recorrido pendiente, el desarrollo y la expansión que ha experimentado en los últimos años ha sido vertiginoso, según la mayor parte de estudiosos, muy vinculado a la fiebre por la seguridad desatada tras los atentados del 11S. Tras ellos, fueron muchos los aeropuertos que comenzaron a implantar sistemas de seguridad basados en alguna técnica biométrica, principalmente las vinculadas al reconocimiento de huellas dactilares (más probadas, y menos caras). entre sus empleados, y muchas las administraciones o instituciones públicas que comenzaron a instalar y/o probar sistemas de identificación biométrica. De igual modo, existen propuestas para aplicar técnicas biométricas a los documentos de identificación oficiales (pasaportes, DNI)

Sin embargo, el uso de estás técnicas no es ajeno al debate seguridad versus privacidad, siendo este uno de sus principales escollos. Como reconocía tiempo atrás un directivo de una de las compañías de seguridad que hacen uso de estos sistemas, RSA Security, “la biometría todavía no es muy popular ya que entra en aspectos privados de la persona”. Y es que los registros de datos potencialmente muy sensibles que estos sistemas pueden generar en su uso habitual, son de una importancia destacable. Datos aparentemente “inocentes”, como los procedentes de la lectura del iris o de las huellas dactilares, constituyen una fuente peligrosa de datos personales. Datos, que, además, no pueden ser cambiados como se cambia de contraseña periódicamente. Es por ello que la gestión de los ficheros de información personal que las aplicaciones de acceso biométrico tratan, se convierte en una necesidad perentoria, en tanto en cuanto constituyen datos especialmente sensibles, y por tanto, necesitados de protección. Un error, negligencia o ataque puede exponer datos de nivel muy alto.

A pesar de ello, el negocio se presenta jugoso, razón por la que muchas compañías multinacionales, de distintos ámbitos, han realizado ya sus apuestas para el sector: desde empresas de seguridad, como RSA, hasta conglomerados industriales como Siemens, pasando por empresas más modestas, como Kimaldi, una compañía española especializada en la identificación de personas, e incluso fabricantes de productos de consumo que intentan explotar el boom de la biometría con productos dirigidos a los particulares y a pequeñas empresas, con productos como sistemas de reconocimiento dactilar en ratones para bloquear el acceso al PC, que se venden por menos de 100 € (un precio acorde con su seguridad).

La parte que mayor cifra de negocio mueve es precisamente la relacionada con el reconocimiento dactilar, que representa aproximadamente la mitad de la facturación total relacionada con la biometría, por ser la más popular. Concretamente, según un estudio del International Biometric Group, una consultora especializada, en cuya web se pueden encontrar numerosos informes gratuitos sobre biometría (previo registro y junto a otros con un precio superior a 3000 euros), el peso de la tecnología de reconocimiento dactilar es de un 48% en el total del mercado, frente a un 12% de reconocimiento facial y un 11% de la tecnología de reconocimiento de iris. Las menos usadas, con un 2 y un 6% del mercado respectivamente son el reconocimiento de la firma y la escritura, y el reconocimiento vocal.

En cualquier caso, las características específicas de cada tipo de tecnología la hacen más adecuada para un tipo de uso u otro. Así, el reconocimiento de la firma es candidato ideal a ser usado en el comercio como elemento de seguridad a la hora de efectuar transacciones (véase, con la cautela que requiere, el siguiente post, y la discusión que originó).

Asmismo, en el informe del IBG, se incluyen previsiones hasta 2008, donde se prevé una cifra de negocio de 1847 millones de dólares para 2005 y de 2684 millones para el próximo año 2006. Cifras que casi se duplicarían dos años después, suponiendo el despegue de un mercado muy goloso –que se lo digan a Matsumoto-.

Sin embargo, el coste de una solución biométrica completa está bastante alejado por el momento del alcance de las empresas pequeñas, pues a menudo precisa de una auditoria previa de seguridad, y de un diseño ad hoc, según las necesidades de la compañía. Es de suponer que el desarrollo que se prevé para esta tecnología –en buena parte impulsado por el sector público- termine por hacerlo más asequible, como ha ocurrido con otros tantos productos.

Luego, será cosa de cada empresa el decidir si vale la pena olvidarse –o complementar- de las claves de toda la vida y recurrir a este sistema.