La seguridad de los datos biométricos: es posible modificar una contraseña pero no cambiar quién eres

Por Sebastián Stranieri, CEO de VU Security

Recientemente, una compañía de seguridad en Reino Unido sufrió un robo de datos masivo, que incluye la información biométrica de más de un millón de personas. Es decir, las huellas digitales, la información para reconocimiento facial, nombres y contraseñas de acceso de todos estos individuos quedaron expuestos públicamente.

Si bien este tipo de ataques o pérdidas de información suceden con más frecuencia de la que uno cree por la migración a la nube, fallas en la configuración o errores humanos, este incidente es distinto porque, además de la información personal, se divulgaron factores biométricos.

Para poder tomar dimensión del incidente, se habla de 27,8 millones de registros diferentes que constituyen al menos 23 gigabytes de información. Ahora bien, ¿qué significa esto cuando hablamos de factores que no podemos modificar, como nuestra propia voz?

Cuando se trata de contraseñas y/o códigos creados por los usuarios, la protección tras el ataque es relativamente sencilla: basta con modificar las claves de acceso de la plataforma o portal afectado para estar a salvo. Sin embargo, esto no sucede con los datos biométricos. Por esta razón, tanto la empresa como los usuarios deben tomar recaudos al respecto.

Si bien resulta incómodo que un desconocido posea información biométrica de otra persona, el usuario puede quedarse tranquilo porque, generalmente, esta información necesita ser validada con la persona en el momento: una selfie, el escaneo de la huella dactilar, el reconocimiento de voz. La información biométrica de forma aislada no siempre tiene un uso práctico.

Por otro lado, esta información también se compara con el comportamiento habitual de la persona. Es decir, aunque se tengan los datos biométricos, si la información no coincide con los hábitos naturales de la persona, no podrá realizarse una transacción como, por ejemplo, si alguien intenta utilizar una grabación de voz desde un dispositivo que no es el habitual o desde una locación que el usuario no frecuenta. Uno puede cambiar sus contraseñas, pero no lo que es: por eso, esta información es segura.

Medidas que deben tomar las empresas para proteger los datos biométricos de sus usuarios

• Incorporar soluciones de ciberseguridad al negocio que permitan tomar medidas preventivas en vez de reaccionar ante un ataque.
• Desarrollar soluciones que integran medidas de ciberseguridad desde la concepción de las mismas, con un balance adecuado UI/UX.
• Utilizar metodologías de hacking ético que permitan identificar fallas y factores de permeabilidad para que la misma empresa pueda solucionarlos antes de que los encuentren personas mal intencionadas
• Implementar soluciones de análisis de fraude y de comportamiento que incluyan parámetros personalizables para identificar comportamientos anómalos y prevenir fraudes antes de que ocurran.
• Adoptar soluciones con segundo o tercer factor de autenticación para robustecer los accesos y reducir el riesgo de hackeos.

Alrededor del mundo, cada vez son más los países que implementan tecnología biométrica para verificar que un individuo es quien dice ser, para descubrir la identidad de personas desconocidas o comparar personas contra una lista, por ejemplo. Desde 2018, en Argentina, se emplea para digitalizar la licencia de conducir y permitir que las personas puedan realizar todo tipo de trámites gubernamentales de forma remota. La biometría se está convirtiendo en una alternativa accesible, conveniente y confiable, por lo que no debería sorprendernos su aplicación en todos los niveles del ecosistema social: para un documento de identidad nacional, orden público, control de accesos físicos o control de fronteras, por ejemplo. El potencial y sus múltiples posibilidades de implementación son enormes, por lo que ha llegado el momento de que empresas e instituciones comiencen a considerarlas a fin de resguardar la identidad digital de sus clientes.