En tiempos pasados, el escrutinio humano era la única forma de verificar la identidad de los viajeros que se desplazaban de un país a otro, de los visitantes que pretendían entrar en zonas privadas o de los clientes que pretendían sacar dinero líquido de los bancos. Esto ya no es realista teniendo en cuenta el aumento de viajes internacionales, la necesidad de garantizar la seguridad en los lugares de trabajo y la extensión de la banca electrónica, entre otros muchos cambios que han experimentado nuestras vidas diarias. Actualmente hay una nueva forma de verificar la identidad utilizando métodos automatizados y tecnologías de la información y la comunicación (TIC) para reconocer a los individuos basándose en sus trazos físicos o en su comportamiento; se trata de un campo conocido como biometría. Ese es el tema del nuevo informe de Seguimiento Tecnológico de la UIT sobre «Biometría y normas»*.
La biometría se aplica actualmente a los pasaportes electrónicos, así como para reconocimiento dactilovenal en los cajeros automáticos de los bancos e incluso para evitar que las máquinas expendedoras de tabaco vendan cigarrillos a los niños. En cada caso, se mide cierta combinación de las características inherentes y se comparan automáticamente con plantillas almacenadas en un archivo o en una base de datos para verificar la adaptación. Las características medidas son a menudo físicas pero también pueden ser de comportamiento, tales como una secuencia de teclas para introducir una palabra o una frase. Con la amplia aceptación de la biometría para verificar la identidad, especialmente en un entorno de red abierta, los retos que plantean la privacidad, la fiabilidad y la seguridad de los datos biométricos son cada vez más complicados y exigentes.
Todo el que haya hecho la cola en un punto de control de un aeropuerto apreciará la importancia que tiene la velocidad y precisión a la hora de leer el pasaporte electrónico. De forma similar, cuando se saca dinero de un cajero automático, uno espera ser la única persona que puede tener acceso a su cuenta. Estos usos de la biometría nacieron con el desarrollo de las medidas para satisfacer las necesidades de una precisa identificación en los campos de la criminología y la medicina forense; las huellas y las muestras de ADN desempeñan un papel muy importante en las historias de crímenes. Existen actualmente tres categorías principales de aplicaciones biométricas: forense, gubernamental (pasaportes, tarjetas de identidad, registro de votos, etc.) y comercial (por ejemplo, sistemas de registro en redes, cajeros automáticos, procesamiento de tarjetas de crédito y reconocimientos de rostros en software fotográfico).
Para asegurar que los sistemas de identificación biométrica son fiables, seguros, interfuncionables y fáciles de utilizar es evidente la necesidad de desarrollar normas internacionales. Las autoridades gubernamentales, en particular, no están dispuestas a aceptar sistemas no normalizados ofrecidos por un solo fabricante. Es preciso llegar a un acuerdo general sobre las características biométricas que deben medirse y debe extenderse la confianza en que estas medidas hacen posible distinguir perfectamente entre dos individuos distintos. También se necesitan normas para proteger los datos biométricos, tanto para mantener la privacidad personal como para evitar los ataques que podrían desembocar en fraudes y suplantación de personalidad. Los objetivos básicos de la normalización son los de facilitar la instalación de los sistemas de biometría, abaratar su funcionamiento e incrementar su fiabilidad de utilización.
Organizaciones de elaboración de normas
Aunque las primeras normas de biometría fueron creadas por los gobiernos y los cuerpos de seguridad del Estado en los 80 para intercambiar datos sobre huellas digitales, el actual ritmo acelerado de desarrollo de normas no comenzó hasta 2002. Actualmente, están elaborando dichas normas varios organismos nacionales e internacionales entre los que puede citarse la Organización Internacional de Normalización (ISO), la Comisión Electrotécnica Internacional (CEI) y el Sector de Normalización de las Telecomunicaciones de la UIT (UIT–T). Los consorcios industriales también crean normas que soportan los objetivos de sus miembros, mientras que los organismos especializados de las Naciones Unidas, tales como la Organización de la Aviación Civil Internacional (OACI) y la Organización Internacional del Trabajo (OIT), redactan normas en el marco de sus dominios específicos que puede que no hayan sido abordados por otras organizaciones. En particular, la OACI es responsable de la normalización de documentos de viaje legibles por máquina, incluidos los pasaportes electrónicos, mientras que la OIT ha establecido directrices sobre documentos de identidad biométrica para navegantes.
Desde el establecimiento de su Subcomité 37 sobre Biométrica, en junio de 2002, el Comité Técnico Mixto (JTC 1) de la ISO/CEI ha elaborado más de 30 normas internacionales sobre biometría. Los trabajos del JTC 1 relativos a normas de biometría también los lleva a cabo su Subcomité 27 sobre Técnicas de Seguridad TI (que cubre protección de plantillas, seguridad de los algoritmos y evaluación de la seguridad), y su Subcomité 17 sobre Tarjetas e Identificación Personal.
En el seno del UIT–T, los trabajos sobre biometría comenzaron en 2001 bajo la responsabilidad de la Comisión de Estudio 17 del UIT–T que coordina estas actividades a través de todos sus Grupos de Trabajo. En particular, la citada Comisión es responsable del estudio de la gestión de identidad; es decir, los métodos técnicos adecuados para identificar a los individuos y proteger sus identidades. Se están intensificando los trabajos para abordar el nuevo reto que supone lograr una infraestructura, unos servicios y unas aplicaciones de red más seguros. Evidentemente, las aplicaciones de telecomunicaciones que utilizan terminales móviles y servicios de Internet requieren métodos de autentificación que no sólo proporcionen un elevado grado de seguridad sino que sean convenientes para los usuarios. Hasta la fecha se han publicado más de 70 Recomendaciones UIT–T sobre seguridad.
Sistemas de biometría
Todos los sistemas de biometría tienen una componente de almacenamiento que contiene muestras de datos biométricos de individuos vinculados a información sobre su identidad. También hay un sensor que captura los datos de biometría de la persona. Las muestras de estos datos capturados se comparan con una plantilla de referencia y se toma una decisión respecto a su coincidencia o no. En telebiometría, los canales de comunicación entre estas componentes de un sistema biométrico pueden ser telecomunicaciones alámbricas o inalámbricas, o redes privadas o públicas, incluida Internet. Tanto si el trazo de biometría es físico (como por ejemplo el ADN) como de comportamiento (por ejemplo, una secuencia de teclado), cada individuo debe tener una característica única. Además, esa característica biométrica debe permanecer invariable a lo largo de un cierto periodo de tiempo y también debe ser mensurable.
La Recomendación UIT–T X.1081 «El modelo telebiométrico multimodal — Marco para la especificación de los aspectos de la telebiometría relativos a protección y seguridad» es la primera norma de biometría que se publica. Proporciona un modelo que puede utilizarse como marco para identificar y especificar aspectos de seguridad de la telebiometría y para clasificar las tecnologías biométricas utilizadas con fines de identificación. El modelo multimodal cubre las interacciones tanto físicas como de comportamiento entre una persona y el entorno, proporcionando una taxonomía de más de 1.600 combinaciones de unidades de medición, modalidades y campos de estudio. El modelo se basa en un trabajo teórico anterior relativo a la forma en que los seres humanos interactúan con su entorno y en las series de normas internacionales ISO/CEI 80000, que especifican las cantidades y unidades de todas las formas de medición conocidas de la magnitud de interacciones entre los individuos y su entorno.
Más de 50 países expiden a sus ciudadanos pasaportes legibles por máquina que almacenan datos biométricos que pueden utilizarse para verificar la identidad en las fronteras. Una imagen facial, y quizás una representación digital de las huellas dactilares o del iris, se almacena en un pequeño chip de identificación por radiofrecuencia (RFID) que se somete a una comparación con la información contenida en una base de datos biométrica. El Grupo Mixto de Expertos en Fotografía (JPEG), Grupo de Trabajo de la ISO/CEI y la UIT, es responsable de las familias JPEG, JPEG2000, JPSearch y JPEG XR de normas de imágenes. Se trata de métodos de compresión de imágenes que se utilizan normalmente para almacenar fotografías digitales en el chip de un pasaporte electrónico. Las normas para el formato JPEG o JPEG2000 figuran, respectivamente, en las Recomendaciones UIT–T T.81 y T.800 elaboradas por la Comisión de Estudio 16 del UIT–T. JPEG XR (ISO/CEI 29199-2) es actualmente una norma internacional que viene reflejada en la Recomendación UIT–T T.832 y que especifica un formato de imagen codificada, diseñado fundamentalmente para el almacenamiento e intercambio del contenido fotográfico de tono continuo.
Garantizar la seguridad de los datos
Una llave se puede perder, robar o duplicar. Una clave puede olvidarse. Normalmente se considera que las características de biometría tienen la ventaja de ser virtualmente imposibles de olvidar o robar y difíciles de adivinar. Sin embargo, los sistemas biométricos son vulnerables a los ataques. Cualquier elemento de estos sistemas puede ser el objetivo. El sensor, el extractor de características, el adaptador, la plantilla de biometría almacenada o el punto final de decisión. También puede realizarse un ataque puenteando el sensor biométrico o manipulando la plantilla o el extractor de características.
La biometría se utiliza cada vez más para complementar o sustituir los esquemas de autentificación tradicionales tales como los números de identificación personal (PIN) o las claves. Pero los datos de biometría no pueden mantenerse secretos. Las fotografías de rostros, las grabaciones de voces y las copias de firmas, por ejemplo, se realizan fácilmente. La biometría se basa en información personal muy sensible pero la seguridad de un sistema de autentificación no puede basarse en el secreto de los datos de biometría. Un sistema debe garantizar la integridad y la autenticidad de los datos biométricos para que sea operacionalmente eficaz y, por consiguiente, se necesitan tomar medidas protectoras adicionales a fin de salvaguardar la privacidad.
Con objeto de permitir una autentificación segura, las Recomendaciones UIT–T X.1084 y X.1085 especifican nueve protocolos de autentificación para telebiometría y describen perfiles de protección, mientras que la Recomendación UIT–T X.1086 proporciona orientaciones sobre contramedidas para establecer un entorno seguro y privacidad. La Recomendación UIT–T X.1087 fija procedimientos para proteger los datos biométricos multimodales contra intentos de intercepción, modificación o sustitución de dichos datos. Los procedimientos incluyen encriptado, marcas de agua y datos de transformación. Otras dos normas, las Recomendaciones UIT–T X.1088 y X.1089, proporcionan respectivamente un marco para generar y proteger claves digitales biométricas y una forma de gestionar la autentificación biométrica.
Aplicaciones comerciales y gubernamentales para orientar el crecimiento
Los avances experimentados por las TIC y el mayor rendimiento y disponibilidad de equipos de bajo coste han facilitado los métodos de reconocimiento biométrico automático. Los futuros servicios de cibercomercio, cibersalud y ciberadministración pueden requerir la autentificación con la ayuda de documentos personales biométricos expedidos por los gobiernos. Por ejemplo, algunos países en desarrollo ya han empezado a utilizar la biometría para el registro de votos antes de la celebración de elecciones a fin de actualizar las listas de votantes y evitar fraudes electorales.
Las previsiones de mercado sobre gastos en biometría son generalmente positivas. Se espera que el crecimiento proceda fundamentalmente de aplicaciones comerciales y gubernamentales donde las empresas de biometría y las empresas que fabrican tarjetas inteligentes se beneficiarán de las decisiones gubernamentales en el sentido de adoptar procedimientos biométricos y documentos personales electrónicos. En 2008 se realizó un gasto estimado de 3.000 millones USD en tecnologías de biometría y los investigadores del mercado prevén actualmente una inversión de 7.300 millones USD en 2013.
Junto con las huellas dactilares, que seguirán siendo la característica biométrica dominante, se espera que surjan sistemas de reconocimiento del rostro, del iris, de la mano y de la voz ampliamente adoptados en aplicaciones de biometría.
¿Próximo paso?
Las normas permiten un desarrollo eficaz de los sistemas de biometría estableciendo criterios comunes y fijando directrices para la protección de la privacidad. Los acuerdos sobre formatos de los datos e interfaces del software de aplicación ayudarán a reducir los costes de desarrollo de los sistemas. Además, la elaboración de normas para aplicar la biometría y para probar la precisión contribuye a aclarar las vulnerabilidades y orientar la investigación sobre contramedidas para repeler los ataques.
Las características biométricas no sólo deben ser universales y únicas, también tienen que ser razonablemente permanentes y fáciles de recopilar y medir. Un sistema de biometría debe proporcionar resultados precisos bajo diversas circunstancias del entorno y debe ser difícil de engañar. Quizá el aspecto más importante de un sistema de biometría es su aceptación por el público en general. Por razones evidentes, los métodos no intrusivos son más aceptables que las técnicas intrusivas. Aunque el ADN se considera el parámetro de biometría definitivo para identificar a una persona (excepción hecha de gemelos idénticos), la comprobación del ADN es demasiado intrusiva para su amplio uso en la autentificación de identidad. La termografía facial, que detecta los modelos de cabezas creados por los capilares sanguíneos y emitidos por la piel, no es un método intrusivo pero es demasiado costoso. Entre los métodos de biometría actualmente considerados para su futuro desarrollo están los impulsos sanguíneos, el olor corporal, la composición de la piel, la disposición de la matriz de la uña, el modo de andar y la forma de la oreja. Se necesitan más investigaciones para determinar si alguno de estos métodos acabará imponiéndose como la elección en las técnicas de biometría.
Cualquiera que sea el sistema utilizado debe ser seguro, garantizar la privacidad y producir resultados precisos. Un sistema inseguro, no fiable o invasivo menoscabará la confianza del público y puede desembocar en una falta general de aceptación de las técnicas de reconocimiento por biometría. El desarrollo de normas internacionales es una estrategia fundamental a la hora de garantizar la elección y el uso adecuados de los métodos biométricos. En menos de una década se han hecho grandes progresos en la mejora de los sensores, algoritmos y procedimientos de biometría pero siguen existiendo puntos vulnerables que deben abordarse. La necesidad de proteger la privacidad y salvaguardar los datos biométricos sensibles sigue siendo fundamental.
