Reportaje - La privacidad como clave de los sistemas biométricos
La mayoría de los sistemas de seguridad biométrica almacenan plantillas de una característica biométrica concreta como la huella dactilar, una impresión de la mano o una exploración del iris en una base de datos o en un chip incluido en una tarjeta inteligente o ficha electrónica. Las plantillas se comparan con la imagen que se genera cuando alguien utiliza un escáner para entrar a un edificio, acceder a una cuenta corriente o iniciar su ordenador. Es una forma muy precisa de identificación, utilizada por sí misma o en combinación con otro tipo de información como el nombre, el número de documento de identidad, la fecha de nacimiento o un código pin. ¿Pero qué ocurre si la imagen biométrica y los datos asociados a ella caen en malas manos o se utilizan para otros fines distintos a los previstos inicialmente? Una exploración de las huellas dactilares puede conducir a la persona de la que se obtuvo, y las imágenes almacenadas en distintas bases de datos pueden cruzarse para construir un perfil completo de una persona, relacionando por ejemplo su expediente médico con información sobre su vida laboral. Debido a que la información biométrica es tan personal y tan complicada de modificar, el robo de una identidad biométrica podría acarrear consecuencias de por vida prácticamente imposibles de corregir. De hecho, una vez robada nunca más se podrá considerar segura. Las implicaciones para la privacidad son muy profundas, pero puede que pronto exista una solución. Una nueva técnica desarrollada por un equipo de científicos europeos participantes en el proyecto Turbine («Identidades biométricas revocables y de confianza») permite disfrutar de todos los beneficios de la seguridad biométrica y al mismo tiempo mitigar o eliminar los riesgos asociados. En lo que fue una de las primeras aplicaciones prácticas de la criptografía biométrica, el equipo demostró una solución basada en el concepto de «privacidad por diseño» que permite utilizar las huellas dactilares para probar la identidad sin vulnerar la confidencialidad de la información asociada. «En lugar de almacenar imágenes de huellas dactilares, utilizamos dichas imágenes para generar un código matemático que representa una identidad. El código no puede utilizarse para recomponer la muestra dactilar original, puede anularse en cualquier momento y se puede utilizar la misma huella para generar múltiples códigos que den lugar a distintas identidades o pseudoidentidades para distintos propósitos», explicó Nicolas Delvaux, coordinador de Turbine y gestor de programas en la empresa dedicada a la seguridad biométrica Morpho, parte del grupo Safran (Francia). Irreversible y revocable El código, una clave criptográfica de cadena de bits, es generado por una fórmula matemática basada en características estables de las huellas dactilares de una persona e instrucciones sobre cómo debe dar con dichas características el lector de huellas. Cada vez que se utiliza un sistema biométrico basado en la tecnología de Turbine, la clave de cadena de bits que genera su huella dactilar, no la imagen de la propia huella, se compara con la clave almacenada con anterioridad. Simplemente comprueba que la persona que utiliza el sistema está autorizada para ello, sin concretar su identidad. De esta forma, su identidad real y su información biométrica permanecen seguras. «En este contexto, si fuera un empleado de banca, por ejemplo, y alguien me solicitara acceder a una cuenta corriente, no me importaría saber quién me lo solicita; sólo si esa es la persona capaz de generar, con una parte de su cuerpo, el código que da acceso a la cuenta solicitada», explicó el Sr. Delvaux. Una misma persona puede contar con distintas claves de cadena de bits para sistemas diferentes. Una por ejemplo para identificarla en el sistema de la seguridad social y otra para acceder a su cuenta bancaria, estando todas generadas a partir de la misma huella dactilar. O, en otras circunstancias y con una fórmula matemática distinta para generar el código, los usuarios podrían poseer la misma clave para probar que pertenecen a cierto grupo o poseen un permiso adecuado para acceder a un nivel determinado de seguridad, por ejemplo. Un aspecto muy destacado es que el usuario puede anular las claves de cadena de bits en todo momento. Si una se roba o se hace un uso fraudulento de la misma puede cancelarse y generarse una nueva. «Es imposible anular tus datos biométricos. En realidad, es posible cambiar la huella dactilar, pero requiere un proceso extremadamente complicado al que no se sometería la mayoría de la gente. Sólo tenemos diez dedos por lo que los sistemas actuales sólo pueden generar diez identidades nuevas por persona. Pero es muy sencillo generar una clave nueva de una huella tantas veces como sea necesario», indicó el Sr. Delvaux. Y gracias a que la clave para cada una de las aplicaciones es distinta, no hay ninguna forma sencilla de identificar a usuarios en distintos sistemas o bases de datos. «Pongamos por caso que posee una cuenta en dos bancos distintos. Si los dos bancos se funden en uno, el banco resultante no podría identificarle como propietario de dos cuentas sin que el usuario diera su consentimiento», explicó el Sr. Delvaux. La tecnología se demostró en una prueba práctica y en una aplicación de prueba de concepto. La prueba se centró en un control de acceso físico controlado por un sistema de seguridad basado en biométrica instalado en el Aeropuerto Internacional de Salónica (Grecia). Al personal del aeropuerto se le proporcionó tarjetas RFID en las que almacenar las pseudoidentidades generadas por el sistema Turbine. Al utilizar estas en conjunción con un lector de huellas dactilares en puertas y pasos se obtenía acceso a zonas restringidas del complejo aeroportuario. La prueba de concepto consistió en una aplicación web para profesionales de la salud en la que farmacéuticos de Alemania utilizaron pseudoidentidades almacenadas en una tarjeta inteligente y lectores de huellas digitales para verificar su identidad al firmar recetas electrónicas. Uno de los socios del proyecto planea desarrollar una versión comercial. «Las pruebas tuvieron un gran éxito y muestran la amplia gama de aplicaciones posibles de esta tecnología, aunque aún es necesario sortear algunos obstáculos», señaló el coordinador del proyecto. Aunque varios de los socios, incluido Morpho, se proponen desarrollar productos comerciales basados en el trabajo realizado en Turbine, aún es necesario obtener la aprobación de las agencias nacionales de protección de datos, como ocurre con otros sistemas biométricos. «En lo referente a la protección de datos existe aún una gran fragmentación en Europa [...] aunque hemos pensado dirigirnos a varias entidades para presentarles nuestra tecnología y participamos de forma activa en trabajos de estandarización», explicó el Sr. Delvaux. No obstante, el Supervisor Europeo de Protección de Datos (SEPD) emitió una opinión positiva en términos generales sobre el trabajo de Turbine, un hito para un proyecto de investigación europeo. «Al hacer irreversibles las representaciones biométricas, el sistema prevendrá el empleo de datos biométricos para otros fines distintos a los pretendidos en un principio. También garantiza que los propios datos biométricos no se almacenen más de lo necesario, ya que se sustituyen por una clave de cadena de bits. Este aspecto de la seguridad se ve fortalecido por la revocabilidad de la clave», afirmó el SEPD. «Esto demuestra que nuestro método, en muchos aspectos, está en consonancia con los principios de protección de datos del SEPD», aclaró el Dr. Delvaux. «Un dato muy alentador.» Turbine recibió de la Unión Europea fondos por valor de 6,35 millones de euros al amparo del subprograma «Infraestructuras seguras, fiables y de confianza» del Séptimo Programa Marco de investigación. Enlaces útiles: - «Identidades biométricas revocables y de confianza» - Registro de los datos del proyecto Turbine en CORDIS Artículos relacionados: - Repaso a proyectos comunitarios destacados sobre confianza y seguridad informática - Comprobada la seguridad de la criptología cuántica - ¿Cuál es la identidad de la identidad en la era digital?