La autenticación biométrica es una parte creciente del panorama tecnológico: está en nuestras escuelas, oficinas, aeropuertos, edificios gubernamentales y, más recientemente, en nuestros teléfonos inteligentes. La introducción de Touch ID de Apple en 2013 ha allanado el camino para que la tecnología de reconocimiento de huellas dactilares, rostros e iris abandone el dominio casi exclusivo de la aplicación de la ley y emerja en la corriente principal como una forma de autenticar tu identidad y acceder a cuentas y espacios físicos.
Pero si bien los datos biométricos y sus aplicaciones han tomado la vía rápida hacia el éxito, su uso también plantea nuevos problemas en torno a la seguridad y la privacidad que deben considerarse y gestionarse. Existen riesgos importantes que son exclusivos de la autenticación biométrica que no están presentes con otras formas de autenticación, como las contraseñas. Es decir, siempre puede cambiar su contraseña si se filtra — pero ¿qué pasa si su contraseña es su cara? En este artículo, hablaremos sobre cómo comprender dichos riesgos y mitigarlos.
- Cómo funciona la autenticación biométrica
- Beneficios del uso de la autenticación biométrica
- Riesgos asociados con la autenticación biométrica
- Cómo aplica ProtonMail la biometría
- Cómo mantener seguros sus datos biométricos
Cómo funciona la autenticación biométrica
para medir y analizar los rasgos físicos de un individuo, como huellas dactilares, patrones de iris o incluso la forma en que camina una persona (como en «reconocimiento de la marcha»). Esta información se digitaliza convirtiendo las características físicas (las crestas de una huella dactilar, por ejemplo) en plantillas biométricas compuestas de puntos de datos basados en fórmulas específicas.
Cuando un dispositivo o servicio utiliza la biometría para la autenticación, el propósito principal es verificar que una persona es quien dice ser comparando sus datos biométricos con los datos recopilados y almacenados previamente.
Hay varias formas en que los datos biométricos pueden almacenarse y procesarse, como a través de servidores de bases de datos, tokens cifrados o tokens físicos. Por lo general, los teléfonos inteligentes utilizan el almacenamiento en el dispositivo de plantillas biométricas, lo que garantiza que la autenticación se produzca sin que se envíen datos a un servidor. Por lo tanto, los datos biométricos permanecen seguros mientras el dispositivo en sí no se vea comprometido.
Beneficios del uso de la autenticación biométrica
Hay buenas razones por las que la autenticación biométrica se ha expandido tan rápidamente. Aquí están los principales:
Simplicidad y comodidad para el usuario
La abrumadora simplicidad, al menos desde la perspectiva del consumidor, es un factor importante en la creciente popularidad de la autenticación biométrica. Después de todo, es mucho más fácil colocar el dedo en un escáner que escribir una contraseña de 20 caracteres.
Mayor autenticidad
La biometría puede proporcionar mayores niveles de autenticidad para los usuarios propensos a contraseñas y pines débiles, que pueden ser comunes a varios usuarios o compartidos fácilmente. Las huellas dactilares y los patrones de iris, sin embargo, son difíciles de compartir o replicar (pero no imposibles). Los identificadores únicos son un elemento necesario para muchas aplicaciones, como pagos o acceso a espacios seguros, por lo que la biometría es la opción preferida.
Asequibilidad
Los avances tecnológicos han reducido el costo de los componentes, por lo que la autenticación biométrica ahora es posible en una amplia gama de implementaciones. Considere Delta Air Lines, que ofrece un proceso de check-in biométrico opcional para sus pasajeros desde la acera hasta la puerta, ahorrando a los pasajeros nueve minutos por vuelo.
Surf en el hombro
Los hackers pueden intentar ingresar a su dispositivo o cuenta observándolo mientras ingresa su código PIN o patrón de desbloqueo. Esto se conoce como ataque de surf en el hombro. La autenticación biométrica puede ayudarlo a ser más resistente a este tipo de ataque.
Riesgos asociados con la autenticación biométrica
A veces se requiere la presentación de datos biométricos a un controlador de datos como condición para recibir servicios o beneficios, lo que plantea la pregunta: ¿Cuál es el costo de tal conveniencia? El uso de datos biométricos en un mundo en el que la ciberdelincuencia está en su punto más alto, naturalmente, conlleva riesgos. Estos son algunos de ellos:
Vulnerabilidad a violaciones de datos
Está bien establecido que las organizaciones que recopilan y almacenan los datos personales de los usuarios están bajo la amenaza constante de los hackers. A pesar de que Delta recopila información biométrica sobre sus pasajeros, el sector de las aerolíneas se ha visto plagado de filtraciones de datos.
Dado que los datos biométricos son irremplazables, las empresas deben tratarlos con la máxima precaución. Si la contraseña o el PIN se ve comprometida, siempre existe la posibilidad de reiniciarlo. Pero no se puede decir lo mismo de la cara, las huellas dactilares o el iris.
Seguimiento y registros digitales permanentes
La autenticación biométrica se encuentra todavía en sus primeras etapas, pero ya plantea serias dudas sobre la privacidad. Cuando los datos biométricos se almacenan en el lado del servidor, particularmente en jurisdicciones sujetas a vigilancia y órdenes secretas, corre el riesgo de dejar un registro digital permanente o un posible seguimiento por parte de las autoridades gubernamentales.
Por ejemplo, es bien sabido que durante las recientes protestas en Hong Kong, el gobierno utilizó el reconocimiento facial para rastrear a los manifestantes. A medida que proliferan las CCTV, sus datos biométricos pueden convertirse en una etiqueta digital permanente que las autoridades pueden usar para identificarlo y rastrearlo por el resto de su vida.
Falsos positivos
Los métodos de autenticación biométrica a menudo se basan en información parcial, es decir, un número finito de puntos de datos, para autenticar su identidad. Por ejemplo, en 2018, un equipo de la Universidad de Nueva York capacitó a una red neuronal de IA para descifrar de forma fraudulenta la autenticación de huellas dactilares con una tasa de éxito del 20%. Se basaron en el hecho de que la mayoría de los escáneres de huellas dactilares solo escanean una parte del dedo. Los elementos comunes se pueden usar para engañarlos y hacerlos autenticar erróneamente de una manera similar a un ataque de diccionario.
Para contrarrestar la autenticación falsa, como desbloquear Face ID cuando el usuario está dormido, Apple utiliza la detección de «liveness». Mientras Face ID se alzaba bien contra el hackeo de cabeza impreso en 3D que venció a varios dispositivos Android, los investigadores finalmente lograron encontrar una forma de evitarlo.
Sesgo e inexactitud
No todos los modelos de reconocimiento facial son iguales, e incluso el mejor de ellos no es perfecto. Por ejemplo, la función de desbloqueo facial OnePlus 6 se basa en la cámara frontal y no es tan segura como el Oppo Find X o el Huawei Mate 20 Pro, que utilizan mapeo de profundidad infrarrojo 3D.
Incluso el Face ID de Apple, que construye un mapa de profundidad en 3D de toda la cara utilizando una matriz de puntos de 30.000 puntos, dejó a la empresa con la cara roja cuando no distinguió a una mujer china de su colega, y posteriormente a un niño chino de su madre, entre otros. Apple fue criticado por prejuicios raciales, lo que indica que necesitan incluir más factores para perfeccionar tales características.
Cómo aplica ProtonMail la biometría
Debido a que la autenticación biométrica es inherentemente riesgosa, Proton no la usa para iniciar sesión en la cuenta. Para acceder a su cuenta de Proton, debe proporcionar su contraseña.
También recomendamos activar la autenticación de dos factores (2FA), que requiere que introduzcas una información adicional (una contraseña de un solo uso basada en el tiempo generada por una aplicación en un dispositivo de tu propiedad) antes de acceder a tu cuenta. Con 2FA habilitado, incluso si su contraseña está comprometida, un hacker no puede iniciar sesión en su cuenta sin tener acceso a su dispositivo.
Una vez que inicie sesión en su cuenta, puede optar por agregar una capa adicional de protección a su aplicación ProtonMail en la configuración de su aplicación. Tanto en iOS como en Android, puede optar por bloquear la aplicación y requerir un código PIN o autenticación biométrica después de que la aplicación no se haya utilizado durante un período de tiempo determinado. Esto proporciona seguridad adicional y comodidad en un escenario de riesgo relativamente bajo (es decir, ya tiene una sesión activa en su dispositivo). La autenticación se realiza localmente, por lo que nunca se envían datos biométricos a nuestros servidores.
En ProtonMail para iOS, habilitar la protección Face ID, Touch ID o PIN también activa el Sistema de protección AppKey, que es una capa adicional de cifrado para sus datos de ProtonMail, que se defiende contra ciertos tipos de malware y ataques forenses.
Por supuesto, las decisiones de seguridad que tome dependen de su modelo de amenaza. El uso de la autenticación biométrica no es tan seguro como usar un código de acceso o cerrar sesión cada vez. Pero estas soluciones son peores desde una perspectiva de usabilidad. Los usuarios con modelos de amenaza aumentada también deben considerar las implicaciones de permitir la autenticación biométrica al cruzar fronteras o interactuar con las fuerzas del orden.
Lectura adicional
Cómo elegir una contraseña segura
Cómo proteger su dispositivo al cruzar fronteras
Cómo mantener seguros sus datos biométricos
Estos son algunos consejos finales que debe tener en cuenta al usar la autenticación biométrica:
- Utilice la autenticación de dos factores (2FA) tanto como sea posible. Te mostramos cómo configurar 2FA en ProtonMail.
- Si algún dispositivo o servicio solicita su información biométrica, verifique que sus datos se almacenen localmente en el dispositivo y no en un servidor basado en la nube ni se transmitan a través de la red.
- Esté al tanto de situaciones como festivales de música o eventos deportivos en los que se recopila identificación biométrica.
- Como práctica estándar, evite hacer clic en enlaces sospechosos o instalar aplicaciones de terceros no verificadas en su dispositivo.
Nuestra misión es construir una Internet más segura, y estar informado sobre cómo se protegen sus datos puede ayudarlo a tomar mejores decisiones sobre los servicios que utiliza. Si tiene alguna pregunta o comentario sobre la autenticación biométrica, no dude en unirse a la discusión en nuestros canales de redes sociales.
Saludos cordiales,
El equipo de ProtonMail
Puede obtener una cuenta de correo electrónico segura gratuita de ProtonMail aquí.
También ofrecemos un servicio VPN gratuito para proteger su privacidad.
ProtonMail y ProtonVPN se financian con contribuciones de la comunidad. Si desea apoyar nuestros esfuerzos de desarrollo, puede actualizar a un plan de pago o donar. Gracias por su apoyo.