Por el Dr. Mohamed Lazzouni
Este artículo apareció por primera vez en SC Media.
Los datos biométricos se han convertido en el estándar preferido para laVerificación Identidad . Recientemente, Amazon saltó a los titulares al lanzar unas claves Biometría que permiten a los usuarios acceder a cuentas y servicios con sólo mostrar su Rostro. Esto elimina la necesidad de recordar engorrosas contraseñas.
Además, Biometría es casi imposible de subvertir, sobre todo ahora que suele ir acompañada de capacidades de detección prueba de vida facial que pueden distinguir entre una foto y el Rostro de una persona real, ayudando así a frustrar a los impostores.
Biometría promete mejorar Seguridad y mejorar drásticamente la experiencia del usuario. Según una de nuestras encuestas recientes, más de la mitad de los consumidores preferirían registrarse en un nuevo producto o servicio utilizando Biometría y esta fácil Verificación les hace más propensos a seguir utilizando el producto o servicio.
A pesar de las ventajas, las organizaciones deben tener en cuenta algunos factores importantes para que la implantación de la biometría tenga éxito:
- Ofrezca opciones de inclusión o exclusión: Dar a los usuarios el control sobre el uso de sus datos biométricos y ofrecer alternativas para aquellos que no están dispuestos a proporcionar Biometría. Varios estudios sugieren que los estadounidenses están bastante dispuestos a utilizar la Biometría. Sin embargo, sus niveles de Confianza y comodidad dependen en gran medida del contexto en el que se aplique Biometría . Mientras que los consumidores suelen confiar más en la Biometría en los servicios financieros, confían menos en su uso por parte de las grandes empresas tecnológicas y de medios sociales. Desde el punto de vista ético, podemos hacer que todos los usuarios se sientan cómodos ofreciendo procedimientos claros de OptIn/OptOut, lo que da a los usuarios un control total sobre cómo se utilizan sus datos biométricos. Si una persona no desea facilitar sus datos biométricos, las organizaciones deberían ofrecer siempre un medio alternativo para verificar Identidad. En la gran mayoría de los casos, el deseo de comodidad se impondrá y la mayoría de la gente elegirá el método biométrico. Un excelente ejemplo: los aeropuertos de todo el país han observado que, utilizando Biometría, pueden embarcar en los vuelos en una fracción del tiempo que se tarda utilizando documentos de identificación estándar.
- Evitar el Sesgo: Elija algoritmos entrenados en diversos conjuntos de datos globales para minimizar Sesgo. En las últimas semanas, ha habido muchas noticias sobre Sesgo en Biometría. Al examinar todas las opciones biométricas disponibles en el mercado, suele haber una gran discrepancia en cuanto a la capacidad de los distintos algoritmos para lograr la neutralidad demográfica y la equidad, tratando así a todos los individuos de forma equitativa. Por lo tanto, para eliminar Sesgo basado en la edad, el sexo o la raza, asegúrese de que el algoritmo seleccionado ha sido entrenado con conjuntos de datos extremadamente diversos de todo el mundo.
- Realice inversiones sensatas: Los productos SaaS permiten una implantación asequible para empresas de todos los tamaños. Aprovechar la infraestructura existente siempre que sea posible: Desde una perspectiva técnica, sólo las grandes empresas establecidas podían permitirse implantar Biometría en el pasado debido a la fuerte inversión inicial de tiempo y trabajo requerida. Hoy en día, las organizaciones más pequeñas tienen la oportunidad de implementar ofertas biométricas basadas en SaaS, ideales para empresas de cualquier tamaño e inmediatamente funcionales. Además, en las aplicaciones de control de acceso físico (que garantizan que las personas autorizadas puedan acceder a una instalación), hay buenas noticias porque, en muchos casos, las organizaciones no tienen que añadir nueva infraestructura (como cámaras o lectores) ni sustituir la existente. Pueden aprovechar los equipos que ya tienen junto con la tendencia de "traiga su propio dispositivo" (BYOD). Biometría combinada con BYOD ofrece automáticamente los niveles superiores de Seguridad asociados a Autenticación multifactor (MFA). En resumen, al evaluar las ofertas biométricas, es importante tener siempre en cuenta de cuánto dinero, tiempo y recursos dispone la empresa para poner en marcha una aplicación. Evite "arrancar y sustituir" en la medida de lo posible, ya que esto genera residuos.
- Practicar la transparencia: Explique claramente los protocolos de recogida, transferencia, conservación y supresión de datos biométricos. Utilice técnicas de cifrado y anonimización. No almacenar nunca Biometría con PII. Además, al implantar Biometría, las organizaciones deben ser totalmente transparentes en cuanto a cómo se recopilan los datos, cómo se transfieren para su tratamiento y cómo se conservan, y cómo y cuándo se eliminan. En concreto, las organizaciones querrán poner de relieve las protecciones añadidas que se aplican y el grado (si lo hay) en que los datos biométricos se comparten con terceros.
¿Cómo deben recopilar y conservar los equipos todos los datos biométricos?
En cuanto a la recopilación, existen técnicas que los equipos de Seguridad pueden utilizar para garantizar que los datos biométricos (una huella dactilar que sirve como clave de acceso) nunca salgan del dispositivo que los captura. En cuanto a la transferencia, hay que utilizar el cifrado tradicional para los datos en tránsito y las organizaciones que manejan los datos deben seguir siempre las mejores prácticas, como el uso de una VPN.
En el frente de la retención de datos, las organizaciones están adoptando diversos enfoques innovadores, como la "biometría cancelable", en la que se utiliza para la Autenticación una imagen biométrica distorsionada derivada de la original. Por ejemplo, en lugar de inscribirse con un dedo verdadero (u otro dato biométrico), la huella dactilar se distorsiona intencionadamente de forma repetible y se utiliza una huella nueva. Si, por alguna razón, la huella dactilar dactilar antigua es "robada", es posible emitir una huella dactilar "nueva" simplemente cambiando los parámetros del proceso de distorsión.
Además, existe una nueva técnica que descompone las plantillas biométricas en bits anónimos. Este método hace prácticamente imposible que un pirata informático acceda a plantillas biométricas completas, en el raro caso de que pueda acceder a la red. Otras protecciones para los datos biométricos almacenados son el borrado de datos a intervalos regulares y no almacenar nunca datos biométricos junto con información personal identificable (PII), de modo que en el improbable caso de que un pirata informático acceda a los datos biométricos, éstos no tengan ningún valor.
Aunque las ventajas y beneficios de la Biometría son enormes, hay importantes cuestiones éticas y técnicas que deben tenerse en cuenta antes de su aplicación. Unos procedimientos de consentimiento claros y concisos, evitar Sesgo, una inversión sensata y una articulación minuciosa de los protocolos de Seguridad y protección de datos son vitales para el éxito de cualquier iniciativa de Biometría .
