En días pasados, con motivo del proceso electoral mexicano, se advirtió a través de redes sociales y medios de comunicación sobre los riesgos de compartir fotos de nuestros dedos manchados de tinta, en un contexto donde nuestra información biométrica es usada constantemente con fines de autenticación. Como principio general de seguridad, sabemos que es una buena práctica no compartir información personal que constituya o pueda formar parte de mecanismos de autenticación o verificación, como -evidentemente- nuestras contraseñas. Sin embargo, ¿qué sucede cuando nuestro cuerpo -nuestras huellas digitales, nuestra voz o nuestro rostro- se han convertido en nuestras contraseñas? ¿Es factible y está en nuestro poder proteger esta información?
En 2014, hackers del gobierno chino ingresaron en los sistemas de computación del gobierno norteamericano, logrando extraer los datos personales de 22 millones de ciudadanos estadounidenses, incluyendo los datos de la huella digital de 5.6 millones de personas. Aunque hasta el presente no existen evidencias de que estos datos hayan sido comerciados en el mercado negro, resulta abismante el riesgo que pueden representar en caso de ser vendidos. En 2016, investigadores de la Universidad Estatal de Michigan fueron capaces de convertir reproducciones de huellas digitales en versiones 3D de las mismas, capaces de engañar a los lectores de huella digital de los teléfonos inteligentes, todo esto con equipamiento por un valor inferior a los 500 dólares. Igualmente, los investigadores del Instituto Nacional de Informática de Tokio afirman que son capaces de reconstruir una huella digital a partir de la fotografía de una persona haciendo el signo de la paz con su dedo índice y medio, tomada a tres metros de distancia. Esta última noticia levantó alertas en diversos sitios de noticias, que señalaron que los avances paralelos en las tecnologías fotográficas y de autenticación por huella digital, aunados al uso continuo de redes sociales para compartir información, convergen en un punto de riesgo incrementado en lo que respecta a la accesibilidad y facilidad para obtener y recrear las huellas digitales de las personas.
Los datos del rostro también son vulnerables: hoy en día, crear una base de datos a partir de fotografías de los rostros de las personas puede ser tan fácil como descargarla de Facebook o LinkedIn, y la tecnología se encuentra fácilmente disponible, no solo para procesar estas imágenes a través de algoritmos de reconocimiento facial, sino incluso para crear modelos en 3D a partir de ellas. De hecho, en el Chaos Communication Congress de 2014, un investigador de seguridad reprodujo un modelo funcional de la huella digital del ministro de Defensa alemán, partiendo de una fotografia en alta resolución de su mano.
El principal problema de seguridad planteado por el uso de tecnologías biométricas para la autenticación es que los datos biométricos no pueden ser reemplazados. Una vez que el patrón de nuestras huellas digitales se ve comprometido, solo tenemos un número limitado de posibilidades de reemplazarla, en caso de que se requiera solo una. Así, como señala nuestro reciente informe, “El cuerpo como dato”:
Dado que los datos biométricos son únicos e irremplazables, la posibilidad de pérdida o robo de estos significa que la identidad legal del individuo se ve comprometida sin posibilidad de que se le provea de una nueva identidad, creando un contexto en el cual, de no existir salvaguardas legales, una persona podría verse privada de su identidad sin recursos para recuperarla ni indemnización a los daños.
En el caso de que, por ejemplo, la huella digital sea la puerta de entrada hacia otra información personal, como los servicios de mensajería o el correo electrónico, el robo de los patrones biométricos no es el único peligro. El riesgo, por ejemplo, de que los cuerpos policiales puedan sortear el cifrado de un dispositivo a través de copias de la huella digital -o simplemente forzando al ciudadano físicamente- es, de suyo, alto, no solo en el contexto latinoamericano, donde el abuso policial es una práctica frecuente. Esto puede suceder incluso cuando se siguen procedimientos judiciales: en Los Ángeles, un juez emitió una orden para forzar el dedo de una mujer en el lector de huella de un teléfono incautado con el fin de desbloquearlo en el contexto de un proceso por robo de identidad.
Más que el riesgo de perder el control sobre nuestros datos biométricos, el verdadero riesgo se encuentra en el hecho de que nunca tuvimos control sobre ellos en primer lugar. La propia naturaleza de nuestro cuerpo implica que este se encuentra en constante contacto e intercambio de información con el mundo que nos rodea: nuestro rostro descubierto es captado por cámaras de vigilancia urbanas, por los teléfonos de las personas en la calle y a través de nuestras cuentas de redes sociales; nuestras huellas digitales entran en contacto un millón de veces al día con objetos cotidianos a partir de los cuales pueden ser reconstruidas; nuestra voz, nuestros ojos o nuestra manera de caminar no son datos que podamos ocultar del mundo sin limitar severamente nuestras rutinas. El cuerpo, por su naturaleza comunicacional, emite constantemente información que es captada por diversos dispositivos, incluyendo datos como nuestra presión sanguínea, nuestro pulso o la cantidad de pasos que damos al día. Las tecnologías modernas, y no solo las biométricas, recaban y transmiten una cantidad de información gigantesca de manera coditiana, no solo para verificar nuestra identidad, sino para determinar factores como el género, edad, estado de salud o nivel de ingresos de una persona determinada.
Lo que deriva de esto no es solo que debamos tener un mayor cuidado al momento de comunicar o entregar nuestros datos personales, especialmente nuestros datos biométricos, sino que todo cuidado será insuficiente si no logramos crear regulaciones y políticas públicas que permitan un manejo mucho más cuidadoso de estos datos por parte de gobiernos y empresas privadas. Por otra parte, la tecnología sigue avanzando, por lo general con mucha más rápidez que la regulación y sin esperar por ella. En 2013, un equipo de investigadores en Berkeley creó un sistema de autenticación biométrica basado en ondas cerebrales, llamado “passthoughts”. Esta técnica combina tres factores de verificación: algo que sabes (un pensamiento), algo que eres (tus ondas cerebrales) y algo que tienes (el sensor para medirlas). Para autenticar tu identidad, debes pensar en tu clave secreta mientras usas el sensor, que transmite una representación matemática de las señales que hace tu cerebro cuando piensas en la clave. En teoría, es imposible falsificar un passthought, dado que cada persona piensa el mismo pensamiento de manera distinta. La única manera de sortear este tipo de seguridad sería forzar a la persona a pensar su clave, capturar la respuesta y luego reproducirla. Sin embargo, un passthought, al igual que cualquier contraseña, puede ser cambiado.
Esto es solo un ejemplo de maneras en las cuales la tecnología de autenticación biométrica puede cambiar en el futuro próximo. Entretanto, en la mayor parte del mundo seguimos debatiendo sobre cuál es el paradigma correcto para enfrentar desde el punto de vista jurídico a una tecnología cuyo avance no se detendrá a esperar por nosotros.