¿Puede el reconocimiento facial ser una amenaza para la seguridad y privacidad de los usuarios?

Luis Corrons, Avast
* Por Luis Corrons, Investigador Senior Adjunto en Avast

Controlar el acceso es la base de toda seguridad. Las personas indicadas deben recibir los permisos correspondientes para entrar y personas equivocadas deben ser excluidas. Esto se hace confirmando, o autenticando, la identidad de la persona que busca el acceso y luego verificando que la persona esté autorizada para ingresar.

La autenticación es el proceso de verificar una identidad utilizando uno o varios factores. Los diferentes factores generalmente se relacionan con algo que se sabe (es decir, nombre de usuario y contraseña), algo que se tiene (por ejemplo, un teléfono, al que se envía una contraseña única) o algo que uno es (una forma de reconocimiento biométrico, como huellas dactilares).

Sin embargo, si un delincuente adquiere la identificación de usuario o la contraseña de una persona y las utiliza para hacerse pasar por ella o él, el delincuente está automáticamente autorizado para obtener acceso. Entonces, estrictamente hablando, una contraseña no autentica al usuario en sí, simplemente autoriza un dispositivo independientemente de quién lo esté usando. ¿Ocurre lo mismo con la biometría? ¿Se puede robar y manipular la biometría facial?

En el caso de que se robe una biometría, por ejemplo, no se puede cambiar tan fácilmente como se puede cambiar una contraseña robada. Pero, ¿qué pasa con las huellas dactilares o los escaneos faciales que se utilizan para autenticar a los usuarios en lugares públicos? ¿Podrían representar una amenaza para la seguridad de los datos y la privacidad de las personas?


Reconocimiento facial en lugares públicos

La biometría física se ha considerado durante mucho tiempo una alternativa segura y de baja fricción para proporcionar a los usuarios acceso a los sistemas. Específicamente, la biometría facial, muy apreciada por los gobiernos y las agencias de aplicación de la ley, que la utilizan para autenticar (o más probablemente, reconocer) a las personas, puede abordar problemas fundamentales de seguridad, ya que es la persona que se identifica. ¿Cómo? Cuando los gobiernos u organizaciones públicas utilizan el reconocimiento biométrico, comparan la muestra digitalizada con enormes bases de datos de escaneo de control.

Sin embargo, esto solo funciona como una forma de reconocimiento y autenticación si la imagen escaneada está incluida en la base de datos. En términos legales, esto significa que los análisis "inocentes" se incluyen con los análisis de delincuentes conocidos. Revierte el principio de larga data de que las personas son inocentes hasta que se demuestre su culpabilidad, porque supone que las personas son culpables hasta que la base de datos biométrica demuestre su inocencia.


Grandes bases de datos de controles biométricos pueden estar entre los principales objetivos de los ciberdelincuentes

Si bien es difícil falsificar datos biométricos, no debemos olvidar que las grandes bases de datos siempre resultan extremadamente atractivas para los ciberdelincuentes.

Por esta razón, no debemos esperar a que se produzca una filtración importante para hacer un balance de las regulaciones de privacidad y los estándares de seguridad de la industria. Cualquier institución, ya sea pública o privada, que incursione en la autenticación biométrica debe ser considerada responsable de los datos personales de los usuarios que almacena.

Debe tenerse en cuenta que, independientemente de las mejores intenciones, los datos pueden inevitablemente terminar en lugares o manos imprevistas, especialmente debido a las acciones de los ciberdelincuentes. Por lo tanto, siempre se debe medir los riesgos de dónde podrían terminar.

La biometría ha tenido un éxito razonable, por ejemplo, en la autenticación del propietario de un teléfono móvil antes de permitir el acceso. La razón principal de esto es que el control biométrico nunca sale del teléfono. No hay una base de datos central externa de análisis de control, por lo que no hay problemas de privacidad. Pero cuando se implementa en cámaras en lugares públicos o para ciudades inteligentes, lo que está en juego es mayor.


Uso del reconocimiento facial en cámaras de vigilancia

Aunque la tecnología biométrica mejora día a día, no es infalible. Los expertos confirman que todavía tiene imprecisiones y prejuicios raciales. Estudios realizados en el Reino Unido por la organización de derechos humanos Big Brother Watch investigaron la tasa de falsos positivos de Reconocimiento Facial Automatizado (Automated Facial Recognition, AFR) o vigilancia facial implementada por la Policía Metropolitana y la Policía de Gales del Sur.

Según la investigación, el AFR de la Policía Metropolitana tenía una tasa de falsos positivos del 98 por ciento. De las 104 veces que el sistema policial comparó a una persona con la imagen de un criminal buscado, 102 de las coincidencias identificaron a la persona equivocada. Solo dos personas fueron identificadas correctamente. Por otro lado, el sistema de la policía de Gales del Sur tuvo una tasa de falsos positivos del 91 por ciento. El sistema hizo 2.451 identificaciones incorrectas y solo 234 correctas de las 2.685 veces que el sistema hizo coincidir una cara con un nombre en la lista de vigilancia. Sobre la base de esos falsos positivos, la policía de Gales del Sur se acercó a 31 ciudadanos inocentes y les pidió que presentaran pruebas de su identidad.

Regular el uso del reconocimiento facial automático en el orden público es extremadamente complejo y, si esta tecnología se usa, mantener esa información segura debería ser una prioridad absoluta. Hay que tener en cuenta múltiples aspectos; desde el proveedor de las cámaras, hasta quién gestiona los datos y cómo, dónde o cuándo se almacenan, entre otros. La información almacenada no es una contraseña, no se puede cambiar si se filtra. Con la biometría, uno está lidiando con la identidad de las personas y las medidas de seguridad son vitales.



No hay comentarios.

Imágenes del tema de enot-poloskun. Con tecnología de Blogger.