Estudio Sobre Las Tecnologías Biométricas Aplicadas A La Seguridad

Estudio sobre las tecnologas biomtricas aplicadas a la seguridad
OBSERVATORIO biomtricas aplicadas a la seguridad DE LA INFORMACIN 100 Estudio sobre las tecnologas DE LA SEGURIDAD Pgina 1 de
Observatorio de la Seguridad de la Informacin
Edicin: Diciembre 2011
El Estudio sobre las tecnologas biomtricas aplicadas a la seguridad ha sido elaborado por el siguiente equipo de trabajo del Observatorio de la Seguridad de la Informacin de INTECO: Pablo Prez San-Jos (direccin) Eduardo lvarez Alonso (coordinacin) Susana de la Fuente Rodrguez Laura Garca Prez Cristina Gutirrez Borge
Correo electrnico del Observatorio de la Seguridad de la Informacin: observatorio@inteco.es
La presente publicacin pertenece al Instituto Nacional de Tecnologas de la Comunicacin (INTECO) y est bajo una licencia Reconocimiento-No comercial 3.0 Espaa de Creative Commons, y por ello est permitido copiar, distribuir y comunicar pblicamente esta obra bajo las condiciones siguientes: Reconocimiento: El contenido de este informe se puede reproducir total o parcialmente por terceros, citando su procedencia y haciendo referencia expresa tanto a INTECO como a su sitio web: www.inteco.es. Dicho reconocimiento no podr en ningn caso sugerir que INTECO presta apoyo a dicho tercero o apoya el uso que hace de su obra. Uso No Comercial: El material original y los trabajos derivados pueden ser distribuidos, copiados y exhibidos mientras su uso no tenga fines comerciales.
Al reutilizar o distribuir la obra, tiene que dejar bien claro los trminos de la licencia de esta obra. Alguna de estas condiciones puede no aplicarse si se obtiene el permiso de INTECO como titular de los derechos de autor. Nada en esta licencia menoscaba o restringe los derechos morales de INTECO. http://creativecommons.org/licenses/by-nc/3.0/es/
El presente documento cumple con las condiciones de accesibilidad del formato PDF (Portable Document Format). As, se trata de un documento estructurado y etiquetado, provisto de alternativas a todo elemento no textual, marcado de idioma y orden de lectura adecuado. Para ampliar informacin sobre la construccin de documentos PDF accesibles puede consultar la gua disponible en la Estudio sobre las tecnologas biomtricas aplicadas a la la pgina Pgina 2 de 100 seccin Accesibilidad > Formacin > Manuales y Guas deseguridad http://www.inteco.es Observatorio de la Seguridad de la Informacin
NDICE
1 INTRODUCCIN Y OBJETIVOS ..............................................................................10 1.1 1.2 2 Presentacin......................................................................................................10 Estudio sobre las tecnologas biomtricas aplicadas a la seguridad ..................12
DISEO METODOLGICO......................................................................................15 2.1 2.2 2.3 2.4 Fase 1: Bsqueda y anlisis documental. ..........................................................15 Fase 2: Consulta a expertos ..............................................................................16 Fase 3: Elaboracin del informe de conclusiones finales del proyecto ...............21 Fase 4: Elaboracin de una gua prctica dirigida a usuarios ............................21
INTRODUCCIN A LAS TECNOLOGAS BIOMTRICAS .......................................22 3.1 3.2 3.3 3.4 Antecedentes.....................................................................................................22 Conceptos clave ................................................................................................23 Tipos, tcnicas y tecnologas aplicadas a la biometra .......................................28 Comparativa de tcnicas y tecnologas biomtricas...........................................39
ANLISIS DE LOS PROCESOS DE IDENTIFICACIN ...........................................45 4.1 4.2 Anlisis de las tcnicas aplicadas y tipos de identificacin ................................45 Sistemas de autenticacin de doble factor .........................................................47
BENEFICIOS DE LA UTILIZACIN DE LAS TECNOLOGAS BIOMTRICAS.........50 5.1 5.2 Para las entidades usuarias ...............................................................................50 Para los usuarios finales ....................................................................................52
USOS Y APLICACIONES DE LAS TECNOLOGAS BIOMTRICAS........................55 6.1 6.2 Aplicaciones actuales ........................................................................................56 Aplicaciones en fase de desarrollo ....................................................................60
CASOS DE XITO ...................................................................................................62

Pgina 3 de 100
Estudio sobre las tecnologas biomtricas aplicadas a la seguridad Observatorio de la Seguridad de la Informacin
7.1 7.2 8
Acceso rpido a fronteras aeroportuarias (Espaa) ...........................................62 Gestin de ayudas pblicas (Polonia) ................................................................65
MARCO REGULATORIO .........................................................................................68 8.1 8.2 8.3 Normativa legal..................................................................................................68 Informes Jurdicos y jurisprudencia ....................................................................72 Estndares internacionales................................................................................76
GESTIN DE RIESGOS ..........................................................................................79 9.1 9.2 Amenazas y vulnerabilidades en los procesos...................................................79 Mtodos de solucin y prevencin .....................................................................84 CONCLUSIONES .................................................................................................87 Conclusiones generales.....................................................................................87 Fortalezas y oportunidades................................................................................88 Debilidades y posibles riesgos ...........................................................................89 RECOMENDACIONES .........................................................................................90 Recomendaciones dirigidas a las organizaciones ..............................................90 Recomendaciones dirigidas a la industria ..........................................................92 Recomendaciones dirigidas a las Administraciones Pblicas ............................93 Recomendaciones para legisladores y agentes de estandarizacin ..................94
10 10.1 10.2 10.3 11 11.1 11.2 11.3 11.4
ANEXO I: BIBLIOGRAFA................................................................................................95 ANEXO II: NDICES DE TABLAS, GRFICOS E ILUSTRACIONES ...............................97 ndice de tablas ............................................................................................................97 ndice de grficos .........................................................................................................97 ndice de ilustraciones ..................................................................................................97
Pgina 4 de 100
PUNTOS CLAVE
INTECO, con la misin de aportar valor y desarrollar la Sociedad del Conocimiento a travs de proyectos en el marco de la innovacin y la tecnologa, publica el Estudio sobre las tecnologas biomtricas aplicadas a la seguridad. En el mercado existen mltiples soluciones biomtricas diferenciadas tanto por la tcnica que emplean como por la funcionalidad que ofrecen, sin embargo todas ellas estn orientadas al reconocimiento de personas fsicas. Esta finalidad ltima supone el tratamiento de datos de carcter personal, por lo que la privacidad se convierte en un aspecto especialmente relevante en el mbito de la biometra. La metodologa utilizada para la realizacin del estudio y la consecuente publicacin del presente informe est fundamentada en dos aspectos complementarios. En primer lugar, se basa en el anlisis documental, para lo cual se han inventariado las fuentes de informacin que disponen y publican estudios, informes o trabajos relacionados con la biometra y se han analizado las principales conclusiones de aquellos informes que contienen informacin actual y til para realizar este estudio. Paralelamente, se ha consultado mediante entrevista a diferentes actores de la industria de la biometra a nivel mundial, involucrando a fabricantes, distribuidores, expertos en derecho, consultores e investigadores. As mismo, se ha realizando un anlisis detallado de dos casos de xito reconocidos internacionalmente. Esta diversidad de colectivos participantes en el estudio permite, junto al anlisis de los informes y reportes, conocer el estado actual de los sistemas biomtricos desde diferentes puntos de vista, identificando as los principales puntos a favor y oportunidades y los puntos en contra y posibles riesgos que afrontan actualmente. I. Introduccin a las tecnologas biomtricas
El anlisis documental ha permitido la identificacin de las principales tcnicas biomtricas existentes. Si bien algunas de ellas an se encuentran en estados de madurez insuficientes para poder encontrarse en el mercado de una forma eficiente y razonable en cuanto a costes, muchas otras se encuentran suficientemente maduras y ofrecen actualmente soluciones de autenticacin en muy diversos mbitos. Las tcnicas biomtricas existentes se clasifican en funcin del rasgo humano analizado, el cual puede ser fisiolgico donde encontramos el reconocimiento de huella dactilar, de iris, de retina y de rostro, entre otros o de comportamiento donde se encuentran el reconocimiento de voz, de firma o de la manera de andar, entre otros.
Pgina 5 de 100
El estudio revela que el reconocimiento de huella dactilar y el reconocimiento de iris son las tcnicas actualmente ms extendidas en el sector de la biometra. Los principales motivos de la expansin de ambas tcnicas, se basan principalmente en que se trata de mtodos de autenticacin muy poco intrusivos con los usuarios finales y en que ambas tcnicas fueron de las primeras en ser concebidas, lo que ha permitido por un lado su mayor desarrollo y evolucin hacia una reduccin de costes de implementacin, y por otro lado, la confianza por parte de los ciudadanos que reduce la resistencia inicial al uso de nuevas tecnologas. II. Anlisis de los procesos de identificacin basados en biometra
El progresivo avance de las tecnologas biomtricas ha supuesto la progresin de la forma unimodal a sistemas de autenticacin de doble factor, que pueden incorporar ms de una tecnologa biomtrica biometra bimodal o combinar el uso de la biometra con otros sistemas como tarjetas de identificacin o contraseas. Es por ello que los expertos sealan que la combinacin de tcnicas biomtricas con otros sistemas de reconocimiento, es habitualmente un aspecto clave para el xito de los sistemas de autenticacin. III. Beneficios de la utilizacin de las tecnologas biomtricas
La aplicacin de tecnologas biomtricas reporta diferentes beneficios, tanto para las organizaciones como para los propios usuarios. Los beneficios para las entidades se centran en el aumento de los niveles de seguridad, la reduccin de las posibilidades de fraude interno y la reduccin en los costes de mantenimiento de los sistemas de seguridad y autenticacin. Por su parte, los usuarios pueden ver como aumenta su comodidad al no tener que recordar mltiples y complejas contraseas, podrn realizar tramitaciones remotas con mayor seguridad y en el caso de operaciones presenciales podrn ver reducidos los tiempos de espera. Por otra parte, su privacidad puede verse reforzada si el acceso a sus datos personales se realiza mediante autenticacin biomtrica. IV. Usos y aplicaciones de las tecnologas biomtricas
Independientemente de la tcnica empleada, los sistemas biomtricos son utilizados en muy diversos entornos y con muy diversas finalidades. En base a las entrevistas realizadas, la principal finalidad para la cual se utilizan sistemas biomtricos es el control de acceso (tanto fsico como lgico) a edificios, zonas restringidas y sistemas de informacin. Sin embargo, en el mercado actualmente se encuentran tcnicas biomtricas empleadas con objetivos como el control de presencia, el control de fronteras, la lucha contra el fraude y la investigacin de delitos.
Estudio sobre las tecnologas biomtricas aplicadas a la seguridad Observatorio de la Seguridad de la Informacin Pgina 6 de 100
La utilizacin de sistemas de reconocimiento basados en biometra supone grandes beneficios para las organizaciones o entidades que los implantan en aspectos como la reduccin de costes, el aumento de la seguridad y la eficiencia, y la mejora de la imagen corporativa. Tambin supone grandes beneficios para los usuarios finales en relacin a su comodidad, reduccin de tiempos de espera, posibilidad de realizar tramitaciones remotas y mayor salvaguarda de su privacidad entre otras. Se puede destacar tambin una serie de aplicaciones en fase de desarrollo que han sido identificadas en el anlisis documental y comentadas por los expertos que han colaborado en el proceso de consulta. Actualmente se estn desarrollando soluciones para facilitar la autenticacin a distancia, verificar diferentes medios de pago y mejorar los sistemas de control parental y de vigilancia en general. Es especialmente reseable el desarrollo que se est produciendo de sistemas biomtricos para la autenticacin de usuarios que realizan transacciones mediante telfonos mviles. V. Casos de xito
En el presente estudio, se han seleccionado dos casos de xito especficos, principalmente por su diversidad en cuanto a finalidad y tecnologa empleada: Acceso rpido a fronteras aeroportuarias en Espaa. Gestin de ayudas pblicas en Polonia.
En ambos casos destaca la comodidad para los usuarios que ha supuesto la implantacin de sistemas biomtricos, y la eficiencia conseguida por parte de las organizaciones, las cuales han podido destinar sus recursos, que previamente destinaban al reconocimiento de personas, a otras funciones. VI. Marco regulatorio
Los datos biomtricos son considerados datos de carcter personal por las diferentes autoridades nacionales y europeas de proteccin de datos. Es por ello que deben aplicarse los principios establecidos en la Ley Orgnica de Proteccin de Datos de Carcter Personal y las medidas de seguridad establecidas en su Reglamento de Desarrollo. En el presente informe se puede observar una recoleccin de legislacin y jurisprudencia de aplicacin sealados por los expertos consultados as como los principales estndares asociados a cada tcnica biomtrica. Segn sealan los expertos la regulacin actual en Espaa en materia de proteccin de datos es suficiente para regular el mbito de la biometra. Sin embargo, de cara a unificar criterios y atender a una especial sensibilidad de la poblacin, podra ser conveniente
desarrollar una regulacin especfica para la biometra. Para ello, se debera evitar una normativa excesivamente rgida que impida o dificulte el uso de la biometra o que no se pueda adaptar fcilmente a los futuros desarrollos. Paralelamente, los expertos tambin sealan la conveniencia de avanzar en la regulacin legislativa relativa a la suplantacin de identidad, una de las mayores amenazas identificadas. Por otro lado, se observa en la jurisprudencia analizada la criticidad de la necesidad de dar cumplimiento al deber de informacin establecido en la LOPD por parte de las entidades que implantan sistemas de reconocimiento biomtrico para sus empleados. VII. Gestin de riesgos
No obstante, en la elaboracin del presente estudio se han identificado un conjunto de amenazas y vulnerabilidades intrnsecamente ligados a la utilizacin de tecnologas de reconocimiento basadas en biometra. En este sentido, los expertos destacan principalmente las siguientes: Idoneidad de la implantacin: Es necesario un anlisis previo para llevar a cabo la implantacin de sistemas apropiados. Suplantacin de identidad: Como en todo sistema de autenticacin, es una de las principales amenazas. Alteracin de rasgos: En ocasiones, voluntaria o involuntariamente los rasgos biomtricos de las personas pueden verse alterados. Aceptacin cultural: La idiosincrasia cultural de cada pas puede suponer un inconveniente para la implantacin de determinados sistemas de reconocimiento. Desconocimiento: En ocasiones las entidades que podran estar interesadas desconocen la calidad o el abanico de productos y utilidades disponibles. Percepcin negativa: Percepcin de ausencia de privacidad por parte de los usuarios. Con el objetivo de gestionar los riesgos identificados, los expertos sealan mtodos se solucin y prevencin de los mismos que facilitan la implantacin exitosa de sistemas biomtricos. En este sentido, cabe destacar la deteccin de vida, la utilizacin de biometra en movimiento, el almacenamiento seguro de muestras, la formacin de los usuarios finales y la realizacin de un anlisis previo a la implantacin.
Pgina 8 de 100
VIII.
Recomendaciones y buenas prcticas
Por ltimo, durante el proceso de elaboracin del presente estudio se ha recopilado un conjunto de recomendaciones dirigidas a los diferentes actores del sector de la biometra donde cabe destacar las siguientes. Realizacin de un anlisis detallado previo a la implantacin. Utilizacin de tecnologa de calidad. Informar y formar a los usuarios de los sistemas. Garantizar la seguridad de los datos biomtricos. Alineamiento entre mercado e investigadores. Divulgacin hacia la ciudadana e inversin en desarrollo de nuevas tecnologas.
Pgina 9 de 100
1
1.1 1.1.1
INTRODUCCIN Y OBJETIVOS
PRESENTACIN Instituto Nacional de Tecnologas de la Comunicacin
El Instituto Nacional de Tecnologas de la Comunicacin, S.A. (INTECO), es una sociedad estatal adscrita al Ministerio de Industria, Turismo y Comercio a travs de la Secretara de Estado de Telecomunicaciones y para la Sociedad de la Informacin. INTECO es un centro de desarrollo de carcter innovador y de inters pblico de mbito nacional que se orienta a la aportacin de valor, a la industria y a los usuarios, y a la difusin de las nuevas tecnologas de la informacin y la comunicacin (TIC) en Espaa, en clara sintona con Europa. Su objetivo fundamental es servir como instrumento para desarrollar la Sociedad de la Informacin, con actividades propias en el mbito de la innovacin y el desarrollo de proyectos asociados a las TIC, basndose en tres pilares fundamentales: la investigacin aplicada, la prestacin de servicios y la formacin. La misin de INTECO es aportar valor e innovacin a los ciudadanos, a las PYMES, a las Administraciones Pblicas y al sector de las tecnologas de la informacin, a travs del desarrollo de proyectos que contribuyan a reforzar la confianza en los servicios de la Sociedad de la Informacin en nuestro pas, promoviendo adems una lnea de participacin internacional. Para ello, INTECO desarrolla actuaciones en las siguientes lneas: Seguridad Tecnolgica: INTECO est comprometido con la promocin de servicios de la Sociedad de la Informacin cada vez ms seguros, que protejan los datos personales de los interesados, su intimidad, la integridad de su informacin y eviten ataques que pongan en riesgo los servicios prestados. Y por supuesto que garanticen un cumplimiento estricto de la normativa legal en materia de TIC. Para ello coordina distintas iniciativas pblicas en torno a la seguridad de las TIC, que se materializan en la prestacin de servicios por parte del Observatorio de la Seguridad de la Informacin, el Centro de Respuesta a Incidentes de Seguridad en Tecnologas de la Informacin (INTECO-CERT) con su Centro Demostrador de Tecnologas de Seguridad, y la Oficina de Seguridad del Internauta, de los que se benefician ciudadanos, PYMES, Administraciones Pblicas y el sector tecnolgico. Accesibilidad: INTECO promueve servicios de la Sociedad de la Informacin ms accesibles, que supriman las barreras de exclusin, cualquiera que sea la dificultad o carencia tcnica, formativa, etc., incluso discapacidad, que tengan sus
usuarios. Y que faciliten la integracin progresiva de todos los colectivos de usuarios, de modo que todos ellos puedan beneficiarse de las oportunidades que ofrece la Sociedad de la Informacin. Asimismo desarrolla proyectos en el mbito de la accesibilidad orientados a garantizar el derecho de ciudadanos y empresas a relacionarse electrnicamente con las AA.PP. Calidad TIC: INTECO promueve unos servicios de la Sociedad de la Informacin que cada vez sean de mayor calidad, que garanticen unos adecuados niveles de servicio, lo cual se traduce en una mayor robustez de aplicaciones y sistemas, un compromiso en la disponibilidad y los tiempos de respuesta, un adecuado soporte para los usuarios, una informacin precisa y clara sobre la evolucin de las funcionalidades de los servicios, y en resumen, servicios cada vez mejores. En esta lnea impulsa la competitividad de la industria del Software a travs de la promocin de la mejora de la calidad y la certificacin de las empresas y profesionales de la ingeniera del software. Formacin: la formacin es un factor determinante para la atraccin de talento y para la mejora de la competitividad de las empresas. Por ello, INTECO impulsa la formacin de universitarios y profesionales en las tecnologas ms demandadas por la industria. Observatorio de la Seguridad de la Informacin
1.1.2
El Observatorio de la Seguridad de la Informacin se inserta dentro de la lnea estratgica de actuacin de INTECO en materia de Seguridad Tecnolgica. Nace con el objetivo de describir de manera detallada y sistemtica el nivel de seguridad y confianza en la Sociedad de la Informacin y de generar conocimiento especializado en la materia. De este modo, se encuentra al servicio de los ciudadanos, las empresas y las administraciones pblicas espaolas para describir, analizar, asesorar y difundir la cultura de la seguridad de la informacin y la e-confianza. El Observatorio ha diseado un Plan de Actividades y Estudios con el objeto de producir conocimiento especializado y til en materia de seguridad por parte de INTECO, as como de elaborar recomendaciones y propuestas que definan tendencias vlidas para la toma de decisiones futuras por parte de los poderes pblicos. Dentro de este plan de accin se realizan labores de investigacin, anlisis, estudio, asesoramiento y divulgacin que atendern, entre otras, a las siguientes estrategias: Elaboracin de estudios e informes propios en materia de seguridad de las Tecnologas de la Informacin y la Comunicacin, con especial nfasis en la Seguridad en Internet.
Pgina 11 de 100
Seguimiento de los principales indicadores y polticas pblicas relacionadas con la seguridad de la informacin y la confianza en el mbito nacional e internacional. Generacin de una base de datos que permita el anlisis y evaluacin de la seguridad y la confianza con una perspectiva temporal. Impulso de proyectos de investigacin en materia de seguridad TIC. Difusin de estudios e informes publicados por otras entidades y organismos nacionales e internacionales, as como de informacin sobre la actualidad nacional y europea en materia de la seguridad y confianza en la Sociedad de la Informacin. Asesoramiento a las Administraciones Pblicas en materia de seguridad de la informacin y confianza, as como el apoyo a la elaboracin, seguimiento y evaluacin de polticas pblicas en este mbito.
1.2 ESTUDIO SOBRE LAS TECNOLOGAS BIOMTRICAS APLICADAS A LA SEGURIDAD El presente estudio surge de la necesidad de conocer el nivel de desarrollo y confianza de las tecnologas biomtricas as como su capacidad para afrontar los riesgos existentes y sus futuras lneas de desarrollo. Para la realizacin del mismo se plantean una serie objetivos que se desarrollan a continuacin. 1.2.1 Objetivos generales
El objetivo general de este estudio es el anlisis de las tcnicas biomtricas existentes, sus diferentes usos y aplicaciones, amenazas y vulnerabilidades a las que estn expuestas las tecnologas biomtricas. Este anlisis se basar en la percepcin de expertos en diversos campos as como en la documentacin ya publicada. Otro objetivo de este anlisis es la propuesta de recomendaciones de actuacin o buenas prcticas a usuarios, pequeas y medianas empresas, industria y Administraciones Pblicas para impulsar el cumplimiento de estndares, el conocimiento y el desarrollo de la biometra. 1.2.2 Objetivos especficos
Los anteriores objetivos se desglosan operativamente en los siguientes objetivos especficos que permiten, adems, orientar la estructura temtica del presente informe.
Pgina 12 de 100
Introduccin a las tecnologas biomtricas Describir el concepto de biometra, los antecedentes existentes as como conceptos clave relacionados. Identificar los tipos de tecnologas biomtricas existentes en el mercado. Establecer una comparativa de las diferentes tecnologas identificadas, clasificndolas en funcin de su grado de madurez y de implantacin en el mercado, considerando tambin, entre otros, aspectos como la relacin coste/beneficio.
Anlisis de los procesos de identificacin basados en biometra Describir las tcnicas aplicadas y los tipos de identificacin. Comparar las tecnologas biomtricas frente a otros tipos de sistemas de identificacin describiendo las posibles ventajas. Analizar la autenticacin de doble factor en relacin a la biometra.
Beneficios de la utilizacin de las tecnologas biomtricas Identificar las ventajas que la biometra reporta a los usuarios Identificar los puntos clave del beneficio para las organizaciones al implantar sistemas biomtricos.
Usos y aplicaciones de las tecnologas biomtricas Analizar e identificar las principales aplicaciones actuales de la biometra. Identificar los diferentes sectores de especial relevancia en el mbito biomtrico. Estudiar las posibilidades de expansin a otras reas de la tecnologa a medio plazo. Conocer las reas de investigacin que resulten interesantes para el desarrollo e implantacin de tecnologas biomtricas en el mercado.
Regulacin: legislacin y estndares internacionales desarrollados Identificar y analizar la legislacin actualmente aplicable. Identificar los estndares internacionales existentes.
Pgina 13 de 100
Gestin de riesgos Identificar las amenazas y vulnerabilidades que puedan comprometer la seguridad o la confianza en estos procesos. Analizar los mtodos de solucin y prevencin que permiten gestionar los riesgos identificados previamente.
Recomendaciones Conocer las buenas prcticas relativas a los momentos de decisin e implantacin de tecnologas biomtricas en pequeas y medianas empresas. Analizar el uso de estndares, auto-regulacin y reas de desarrollo en la industria biomtrica. Identificar polticas de instauracin y concienciacin recomendables para las Administraciones Pblicas.
Pgina 14 de 100
DISEO METODOLGICO
Esta investigacin se ha desarrollado siguiendo un enfoque cualitativo al tiempo que se han utilizado datos cuantitativos procedentes de otras investigaciones como complemento. Las fases en que se ha abordado han sido: Fase 1: Recopilacin y estudio de informes. Fase 2: Entrevistas a expertos, sesin de trabajo y aportacin 2.0. Fase 3: Elaboracin del informe de conclusiones finales del proyecto. Fase 4: Elaboracin de una gua prctica dirigida a usuarios sobre seguridad y confianza en el uso de las tecnologas biomtricas. FASE 1: BSQUEDA Y ANLISIS DOCUMENTAL.
2.1
Esta etapa ha abarcado el anlisis de la situacin actual de las tecnologas biomtricas en relacin a su grado de madurez, ventajas, inconvenientes, as como las tendencias futuras en funcin de la industria o el sector. Para la consecucin de estos objetivos se han inventariado las fuentes de informacin que disponen y publican estudios, informes y/o trabajos relacionados con la biometra. Finalmente, se han analizado y extrado las principales conclusiones de aquellos informes que contienen informacin actual y til para el presente estudio. Es importante destacar que una gran parte de estas publicaciones pertenecen a entidades pblicas o privadas cuyo mbito de estudio se sita en Norteamrica (Estados Unidos y Canad) u otros pases europeos ms desarrollados desde el punto de vista del objeto del presente estudio. En el Anexo I: Bibliografa se incluye una relacin de las publicaciones consideradas en la realizacin del informe. Todas ellas son propiedad de las siguientes entidades: Air University Central Institute of Technology of Kokrajhar Centre for European Policy Studies Complete Consultants Worldwide Computer Law & Security Review Deloitte cole Polytechnique Fdrale de Lausanne European Commitee for Standarization
Pgina 15 de 100
Forrester Gartner Institute of Electrical and Electronics Engineer
Trub AG Unin Europea Universidad Carlos III de Madrid Universidad de Deusto Universidad del Pas Vasco Universit di Bologna University of Arkansas University of Kebangsaan
Iqra University Michigan State University National Institute of Standards and Technology (NIST) Sri Jayachamarajendra College of Engineering FASE 2: CONSULTA A EXPERTOS
2.2
Esta fase del proyecto se ha destinado a consultar la opinin de expertos sobre los diferentes mbitos de anlisis propuestos para el estudio. 2.2.1 Seleccin de expertos
Los perfiles que han abarcado los expertos participantes en la investigacin son los siguientes: Fabricantes de sistemas biomtricos: ofrecen la visin del fabricante de este tipo de sistemas, aportando especialmente su perspectiva sobre el desarrollo del mercado, las debilidades y barreras actuales adems de las expectativas que tiene la industria. Pueden aportar su conocimiento sobre el marco regulatorio actual y los estndares. Distribuidores de sistemas biomtricos: aportan la visin desde un punto de vista de negocio y demanda de clientes en cuanto al mercado actual de sistemas biomtricos, las necesidades de los clientes y las barreras a la que se enfrentan a la hora de acceder a este tipo de soluciones. Integradores / consultores: contribuyen a la investigacin con su experiencia en la implantacin de sistemas biomtricos, sobre todo desde el punto de vista de las buenas prcticas de seguridad y de los riesgos que se deben tener en cuenta en el momento de la adopcin de estas tecnologas. Tambin pueden complementar la visin existente sobre las necesidades de los clientes y el uso que actualmente estn teniendo las tecnologas biomtricas.
Pgina 16 de 100
Expertos en seguridad informtica: brindan una visin ms objetiva sobre el uso y aplicacin de las tecnologas biomtricas respecto a la seguridad de la informacin, identificacin de personas y control de accesos. Tambin resulta relevante su conocimiento sobre los riesgos y debilidades de este tipo de tecnologas y las buenas prcticas a tener en cuenta para su despliegue y uso eficaz. Expertos en derecho en nuevas tecnologas: ofrecen al estudio su visin desde el punto de vista jurdico sobre las precauciones y/o limitaciones existentes en la aplicacin de este tipo de tecnologas.
Usuarios finales: aportan al estudio la experiencia del cliente final a la hora de adoptar tecnologas biomtricas y las posibles necesidades que pueden cubrir con las mismas. Su participacin ayuda tambin a analizar las barreras de entrada existentes y obtener una visin sobre el grado de aplicacin de las mismas en la actualidad. Aquellos usuarios que hayan abordado proyectos de implantacin de este tipo de tecnologas ayudarn a contemplar el catlogo de buenas prcticas. Investigadores / acadmicos: contribuyen con su opinin sobre el futuro de este tipo de tecnologas y los condicionantes existentes en relacin a su evolucin y adecuacin a nuevas necesidades. Tambin aportan al proyecto su visin sobre otro tipo de aplicaciones que pueden tener estas tecnologas. Expertos internacionales: brindan al proyecto una visin integral del estado de desarrollo de estas tecnologas fuera del mbito nacional y la evolucin que puede tener esta industria de manera ms global. Tambin aportan conocimiento sobre cules son los lderes desde un punto de vista de fabricacin e implantacin de soluciones biomtricas.
Casos de xito: ofrecen ejemplos sobre implantaciones de soluciones biomtricas (tanto a pequea escala como despliegues ms significativos) ilustrando el proceso de adopcin de este tipo de tecnologas y analizando los beneficios aportados por su implantacin.
Se sealan a continuacin las instituciones y profesionales que han colaborado en la realizacin del estudio: Agnitio. Javier Castao y Marta Garca-Gomar, Socio fundador y Directora de tecnologa. Avalon Biometrics. Ion Otazua y Javier Prez, Strategic account manager y Project manager.
Pgina 17 de 100
ByTech. Sebastin Gonzlez Andino, Responsable del departamento de firmware. Caixa Peneds. Mario Torres, Analista de seguridad. Centro per la Scienza, la Societ e la Cittadinanza de Roma. Emilio Mordini, Director. Consiglio Nazionalle delle Ricerche (CNR). Mario Savastano, Senior researcher. Deloitte Abogados. Norman Heckh, Director. Deloitte. Srini Subramanian, Director. Escuela Universitaria de Matar. Marcos Fandez, Director. Ganetec. Jess Tejedor, Ramn Llorca y Miquel Mora, R & D Software engineers y Gerente. Grupo Comex. Juan Garca e Ignacio Vilalta, Director de operaciones y Calidad. Grupo Spec. Maria del Carmen Gonzlez Hernndez y Antonio Tomasa, Directora comercial y Director de I+D. Guardia Civil. Jos Juan Lucena Molina, Teniente Coronel. Hitachi. Peter Jones, Business Manager. HR Access. Cristina Sirera, Responsable jurdico. Icarvision. Alejandro Haro, Director comercial. Indra. David Prez, Gerente de seguridad. Mobbeel. Jos Luis Huertas, Director general. National Institute of Standards and Technology (NIST). Dr. Elaine Newton, Senior Advisor for Identity Technologies.
San Jos State University. Jim Wayman, Director del departamento National Biometric Test Center. Tredess. Alfonso Represa, Jefe de Producto Video Supervisin. Universidad Autnoma de Madrid. Ignacio Garrote, Profesor.
Pgina 18 de 100
Universidad Autnoma de Madrid. Javier Ortega-Garca, Director del ATVS rea de Tratamiento de Voz y Seales. Universidad Carlos III de Madrid. Ral Snchez Reillo, Director del GUTI Grupo Universitario de Tecnologas de Identificacin.
Universidad de las Palmas de Gran Canaria. Miguel ngel Ferrer y Carlos Travieso, Investigadores.
VaniOS. Jorge Urios, CEO.
Desde INTECO se les agradece su colaboracin y disponibilidad. 2.2.2 Realizacin de entrevistas
Las entrevistas desarrolladas con los expertos han seguido el siguiente guin: a) Presentacin y detalles del experto: presentacin, principales campos de actuacin y experiencia en proyectos biomtricos. b) Madurez de las tecnologas biomtricas: general y segn tecnologas y sectores. Referencia a casos de xito conocidos. c) Regulacin aplicable: opinin sobre la legislacin y las estandarizaciones existentes y las necesidades futuras al respecto. d) Riesgos y amenazas de las tecnologas biomtricas: inconvenientes a la hora de la implantacin, aspectos de mejora, amenazas, controles compensatorios y causa de las vulnerabilidades de las tecnologas biomtricas. e) Recomendaciones: beneficios de la implantacin de tecnologas biomtricas y recomendaciones a usuarios, industria, legisladores y Administraciones Pblicas. f) Opinin de los ciudadanos: percepcin general de los ciudadanos sobre las tecnologas biomtricas. g) Futuro de las tecnologas biomtricas: visin sobre el futuro a medio y largo plazo, lneas de investigacin ms interesantes y sectores proclives a la implantacin. 2.2.3 Investigacin cualitativa 2.0
Como complemento a la fase cualitativa estrictu sensu, para ampliar la participacin de otros especialistas as como recabar la opinin de otros interesados en la materia se ha realizado una consulta a foros profesionales mediante la promocin de debates en LinkedIn, una de las mayores redes profesionales del mundo en Internet.
Pgina 19 de 100
As, dentro del grupo Biometrics Network & Forum grupo existente con anterioridad a esta investigacin y constituido por 3.000 profesionales de la biometra se han lanzado una serie de preguntas acerca de experiencia, casos de xito, barreras en la implementacin y futuro de la biometra. Las conclusiones al respecto se han sumado a las ya obtenidas en las entrevistas realizadas. 2.2.4 Sesin de trabajo
La fase de investigacin cualitativa se ha completado con una sesin de trabajo en la que se han expuesto las principales conclusiones obtenidas durante la investigacin para su valoracin por parte del panel de expertos. Para la realizacin de esta sesin de anlisis de conclusiones se ha empleado una herramienta software (Power Vote), de fcil uso, que permite gestionar reuniones en grupo de forma interactiva, explorando las distintas opiniones y posibilidades que se van planteando y obteniendo aquellas consideraciones que cuentan con mayor aceptacin (gracias a un la utilizacin de unos terminales de votacin inalmbricos que utilizan los asistentes a la reunin para analizar cada aspecto a debatir). Adems, a partir de la preparacin inicial de los temas a tratar en la reunin es posible aadir, modificar o eliminar informacin a medida que avanza el debate, en funcin de los hechos recogidos. Esta caracterstica facilita la gestin de reuniones de forma dinmica y flexible, permitiendo obtener conclusiones en tiempo real. Se plantearon un total de 18 conclusiones que fueron valoradas y votadas por los siguientes expertos: Javier Castao (Agnitio) Ion Otazua y Javier Prez (Avalon Biometrics) Sebastin Gonzlez (Bytech) Ral Alonso (Carlos III de Madrid) Norman Heckh (Deloitte Abogados) Ramn Llorca (Ganetec) Daniel Cuesta (Indra) Pablo Prez (INTECO) Jorge Urios (VaniOS)
Pgina 20 de 100
Las conclusiones obtenidas en esta sesin se han tenido en cuenta para refrendar aspectos detectados y aclarar determinadas cuestiones. 2.3 FASE 3: ELABORACIN DEL INFORME DE CONCLUSIONES FINALES DEL PROYECTO Una vez finalizadas las etapas correspondientes a los trabajos de investigacin, se documentan y exponen las conclusiones alcanzadas en el informe final. En la elaboracin del presente informe se recoge el anlisis y las conclusiones de la investigacin, junto con las recomendaciones de actuacin dirigidas a los usuarios, a la industria y a las Administraciones Pblicas. 2.4 FASE 4: ELABORACIN DE UNA GUA PRCTICA DIRIGIDA A USUARIOS
En paralelo a la realizacin del estudio sobre el nivel de desarrollo y confianza de las tecnologas biomtricas, y aprovechando los resultados del mismo, se ha elaborado una gua divulgativa con la intencin de dar a conocer las diferentes tecnologas biomtricas, sus diferentes usos y aplicaciones, los riesgos a los que estn expuestas y desarrollar un catlogo de buenas prcticas y recomendaciones.
Pgina 21 de 100
INTRODUCCIN BIOMTRICAS
ANTECEDENTES
LAS
TECNOLOGAS
3.1
La biometra es un mtodo de reconocimiento de personas basado en sus caractersticas fisiolgicas o de comportamiento. Se trata de un proceso similar al que habitualmente realiza el ser humano reconociendo e identificando a sus congneres por su aspecto fsico, su voz, su forma de andar, etc. En la actualidad, la tecnologa ha permitido automatizar y perfeccionar estos procesos de reconocimiento biomtrico, de forma que tienen multitud de aplicaciones y finalidades y especialmente aquellas relacionadas con la seguridad algunas de las cuales se expondrn a lo largo del presente informe. Los primeros antecedentes de los que se tiene referencia sobre la biometra datan de hace ms de mil aos en China, donde los alfareros comenzaron a incluir sus huellas dactilares en los productos que realizaban como smbolo de distincin o firma, lo que les permita diferenciarse del resto. Sin embargo, no fue hasta finales del siglo XIX cuando Alphonse Bertillon antroplogo francs que trabaj para la polica comenz a dar a la biometra el carcter de ciencia, profesionalizando su prctica. Basaba su teora en que una cierta combinacin de medidas del cuerpo humano era invariable en el tiempo, lo que permiti dar solucin al problema de identificar a los criminales convictos a lo largo de toda su vida. El sistema de Bertillon o Antropometra, que inclua, entre otras, medidas como el largo y ancho de la cabeza o la longitud del pie izquierdo y del antebrazo, se comenz a utilizar comnmente a lo largo de todo el mundo. Sin embargo, su efectividad se puso en duda al presentarse algunos problemas en el uso de diferentes medidas y, especialmente, por las dificultades en la diferenciacin de sujetos extremadamente similares como los gemelos. Esta desacreditacin hizo que Sir Edward Henry, Inspector General de la Polica de Bengala, buscase otras tcnicas y se interesase por las investigaciones de Sir Francis Galton, el cual utilizaba la huella dactilar como mtodo de identificacin. Primero en Bengala y posteriormente en Londres (1901), Sir Edward Henry estableci su oficina de huella dactilar exitosamente y consigui rpidamente la aceptacin de la comunidad a nivel mundial. As, los mtodos utilizados en oriente desde siglos atrs fueron introducidos exitosamente en occidente. Ya a comienzo de los aos 70, Shearson Hamil, una empresa de Wall Street, instal Identimat, un sistema de identificacin automtica basado en huella dactilar que se utiliz
Pgina 22 de 100
para el control de acceso fsico a instalaciones, siendo la primera solucin biomtrica de uso comercial. Desde entonces se ha investigado mucho en el campo de la biometra, detectndose multitud de rasgos biomtricos diferentes a la huella dactilar. A da de hoy, el avance en el conocimiento de dichos rasgos y sus correspondientes ventajas e inconvenientes, unido a las posibilidades que ofrece la tecnologa, hacen que la biometra se considere uno de los elementos clave en cuanto a las tcnicas de identificacin y seguridad en el futuro. 3.2 CONCEPTOS CLAVE
Cuando se aborda la biometra, se hace referencia a una tecnologa puntera, sobre la cual no mucha gente tiene conocimientos precisos. Es por ello que es conveniente sealar y aclarar aquellos conceptos que se consideran esenciales para la comprensin del funcionamiento de los sistemas biomtricos. A continuacin se identifican una serie de conceptos bsicos y comunes a todas las tecnologas biomtricas. 3.2.1 Componentes de un sistema biomtrico
Los principales componentes que se pueden identificar en un sistema biomtrico son: Sensor: Es el dispositivo que captura los rasgos o caractersticas biomtricas. Dependiendo de los rasgos biomtricos que se quieran registrar y convertir en datos digitales, se necesitarn los sensores adecuados. A continuacin se muestra una tabla con algunos de los diferentes tipos de sensores utilizados para algunas de las tecnologas biomtricas que se tratarn ms adelante.
Tabla 1: Sensores segn tipos de tecnologa biomtrica Tecnologa Huella dactilar Reconocimiento de voz Reconocimiento facial Reconocimiento de iris Reconocimiento de retina Reconocimiento de la geometra de la mano Reconocimiento de firma Reconocimiento de escritura de teclado Dispositivo de captura Perifrico de escritorio, tarjeta PCMCIA o lector integrado. Micrfono o telfono Cmara de video o cmara integrada en un PC Cmara de infrarrojos Unidad propietaria de escritorio o de pared Unidad propietaria de pared o de pie Tableta de firma, puntero sensor al movimiento Teclado
Pgina 23 de 100
Repositorio: Es la base de datos donde se almacenan las plantillas biomtricas inscritas para su comparacin. Debera protegerse en un rea fsica segura, as como ser cifrada y firmada digitalmente. Algoritmos: Usados para la extraccin de caractersticas (procesamiento) y su comparacin. Las tres funciones bsicas asociadas a ellos son: registro, verificacin e identificacin.
3.2.2
Registro en el sistema
En la mayor parte de los casos, los usuarios deben registrar su identidad en el sistema antes de hacer uso de l. Esto se realiza por medio de la obtencin de los parmetros biomtricos. Este proceso es el de registro y se compone de tres fases distintas: Captura: Se recogen los parmetros biomtricos. Estos parmetros varan en cada tecnologa, como se observa en la siguiente tabla.
Tabla 2: Parmetros considerados en cada tecnologa biomtrica Tecnologa Huella dactilar Reconocimiento de voz Reconocimiento facial Reconocimiento de iris Reconocimiento de retina Reconocimiento de la geometra de la mano Reconocimiento de firma Reconocimiento de escritura de teclado Muestra biomtrica Imagen o minucia de la huella dactilar Grabacin de voz Imagen facial Imagen del iris Imagen de la retina Imagen en 3-D de la parte superior y lateral de mano y dedos Imagen de la firma y registro de medidas relacionadas con la dinmica Registro de las teclas pulsadas y registro de medidas relacionadas con la dinmica
Procesamiento: Se genera una plantilla con las caractersticas personales de los parmetros capturados. La siguiente tabla muestra los diferentes rasgos extrados.
Pgina 24 de 100
Tabla 3: Caractersticas extradas en cada tcnica biomtrica Tecnologa Huella dactilar Reconocimiento de voz Reconocimiento facial Reconocimiento de iris Reconocimiento de retina Reconocimiento de la geometra de la mano Reconocimiento de firma Reconocimiento de escritura de teclado Caracterstica extrada Ubicacin y direccin del final de las minucias o formas de las huellas Frecuencia, cadencia y duracin del patrn vocal. Posicin relativa y forma de la nariz, posicin de la mandbula Surcos y estras del iris Patrones de los vasos sanguneos de la retina Altura y anchura de los huesos y las articulaciones de los dedos y de la mano Velocidad, orden de los trazos, presin y apariencia de la firma Secuencia de pulsaciones teclas y pausas entre
Inscripcin: La plantilla procesada se guarda en un medio de almacenamiento adecuado. Una vez que la inscripcin est completa, el sistema puede autenticar a las personas mediante el uso de esta plantilla. Para ello se sigue el procedimiento que se seala en el siguiente esquema:
Grfico 1: Proceso de inscripcin en el registro
Inscripcin
Sensor Informacin biomtrica Pre-procesamiento
Identidad de usuario
Extractor de caractersticas
Plantillas guardadas
Plantilla del usuario
Generador de plantillas
Pgina 25 de 100
3.2.3
Autenticacin
La autenticacin es el proceso mediante el cual se captura una muestra biomtrica del individuo para su comparacin con las plantillas ya registradas. Esta autenticacin puede realizarse de dos maneras diferentes, identificacin y verificacin, que conviene distinguir: Identificacin: Consiste en la comparacin de la muestra recogida del usuario frente a una base de datos de rasgos biomtricos registrados previamente. No se precisa de declaracin inicial de su identidad por parte del usuario, es decir, el nico dato que se utiliza es la muestra biomtrica recogida en el momento de uso, sin apoyo de un registro anterior ni un nombre de usuario o cualquier otro tipo de reconocimiento. Este mtodo requiere de un proceso de clculo complejo, puesto que se ha de comparar esta muestra con cada una de las anteriormente almacenadas para buscar una coincidencia. El proceso desarrollado es el siguiente:
Grfico 2: Proceso de identificacin en la autenticacin
Identificacin
Sensor Informacin biomtrica Pre-procesamiento
Extractor de caractersticas
Generador de plantillas Plantilla
Todas las plantillas
Coincidencia (n coincidencias)
Identificacin del usuario o no
Verificacin: En este caso, sin embargo, el primer paso del proceso es la identificacin del individuo mediante un nombre de usuario, tarjeta o algn otro mtodo. De este modo se selecciona de la base de datos el patrn que anteriormente se ha registrado para dicho usuario. Posteriormente, el sistema
Pgina 26 de 100
recoge la caracterstica biomtrica y la compara con la que tiene almacenada. Es un proceso simple, al tener que contrastar nicamente dos muestras, en el que el resultado es positivo o negativo:
Grfico 3: Proceso de verificacin en la autenticacin
Verificacin
Sensor Identidad declarada Extractor de caractersticas Informacin biomtrica Pre-procesamiento
Generador de plantillas Plantilla
Plantilla declarada
Coincidencia
Verdadero/Falso
3.2.4
Toma de decisiones
El proceso de toma de decisiones en la biometra consta de cuatro etapas: Bsqueda de coincidencias: Comparacin de las muestras biomtricas para determinar el grado de similitud o correlacin entre ellas. Clculo de una puntuacin: Para la comparacin de datos biomtricos se calcula un valor numrico que indica el grado de similitud o correlacin entre las muestras. Los mtodos de verificacin tradicionales (contraseas, PINs, etc.) son binarios, es decir, ofrecen una respuesta positiva o negativa. Este no es el caso en la mayora de sistemas biomtricos. La mayor parte los sistemas biomtricos se basan en algoritmos de bsqueda de coincidencias que generan una
Pgina 27 de 100
puntuacin. Esta puntuacin representa el grado de correlacin entre la muestra a autenticar y la de registro. Comparacin con el umbral establecido: El umbral es un nmero predefinido, normalmente por el administrador del sistema biomtrico, que establece el grado de correlacin necesario para que una muestra se considere similar a otra. Si la puntuacin resultante de la comparacin de muestras supera el umbral, las muestras se consideran coincidentes, aunque las muestras en s no sean necesariamente idnticas. Esto se debe a la inclusin en el anlisis de las posibles deficiencias en la captura de las muestras. Decisin: Resultado de la comparacin entre la puntuacin y el umbral. Las decisiones que puede tomar un sistema biomtrico incluyen: coincidencia, no coincidencia e inconcluyente (el sistema no es capaz de determinar si la muestra recogida es coincidente o no). Dependiendo del sistema biomtrico implementado, una coincidencia puede permitir el acceso, una no coincidencia restringirlo y una muestra inconcluyente puede solicitar al usuario otra muestra. 3.2.5 Funcionamiento del sistema
El funcionamiento y fiabilidad del sistema se puede valorar mediante una serie de tasas: Tasa de error de adquisicin (Failure To Adquire rate): Proporcin de ocasiones en las que el sistema no es capaz de capturar una muestra de calidad suficiente para ser procesada. Tasa de error de registro (Failure To Enrol rate): Proporcin de la poblacin para la cual el sistema biomtrico no es capaz de generar muestras de calidad suficiente. Tasa de falso negativo (False Rejection Rate): Proporcin de ocasiones en las que el sistema no vincula a un individuo con su propia plantilla biomtrica existente en el registro. Tasa de falso positivo (False Acceptance Rate): Proporcin de ocasiones en las que un sistema vincula errneamente a un individuo con la informacin biomtrica existente de otra persona. TIPOS, TCNICAS Y TECNOLOGAS APLICADAS A LA BIOMETRA
3.3
Las tecnologas biomtricas se definen como mtodos automticos utilizados para reconocer a personas sobre la base del anlisis de sus caractersticas fsicas o de comportamiento.
Pgina 28 de 100
Dependiendo de la tcnica biomtrica empleada, los parmetros considerados son diferentes: surcos de la huella dactilar, geometra de la mano, imagen facial, etc. De estos parmetros se extrae un patrn nico para cada persona, que ser utilizado para posteriores comparaciones. Fundamentalmente se distinguen dos grupos de tecnologas biomtricas en funcin de la metodologa utilizada: aquellas que analizan caractersticas fisiolgicas de las personas y aquellas que analizan su comportamiento. 3.3.1 Tecnologas biomtricas fisiolgicas
Las tecnologas biomtricas fisiolgicas se caracterizan por considerar parmetros derivados de la medicin directa de algn rasgo estrictamente fsico del cuerpo humano a la hora de identificar personas. Huella dactilar La identificacin basada en huella dactilar es la ms antigua de las tcnicas biomtricas y ha sido utilizada en un gran nmero de aplicaciones debido a que la mayora de la poblacin tiene huellas dactilares nicas e inalterables. Es el rasgo biomtrico ms utilizado para autenticacin y tiene la mayor gama de tecnologas de captura, con distintas caractersticas de funcionamiento. Asimismo, tiene como ventajas su alta tasa de precisin y que habitualmente los usuarios tienen conocimientos suficientes sobre su utilizacin. Existen dos tipos de tcnicas de bsqueda de coincidencias entre muestras de huella dactilar: Basadas en minucias: Esta tcnica basa su mecanismo de autenticacin en las minucias, es decir, en determinadas formas fcilmente identificables existentes en la huella dactilar. As, se registra el tipo de minucia y su posicin dentro de la huella, estableciendo una serie de mediciones. De esta forma, el modelo o plantilla correspondiente a cada usuario es un esquema en el que se indican las minucias que se han de detectar, su posicin y las distancias que separan unas de otras.
Pgina 29 de 100
Ilustracin 1: Minucias de una huella dactilar
No obstante, existen algunas dificultades asociadas a este mtodo. Por un lado, no es sencillo extraer de forma precisa las mencionadas minucias cuando la calidad de la muestra no es buena. Por otro lado, no se tiene en cuenta el patrn global de crestas y surcos. Basadas en correlacin: Mediante la utilizacin de esta tcnica se analiza el patrn global seguido por la huella dactilar, es decir, el esquema general del conjunto de la huella en lugar de las minucias. Esta tcnica no requiere de un registro tan preciso, pero su principal inconveniente es que se ve afectada por la traslacin y la rotacin de la imagen.
Ilustracin 2: Tcnica de correlacin
El pequeo tamao de los receptores, su fcil integracin (pudiendo ser incluidos de forma sencilla en teclados), y su usabilidad, as como los bajos costes asociados a los mismos, convierten a la huella dactilar en una tecnologa muy til para su implantacin en oficinas y hogares. Paralelamente y de manera independiente a la tcnica utilizada para la bsqueda de coincidencias, existen diferentes tipos de sensores:
Pgina 30 de 100
Sensores pticos: Son los ms comunes en el mercado y cuentan con una superficie de cristal donde se coloca el dedo, lentes, un prisma, una fuente de luz y una cmara. La cmara se basa en tecnologas CCD (Charge-Coupled Device) o CMOS (Complementary Metal Oxide Semiconductor) siendo ambos tipos de silicio y similares en cuanto a sensibilidad. La cmara consta de varios cientos de miles de pxeles situados en forma de malla que, cuando se ven estimulados con la luz que incide sobre ellos, almacenan una pequea carga de electricidad, transportando a los circuitos de procesamiento de la cmara la muestra recibida. Sensores capacitivos: Estn compuestos en la superficie de un circuito integrado de silicona que dispone de una malla de capacitores que miden las diferencias de voltaje en el contacto con la superficie dactilar. Estos sensores slo trabajan con pieles sanas normales, ya que no son operativos cuando se utilizan sobre pieles con zonas duras, callos o cicatrices. La humedad, la grasa o el polvo tambin pueden afectar a su funcionamiento.
Reconocimiento facial El reconocimiento facial es una tcnica mediante la cual se reconoce a una persona a partir de una imagen o fotografa. Para ello, se utilizan programas de clculo que analizan imgenes de rostros humanos. El proceso de registro dura entre 20 y 30 segundos, tiempo en el cual se toman varias fotografas de la cara. Idealmente, la serie de imgenes debera incluir diferentes ngulos y expresiones faciales, para permitir una bsqueda de coincidencias ms precisa.
Ilustracin 3: Reconocimiento facial
Pgina 31 de 100
Los cuatro mtodos principales empleados por los proveedores de reconocimiento facial se describen a continuacin: 1. Eigenface: Podra traducirse como "cara de uno mismo". Es una tecnologa patentada en el Massachusetts Institute of Technology (MIT) que utiliza imgenes bidimensionales en escala de grises que representan caractersticas distintivas de una imagen facial. 2. Anlisis de caractersticas locales: Es la tecnologa ms utilizada en el reconocimiento facial. Esta tecnologa est relacionada con Eigenface, pero es capaz de adaptarse mejor a los cambios en la apariencia o aspecto facial (sonriendo, frunciendo el ceo, etc.). El anlisis de caractersticas locales (Local Feature Analysis) utiliza docenas de caractersticas de las diferentes regiones de la cara y tambin incorpora la ubicacin relativa de estos rasgos. Las pequeas caractersticas extradas son bloques de construccin y, tanto el tipo de bloques como su disposicin, se utilizan para identificar y/o verificar. 3. Neural Network Mapping: En este mtodo las redes neuronales emplean un algoritmo para determinar la similitud de las caractersticas nicas de la muestra adquirida y de la obtenida en el registro, utilizando tantas partes de la imagen facial como sea posible. 4. Procesamiento automtico de la cara (Automatic Face Processing): Es una tecnologa ms rudimentaria, que utiliza las ratios de distancia entre las caractersticas de fcil adquisicin, tales como los ojos, la punta de la nariz y las comisuras de la boca. Aunque en general no es tan robusto como los dems mtodos, la AFP puede ser ms eficaz cuando la captura de imagen es frontal en condiciones de poca luz. A diferencia de otros sistemas biomtricos, el reconocimiento facial puede ser utilizado para la vigilancia, habitualmente mediante cmaras de video. Es por ello que, en este caso, no es necesaria una inversin en dispositivos especficos. Uno de los principales inconvenientes que presenta esta tcnica es su escasa resistencia al fraude, puesto que una persona puede modificar visualmente su cara de manera sencilla, como por ejemplo, utilizando unas gafas de sol o dejndose crecer la barba. Asimismo, debe considerarse que el rostro de las personas vara con la edad.
Pgina 32 de 100
Reconocimiento de iris El iris es la parte pigmentada del ojo que rodea la pupila. Este mtodo utiliza las caractersticas del iris humano con el fin de verificar la identidad de un individuo. Los patrones de iris vienen marcados desde el nacimiento y rara vez cambian. Son extremadamente complejos, contienen una gran cantidad de informacin y tienen ms de 200 propiedades nicas. El escaneado de iris se lleva a cabo mediante una cmara de infrarrojos especializada situada por lo general muy cerca de la persona que ilumina el ojo realizando una fotografa de alta resolucin. Este proceso dura slo uno o dos segundos y proporciona los detalles del iris que se localizan, registran y almacenan para realizar futuras verificaciones. Es importante sealar que no existe ningn riesgo para la salud, ya que al obtenerse la muestra mediante una cmara de infrarrojos, no hay peligro de que el ojo resulte daado en el proceso. Una vez tomada la muestra, es esencial la correcta ubicacin y aislamiento del iris en la imagen, ya que en caso de no realizarse adecuadamente, las interferencias generadas por el exceso de informacin que provocan las pestaas, reflejos y las pupilas podran resultar en problemas en el funcionamiento del sistema. Por ello, y previamente a la comparacin de la muestra, se realiza un pre-procesamiento de la imagen habitualmente aplicacin de filtros y mscaras para aliviar de carga computacional necesaria al proceso de reconocimiento. La comparacin entre muestras de iris se realiza utilizando la distancia de Hamming 1 para extraer las diferencias entre las imgenes pre-procesadas. Un valor inferior al umbral establecido, relativo a la distancia mxima entre las imgenes, supone una coincidencia entre los patrones comparados. El hecho de que los iris de los ojos derecho e izquierdo de cada persona sean diferentes y que los patrones sean difciles de capturar, tienen como consecuencia que el reconocimiento de iris sea una de las tecnologas biomtricas ms resistentes al fraude.
1 La distancia de Hamming es un mtodo de medicin de las diferencias entre dos elementos. Se define como el nmero de caracteres que deberan modificarse para transformar un elemento en otro referente, o lo que es lo mismo, el nmero de caracteres que les diferencia teniendo en cuenta la magnitud de cada de las desigualdades. De este modo se puede medir el nmero de errores que se deberan dar para que una muestra se interpretase como coincidente o diferente a otra.
Pgina 33 de 100
Reconocimiento de la geometra de la mano Esta tecnologa utiliza la forma de la mano para confirmar la identidad del individuo. Su aceptacin por parte de los usuarios es muy elevada, ya que no requiere informacin detallada de los individuos.
Ilustracin 4: Reconocimiento de la geometra de la mano
Por otro lado, se trata de una tcnica que es preferible que sea utilizada para la verificacin de personas y no recomendada para la identificacin, a no ser que sea combinada con otras caractersticas mediante sistemas biomtricos bimodales. Para la captura de la muestra, se debe colocar la mano sobre la superficie de un lector. La posicin se determina mediante cinco guas que sitan correctamente la mano para la captura. Una serie de cmaras toman imgenes en 3-D de la mano desde diferentes ngulos. Se trata de un proceso rpido y sencillo. El dispositivo de escaneo de mano puede procesar las imgenes 3-D en 5 segundos o menos y la verificacin de la mano dura menos de 1 segundo. Las caractersticas extradas incluyen las curvas de los dedos, su grosor y longitud, la altura y la anchura del dorso de la mano, las distancias entre las articulaciones y la estructura sea en general. No tienen en cuenta detalles superficiales, tales como huellas dactilares, lneas, cicatrices o suciedad, as como las uas, que pueden variar de tamao en un breve perodo de tiempo. Si bien es cierto que la estructura de los huesos y las articulaciones de la mano son rasgos relativamente constantes, otras circunstancias, como una inflamacin o una lesin, pueden variar la estructura bsica de la mano dificultando la autenticacin. A
pesar de que la tecnologa descrita es relativamente precisa, no se basa en un conjunto de datos tan rico como una huella dactilar o un patrn de iris. Reconocimiento de retina El escner biomtrico de la retina se basa en la utilizacin del patrn de los vasos sanguneos contenidos en la misma. El hecho de que cada patrn sea nico (incluso en gemelos idnticos, al ser independiente de factores genticos) y que se mantenga invariable a lo largo del tiempo, la convierten en una tcnica idnea para entornos de alta seguridad.
Ilustracin 5: Reconocimiento de retina
Pese a que su tasa de falsos positivos sea prcticamente nula, esta tecnologa tiene un inconveniente considerable ya que es necesaria la total colaboracin por parte del usuario al tratarse de un proceso que puede resultar incmodo. La toma de la muestra se realiza a partir de la pupila, lo que requiere que el usuario permanezca inmvil y muy cerca del sensor durante la captura de la imagen. No obstante, al realizarse la captura de esta muestra mediante una cmara de infrarrojos, no existe el riesgo de que el ojo resulte daado en el proceso. Si bien es una de las tecnologas que aparentemente pueden llegar a ofrecer mejores resultados y mayor seguridad, la baja aceptacin por parte de los usuarios, as como el alto coste de los dispositivos, hacen que la utilizacin de esta tecnologa se limite a instalaciones militares, nucleares o laboratorios. Reconocimiento de la geometra de las venas Esta tecnologa se basa en la estructura de las venas de la mano o del dedo. De forma similar al iris o a la retina, la geometra de las venas se define antes del nacimiento y es diferente incluso en gemelos idnticos. En el proceso de captura de la muestra, el sensor infrarrojo obtiene una imagen del patrn de las venas, a partir del cual se genera una plantilla biomtrica.
Pgina 35 de 100
Ilustracin 6: Reconocimiento de venas de la mano
Como caractersticas ms reseables de esta tcnica destacan la unicidad, universalidad y permanencia de estos rasgos junto a la no necesidad de contacto en el momento de tomar la muestra. Adicionalmente, al tratarse de un rgano interno, resulta ms complejo realizar cualquier variacin sobre el mismo. No obstante, existen condiciones externas, como la realizacin de ejercicio fsico y diferentes enfermedades (diabetes, arterioesclerosis o tumores) que pueden afectar a la apariencia de los vasos sanguneos. Se trata de una tecnologa relativamente reciente. Tras su adopcin por parte de algunos bancos japoneses y polacos en cajeros automticos (uno de los casos de xito tratados en el presente estudio) est comenzando a ser implantada por las empresas, especialmente en el sector sanitario donde un mtodo de autenticacin en lugares estriles, incluso cuando los usuarios utilicen guantes mdicos, resulta de gran utilidad. Otras tecnologas fisiolgicas Adicionalmente a los sistemas ya descritos existen tecnologas que se encuentran en un estado de desarrollo incipiente. Entre ellos se encuentran principalmente los siguientes: Lneas de la palma de la mano: La imagen de la palma de la mano de un individuo consiste en una serie de surcos y pliegues. De forma similar a algunos sistemas de reconocimiento de huella dactilar, esta tcnica utiliza minucias para buscar coincidencias. Su uso est, por el momento, bastante limitado a la investigacin forense. A.D.N.: Se toma una muestra de tejido de un individuo para la extraccin del A.D.N. (cido Desoxirribonucleico) del ncleo de una clula. Esta tcnica resulta adecuada para el uso forense pero no para la identificacin en tiempo real debido a la complejidad del proceso y al tiempo necesario para extraer una huella
Pgina 36 de 100
gentica a partir de una muestra de tejido. Este sistema tiene inconvenientes asociados ya que los gemelos idnticos comparten A.D.N. y de una muestra se puede obtener informacin sobre la raza y la salud de un individuo, datos de carcter personal especialmente sensibles. Forma de las orejas: La identificacin se realiza a partir de la forma de las orejas del individuo. Se toma como muestra una imagen infrarroja de la misma. Esta tcnica no requiere de la colaboracin del usuario y permite la identificacin a media distancia. Piel: Se toma una imagen de la superficie de la piel. Esta imagen se clasifica usando el algoritmo de anlisis de la textura de la superficie de la piel que tiene en cuenta una serie de caractersticas aleatorias y genera una plantilla. 3.3.2 Tecnologas biomtricas de comportamiento
Las tecnologas biomtricas de comportamiento se caracterizan por considerar en el proceso de autenticacin rasgos derivados de una accin realizada por una persona. Por tanto, incluyen la variable tiempo, ya que toda accin tiene un comienzo, un desarrollo y un final. Reconocimiento de voz Junto con el reconocimiento facial, el reconocimiento locutor es un mtodo natural de identificacin. Es un proceso realizado a diario por los individuos para reconocer a un conocido en una llamada telefnica o al or una voz. Estas aplicaciones usan redes neuronales para aprender a identificar voces. Los algoritmos deben medir y estimar la similitud para devolver un resultado o una lista de posibles candidatos. La autenticacin se complica debido a factores como el ruido de fondo, la calidad de la muestra y su duracin, por lo que siempre es necesario considerar un margen de error. Actualmente existen dos mtodos de verificacin que se usan dependiendo de la naturaleza y objetivo de la aplicacin: Verificacin no-restringida: Utiliza una conversacin normal como muestra. Verificacin restringida: Es el mtodo ms comn. La muestra se limita a determinadas palabras, frases cortas o expresiones. Por esta razn, las tasas de error se reducen considerablemente. Adems, al estar basada la verificacin en locuciones de poca duracin, el sistema responde de manera ms rpida. A pesar de que siguen existiendo dificultades para reconocer la forma natural de hablar de ciertos individuos, esta tecnologa cuenta con la ventaja de que el dispositivo de adquisicin es simplemente un micrfono (integrados desde hace aos en telfonos y ordenadores personales), por lo que no requiere inversiones adicionales.
No obstante, la voz no es tan nica o permanente como otras caractersticas, lo cual implica que la precisin de este mtodo es menor. La utilizacin de este mtodo est ms extendida en sistemas de respuesta por voz y en centros de atencin de llamadas telefnicas (call centers) que en el control de acceso fsico a edificios o a redes y equipos informticos. Reconocimiento de firma Esta tcnica analiza la firma manuscrita para confirmar la identidad del usuario. Cabe la posibilidad de que existan ligeras variaciones en la firma de una persona, pero la consistencia creada por el movimiento natural y la prctica a lo largo del tiempo crea un patrn reconocible que hace que pueda usarse para la identificacin biomtrica. Existen dos variantes a la hora de identificar a las personas segn su firma: Comparacin simple: se considera el grado de parecido entre dos firmas, la original y la que est siendo verificada. Verificacin dinmica de firma: se realiza un anlisis de la forma, la velocidad, la presin de la pluma o bolgrafo y la duracin del proceso de firma. No se considera significativa la forma o el aspecto de la firma, sino los cambios en la velocidad y la presin que ocurren durante el proceso, ya que slo el firmante original puede reproducir estas caractersticas.
La firma es y ha sido durante muchos aos una de las tcnicas ms habituales de identificacin de las personas, es por ello que goza de una gran aceptacin entre la ciudadana. Reconocimiento de escritura de teclado Esta tcnica se basa en la existencia de un patrn de escritura en teclado que es permanente y propio de cada individuo. De este modo, se mide la fuerza de tecleo, la duracin de la pulsacin y el periodo de tiempo que pasa entre que se presiona una tecla y otra. La principal ventaja de esta tcnica es que la inversin necesaria en sensores es prcticamente nula, ya que los teclados de ordenador estn presentes en mltiples aspectos de nuestra vida cotidiana y, adems, estn altamente aceptados por la poblacin, que hace uso de ellos a diario. De este modo los costos de implantacin se centraran en el software. No obstante, el patrn de escritura puede verse afectado por aspectos como el nivel de fatiga, estrs, distraccin, postura del usuario y del teclado. Tambin se debe tener en
Pgina 38 de 100
cuenta la poblacin que no est habituada al uso de teclados y cuyo patrn de escritura se modificara rpidamente a causa del aprendizaje. Adicionalmente a su uso como mtodo de autenticacin, tambin puede ser empleado para la monitorizacin. De esta manera se podra prevenir el uso no autorizado de terminales no supervisados as como obtener evidencias de auditora. Reconocimiento de la forma de andar Este mtodo toma como referencia la forma de caminar de una persona. Este acto se graba y se somete a un proceso analtico que genera una plantilla biomtrica nica derivada de dicho comportamiento. El dispositivo de captura es una cmara estndar, por lo que no se requiere una gran inversin. Adicionalmente, este sistema permite la identificacin a distancia.
Ilustracin 7: Reconocimiento de la forma de andar
Esta tecnologa est todava en desarrollo y no ha alcanzado an los niveles de rendimiento necesarios para ser implantada de manera similar al resto de tecnologas biomtricas 3.4 COMPARATIVA DE TCNICAS Y TECNOLOGAS BIOMTRICAS
Las tecnologas biomtricas sealadas comparten, en su mayora, el mismo objetivo. Es por ello que puede establecerse una comparacin entre ellas en funcin de diferentes aspectos que se describirn a continuacin, identificando para cada uno de ellos las tecnologas que ms destacan y las que menos desarrolladas estn.
Pgina 39 de 100
3.4.1
Criterios de evaluacin
Los parmetros utilizados para evaluar una tecnologa biomtrica incluyen: Grado de aceptacin: Disposicin de los usuarios a utilizar una tecnologa biomtrica. Este factor est relacionado con lo intrusiva que se considere una tcnica por parte de los individuos. Es necesario a su vez considerar los factores sociales y culturales que pueden suponer que unas tcnicas sean ms aceptadas o menos aceptadas en funcin del entorno donde se implanten. Resistencia al fraude: Capacidad del sistema de detectar y desechar los intentos de autenticacin por parte de usuarios no autorizados as como de prevenir la no identificacin por parte de usuarios que pretenden no ser reconocidos. Mensurabilidad: Determina la capacidad de adquisicin y medicin precisa de las caractersticas presentes en las muestras considerando a su vez la facilidad en su captura al utilizarse preferiblemente mtodos no intrusivos para los usuarios. Comportamiento: Precisin de reconocimiento que ofrece una tcnica biomtrica. Suele mejorar segn una tcnica va madurando. Permanencia: Caracterstica que determina el grado de variacin de un rasgo biomtrico a lo largo del tiempo. A una menor variacin le corresponde una mejor valoracin en cuanto a la permanencia. Unicidad: Es la caracterstica que determina la diferenciacin entre individuos. Cuanto mayor es la unicidad de los rasgos recogidos, ms difcil resulta encontrar dos personas que cuyas muestras biomtricas sean iguales y por lo tanto es ms sencillo discernir entre los usuarios. Universalidad: Todo individuo que vaya a hacer uso de la tecnologa ha de poseer la caracterstica biomtrica evaluada. Cuanto mayor sea la universalidad de la caracterstica analizada, mayor nmero de personas podr utilizarla.
Pgina 40 de 100
Tabla 4: Valoracin comparativa de las distintas tcnicas biomtricas Comportamiento Mensurabilidad
Resistencia al fraude
Huella dactilar Reconocimiento facial Reconocimiento de iris Geometra de la mano Reconocimiento de retina Geometra de venas Reconocimiento de voz Reconocimiento de firma Reconocimiento de escritura de teclado Forma de andar
A: Alto M: Medio B: Bajo
M A B M B M A A M A
A B A M A A B B M M
M A M A B M M A M A
A B A M A M B B B B
A M A M A M B B B B
A B A M A M B B B B
M A A M A M M B B M
3.4.2
Ventajas e inconvenientes
Cada tcnica biomtrica cuenta con sus puntos fuertes y dbiles, por lo que la eleccin de una de ellas en concreto se deber basar en el anlisis de estas caractersticas y su adecuacin al caso en el que se aplicaran. A continuacin se detallan las ventajas e inconvenientes asociados a cada tecnologa.
Tabla 5: Ventajas e inconvenientes de las distintas tecnologas Ventajas Alto grado de madurez Costes de implantacin reducidos Buena aceptacin No requiere inversin en dispositivos Posibilidad de autenticacin remota Reconocimiento en multitudes Identificacin a media distancia Buena aceptacin Inconvenientes Incompatibilidad con determinados trabajos manuales El ruido de fondo dificulta la captura Dificultad para reconocer ciertas formas de hablar Escasa resistencia al fraude Unicidad limitada
Tecnologa
Huella dactilar
Reconocimiento de voz
Reconocimiento facial
Pgina 41 de 100
Universalidad
Permanencia
Grado de Aceptacin
Unicidad
Tecnologa
Ventajas Patrones muy complejos Unicidad muy alta Alto grado de permanencia Unicidad muy alta Alto grado de permanencia Alto grado de permanencia Facilidad de uso Buena aceptacin Facilidad de uso No requiere inversin en dispositivos Posibilidad de realizar monitorizacin
Inconvenientes Coste de implantacin alto Menor grado de aceptacin Precisa de total colaboracin del usuario Unicidad limitada Dificultad de captura por cambios de posicin Tecnologa emergente
Reconocimiento de iris
Reconocimiento de retina Reconocimiento de la geometra de la mano Reconocimiento de firma
Reconocimiento de escritura de teclado
3.4.3
Grado de madurez
El grado de madurez es el nivel de experiencia que presentan las tecnologas biomtricas tanto en las investigaciones desarrolladas como en el mercado actual. La huella dactilar es la tecnologa destacada en este aspecto debido a que es la ms veterana de las existentes. Es por ello que es la tcnica sobre la que ms se ha investigado y la que lleva ms tiempo en el mercado. Esto ha permitido un gran desarrollo tanto de su software como de su hardware y tiene como consecuencia una disminucin de sus costes. El reconocimiento de iris es otra de las tecnologas ms maduras aunque lejos del nivel presentado por la huella dactilar. En concreto, se encuentra ms desarrollada en el rea de la investigacin, teniendo un menor recorrido en el mercado. Esto se debe a que su coste aun se considera elevado, lo que dificulta su expansin. Por otro lado, las tecnologas menos maduras actualmente son aquellas que se encuentran en un estado de investigacin temprano. Entre ellas podemos destacar: reconocimiento de la forma de andar o reconocimiento de escritura de teclado. Estas tcnicas tienen mucho margen de mejora en el campo de la investigacin al ser de reciente aparicin. 3.4.4 Implantacin en el mercado
A continuacin se muestra un grfico que detalla la presencia que tienen las diferentes tcnicas en el mercado.
Pgina 42 de 100
Grfico 4: Grado de implantacin en el mercado

Reconocimiento de voz 3% Geometra de la mano 5% Reconocimiento facial 7%
Reconocimiento de escritura del teclado 1%
Reconocimiento de firma 12% Reconocimiento de iris 14%
Huella dactilar 58%
Fuente: Central Institute of Technology of Kokrajhar (2010)
Como se puede observar, la huella dactilar tambin es la tecnologa mayoritaria en lo que se refiere a implantacin en el mercado biomtrico, abarcando ms de la mitad del mismo. Esto es consecuencia de su alto grado de madurez, que implica un coste menor. El reconocimiento facial se encuentra en segundo lugar aunque muy alejado de la primera posicin. La inclusin de una fotografa de la cara del individuo en la mayora de documentos de identificacin es un factor que ha facilitado su implantacin. Por otro lado, y con apenas presencia en el mercado, se sita el reconocimiento de escritura de teclado. Adicionalmente, cabe destacar la ausencia de soluciones relacionadas con el reconocimiento de retina. 3.4.5 Relacin coste-beneficio
Un aspecto relevante a tener en cuenta a la hora de evaluar una tecnologa biomtrica es el beneficio que la misma puede a aportar en contraposicin al coste que supone su adopcin. En este sentido, existen diversas tecnologas cuyo coste de implantacin no es muy elevado. Por un lado est la huella dactilar, debido a su alto grado de madurez. Por otro lado estn tcnicas como el reconocimiento facial, el reconocimiento de voz o el reconocimiento de escritura de teclado, que no plantean la necesidad de adquirir un dispositivo de captura de muestras especfico. No obstante, en la relacin coste-beneficio tambin es relevante evaluar la criticidad del sistema que va a ser protegido mediante biometra. Es por ello que un alto coste puede
estar justificado por el beneficio obtenido con una autenticacin de alta seguridad. En este aspecto destaca el reconocimiento de iris. Como conclusin se puede indicar que este parmetro es variable. El objetivo de uso del sistema es el que marcar el beneficio a conseguir y, en funcin de esto, se decidir el coste asumible. La proporcionalidad entre la necesidad de la entidad y la seguridad aportada por la solucin es fundamental.
Pgina 44 de 100
4
4.1
ANLISIS DE LOS PROCESOS DE IDENTIFICACIN

ANLISIS DE LAS TCNICAS APLICADAS Y TIPOS DE IDENTIFICACIN
Las tecnologas biomtricas surgen como alternativa y/o complemento a las tcnicas de identificacin y autenticacin ya existentes. Por ello es posible establecer una comparacin directa entre ambas, destacando beneficios que resultan del uso de biometra junto con aspectos en los que las tcnicas tradicionales son superiores. Se han de considerar los siguientes aspectos: Necesidad de secreto: Las contraseas han de ocultarse y las tarjetas no deben de estar al alcance de terceros, mientras que la biometra no requiere de estas medidas de proteccin que son exclusivamente dependientes del usuario. Posibilidad de robo: Las tarjetas y contraseas pueden ser robadas. Sin embargo, robar un rasgo biomtrico es extremadamente complejo. Posibilidad de prdida: Las contraseas son fcilmente olvidables y las tarjetas se pueden perder. Los rasgos biomtricos permanecen invariables salvo en contadas excepciones y siempre estn con el sujeto a quien identifican. Registro inicial y posibilidad de regeneracin: La facilidad con la que se puede enviar una contrasea o tarjeta nueva contrasta con la complejidad que supone el registro en un sistema biomtrico, ya que requiere de la presencia fsica del individuo en esta fase. Hay que sealar que los rasgos biomtricos son por definicin limitados, mientras que la generacin de contraseas es ilimitada, lo cual es una ventaja. Proceso de comparacin: La comparacin de dos contraseas es un proceso sencillo. Sin embargo, comparar dos rasgos biomtricos requiere de mayor capacidad computacional. Comodidad del usuario: El usuario ha de memorizar una o mltiples contraseas y, en el caso de que use una tarjeta, ha de llevarse siempre consigo. Utilizando tecnologa biomtrica no se necesita hacer estos esfuerzos. Vulnerabilidad ante el espionaje: Una discreta vigilancia de nuestra actividad podra servir para obtener nuestra contrasea o robar nuestra tarjeta. Ese mtodo no es vlido ante los sistemas biomtricos. Vulnerabilidad a un ataque por fuerza bruta: Las contraseas tienen una longitud de varios caracteres. Por su parte, una muestra biomtrica emplea cientos de bytes, lo que complica mucho los ataques por fuerza bruta.
Medidas de prevencin: Los ataques contra sistemas protegidos por contrasea o tarjeta se producen desde hace aos, y las medidas de prevencin contra ellos ya se encuentran maduras. Por el contrario, los ataques a los sistemas biomtricos son un rea en la que estas medidas de prevencin se estn generando en estos momentos. Autenticacin de usuarios reales: La autenticacin de usuarios mediante contrasea o tarjeta y su efectividad, dependen absolutamente de la voluntad del usuario a la hora de hacerlas personales e intransferibles. La biometra est altamente relacionada con el propio usuario pues no puede ser prestada ni compartida.
Coste de implantacin: En el momento de la implantacin, el hecho de instaurar un sistema de contraseas tiene un coste bajo, mientras que en el caso de un sistema basado en muestras biomtricas es ms costoso.
Coste de mantenimiento: El coste de mantenimiento de un sistema biomtrico, una vez est implantado con xito, es menor al de un sistema de contrasea o tarjeta ya que no conlleva gastos de gestin asociados a la prdida u olvido de credenciales.
A continuacin se muestra una tabla ilustrativa identificando en qu aspectos destaca cada mtodo de autenticacin:
Tabla 6: Comparativa biometra vs Contraseas/tarjetas Aspecto Necesidad de Secreto Posibilidad de robo Posibilidad de prdida Coste de mantenimiento Registro inicial y posibilidad de regeneracin Proceso de comparacin Comodidad del usuario Biometra Contraseas/Tarjetas
Pgina 46 de 100
Aspecto Vulnerabilidad ante el espionaje Vulnerabilidad a un ataque por fuerza bruta Medidas de prevencin Autenticacin de usuarios reales Coste de implantacin
Biometra
Contraseas/Tarjetas
4.2
SISTEMAS DE AUTENTICACIN DE DOBLE FACTOR
El progresivo avance de las tecnologas biomtricas ha supuesto el paso de la forma identificacin unimodal a sistemas de autenticacin de doble factor, que pueden combinar el uso de la biometra con otros sistemas, como tarjetas de identificacin o contraseas, o incorporar ms de una tecnologa biomtrica, biometra bimodal. 4.2.1 Interaccin de la biometra con otros sistemas
La autenticacin de doble factor es la combinacin de dos tcnicas de identificacin diferentes, pudiendo ser una de ellas cualquier tecnologa. El principal objetivo de esta combinacin es aumentar considerablemente la seguridad y reducir por tanto la posibilidad fraude. El futuro pasa por la utilizacin de la doble identificacin: biomtrica y no biomtrica En la mayora de los casos planteados por los expertos el sistema no biomtrico empleado es una tarjeta de identificacin o una contrasea. Tarjeta de identificacin: Por norma general se utiliza para realizar la identificacin del individuo. Posteriormente se usara una tecnologa biomtrica para verificarla. La disponibilidad de la tarjeta es indispensable para la autenticacin. En algunos casos el propio sensor y la informacin biomtrica estn integrados en la tarjeta. Contrasea: Usada en combinacin con un rasgo biomtrico aportando una capa extra de seguridad. Criptografa: La interaccin entre la biometra y la criptografa es un rea de investigacin relativamente reciente y con un desarrollo incipiente. En la mayora
de aplicaciones actuales la criptografa se utiliza para asegurar los datos biomtricos. En la actualidad, la combinacin de tcnicas biomtricas y convencionales ya se est aplicando, por ejemplo algunas Administraciones Pblicas utilizan el reconocimiento de la geometra de la mano sumado al uso de un PIN para el control horario. Herramientas biomtricas bimodales
4.2.2
Un sistema biomtrico bimodal es aquel que utiliza dos tcnicas distintas para la captura de rasgos biomtricos. Esta circunstancia supone la utilizacin de dos sensores de reconocimiento y sus correspondientes sistemas de verificacin con el consiguiente aumento de la seguridad que esto supone. Esta estructura mejorada se aprovecha de las ventajas que aporta cada tcnica y se puede utilizar para superar algunas de las limitaciones de un sistema biomtrico nico. Como ejemplo de limitaciones, destacar que se estima que un pequeo porcentaje de la poblacin no tiene huellas dactilares legibles, la voz puede ser alterada por un resfriado y los sistemas de reconocimiento facial son susceptibles a los cambios en la luz ambiental o la actitud del sujeto. Un sistema bimodal que combine las conclusiones obtenidas tras la utilizacin de dos tcnicas diferentes, puede superar muchos de estos inconvenientes. Adicionalmente, la combinacin de dos factores supone un aumento significativo de la seguridad y de la resistencia al fraude. Un sistema bimodal podra ser, por ejemplo, una combinacin de verificacin de huellas digitales y reconocimiento facial. Este tipo de sistemas est siendo usado actualmente en el control fronterizo de varios aeropuertos espaoles. 4.2.3 Valoracin de la autenticacin de doble factor
Ambos procesos de autenticacin de doble factor que incluyen la biometra suponen una evolucin respecto a los sistemas unimodales existentes. El uso de la autenticacin de doble factor presenta aspectos ventajosos e inconvenientes. Entre las ventajas, cabe destacar: i) El beneficio fundamental de la utilizacin de dos factores de autenticacin es el aumento de la seguridad logrado. Este aspecto ya se consigue empleando un solo factor biomtrico, pero al introducir otro factor se potencia notablemente al incluir una capa de seguridad adicional.
Pgina 48 de 100
ii) La resistencia al fraude que presentan estos sistemas tambin resulta reforzada ya que un individuo no autorizado ha de burlar ambos controles para poder acceder al sistema o instalacin que se protege. iii) Las vulnerabilidades y amenazas a las que est expuesto el sistema se reducen, ya que, en muchos casos, uno de los factores acta como control mitigante del otro. iv) En el caso del uso de tarjeta de identificacin, se puede incluir la informacin biomtrica en la misma, por lo que la verificacin no se tendr que hacer respecto a una base de datos remota sino respecto a la propia tarjeta. Esto implica un aumento de la eficiencia y de la privacidad de los datos personales del usuario. No obstante, la autenticacin de doble factor presenta ciertos inconvenientes, como son: i) La implantacin de un doble factor de autenticacin implica un aumento de coste del sistema.
ii) Si bien uno de los beneficios principales de la utilizacin de sistemas de reconocimiento biomtricos es el ahorro de costes frente al mantenimiento de contraseas y tarjetas, cuando combinamos la biometra y uno de estos dos factores, esa disminucin de costes es inexistente. iii) La interaccin de la biometra con otro sistema implica que no disponer de la contrasea o tarjeta imposibilite la autenticacin. Esto conlleva una reduccin de la comodidad del usuario.
Pgina 49 de 100
BENEFICIOS DE LA UTILIZACIN TECNOLOGAS BIOMTRICAS
DE
LAS
Los expertos consultados coinciden en que para la realizacin de un anlisis de los beneficios de las tecnologas biomtricas deben considerarse diferentes factores como su finalidad, nmero estimado de usuarios, tcnica biomtrica empleada, entorno de confianza o desconfianza donde se encuentra, etc. Es por ello que debe realizarse un anlisis detallado caso a caso para saber si realmente resultara rentable su adopcin. La inversin econmica que supone la implantacin de las tecnologas biomtricas puede ser uno de los principales inconvenientes en su desarrollo La implantacin de tecnologas biomtricas conlleva un conjunto de beneficios tanto para entidades pblicas y privadas como para los usuarios finales. 5.1 PARA LAS ENTIDADES USUARIAS
Para los diferentes expertos, las grandes organizaciones deben suponer el principal motor que promueva e invierta en el desarrollo de las tecnologas biomtricas. La biometra, tecnolgicamente, est suficientemente madura, ahora es funcin de las grandes corporaciones comenzar a ofrecer servicios basndose en los beneficios que aporta Para que esto ocurra, los beneficios potenciales a obtener con su implantacin han de ser claros y relevantes. A continuacin se describen los ms destacados: 5.1.1 Aumento de la seguridad
Sin duda, los entrevistados coinciden en que una de las ventajas ms importantes de la utilizacin de tcnicas biomtricas para la autenticacin de usuarios es que garantizan que la persona es quien dice ser, es decir, que los rasgos biomtricos se encuentran exclusivamente ligados a su legtimo usuario. Mediante el robo de credenciales ajenas, un individuo puede acceder a zonas restringidas o realizar operaciones no permitidas, inculpando a terceros. Asimismo, es posible que estas credenciales se compartan voluntariamente entre empleados. Tanto el robo como la utilizacin por parte de varios usuarios de las mismas credenciales, suponen una grave brecha en la seguridad en las entidades que puede ser evitada. A travs de la implementacin de sistemas biomtricos, se aumenta la seguridad reduciendo la probabilidad de que alguien no autorizado acceda a zonas o a aplicaciones restringidas.
Pgina 50 de 100
5.1.2
Reduccin de costes de mantenimiento
Si bien las tcnicas tradicionales como el uso de contraseas o tarjetas de identificacin requieren una inversin muy baja en su implantacin, no obstante, conllevan costes elevados asociados a su gestin diaria. Esta es la consecuencia de uno de los riesgos ms evidentes asociados a este tipo de mtodos de autenticacin: la posibilidad de que las credenciales sean perdidas, robadas u olvidadas. El uso de la biometra implica un ahorro de tiempo, una reduccin de costes de mantenimiento y un aumento de la seguridad Sin embargo, en el caso de las tecnologas biomtricas donde la inversin inicial puede llegar a ser elevada en el caso de que sea necesario comprar dispositivos o software de adquisicin y procesamiento de muestras una vez la tecnologa est en funcionamiento y sus usuarios acostumbrados a usarla, el coste de mantenimiento es muy reducido, ya que no se dan los riesgos anteriormente referidos. Este beneficio es ms notable en las tecnologas cuyo coste de implantacin no es muy alto, como la huella dactilar, el reconocimiento de voz, el reconocimiento facial o el reconocimiento de escritura de teclado. 5.1.3 Aumento de la eficiencia
No debemos olvidar que la realizacin de los diferentes procesos de autenticacin, control de accesos e identificacin mediante tcnicas no biomtricas supone, en ocasiones, una inversin excesiva de tiempo. A veces, aunque el proceso dure pocos segundos, si es realizado por un gran nmero de usuarios en un corto perodo de tiempo, puede resultar altamente ineficiente. Esto sucede, por ejemplo, en los accesos a grandes edificios de oficinas o en el control fronterizo de un aeropuerto en horas de mxima afluencia. Como se puede observar en los dos casos de xito analizados en el presente estudio, mediante la eleccin de la tecnologa biomtrica ms adecuada para los diferentes casos y la necesaria formacin de los usuarios (unas nociones bsicas de utilizacin) se puede aumentar considerablemente la eficiencia de los procesos con el consiguiente beneficio econmico resultante para la entidad. 5.1.4 Reduccin del fraude interno
Uno de los mtodos ms habituales de cometer fraude interno en empresas y en organismos pblicos es la imputacin de horas de trabajo inexistentes, en algunos casos no estando tan siquiera el empleado fsicamente en las instalaciones de la entidad. Para ello, se pueden apoyar en compaeros que fichan en su lugar. Como consecuencia de ello, la empresa estara remunerando al empleado por unas horas de trabajo que, en realidad, no ha realizado.
Pgina 51 de 100
Esta situacin acarrea prdidas econmicas as como posibles perjuicios a la imagen corporativa. El uso de tecnologa biomtrica para el control horario de los empleados puede ayudar a prevenir este tipo de fraude, verificando mediante diferentes mtodos tanto el tiempo de trabajo imputado, como que el trabajador que registra su entrada es realmente quien dice ser. 5.1.5 Mejora de imagen corporativa
La implantacin de tecnologas biomtricas contribuye a que una empresa sea ms eficiente, ms segura y reduzca el fraude interno. La implantacin de biometra supone una mejora de imagen de la seguridad de una entidad Es por ello que, sumado a todas las ventajas descritas anteriormente, se produce una importante mejora en la opinin general sobre la compaa. As mismo, se asociara la entidad con la innovacin, la inversin en investigacin y desarrollo y la apuesta por tecnologa puntera. 5.1.6 Oferta de nuevos servicios
El desarrollo de las lneas de investigacin que actualmente se estn llevando a cabo en torno a la biometra puede resultar en la oferta de nuevos servicios en un futuro cercano. Estos servicios abarcan diversas aplicaciones en el sector sanitario, el pago mediante dispositivos mviles, control parental, videovigilancia, etc. 5.2 PARA LOS USUARIOS FINALES
Los usuarios finales tambin se ven favorecidos por la implantacin de tecnologas biomtricas. La experiencia de los profesionales entrevistados, tanto desde el punto de vista de usuarios como de proveedores de sistemas biomtricos, les lleva a destacar los siguientes beneficios para los quienes utilizan habitualmente estos sistemas. 5.2.1 Aumento de la comodidad
La utilizacin de tcnicas biomtricas en procesos de identificacin, autenticacin y control de accesos supone un aumento considerable de comodidad para los usuarios en la realizacin de estas tareas. La no necesidad de recordar contraseas es una de las grandes ventajas de la biometra, especialmente desde el punto de vista de la comodidad para el usuario El empleo de tecnologas biomtricas elimina la necesidad de recordar mltiples contraseas que, por seguridad, se deben cambiar cada corto periodo de tiempo. En este sentido, el usuario tampoco se tendr que poner en contacto, salvo excepciones, con el servicio de soporte informtico o de atencin al cliente para restaurar sus credenciales
debido al olvido de contraseas ni deber extremar las precauciones para preservar la privacidad de las mismas. Del mismo modo, tampoco le resultar necesario llevar consigo ninguna tarjeta de identificacin en todo momento ni existir el riesgo de perderla o de que se dae. 5.2.2 Reduccin de tiempos de espera
La identificacin y control de accesos realizados por mtodos tradicionales suponen tiempos de espera que resultan molestos para el usuario. El uso efectivo de la biometra puede reducir considerablemente la espera y, por tanto, beneficiar al usuario. De este modo, en diferentes casos de xito mencionados por los expertos, se observa una reduccin de espera en aeropuertos, tiendas, centros de ocio, entidades bancarias, etc. 5.2.3 Posibilidad de tramitaciones remotas
Es posible emplear tcnicas biomtricas como forma de verificacin en operaciones no presenciales de forma altamente fiable, pudiendo superar a las firmas electrnicas actuales. De esta forma se pueden reducir los traslados y trmites innecesarios e inconvenientes para el usuario final. Se est trabajando en que cualquier transaccin que actualmente se valide con la firma electrnica o manuscrita de una persona, se haga mediante el uso de firma biomtrica 5.2.4 Mayor seguridad
Las tecnologas biomtricas aportan un aumento de seguridad como consecuencia de los riesgos que mitigan. Esto redunda en beneficio para el usuario al reducir las posibilidades de que un tercero suplante su identidad para la comisin de algn delito o provocarle algn tipo de perjuicio. La utilizacin de la biometra por parte de las administraciones pblicas en la lucha contra el crimen tambin refuerza la sensacin de seguridad de los ciudadanos. 5.2.5 Aumento de la privacidad
La seguridad de los datos de carcter personal de los ciudadanos en las mltiples transacciones que hacen uso de ellos, es otro de los aspectos reforzados por la aplicacin de tcnicas biomtricas. Lo que ms se valora es la privacidad del individuo Es la consecuencia de la notable dificultad que supone la falsificacin de rasgos biomtricos con el objetivo de acceder a la informacin personal de un usuario.
Pgina 53 de 100
5.2.6
Familiarizacin con tecnologa avanzada
El uso de tecnologas biomtricas acerca en muchas ocasiones tecnologa puntera, aplicada en sensores de ltima generacin, a la ciudadana. Pese a las reticencias que pueden mostrar los usuarios en un primer momento hacia una tecnologa que no conocen, tras una pequea fase de adaptacin, su opinin sobre la misma suele mejorar por norma general. Como consecuencia, el uso de tecnologa en el da a da del ciudadano se convierte en algo ms sencillo y habitual.
Pgina 54 de 100
USOS Y APLICACIONES DE LAS TECNOLOGAS BIOMTRICAS
La biometra se est desarrollando gracias a un crecimiento gradual en la concienciacin pblica y de la aceptacin generalizada. No obstante, su grado de implantacin es muy desigual entre los diferentes sectores debido a la finalidad de la misma y su coste. Existe una gran presencia de la biometra en el sector pblico Las Administraciones Pblicas son, en la actualidad, las grandes impulsoras de las tecnologas biomtricas. Es por ello que es en el sector pblico donde se pueden encontrar las mayores inversiones. Gran parte de estos proyectos estn destinados a Defensa y a Seguridad Nacional, pero su uso est extendido en diferentes mbitos al utilizarse en muchos casos para el control de presencia, siendo ste un uso transversal a todos los sectores. Destacan sistemas para la identificacin de terroristas y criminales, investigacin forense, documentos nacionales de identidad, control fronterizo, control de acceso, control de presencia y gestin de ayudas pblicas. Los expertos coinciden en que dentro del sector privado tambin se desarrollan proyectos de importante calado. Especialmente el sector financiero (grandes bancos y aseguradoras), que ha llevado a cabo implantaciones para el control de acceso a sus instalaciones y el control del fraude, as como para asegurar transacciones remotas, tanto a travs de Internet como va telefnica. Las compaas pertenecientes al rea de las tecnologas de la informacin y de la comunicacin (TIC), dentro de las que se encuentran fabricantes, integradores, consultores y desarrolladores de productos biomtricos, tambin apuestan por la tecnologa en el acceso fsico a sus instalaciones as como en el acceso lgico a sus sistemas y servicios. Es el caso tambin del sector hotelero, donde actualmente se est estudiando la implantacin de sistemas de reconocimiento dactilar para el control de acceso a las habitaciones, eliminando as el gasto derivado del uso de consumibles como tarjetas de banda magntica o las bateras de sus dispositivos de lectura en los hoteles. De cara al futuro se prev una implicacin mucho mayor por parte del sector privado a medida que el mercado vaya madurando. Mediante el desarrollo de la investigacin se pueden concretar nuevas aplicaciones que solucionen necesidades de las compaas as como abaratarse procesos que faciliten implantaciones actualmente inviables por su alto coste.
Pgina 55 de 100
Como se observa, los primeros sectores en avanzar en la implantacin de tecnologas biomtricas son aquellos cuya necesidad de elevar la seguridad es mayor. A pesar de ello, se trata de una tecnologa llamada a expandirse a lo largo de muy diversas industrias y sectores, puesto que la necesidad de aumento en la seguridad y reduccin de fraude en la autenticacin de usuarios es una necesidad transversal. Usada como forma nica de autenticacin o combinada con otras medidas, la biometra est destinada, segn los expertos consultados, a extenderse en muchos aspectos de nuestra vida diaria. De hecho, estos mismos expertos manifiestan que las tecnologas biomtricas se estn convirtiendo ya en la base de un nmero considerable de soluciones de identificacin de alta seguridad y verificacin personal. A medida que se descubren brechas de seguridad e incrementan las posibilidades de transacciones fraudulentas, la necesidad de una tecnologa que satisfaga dichas necesidades se hace ms patente. El contexto en el que se vaya a aplicar (colaborativo, a distancia, presencial, etc.) y la finalidad perseguida (control de accesos, control de presencia, control de identidad/personalidad, lucha contra el fraude, etc.) sern algunos de los elementos que determinen qu tecnologa concreta es la ms apropiada en cada caso. 6.1 APLICACIONES ACTUALES
En la actualidad las tecnologas biomtricas se pueden utilizar en un amplio abanico de aplicaciones. Adicionalmente, existen lneas de investigacin de cara a futuras extensiones masivas de determinados usos que parecen especialmente prometedoras. A continuacin se describen los principales usos que se dan a las tecnologas biomtricas a da de hoy segn los expertos consultados y el anlisis documental realizado. 6.1.1 Control de accesos fsicos y lgicos La finalidad en la que ms extendido est el uso de la biometra es el control de accesos, ya sea ste fsico (por ejemplo acceso a edificios o espacios restringidos) o lgico (acceso a sistemas, programas o equipos informticos) Los expertos coinciden en que la huella dactilar es la solucin ms habitual para este uso en Espaa debido a su alto grado de madurez, que permite el establecimiento de precios competitivos, y a la usabilidad que ofrece. No obstante, y aunque su presencia sea menor, el reconocimiento de iris y el reconocimiento facial se presentan como alternativas a la huella dactilar en este tipo de aplicaciones.
Pgina 56 de 100
Ilustracin 8: Control de accesos
Los expertos recomiendan que para el control de acceso a zonas de alta seguridad se haga uso de autenticacin de doble factor. De este modo la autorizacin para el acceso de una persona se basara en un reconocimiento de cmo es junto a lo que sabe o tiene.
Ilustracin 9: Control de presencia de doble factor
Del mismo modo que se han instalado sensores en la entrada de edificios y salas de acceso restringido, cada vez ms los proveedores de este tipo de tecnologas reciben peticiones para la integracin de sensores biomtricos en los ordenadores corporativos de cara a gestionar la autenticacin en sistemas y aplicaciones. 6.1.2 Control de presencia
Los mtodos utilizados tradicionalmente para registrar diariamente los horarios en los que los empleados acceden y abandonan sus respectivos puestos de trabajo suelen estar basados en el uso de un PIN o tarjeta personal. Uno de los principales inconvenientes que han manifestado los responsables de entidades que cuentan con sistemas de control horario basados en tecnologas tradicionales, es la facilidad con la que se pueden cometer irregularidades, por ejemplo
Pgina 57 de 100
compartiendo con un compaero de trabajo el PIN o la tarjeta personal, ya que no se requiere ninguna verificacin adicional. El uso de cualquier tcnica biomtrica supone una forma eficaz de mitigar este riesgo por la imposibilidad de compartir los rasgos biomtricos entre empleados Segn han transmitido los profesionales involucrados en el presente estudio, para este tipo de aplicaciones se utiliza habitualmente la huella dactilar, aunque tambin tcnicas menos extendidas en el mercado como la geometra de la mano, que est siendo usada (en combinacin con el PIN) por determinadas Administraciones Pblicas. 6.1.3 Control de fronteras
La biometra puede ser utilizada para verificar identidades por parte de agentes fronterizos mediante el uso de dispositivos de lectura biomtrica y contrastando esta informacin con sus bases de datos. Los rasgos a analizar normalmente son la topografa facial y las huellas dactilares. Actualmente un gran nmero de administraciones pblicas de todo el mundo est implantando la biometra en aduanas y aeropuertos para aumentar la seguridad y agilidad de los mismos. Cuando llevamos a cabo proyectos cuya finalidad es el control de fronteras, no debemos olvidarnos de que los usuarios no pueden ser formados previamente, lo que supone un enorme reto de cara a conseguir una usabilidad lo menos intrusiva posible 6.1.4 Lucha contra el fraude
El uso de estas tecnologas para realizar transacciones bancarias se encuentra bastante extendido, ya que se consideran ms adecuadas que el uso de los mtodos tradicionales aportando mayores niveles de seguridad. Sin embargo, su uso para la prevencin de fraude no se limita a entidades privadas. Las administraciones pblicas estn comenzando a implantar sistemas biomtricos para prevenir este delito, con el objetivo de evitar el gasto de fondos pblicos de forma irregular. La prevencin del fraude y la mejora de la vigilancia son dos grandes beneficios de la aplicacin de tecnologa biomtrica Un ejemplo concreto que han sealado diversos expertos durante el desarrollo de las entrevistas, es la utilizacin en la gestin de los servicios sanitarios gubernamentales ofrecidos a domicilio en Estados Unidos. En este caso, se verifica biomtricamente que el
Pgina 58 de 100
personal sanitario se ha presentado en las viviendas adecuadas y han ofrecido los servicios que posteriormente sern facturados. 6.1.5 Investigacin de delitos
Las huellas recogidas de la escena de un delito, son posteriormente cotejadas a travs del programa AFIS (Automated Fingerprint Identification System) o algn otro derivado del mismo. Concretamente en Espaa, se utiliza el sistema SAID (Sistema Automtico de Identificacin Dactilar), en el que se mantiene un registro de las huellas de individuos con antecedentes. No obstante, esta base de datos es totalmente independiente de la que almacena las huellas dactilares obtenidas en el proceso de obtencin del Documento Nacional de Identidad, por lo que las Fuerzas de Seguridad solamente pueden utilizar en estos casos las huellas tomadas en escenarios de algn crimen o de personas con antecedentes. Es muy importante distinguir la base de datos de huellas dactilares del Documento Nacional de Identidad de las bases de datos utilizadas por la polica con finalidades relacionadas con la investigacin de delitos Las huellas dactilares se remiten, junto con los datos demogrficos, para identificar o verificar la identidad de la persona. Las bsquedas pueden tardar minutos, horas o das, dependiendo de la calidad de la informacin presentada y el tamao de la base de datos en la que se busca. Este sistema procesa una o varias huellas dactilares desconocidas, buscando coincidencias automticamente en una base de datos donde previamente se han almacenado todas las huellas sospechosas. 6.1.6 Acceso a servicios y ayudas gubernamentales
El uso de la biometra en el acceso a servicios sociales y a fondos de ayuda en caso de emergencias puede ser de utilidad en el control del reparto de estas ayudas. Esto supone un paso adelante en la reduccin de la corrupcin y apropiacin indebida de los recursos gubernamentales. Los costes de administracin relacionados con la distribucin y registro de dichos beneficios tambin pueden disminuir. Adicionalmente, esto supone una reduccin de tiempos de espera para los usuarios solicitantes, lo que implica un aumento de la comodidad de los ciudadanos. Un ejemplo de esta aplicacin, como se ver en los casos de xito analizados, es la gestin de ayudas por parte del Gobierno de Polonia.
Pgina 59 de 100
6.2
APLICACIONES EN FASE DE DESARROLLO
Adicionalmente a las aplicaciones existentes y difundidas actualmente en el mercado, existen lneas de desarrollo, en muchos casos ya en marcha, de cara a la extensin de usos ms novedosos que, en base a las opiniones de los expertos consultados, sern de gran utilidad. 6.2.1 Centros de atencin de llamadas
Las tecnologas biomtricas se perfilan como las ms idneas en el mbito de las potenciales tecnologas a aplicar en los centros de atencin de llamadas. En concreto, el reconocimiento de voz ofrece posibilidades en varias reas. La principal ventaja que ofrece el reconocimiento de voz es la no necesidad de presencia fsica del usuario para autenticarse Banca telefnica: Segn los expertos consultados, en los ltimos aos este tipo de servicios est creciendo en el mercado. Considerando que para realizar cualquier operacin previamente se debe verificar la identidad de cada cliente en cada llamada, el uso del reconocimiento por voz resulta en un aumento de la seguridad y la rentabilidad al mismo tiempo. Recuperacin de contraseas: En ocasiones, los servicios de atencin al cliente de las entidades tienen dificultades para identificar va telefnica a los usuarios que necesitan restaurar su contrasea. En este sentido, ya se estn empleando en algunas compaas sistemas de reconocimiento de voz que garantizan que la persona que est llamando es quien dice ser, de manera que la regeneracin de la contrasea de los usuarios corporativos se convierte en un proceso ms resistente al fraude. 6.2.2 Medio de pago
El uso de la biometra en terminales de punto de venta (TPV) reduce el tiempo empleado en transacciones y disminuye las posibilidades de errores o confusiones. Como ejemplo, hay colegios que ya utilizan la huella dactilar para el pago del men en el comedor, eliminando problemas relacionados con la prdida de tarjetas, olvido de nmeros de identificacin, transacciones manuales y cargos a cuentas errneas. 6.2.3 Control parental
Hoy en da se pueden usar controles paternos mediante huella dactilar aplicados al acceso a redes sociales y a determinados sitios web, incluyendo las restricciones que los padres hayan determinado, por ejemplo el filtrado de contenidos, la bsqueda de pginas o el uso de ciertos servicios o a partir de ciertas horas.
Pgina 60 de 100
6.2.4
Vigilancia
Las tcnicas biomtricas son utilizadas como medida de vigilancia para identificar criminales y sospechosos entre multitudes. Acorde a los documentos analizados, este caso de uso requiere de rasgos biomtricos que puedan ser adquiridos a una distancia media. La tecnologa ms utilizada actualmente es el reconocimiento facial, pero en el sector de la biometra ya se conoce que se estn empezando a desarrollar sistemas que utilizan la forma de andar como rasgo biomtrico. 6.2.5 Transacciones mediante telfonos mviles
En la actualidad las tcnicas biomtricas se estn comenzando a desarrollar en dispositivos mviles con el objetivo de proteger el acceso a los mismos y a determinadas aplicaciones, realizar pagos o para la gestin de contraseas. La biometra en dispositivos mviles es una de las futuras aplicaciones ms interesantes y con mayor proyeccin En este sentido cabe destacar la tecnologa NFC (Near Field Communication), integrada en la mayora de los telfonos mviles de ltima generacin y utilizada en combinacin con biometra para la realizacin de pagos. Se prev que esta ser una de las principales lneas de investigacin futura debido a su gran potencial. 6.2.6 Sanidad
El uso de la biometra supone una nueva posibilidad dentro del sector sanitario a la hora de detectar problemas de salud. La tecnologa biomtrica tambin se puede aplicar a la salud, con el objetivo de detectar ciertas enfermedades e investigar medicamentos Adicionalmente, tambin se podra aplicar la biometra para identificar a pacientes, especialmente en casos en los que el idioma es una barrera o en los que existen varios pacientes con nombres similares. De este modo se pueden reducir problemas relativos a errores mdicos y fraude al seguro mdico.
Pgina 61 de 100
CASOS DE XITO
En el proceso de entrevista con los diferentes actores del sector, se han destacado importantes implantaciones de biometra a gran escala en el mundo, las cuales son consideradas como casos de xito de la aplicacin de las tecnologas biomtricas. Se han seleccionado dos casos especficos debido principalmente a su diversidad en cuanto a finalidad y tecnologa empleada: Acceso rpido a fronteras aeroportuarias en Espaa. Gestin de ayudas pblicas en Polonia.
A continuacin se analizan los dos casos describiendo el proyecto y sus objetivos, el nmero de usuarios potenciales, las claves de xito, los principales inconvenientes y beneficios encontrados as como la experiencia extrada y las lecciones aprendidas de los mismos. Para la elaboracin de ambos casos de xito se ha contado con la colaboracin de profesionales que participaron en el desarrollo e implantacin de ambos sistemas, los cuales se prestaron a la realizacin de una entrevista especfica y facilitaron documentacin adicional. 7.1 7.1.1 ACCESO RPIDO A FRONTERAS AEROPORTUARIAS (ESPAA) Descripcin del proyecto
Proyecto de implantacin del sistema Automatic Border Crossing (ABC) para el acceso rpido a fronteras aeroportuarias por parte de Indra Systems, impulsado por el Ministerio del Interior del Gobierno de Espaa a travs de la Secretara de Estado de Seguridad con destino la Comisara General de Extranjera y Fronteras. El objetivo del proyecto es la implantacin de un sistema que automatice el paso fronterizo, en la medida de lo posible, de manera desatendida. Est destinado a viajeros cuyo origen o destino est fuera del mbito europeo. El sistema est formado por un conjunto de quioscos en los que se introduce un pasajero que verifica su identidad por medio del reconocimiento facial y de huella dactilar. Posteriormente, y ya verificada su identidad, accede a travs de unas puertas automticas. Adicionalmente, los agentes fronterizos estn situados en una cabina prxima, desde la que monitorizan todo el proceso e intervienen en caso de que lo consideren necesario.
Pgina 62 de 100
Ilustracin 10: Acceso rpido a fronteras aeroportuarias
El proceso comienza verificando fsicamente el pasaporte mediante reconocimiento de patrones visuales y contina verificando electrnicamente el chip que contiene este documento. Posteriormente lleva a cabo el reconocimiento dactilar y facial para acabar con una consulta a bases de datos policiales en busca de antecedentes o documentos robados. Existen dos tipos de instalaciones: de puerta simple (quioscos distribuidos por la sala de la terminal y puertas de acceso automticas) y de esclusa (quioscos integrados en las puertas automticas; en estos si la verificacin no tiene xito el pasajero no puede avanzar). El sistema es utilizado por 350 pasajeros diariamente, teniendo en cuenta que su uso no es obligatorio. El empleo de este sistema equivale al trabajo de ocho funcionarios policiales. El proyecto ABC System. Control Automtico de Fronteras desarrollado por el Ministerio del Interior ha sido galardonado con numerosos premios, entre otros el Premio ENISE 2 2010 al mejor servicio o proyecto con DNIe.
Encuentro Internacional de Seguridad de la Informacin, organizado por INTECO.
Pgina 63 de 100
7.1.2
Eleccin de biometra
Se hace uso de dos tecnologas biomtricas para obtener mayor garanta en la verificacin de la identidad de una persona. En la eleccin de las tecnologas a emplear, se opt por el reconocimiento facial por su facilidad de captura y trabajos realizados previamente con ella por parte de la empresa implantadora. Por otro lado, la eleccin de la tecnologa dactilar fue motivada por tratarse de una tcnica madura y asequible econmicamente frente a otras que no lo son en la actualidad. 7.1.3 Beneficios y claves de xito
Los principales beneficios obtenidos mediante la implantacin son: Mejora de la ratio de controles fronterizos que se pueden realizar por unidad de tiempo y por cada agente de polica. Incremento de la seguridad. Mitigacin del temor que usuarios y entidades puedan tener a la utilizacin de sistemas biomtricos.
Uno de los principales factores que llevaron al xito de esta implantacin fue el compromiso de todos los actores en la realizacin del proyecto en las fechas acordadas. 7.1.4 Inconvenientes
Se han identificado los siguientes inconvenientes: Desconocimiento de la tecnologa por parte de los usuarios. Elevado coste de adquisicin del sistema, aunque hay que sealar que ste se amortiza de forma casi inmediata.
En lo referente a la implantacin del sistema es destacable que, teniendo en cuenta su complejidad, se realiz en tan slo cuatro meses (desde la fabricacin de los dispositivos hasta la finalizacin y formacin de los agentes), lo que se consider el gran escollo del proyecto. Otro de los contratiempos es la heterogeneidad de los actores de un proyecto que parte de la Secretara del Estado para la Seguridad, tiene como destinatario la Comisara General de Extranjera y Fronteras e implica a una compaa como Aena, ya que la implantacin fue realizada en sus instalaciones.
Pgina 64 de 100
7.1.5
Recomendaciones
En base a esta experiencia, cuando se habla de sistemas de reconocimiento biomtricos, se ha de recalcar la importancia de que la captura de muestras para el registro se haga con una mnima calidad que garantice el xito del proceso de autenticacin. Por lo tanto se debe invertir especialmente en sistemas y dispositivos que garanticen dicha calidad, pero tambin en la formacin de los trabajadores que estn implicados en el proceso de registro al mismo tiempo que de los usuarios Por otra parte, es esencial fomentar que las organizaciones y los usuarios pierdan el miedo a usar este tipo de tecnologas para la identificacin. Se trata de tecnologas muy maduras y aportan muchos beneficios. 7.1.6 Lneas de desarrollo futuro
El proyecto ha sido considerado un xito. Es por ello que existen planes de expansin a otros puestos fronterizos (ms aeropuertos e incluso puertos martimos) empleando un mayor nmero de elementos de verificacin en cada una de ellas. En definitiva, se ha concluido que los sistemas biomtricos son vlidos para el control de fronteras. 7.2 7.2.1 GESTIN DE AYUDAS PBLICAS (POLONIA) Descripcin del proyecto
Se trata de un proyecto de gestin de ayudas pblicas otorgadas por el Gobierno de Polonia a travs de cajeros automticos, autenticando a los ciudadanos mediante el reconocimiento de la estructura de las venas de los dedos y un PIN. Mensualmente un total de 2.000 personas hacen uso de la tecnologa en cada una de las 65 sucursales en la que est instalada. El objetivo es la gestin de las ayudas gubernamentales de forma segura, cmoda y automatizada. En un principio solamente se consider la gestin de las prestaciones por desempleo pero actualmente su uso se ha ampliado a otras ayudas. Con el uso de esta tecnologa se pretende mejorar la eficiencia de la gestin de las ayudas gubernamentales. Hoy en da, si no se usa el sistema biomtrico, la persona entrega un documento de identificacin, el cual se comprueba, y se rellenan una serie de formularios. Este proceso se demora considerablemente en el tiempo. Esto suele conllevar la creacin de largas colas de espera para poder acceder a las ayudas, provocando el descontento de los ciudadanos.
Pgina 65 de 100
Ilustracin 11: Aplicacin para gestin de ayudas pblicas a travs de cajeros automticos
Sin embargo, utilizando el sistema implantado, el usuario puede acudir a un cajero automtico a la hora que le resulte ms conveniente para obtener la ayuda. Esta comodidad es beneficiosa tanto para el banco, aliviando sus oficinas de clientes pudiendo ofrecer un mejor servicio, como para el usuario, que no necesita acudir en horario de apertura de oficinas. 7.2.2 Uso de biometra
Se opt por la tecnologa biomtrica tras probar un sistema que combina el uso de un PIN y una tarjeta que incorporaba un chip electrnico. El resultado de esta prueba fue muy negativo ya que los usuarios olvidaban con frecuencia el cdigo PIN, la tarjeta se deterioraba y en ocasiones el PIN era anotado para evitar su olvido, siendo encontrado y utilizado por terceras personas junto con la tarjeta para acceder fraudulentamente a las ayudas. Siendo las prioridades del gobierno polaco, la lucha contra el fraude y el aumento de la seguridad, se opt por un sistema biomtrico. 7.2.3 Beneficios y claves de xito
Las principales ventajas identificadas son: Aumento de la eficiencia, al dedicarse menos tiempo a la comprobacin de documentos de identificacin por parte del banco. Mejora del servicio ofrecido al ciudadano, al reducir las esperas existentes.
Pgina 66 de 100
Mejora de la seguridad, incorporando el factor lo que eres en el modelo de autenticacin y evitando as posibles fraudes.
Adicionalmente, conlleva grandes ventajas en trminos de ahorro y eficiencia para el gobierno, ya que el pas gestiona grandes cantidades de dinero en procesos de pago social como pensiones, subsidios para el desempleo, etc. Una de las claves del xito fue que la poblacin pudo percibir rpidamente los beneficios que se obtienen de su uso. No obstante, el factor ms crtico para el xito es la seguridad y la privacidad, ya que se trata de un sistema en el que los datos del usuario que se almacenan en el banco (Hitachi, la empresa implantadora, no almacena nada) son el nmero personal de identificacin, el nombre, el domicilio, el nmero de cuenta bancaria y la ayuda gubernamental correspondiente. Como medida de seguridad, no se almacena su informacin biomtrica completa sino que se guarda una muestra encriptada. 7.2.4 Inconvenientes
El principal problema encontrado ha sido la necesidad de formar a las personas para el uso del sistema, puesto que los usuarios no siempre tienen los conocimientos suficientes para utilizarlo adecuadamente. Para evitar errores, el personal de las oficinas bancarias ha tenido que invertir tiempo en ensear a los usuarios a utilizarlo. Este inconveniente se soluciona con el transcurso del tiempo a medida que los ciudadanos se acostumbran a la utilizacin del sistema. 7.2.5 Recomendaciones
Una percepcin de inseguridad por parte de los usuarios hacia el sistema puede implicar su negativa a usarlo. Es por ello que es esencial transmitir confianza a los ciudadanos hacindoles conscientes de que el robo de sus datos es muy poco probable y que el sistema es seguro para su salud. 7.2.6 Lneas de desarrollo futuro
Existen varios casos de desarrollo en estudio. En la banca comercial, puede ser usado para validar cualquier proceso que el usuario deseara realizar con el banco. En lugar de que las personas hagan uso de un documento de identificacin, se registran sus rasgos biomtricos, que se usaran para autenticar transacciones, contratos, acuerdos, etc. Se est trabajando en que cualquier transaccin que actualmente se valide con la firma electrnica o manuscrita de una persona, se haga mediante el uso de firma biomtrica.
Pgina 67 de 100
MARCO REGULATORIO
Un aspecto de especial relevancia en relacin a la implantacin de sistemas biomtricos es la regulacin normativa que define los requisitos y obligaciones a cumplir. Esto se debe especialmente a que los datos biomtricos son considerados de carcter personal, por lo que su tratamiento est regulado de cara a preservar la privacidad de los usuarios. 8.1 NORMATIVA LEGAL
A continuacin se resume la principal normativa y jurisprudencia actualmente aplicable al uso de sistemas de tratamiento de datos biomtricos. Existen normativas generales suficientes relacionadas con la proteccin de datos personales, aunque no se refieran especficamente a la biometra La Agencia Espaola de Proteccin de Datos (AEPD) define los datos biomtricos como: aquellos aspectos fsicos que, mediante un anlisis tcnico, permiten distinguir las singularidades que concurren respecto de dichos aspectos y que, resultando que es imposible la coincidencia de tales aspectos en dos individuos, una vez procesados, permiten servir para identificar al individuo en cuestin3. A los sistemas informticos mediante los cuales se traten datos biomtricos de personas fsicas identificadas o identificables se les deben aplicar las medidas de seguridad de carcter fsico, tcnico y/u organizativo calificadas como de nivel bsico por el Ttulo VIII del Reglamento de Desarrollo de la LOPD 4. En el caso de que los datos biomtricos objeto de tratamiento en el sistema pudiesen adems encontrarse eventualmente asociados o vinculados a la salud de los afectados, como por ejemplo en el supuesto de discapacidades fsicas, resultara tambin necesaria la implantacin de las medidas de seguridad de nivel medio y alto 5. A continuacin se detalla la normativa de aplicacin al uso de sistemas dirigidos al tratamiento de este tipo de datos biomtricos, as como la principal jurisprudencia asociada.
3 4
Informe Jurdico nmero 0368/2006 de la Agencia Espaola de Proteccin de Datos sobre huella dactilar.
Las medidas de nivel bsico incluyen las siguientes cuestiones: definicin de los deberes y las funciones del personal con acceso a los datos biomtricos; registro de incidencias relacionadas con estos ficheros; control de acceso a ellos; gestin de soportes y documentos que los contengan; identificacin y autenticacin de usuarios al acceder a estos datos; y establecimiento de procedimientos para la realizacin de copias de respaldo y recuperacin respecto a estos ficheros.
Las medidas de nivel alto, adems de las de nivel bsico (ver nota a pie de pgina anterior), incluyen las de nivel medio. Las medidas de nivel medio comprenden: nombramiento de un responsable de seguridad; realizacin de auditora bienal; gestin de soportes y documentos; identificacin y autenticacin; control de acceso fsico; registro de incidencias. Las medidas de nivel alto incluyen la gestin y distribucin de soportes; copias de respaldo y recuperacin; registro de accesos; y securizacin de la transmisin de datos a travs de redes de telecomunicaciones.
Pgina 68 de 100
8.1.1
Normativa de la Unin Europea
Desde la Unin Europea se han planteado una serie de cuestiones en relacin a la privacidad de los ciudadanos que han llevado a la definicin de algunas directrices y reglamentaciones que orientan, y en algunos casos obligan, a los estados miembros a la hora de legislar sobre estos aspectos. En algunos casos se trata de forma genrica los datos de carcter personal, mientras que en otros se aborda especficamente el tratamiento de los datos biomtricos. I. Directiva relativa a la proteccin de las personas fsicas en lo que respecta al tratamiento de datos personales y a la libre circulacin de estos datos 6
Su objetivo fundamental es que todos los Estados miembros de la Unin Europea garanticen la adecuada proteccin del derecho a la intimidad en lo que respecta al tratamiento de datos personales. Su artculo 2 a) define los datos personales como toda informacin sobre una persona fsica identificada o identificable (el interesado); se considerar identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un nmero de identificacin o uno o varios elementos especficos, caractersticos de su identidad fsica, fisiolgica, psquica, econmica, cultural o social. De ello se deriva que los datos biomtricos se pueden considerar como datos personales a los que se aplicara la legislacin pertinente. Se trata de una Directiva de mnimos, implementada en Espaa a travs de la Ley Orgnica 15/1999, de 13 de diciembre, de Proteccin de Datos de Carcter Personal y por lo tanto no tiene aplicacin directa. El nivel de proteccin ofrecido por la citada Ley Orgnica se encuentra alineado con el de la Directiva. En materia de biometra, el Grupo de Trabajo creado por el artculo 29 de la Directiva 7 ha elaborado un Documento de Trabajo sobre Biometra, de fecha 1 de agosto de 2003. Su propsito es contribuir a la aplicacin eficaz y armoniosa de las disposiciones nacionales sobre proteccin de datos adoptadas de acuerdo con la Directiva a los sistemas biomtricos. Se centra principalmente en las aplicaciones biomtricas para fines de autenticacin y comprobacin. De esta manera, el Grupo de Trabajo del artculo 29 pretende proporcionar unas orientaciones europeas
6
Directiva 95/46/CE, del Parlamento Europeo y del Consejo, de 24 de octubre. D.O.U.E. serie L, nm. 281, de 23 de noviembre de 1995. Grupo creado en virtud del artculo 29 de la Directiva 95/46/CE, constituido como el rgano asesor comunitario independiente sobre proteccin de datos y de la vida privada.
Pgina 69 de 100
uniformes, especialmente para el sector de los sistemas biomtricos y para los usuarios de estas tecnologas. II. Reglamento sobre Normas para las medidas de seguridad y datos biomtricos en los pasaportes y documentos de viaje expedidos por los Estados miembros 8
Tiene por objeto la armonizacin de las medidas de seguridad, entre las que se encuentran los identificadores biomtricos y, para ello, recoge determinadas especificaciones de carcter tcnico. 8.1.2 Normativa espaola
Tomando como referencia las indicaciones provenientes de la Unin Europea, la legislacin espaola ha desarrollado una serie de normativas en relacin al tratamiento de datos de carcter personal, incluyndose en ellos los datos biomtricos. Esta normativa est basada en la Ley Orgnica de Proteccin de Datos, su Reglamento de Desarrollo y las Instrucciones y Resoluciones de la Agencia Espaola de Proteccin de Datos (AEPD). I. Ley Orgnica 15/1999, de 13 de diciembre, de Proteccin de Datos de Carcter Personal y Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de Desarrollo de la LOPD 9
Se trata de las normativas primordiales en cuanto a proteccin de datos personales en Espaa y definen los datos de carcter personal como cualquier informacin concerniente a personas fsicas identificadas o identificables. Para su proteccin establecen una serie de obligaciones y principios de obligado cumplimiento para todas aquellas entidades o empresas, tanto del sector pblico como privado, que traten datos de carcter personal para el desarrollo de su actividad: Deber de inscripcin de ficheros en el Registro General de la AEPD; Deber de informacin a los afectados; Deber de obtencin del consentimiento del interesado; Principio de calidad de los datos tratados; Respuesta al ejercicio de los derechos de acceso, rectificacin, cancelacin y oposicin por parte de los interesados (conocidos como derechos ARCO).
8 Reglamento (CE) 2004/2252/CE, de 13 de diciembre, del Consejo. Modificado parcialmente por el Reglamento (CE) N 444/2009 del Parlamento Europeo y del Consejo, de 28 de mayo de 2009. 9
B.O.E. nm. 298, de 14 de diciembre de 1999, y B.O.E. nm. 17, de 19 de enero de 2007, respectivamente.
Pgina 70 de 100
Obligacin de implantacin de medidas de seguridad, entre otras. Segn los expertos consultados, en el mbito de la biometra es especialmente reseable el artculo 6.1 de la LOPD, el cual establece, con carcter general, la necesidad de la obtencin del consentimiento del afectado para el tratamiento de sus datos de carcter personal. No obstante, de conformidad con el artculo 6.2 de la LOPD, no ser necesario el consentimiento, entre otros supuestos, cuando los datos se refieran a las partes de un contrato o precontrato de una relacin negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento. En la prctica, por ejemplo, no ser necesario el consentimiento para tratar los datos personales de un trabajador cuando dicho tratamiento est relacionado con el mantenimiento y cumplimiento de la relacin laboral (pago de nmina, control horario, etc.). Es en el Ttulo VIII Reglamento de Desarrollo donde se detallan las medidas de seguridad de carcter fsico, tcnico y organizativo de nivel bsico / medio / alto que debern ser implantadas sobre los sistemas biomtricos y/u otros soportes por parte de aquellas entidades o empresas que traten datos biomtricos de los afectados. II. Instruccin 1/1996, de 1 de marzo, de la AEPD, sobre ficheros establecidos con la finalidad de controlar el acceso a los edificios 10.
Esta Instruccin regula de manera especfica los datos de carcter personal tratados de forma automatizada que son recabados por los servicios de seguridad con la finalidad de controlar el acceso a los edificios pblicos y privados, as como a establecimientos, espectculos, certmenes y convenciones. La Instruccin versa sobre la legitimacin del tratamiento de los datos recopilados en cumplimiento de las funciones de vigilancia, las medidas de seguridad que les son de aplicacin, el periodo en que los mismos deban ser conservados y su posterior cancelacin por haber dejado de ser necesarios o pertinentes para los fines para los que fueron recabados. El uso de sistemas biomtricos para el control de accesos fsicos deber tener en cuenta esta Instruccin. III. Real Decreto 1553/2005, de 23 de diciembre, que Regula la expedicin del Documento Nacional de Identidad y sus certificados de firma electrnica
En relacin a los datos biomtricos contenidos en el Documento Nacional de Identidad (D.N.I.), este Real Decreto establece normas en relacin con su expedicin.
10
B.O.E. nm. 62, de 12 de marzo de 1996.
Pgina 71 de 100
Segn establece su artculo 5, para poder solicitar la expedicin del D.N.I. es imprescindible la presencia fsica de la persona dado que, en el momento de la solicitud, al interesado se le recogern las impresiones dactilares de los dedos ndices de ambas manos. Asimismo, segn seala el artculo 11, el chip incorporado a la tarjeta soporte del D.N.I. contendr, entre otras cuestiones, la plantilla de la impresin dactilar del dedo ndice de la mano derecha o, en su caso, del dedo que corresponda segn lo indicado en el artculo 5.3 del Real Decreto. IV. Normativas autonmicas
Dada la existencia de algunas agencias de proteccin de datos a nivel autonmico, es necesario sealar que existen regulaciones establecidas por stas dentro de su mbito de accin. Comunidad de Madrid: Ley 8/2001, de 13 de julio, de Proteccin de Datos de Carcter Personal en la Comunidad de Madrid 11. Pas Vasco: Ley 2/2004, de 25 de febrero, de Ficheros de Datos de Carcter Personal de Titularidad Pblica y de Creacin de la Agencia Vasca de Proteccin de Datos 12. Catalua: Ley 32/2010, de 1 de octubre, de la Autoridad Catalana de Proteccin de Datos 13. INFORMES JURDICOS Y JURISPRUDENCIA Informes jurdicos y otros documentos interpretativos
8.2 8.2.1
Por otro lado, existen diferentes Informes jurdicos, tanto a nivel europeo como nacional, que dan respuesta a las posibles dudas sobre el sentido real de la normativa en ciertos aspectos. Estos informes en muchos casos responden a las consultas planteadas ante casos prcticos, por lo que ejemplifican en gran medida las problemticas que se deben tener en cuenta en la implantacin de estos sistemas.
11 12 13
Boletn Oficial de la Comunidad de Madrid, de 25 de julio de 2001. Boletn Oficial del Pas Vasco, nm. 44, de 4 de marzo 2004. Diari Oficial de la Generalitat de Catalunya n. 5731, 8 de octubre de 2010.
Pgina 72 de 100
I.
Informe de situacin relativo a la aplicacin de los principios de la Convencin 108 a la recogida y al proceso de los datos biomtricos emitido en Estrasburgo, en febrero de 2005, por el Comit Consultivo de la Comisin para la Proteccin de las Personas respecto al proceso automatizado de los datos de carcter personal
Resultado de los trabajos iniciados en el ao 2003 por el Grupo de Proyecto sobre la Proteccin de Datos bajo la tutela del Comit Europeo de Cooperacin Jurdica, se dedica especficamente al tratamiento de datos biomtricos. Entre las principales conclusiones destaca que, a juicio del Grupo, antes de recurrirse a la biometra el responsable del proceso debera evaluar por una parte las ventajas e inconvenientes posibles para la vida privada de la persona afectada y, por otra, las finalidades previstas, as como tener en cuenta posibles soluciones alternativas que supongan un menor atentado contra la vida privada. En consecuencia, los datos biomtricos tratados deberan ser adecuados, pertinentes y no excesivos en comparacin con la finalidad del proceso. Por otro lado, se pone de manifiesto que la persona afectada debera ser informada de la finalidad del sistema y de la identidad del responsable de proceso, as como de los datos procesados y de las categoras de personas a las que se comunicarn esos datos. II. Informe Jurdico n 0324/2009 sobre el Acceso al dato huella dactilar de empleados de una empresa por otra. Encargado del tratamiento
Responde a una consulta planteada a la AEPD en relacin a la posibilidad de implantar un sistema para el control horario de los trabajadores basado en la lectura de la huella digital y su conformidad con lo dispuesto en la LOPD y en el RDLOPD. En concreto, la AEPD analiza el supuesto en que el responsable de dicho sistema, una de las comunidades que componen una mancomunidad, encomendase a la citada mancomunidad el tratamiento del dato de la huella dactilar de sus trabajadores con la finalidad especfica de control horario de trabajo. Ante este caso, la AEPD considera necesario suscribir el contrato de encargado del tratamiento previsto en artculo 12 de la LOPD y en el Captulo III del Ttulo II del RDLOPD. De este modo la AEPD pone de manifiesto que en caso de delegar el tratamiento de los datos biomtricos a un tercero, se estara produciendo un acceso a datos por cuenta de terceros que habra de regularse conforme al artculo 12 de la LOPD. III. Informe Jurdico n 0082/2010 sobre la Creacin de una base de datos a travs de la huella dactilar queda sometido a la LOPD
Si bien este informe se emite con el fin de dar respuesta a la consulta sobre si la creacin de una base de datos con huella dactilar de los clientes, al que se otorga un cdigo
Pgina 73 de 100
alfanumrico, debe registrarse en la AEPD de conformidad con la LOPD, el citado Organismo aborda la proporcionalidad de la adopcin de las referidas medidas: [] resulta desproporcionado, la necesidad de recabar la huella dactilar para prestar un servicio comercial a los clientes, cuando dicho servicio puede prestarse con otros medios menos intrusivos en los derechos y libertades de los clientes, tales como el uso de las tarjetas de fidelizacin. De este modo, la AEPD muestra una diferenciacin entre el criterio seguido en los casos de control de presencia de empleados y el manifestado en el caso de relaciones comerciales. Esto pone de manifiesto la importancia y las diferencias legales que se pueden plantear segn los contextos en que se pretendan aplicar las tecnologas biomtricas. Otro ejemplo de ello se puede observar en un informe en el que se considera desproporcionado el uso de la huella dactilar en el control de asistencia de los alumnos en un colegio 14. 8.2.2 Resoluciones y Sentencias ms relevantes
Por ltimo, se resear la interpretacin final que tanto la AEPD como diferentes tribunales de justicia espaoles han realizado antes casos particulares en los que se encuentra implicado el uso de sistemas biomtricos. I. Resolucin de archivo de actuaciones de la AEPD, de 21 de marzo de 2006, correspondiente al Expediente N: E/00057/2005
Ligada a una denuncia presentada contra un Ayuntamiento que decidi instalar un sistema de control de presencia de su personal basado en la huella dactilar. El denunciante expone que no se ha informado convenientemente a los trabajadores, a la vista de lo exigido por el artculo 5 de la LOPD, en lo que respecta a la implantacin de dicho sistema. Asimismo, se denuncia que tampoco se ha solicitado el consentimiento para el tratamiento de los datos que han sido requeridos a los trabajadores. Por su parte, la AEPD concluye que, teniendo en cuenta la excepcin al deber de obtencin del consentimiento prevista en el artculo 6.2 de la LOPD referente a relaciones contractuales, En el caso que se examina parece deducirse que el tratamiento al que se hace referencia trae su origen, precisamente, de la necesidad de asegurar el debido cumplimiento de las obligaciones derivadas de la relacin administrativa o laboral que vincula al funcionario o personal laboral con la
Informe Jurdico n 0368/2006, de la AEPD, sobre la Proporcionalidad del tratamiento de la huella dactilar de alumnos de un colegio
14
Pgina 74 de 100
empresa, lo que unido a lo hasta ahora sealado permite implementar dicho tratamiento de datos. No obstante lo expuesto, deber darse cumplimiento a lo dispuesto en el artculo 5 de la LOPD, dado que, si bien no ser preciso el consentimiento del interesado, s deber advertirse al mismo de los extremos contenidos en ese precepto []. As pues, la interpretacin de la norma obliga, en el caso de controles de presencia de trabajadores, a informar adecuadamente a los usuarios, no as respecto a la necesidad de recabar el consentimiento expreso si bien siempre es recomendable, tal y como han sealado los expertos consultados. No informar adecuadamente del uso que se va a dar a los datos adquiridos y su utilizacin indiscriminada son problemas importantes y a tener en cuenta II. Resolucin de archivo de actuaciones de la AEPD, de 5 de febrero de 2009, correspondiente al Expediente N: E/00016/2007
Pone de manifiesto que la AEPD entiende que la utilizacin del dato correspondiente a la huella dactilar y su posterior conversin en un patrn de datos no supone una vulneracin del principio de calidad de datos []. III. Sentencia de la Audiencia Nacional (Sala de lo Contencioso-Administrativo, Seccin 1), de 4 de marzo de 2010
Trata sobre la puesta en funcionamiento de un nuevo sistema de control de presencia consistente en que el trabajador introduzca los dedos ndice y corazn de su mano en un terminal de marcaje. Segn seala la Audiencia Nacional, se informa sobre la recogida y tratamiento de datos personales, de su finalidad y destino [] y del responsable del tratamiento en cuestin []. No obstante, a la vista de lo exigido por el artculo 20 de la LOPD, recuerda la Audiencia Nacional que era conveniente actualizar las declaraciones de ficheros de titularidad pblica ante la AEPD a fin de recoger expresamente entre sus finalidades la relativa al control horario mediante datos biomtricos. IV. Sentencia del Tribunal de Justicia de Andaluca, Granada (Sala de lo Contencioso-Administrativo, Seccin 1), nm. 874/2007, de 3 de diciembre
Pone de manifiesto que la recogida de los datos biomtricos por sistemas informticos, huella dactilar digitalizada y el archivo de sus datos en una tarjeta, no vulneran su derecho fundamental [en relacin al denunciante], puesto que ni siquiera se trata de someter al sujeto a operaciones que le afecten fsicamente, fuera del momento de recepcin de la huella, puesto que se trata de una tarjeta con
Pgina 75 de 100
esos datos encriptados y no del sistema ptico de escner de la mano, por tanto entiende el juzgador, que se han cumplido todos los controles y las garantas precisas para salvaguardar el derecho fundamental a la intimidad y a la privacidad []. En resumen, y en base a todo lo anterior, la AEPD y los tribunales competentes en sus Informes Jurdicos, Resoluciones y Sentencias sobre la materia entienden que los siguientes requisitos habran de tenerse en cuenta a la hora de efectuar tratamientos de datos biomtricos: El tratamiento de datos ha de ser legtimo. En ste sentido, se considera legtimo el tratamiento de la huella dactilar de trabajadores a los efectos de llevar a cabo actividades de control horario. Por el contrario, no se considera pertinente el tratamiento de la huella dactilar de clientes para la prestacin de servicios comerciales o de alumnos con vistas a controlar su asistencia a un centro escolar. Necesidad de informar al interesado acerca del tratamiento de datos subyacente, conforme al artculo 5 de la LOPD. Es necesario el consentimiento del usuario, salvo en ciertos casos. No ser necesario el consentimiento de interesado para el tratamiento de sus datos biomtricos siempre y cuando con dicho tratamiento se pretenda dar cumplimiento a las obligaciones derivadas de la relacin contractual subyacente. Necesidad de inscripcin de un fichero ante la AEPD que cubra dicho tratamiento o, eventualmente, modificacin de un fichero existente para dar reflejo a las finalidades y categoras de datos tratadas. Delegacin de tratamiento. Si un tercero tiene acceso a los datos a los efectos de prestar el servicio de recogida de los mismos, ser considerado un encargado de tratamiento y habr de cumplirse con lo dispuesto bajo el artculo 12 de la LOPD. 8.3 ESTNDARES INTERNACIONALES
Adems de la legislacin vigente, existen otras regulaciones, stas no vinculantes ni de obligado cumplimiento, que es aconsejable seguir. Se trata de los estndares tcnicos que se plantean para cada una de las tecnologas y tcnicas biomtricas. Los estndares biomtricos especifican las condiciones necesarias para que las tecnologas biomtricas puedan ser eficaces e interoperables. Adicionalmente, describen mtodos para su integracin con los sistemas de identificacin y autenticacin y para el intercambio de informacin entre sistemas.
Pgina 76 de 100
La estandarizacin en el rea de la biometra es menos avanzada que en las tarjetas inteligentes (smartcards), pero debido a la necesidad inminente se est acelerando el proceso. Este proceso est impulsado por el sector privado, por organizaciones de estndares internacionales as como por agencias gubernamentales de polticas y estndares. Las principales son: ANSI/INCITS. American National Standards Institute / International Committee for Information Technology Standards (ANSI/INCITS) Technical Committee M1, Biometrics, que tambin acta como el ANSIs Technical Advisory Group para el ISO/IEC Joint Technical Committee. ISO/IEC. International Standards Organization / International Electrotechnical Commission (ISO/IEC) JTC 1/SC 37 on Biometrics. NTSC. US National Science & Technology Council (NSTC) Subcomit de Biometra y Gestin de Identidades. Se ha establecido que las iniciativas biomtricas del gobierno de Estados Unidos se basarn en los estndares biomtricos del ANSI/INCITS y del ISO/IEC. UK British Standards Institute (BSI). Agencia nacional de estndares de Reino Unido. Colabora con el UKs Technical Advisory Group para el ISO/IEC Joint Technical Committee. ICAO. United Nations International Civil Aviation Organization (ICAO) establece los estndares de integracin de la biometra en los pasaportes electrnicos de acuerdo con el INCITS y el ISO/IEC. NIST. The US National Standards Institute. Agencia Estadounidense que desarrolla los estndares tcnicos del gobierno, incluyendo aquellos que afectan a tecnologas biomtricas. Los estndares del NIST se establecen de acuerdo a los del INCITS y del ISO/IEC. Existen evaluaciones de terceros sobre muchas de las tecnologas biomtricas, pero la publicacin de estndares para la evaluacin que faciliten una comparacin fiable entre distintos sistemas es bastante reciente. Los principales estndares existentes para las diferentes tecnologas se reflejan en la siguiente tabla:
Pgina 77 de 100
Tabla 7: Principales estndares existentes Aspecto Imagen de la huella dactilar

Informacin de imagen facial.
Estndares
ISO/IEC 19794-4 Formatos de intercambios de datos biomtricos. Parte 4: ASNI INCITS 381-2004 Formato de intercambio de informacin del dedo. ISO/IEC 19794-2 Formatos de intercambio de datos biomtricos. Parte 2:
Informacin de la minucia de la huella dactilar.
Minucia de la huella dactilar
ANSI INCITS 378-2004 Formato de la minucia del dedo para intercambio de

datos.
ANSI INCITS 377-2004 Formato de intercambio de la informacin bsica

del patrn dedo.
Reconocimiento facial Reconocimiento de iris
ANSI INCITS 385-2004 Formato de reconocimiento facial para intercambio

de datos.
ISO/IEC 19794-5 Formatos de intercambio de datos biomtricos- Parte 5:

Informacin de la imagen facial.
OSP/IEC 19794-6 Formato de intercambio de datos biomtricos-Parte 6:

Informacin de la imagen del iris. Aadir una gua de implementacin para especificar el uso de representacin cartesiana. ANSI/NIST ITL 1-2000 Formato de la informacin para el intercambio de huella dactilar, facial cicatrices y tatuajes (SMT). INSI/NIST ITL 1-2007 Formato de la informacin para el intercambio de huella dactilar, facial y otro tipo de datos biomtricos-Parte 1. ANSI INCITS 396-2005 Formato para el intercambio de datos de la geometra de la mano. ANSI INCITS 395-2005 Formato para el intercambio de datos biomtricosDatos de la firma. ISO/IEC 19784-1 BIOAPI- Interfaz de programacin de la aplicacin biomtrica Parte 1: Especificacin BioAPI. ISO/IEC 19784-2 Interfaz de programacin de la aplicacin biomtrica (BioAPI) Parte 2: Interfaz del proveedor del archivo biomtrico. ISO/IEC 19785-1:2006: Marco comn de intercambio de formatos biomtricos- Parte 1: Especificacin de los elementos de la informacin. ISO/IEC 19785-2: 2006: Marco comn de intercambio de formato biomtricos- Parte 2: Procedimientos para la autorizacin de registros biomtricos. ANSI INCITS 358-2002 Especificacin BioAPO (Version 1.1). ANSI INCITS 398-2005 [NISTIR 6529-A]. Marco comn de intercambio de formatos biomtricos. (CBEFF) ANSI INCITS 409.1-2005 Reporte y testeo del rendimiento biomtrico-Parte 1: Principios y marco. ANSI INCITS 409.2-2005 Reporte y testeo del rendimiento biomtrico. Parte 2: Reporte y testeo de la tecnologa. ANSI INCITS 409.3-2005 Reporte y testeo del rendimiento biomtrico. Parte 3: Reporte y testeo del escenario. ANSI INCITS 409.4 Reporte y testeo del rendimiento biomtrico. Parte 4: Metodologas de la operativa de testeo.
Otras tecnologas
Interfaces tcnicos
Rendimiento
Pgina 78 de 100
9
9.1
GESTIN DE RIESGOS
AMENAZAS Y VULNERABILIDADES EN LOS PROCESOS
La implantacin y el empleo de tecnologas biomtricas estn expuestos a una serie de riesgos, algunos especficos y otros compartidos con las dems tecnologas y tcnicas de identificacin. A continuacin se identifican las amenazas y vulnerabilidades especialmente destacables segn los expertos en la materia que pueden comprometer la seguridad o la confianza en los sistemas biomtricos. Adems algunos sistemas biomtricos actuales cuentan con ciertas limitaciones, tales como no ser capaces de satisfacer las cada vez mayores demandas de carga de trabajo o contar con dificultades de interoperabilidad entre sistemas, tal y como afirman algunos entrevistados. Estas carencias demuestran la necesidad de un mayor desarrollo y la aplicacin de medidas de seguridad especficas. 9.1.1 Amenazas
Las tecnologas biomtricas, como el resto de tecnologas, estn expuestas a una serie de amenazas. Estas pueden ser exclusivas o compartidas con otras tecnologas de autenticacin. Las ms destacadas se desarrollan a continuacin. Prdida o robo de informacin biomtrica El robo de informacin es especialmente sensible en el caso de la biometra al tratarse de informacin exclusiva y extremadamente ligada al individuo, por lo que el robo de la misma supone un incidente de seguridad grave. A diferencia de las contraseas o las tarjetas personales, los rasgos biomtricos son invariables (como regla general), por lo que su nmero es limitado a lo largo del tiempo, sin posibilidad de renovacin y, en consecuencia, su confidencialidad es esencial. Suplantacin de identidad Se trata del uso de informacin biomtrica robada o falsificada con el propsito de acceder a espacios o aplicaciones restringidas, falsificar el control de presencia, enmascarar o suplantar una personalidad, etc. Es de especial gravedad cuando se utiliza para cometer un crimen ya que su repudio resulta complicado. Sabotaje Pueden darse ataques al sensor de forma consciente para tratar de impedir su funcionamiento. Frecuentemente, la causa de estos ataques es una expresin del desacuerdo o descontento con la implantacin de biometra precisamente debido a la alta fiabilidad que ofrece el sistema a la hora evitar conductas fraudulentas y accesos no autorizados.
Incumplimiento de requerimientos legales Los rasgos biomtricos se consideran datos de carcter personal, por lo que su tratamiento se encuentra regulado por la Ley Orgnica de Proteccin de Datos (LOPD) y su Reglamento de Desarrollo (RDLOPD). En consecuencia, de un tratamiento inadecuado puede derivar en un incumplimiento normativo, con la consecuente exposicin a sanciones y el deterioro de la imagen de la entidad. A pesar de que estos datos se han considerado, con carcter general, como de proteccin bsica de conformidad con el RDLOPD, siendo equiparables a una simple direccin o un nmero de telfono, siempre es aconsejable tratar estos datos con la mxima cautela y proteccin posible. Percepcin de falta de privacidad por parte de los usuarios Puede tratarse de una de las principales amenazas, ya que si los usuarios no confan en estas tecnologas se dificultara en buena medida su implantacin. En muchos casos el usuario final otorga a estos datos una alta sensibilidad, por estar extremadamente ligados a su persona. Por ello se debe escoger el modo ms adecuado para su implantacin en virtud a diferentes caractersticas. En la siguiente tabla se compara el impacto de la autenticacin biomtrica en la privacidad en funcin de diferentes factores:
Tabla 8: Impacto en la privacidad Impacto en la privacidad Alto Proceso Identificacin Tipo de tecnologa Fisiolgica Muestra Imagen biomtrica Muestra cifrada Tipo de base de datos Bases de datos grandes/ centralizadas Bases de datos pequeas/ locales
Fuente: INTECO
Bajo
Verificacin
De comportamiento
Pgina 80 de 100
Idoneidad de la implantacin Segn los expertos consultados, es comunmente creido de manera errnea que un sistema biomtrico garantiza la seguridad total y que es la solucin a cualquier problema de seguridad. La implantacin de tecnologas biomtricas supone un considerable coste econmico y una implicacin de personal especficamente dedicado a ello durante la fase inicial. Por ello es necesario realizar un anlisis para evaluar la verdadera necesidad, escenario adecuado de implantacin y el beneficio logrado frente al coste incurrido, ya que es posible que sta no sea la solucin ms adecuada para todos los casos. Calidad de la tecnologa Si la calidad de la tecnologa implantada no alcanza los niveles recomendables, podra acarrear graves brechas de seguridad as como un deterioro notable de la percepcin de las tecnologas debido a su mal funcionamiento. Los elementos que se deben tener en cuenta al respecto son: la calidad del sensor, la eficiencia del algoritmo de comparacin, la encriptacin del almacenamiento de muestras obtenidas y la interoperabilidad con otros sistemas. En muchas ocasiones, todo el sector sufre debido a las experiencias negativas en determinados proyectos que han sido llevados a cabo sin considerar la necesidad de la utilizacin de una tecnologa de calidad. La notoriedad pblica que habitualmente acompaa a los proyectos biomtricos es un arma de doble filo Incidencias con el sistema Cada de las lneas de comunicacin, del propio sistema o de los sistemas de soporte (por ejemplo luz o sistema de comunicaciones), ataques informticos, etc. Estos problemas afectan de forma similar que al resto de tecnologas. Indisponibilidad de sensor Si el acceso o la autenticacin se realizan exclusivamente mediante biometra, es decir, no existe un mtodo alternativo como puede ser el uso de contraseas o tarjetas personales, el fallo o ausencia del dispositivo de adquisicin de muestras supone la imposibilidad de autenticacin o acceso. Un ejemplo de esta situacin es un usuario que tenga que acceder de forma urgente al correo electrnico desde fuera de la oficina mediante huella dactilar pero no disponga de sensor en su ordenador. Nunca un sistema de autenticacin debe estar basado nicamente en un rasgo biomtrico. Deben establecerse procedimientos de urgencia que alberguen la posibilidad de indisponibilidad de los sensores, o al hecho de que la tcnica biomtrica empleada no tenga una alta universalidad
Alteracin con nimo fraudulento de los rasgos biomtricos Alteraciones en las huellas dactilares, en el vello facial, en las cuerdas vocales, etc. con el objetivo de evitar ser reconocido por un sistema biomtrico. Es una prctica frecuente en los intentos de entrada ilegal en un pas, tratando de eludir la identificacin de un individuo reincidente. En algunas fronteras conflictivas, las personas llegan a abrasar sus huellas dactilares con el objetivo de no ser reconocidos por las autoridades y no ser encarcelados Variacin involuntaria en los rasgos biomtricos Los cambios en los rasgos biomtricos, como variaciones de la voz, vello facial o el peinado tambin suceden de forma natural. En estos casos, el usuario no tiene intencin de engaar al sistema. No obstante, estos cambios pueden dificultar el proceso de identificacin y generar, incluso, una percepcin negativa para el usuario. Es necesario considerar la variable tiempo en el diseo de un sistema de autenticacin biomtrico Experiencia de uso negativa (usabilidad) Un mal uso involuntario del sensor realizado por una persona sin los conocimientos adecuados puede tener como consecuencia la desconfianza del usuario en la tecnologa y el aumento de la tasa de error de la misma. Es necesaria formacin de cara a que los empleados hagan un uso ptimo de los sensores Falta de aceptacin cultural Esta amenaza aparece en determinados grupos demogrficos cuyas normas sociales o religiosas no favorecen la toma de muestras en determinadas tcnicas. Por ejemplo, en algunas culturas el reconocimiento facial no es vlido ya que no todos los ciudadanos llevan el rostro al descubierto; en otras la lectura de la huella dactilar se considera una prctica antihiginica, etc. Nos hemos encontrado con verdaderos problemas que determinan el xito o fracaso de nuestros proyectos por no haber estudiado las diferentes consideraciones culturales. Este factor es especialmente crtico en sistemas cuyo mbito es mundial
Pgina 82 de 100
9.1.2
Vulnerabilidades
A continuacin se listan algunas vulnerabilidades que afectan negativamente tanto a la implantacin de sistemas de reconocimiento biomtrico como a su propio rendimiento. Estas vulnerabilidades se dividen segn sean comunes a todas las tcnicas biomtricas o especficas de alguna de ellas.
Tabla 9: Vulnerabilidades Tecnologa biomtrica Huella dactilar Reconocimiento de voz
Vulnerabilidades Calidad baja de los dispositivos de captura. Ubicacin inadecuada del dispositivo de captura. Desconocimiento en la calidad o del abanico de productos y utilidades disponibles. Falta de conocimientos tcnicos del personal. Falta de recursos (tanto de personal como econmicos). Escasa concienciacin en materia de seguridad. Percepcin de ausencia de privacidad por parte de los usuarios. Condicin del dedo en el momento de tomar la muestra: mojado, seco, manchado, etc. Condiciones climatolgicas que afectan al lector: humedad, temperatura, etc. Condiciones de la huella: cortes, heridas o inflamaciones. Actividad laboral: trabajos que puedan afectar a la huella, por ejemplo el uso habitual de productos qumicos que puedan deteriorarla. Enfermedades de la voz: bronquitis, faringitis, gripe, laringitis, afonas, etc. Variacin entre el dispositivo de registro y el usado en la captura de muestras. Variacin entre entornos de registro y captura de muestras (por ejemplo: interior y exterior). Volumen del habla. Variacin en el aspecto facial: peinado, vello, gafas, sombrero, etc. Condiciones de luminosidad. Variacin en el peso. Uso de vestimenta que puede dificultar la localizacin o visin de la cara (pauelos, bufandas, etc.). Excesivo movimiento ocular o de la cabeza. Enfermedades oculares. Uso de gafas. Problemas debidos al uso de lentes de contacto (iris). Uso de joyera, bisutera o abalorios. Uso de vendajes o guantes. Condiciones de la mano: inflamaciones en las articulaciones, heridas, etc. Velocidad de la firma: excesivamente rpida o lenta. Diferente postura del sujeto durante la firma. Firma no consistente: el sujeto vara su firma.
Vulnerabilidades comunes a todas las tecnologas biomtricas
Reconocimiento facial
Escner de iris y retina
Geometra de la mano
Escner de firma
Pgina 83 de 100
9.2
MTODOS DE SOLUCIN Y PREVENCIN
La seguridad es fundamental en todos los elementos de un sistema biomtrico. Es por ello que desde que se adquiere la muestra se deben aplicar los protocolos de seguridad pertinentes para garantizar la privacidad y evitar accesos no autorizados a la base de datos en que se guardan los registros biomtricos. La gestin de los riesgos anteriormente sealados se realiza mediante la aplicacin de buenas prcticas y controles mitigantes en el uso de las tecnologas biomtricas. De este modo, los expertos consultados sealan una serie de medidas a adoptar con el objetivo de reducir los riesgos asociados al empleo de biometra. 9.2.1 Deteccin de vida
La deteccin de vida consiste en la capacidad de un sistema biomtrico de detectar si la muestra adquirida proviene de un ser humano vivo, con el fin de evitar posibles intentos de fraude como por ejemplo el uso de plantillas de goma que intenten simular una huella dactilar. Actualmente la lnea de investigacin sobre la que se debe hacer mayor hincapi es la deteccin de vida De este modo, el dispositivo biomtrico comprobar uno o ms de los siguientes factores, dependiendo de la tecnologa empleada: Pulso cardaco. Presin sangunea. Deteccin de poros. Transpiracin. Profundidad de la cara. Movimientos de la cabeza. Cambios de expresin facial. Movimiento del ojo. Dilatacin de la pupila. Pigmentacin del iris. Seleccin de pronunciar. palabras a
Esta tcnica es uno de los principales mtodos de los que dispone la biometra para combatir el fraude. No obstante, an tiene bastante margen de mejora de cara al futuro. 9.2.2 Almacenamiento de muestras
En el proceso de registro previo al uso de tecnologas biomtricas han de almacenarse las muestras aportadas por los usuarios. As, existe la posibilidad de almacenar una parte de la muestra o multitud de referencias en lugar de la muestra ntegra. Esto se hace para prevenir su utilizacin fraudulenta en caso de prdida o robo. Un ejemplo es el almacenamiento de minucias de huellas dactilares, en lugar de la huella completa. De
esta forma resulta imposible la recreacin de la huella a partir de una minucia, en caso de que esta sea robada. Es fundamental que no se pueda obtener la informacin biomtrica del usuario a partir de las muestras almacenadas. Lo que ms se valora es la privacidad del individuo 9.2.3 Autenticacin de doble factor
Con el objetivo de evitar el fraude se recomienda el uso de dos factores en el proceso de autenticacin. Para ello se puede utilizar biometra bimodal (dos tcnicas biomtricas diferentes, por ejemplo huella dactilar e iris) o combinar la biometra con el uso de contrasea y/o tarjetas de identificacin. 9.2.4 Realizar una buena adaptacin
No todas las empresas son iguales, por ello la adaptacin a las circunstancias de cada caso es esencial para evitar futuros problemas. Por ejemplo, si una empresa va a incorporar un control de accesos en base a la huella dactilar y cuenta con empleados que realizan trabajos manuales o utilizan productos abrasivos, puede ser aconsejable registrar las huellas de la mano que menos utilicen (izquierda en el caso de los diestros y derecha en el caso de los zurdos) y de los dedos que menos se utilicen (generalmente anular y meique). Con esta simple adaptacin, se podrn evitar en buena medida futuros problemas relacionados con cortes o deterioros en la huella. 9.2.5 Adquisicin de tecnologa de calidad
Los expertos coinciden en que la obtencin de muestras de calidad y la realizacin de comparativas fiables es importante para evitar falsos positivos, falsos negativos y altas tasas de error, y esto depende en gran medida de la calidad y fiabilidad de los sistemas utilizados. Una eleccin adecuada previene el fraude y la reticencia de los usuarios. La captura de muestras para el registro se ha de realizar con una mnima calidad que garantice el xito del proceso 9.2.6 Biometra en movimiento
La captura de muestras en movimiento es una forma de reducir la posible percepcin de las tcnicas de adquisicin de informacin biomtrica como intrusivas y la reticencia a utilizarlas por este motivo. Los expertos sealan que este control no es vlido para todas las tcnicas pero ya se aplica en el reconocimiento facial y de iris. 9.2.7 Formacin de los usuarios
Un factor clave en el xito de las tecnologas biomtricas es que sus usuarios las utilicen correctamente. Para la consecucin de este objetivo se puede ofrecer una fase inicial de
formacin que, por norma general, no ser excesivamente larga y en la que se informe de lo que son las tecnologas biomtricas y se aporten unas breves instrucciones y recomendaciones sobre su uso. En este sentido, los acuerdos con los representantes de los trabajadores previos a la implantacin de las tecnologas favorecen este proceso. 9.2.8 Cumplimiento normativo
A la hora de implantar este tipo de tecnologas biomtricas aplicadas a la seguridad, resulta de vital importancia evaluar previamente las ventajas e inconvenientes posibles que, desde el punto de vista jurdico, puede suponer la incorporacin de dicho sistema respecto a la privacidad de las personas afectadas, as como tener en cuenta posibles sistemas o soluciones alternativas que puedan suponer una menor intrusin contra los derechos de los interesados. A este respecto, destacar que en todo caso los datos biomtricos que pudiesen ser sometidos a tratamiento a travs de dichos sistemas deberan ser siempre adecuados, pertinentes y no excesivos en comparacin con la finalidad del proceso (por ejemplo: control horario, control de accesos, control de presencia, etc.). Del mismo modo, es necesario recordar que las medidas de seguridad sealadas por la LOPD y su reglamento de desarrollo no solo se consideran exigencias para el cumplimiento legal, sino tambin buenas prcticas que mitigan y evitan posibles incidencias en relacin a la privacidad de los usuarios. Tal es el caso de la determinacin del personal con acceso a los datos biomtricos del sistema y sus funciones o la asignacin de cuentas de usuario para cada trabajador junto a medidas de trazabilidad para hacer constar quin accede a estos datos o realiza modificaciones en ellos.
Pgina 86 de 100
10
CONCLUSIONES
10.1 CONCLUSIONES GENERALES 10.1.1 Tecnologa madura vs. Mercado en desarrollo
Tras la consulta a los diferentes expertos del sector de la biometra y la elaboracin de su estudio se puede concluir que, desde el punto de vista tcnico, las tecnologas biomtricas se encuentran en un grado de madurez suficiente para ser implantadas con xito, pero es el mercado el que actualmente no ha alcanzado la madurez necesaria. Concretamente, el mercado est carente an de los siguientes aspectos: Ausencia de conocimiento por parte de los potenciales usuarios, esto es, de las entidades que podran estar interesadas en la implantacin de sistemas biomtricos. En muchas ocasiones, la alta direccin no es consciente de los beneficios en materia de ahorro de costes, aumento de seguridad y mejora de la imagen corporativa que podra tener la utilizacin de un sistema con estas caractersticas ni de la multitud de finalidades para las cuales podra ser interesante su uso. Ausencia de oferta en cuanto a soluciones integradas de seguridad por parte de distribuidores o fabricantes de soluciones de seguridad. Por ejemplo: videovigilancia con deteccin biomtrica, integracin de biometra en el sistema de gestin de identidades corporativo, etc. Desconocimiento y desconfianza por parte de los ciudadanos, la ciencia ficcin ha difundido algunos miedos y mitos entre la ciudadana que deben ser superados para evitar de este modo la resistencia a la utilizacin de tcnicas biomtricas. Tambin pueden suponer un impedimento de consideracin para la adopcin por parte de los ciudadanos las barreras culturales existentes, por ejemplo en determinados pases asiticos donde no se permite el establecimiento de contacto por motivos higinicos o la utilizacin de ropa que cubre la cara en diferentes culturas. Actualmente, el sector empresarial se encuentra en un periodo de dificultades econmicas. Es por ello que en muchas instituciones no se prioriza la inversin en tecnologas innovadoras y se tiende a mantener los sistemas ya existentes. Necesidad de estandarizacin en el anlisis
10.1.2
Si bien las tcnicas biomtricas se encuentran suficientemente maduras, la ausencia de criterios comunes que permitan la evaluacin de una forma objetiva de las diferentes soluciones existentes en el mercado dificulta el anlisis de las mismas y supone una
Pgina 87 de 100
fuerte barrera de cara a la implantacin de los sistemas y a la percepcin sobre su validez. 10.1.3 Posible exceso de confianza
En ocasiones se tiende a pensar que la biometra es la solucin a todos los problemas de seguridad. El sector empresarial debe ser consciente de que la implantacin de tcnicas biomtricas debe ser una decisin basada en la realizacin de un anlisis coste/beneficio, as como de que la seguridad absoluta no existe en ningn sistema de seguridad. Como prueba de ello, se encuentra el conjunto de amenazas y vulnerabilidades destacados en el presente estudio. 10.1.4 Altos beneficios potenciales
En lnea de la conclusin previa, los sistemas biomtricos implantados tras un proceso adecuado de anlisis previo, reportan grandes beneficios tanto a entidades como a ciudadanos y empleados. A modo de ejemplo pueden observarse los casos de xito analizados en detalle en el presente estudio, donde se han obtenido mejoras tanto en la comodidad de los usuarios, en el aumento de la seguridad y en el ahorro de costes. 10.2 FORTALEZAS Y OPORTUNIDADES 10.2.1 Aprendizaje y perfeccionamiento
Actualmente se est implantando lo que se considera la segunda generacin biomtrica. El establecimiento de los sistemas biomtricos de primera generacin y la deteccin de sus limitaciones, determinaron cules deben ser los principales retos que esta segunda generacin debe afrontar y solventar. Estos retos se clasifican en dos grandes tipologas: Retos tcnicos, como precisin, velocidad, ergonoma y seguridad (por ejemplo, seguir avanzando en la deteccin de vida y la resistencia al fraude), y Retos sociales, especialmente en lo referente a preocupaciones por la privacidad y la salud as como problemas culturales o ticos. 10.2.2 Implicacin de las Administraciones Pblicas
El impulso por parte de las administraciones pblicas se est produciendo y es un aspecto fundamental para la normalizacin e implantacin de la tecnologa y su desarrollo. Mediante la adopcin de acciones divulgativas y la adopcin de sistemas biomtricos en sus propias instalaciones y servicios, las Administraciones Pblicas sern principales impulsores de esta tecnologa. 10.2.3 Impulso de las grandes empresas
Se considera un gran factor que abrir nuevas oportunidades, especialmente la adopcin por parte de aquellas que requieran de mayor seguridad en sus transacciones, como las financieras y aseguradoras. Con su implantacin y desarrollo, estas empresas conseguirn el establecimiento de estndares comunes y sistemas de autenticacin
Pgina 88 de 100
homogneos de cara a ofrecer servicios integrados de diferentes tipologas. Es decir, el establecimiento de una autenticacin biomtrica nica por parte de grandes asociaciones empresariales es una lnea de desarrollo futuro que, en coordinacin con las administraciones pblicas, ser impulsado por las grandes corporaciones privadas que deseen aportar valor adicional a los servicios que ofrecen a sus clientes. 10.2.4 Estandarizacin e interoperabilidad
Los expertos entrevistados consideran la normalizacin de los datos almacenados o transmitidos en diversos estndares, que permitan la interoperabilidad entre plataformas y tcnicas diferentes un factor, como un elemento fundamental que favorecer el desarrollo de las tecnologas biomtricas. 10.3 DEBILIDADES Y POSIBLES RIESGOS 10.3.1 Exposicin pblica
Uno de los principales riesgos con los que cuentan las tecnologas biomtricas es la gran exposicin que tienen estos proyectos a la opinin pblica. Especialmente aquellos que se abordan a nivel nacional son muy publicitados, y en el caso de que la implantacin final no sea satisfactoria habitualmente se hace perjudica a toda la industria, pues la percepcin de los ciudadanos es negativa de manera genrica y no sobre el proyecto especfico. 10.3.2 Temores por parte de los ciudadanos
An hoy, sigue existiendo un desconocimiento generalizado por parte de la ciudadana a pesar de los esfuerzos ya realizados. El principal miedo es la ausencia o prdida de privacidad de los ciudadanos, quienes siguen considerando que la biometra es una tecnologa intrusiva para ellos. Es por esto que emprender acciones de concienciacin de carcter general orientadas hacia la ciudadana cobra especial relevancia de cara a evitar la falsa sensacin de disminucin de privacidad. 10.3.3 Necesidad de normativas especficas
A pesar de que la actual normativa pueda ser suficiente, la ausencia de regulacin especfica para sistemas de reconocimiento biomtrico puede ser un riesgo que deba solventarse de la mejor manera posible. Para ello, se establecen un conjunto de recomendaciones en este sentido que faciliten la labor de los organismos reguladores.
Pgina 89 de 100
11
RECOMENDACIONES
A continuacin se ha recogido un conjunto de consejos y recomendaciones para la investigacin, implantacin y uso de las tecnologas biomtricas as como para su regulacin. 11.1 RECOMENDACIONES DIRIGIDAS A LAS ORGANIZACIONES Algo en lo que coinciden los expertos consultados, es que es esencial considerar diferentes aspectos a la hora de valorar la posible implantacin de un sistema biomtrico. En este sentido, son destacables los siguientes factores: Localizacin: El lugar donde se vaya a ubicar fsicamente el sistema de reconocimiento biomtrico es un factor clave para la eleccin de la tcnica a emplear. Es por ello que se debe contemplar si se encontrar ubicado en zonas de acceso pblico o restringido a la hora de seleccionar una tcnica de mayor o menor resistencia al fraude y especialmente a los ataques fsicos. Finalidad perseguida: Algunos sistemas de reconocimiento biomtricos persiguen verificar la identidad de los usuarios (comparacin 1:1) y otros sin embargo persiguen la identificacin de los mismos (comparacin 1:n). En este sentido la finalidad determina en muchas ocasiones la capacidad de computacin que requiere el sistema (mayor cuando la finalidad es identificar al tener que comparar una muestra con todas las existentes en la base de datos) y por tanto la eleccin de la tcnica a emplear. Nmero de usuarios: Se debe tener en cuenta el nmero de usuarios que utilizarn el sistema biomtrico. Es previsible que en grandes sistemas de reconocimiento con una elevada carga de reconocimientos sea ms sencilla la aplicacin de economas de escala, reduciendo por tanto el coste medio por reconocimiento. Circunstancias de los usuarios: Conocer a los usuarios finales que van a emplear el sistema de reconocimiento puede determinar por completo el xito o fracaso de la implantacin. En este sentido, se deber tener en cuenta: o Conocimientos previos: Es necesario considerar el conocimiento anterior con el que cuentan los usuarios de cara a facilitarles la utilizacin del sistema de biometra (tanto a los usuarios finales como a los usuarios administradores del mismo), pudiendo estimar as la necesidad de formacin previa al lanzamiento. Entorno: Existen diferentes entornos donde la utilizacin de un sistema biomtrico concreto puede suponer un inconveniente. A modo de ejemplo,
Pgina 90 de 100
no se debe utilizar el reconocimiento de huella dactilar en ubicaciones donde los empleados deban utilizar guantes protectores, o donde habitualmente tengan las manos hmedas o mojadas. Tampoco debern emplearse sistemas de reconocimiento facial en culturas donde habitualmente las personas cubran su rostro. o Confianza en los individuos: La utilizacin o no utilizacin de biometra para la autenticacin de usuarios en muchas ocasiones viene determinada por la confianza o desconfianza que se tenga sobre los usuarios finales.
Informacin existente: En el momento de valorar econmicamente qu sistema biomtrico debe emplearse, es necesario recopilar el conjunto de informacin de la que se dispone previamente. De este modo se podrn aprovechar sinergias o reutilizar el trabajo realizado en proyectos anteriores.
Una vez contemplados todos estos aspectos de manera previa a la implantacin del sistema biomtrico, se podr estimar un coste aproximado de la puesta en marcha y de su mantenimiento en el tiempo. Tras determinar la necesidad de implantacin de un sistema biomtrico, se recomienda a las organizaciones tomar las siguientes medidas: 1) Apostar por la implantacin de tecnologas de calidad, esto es, ante las diferentes tecnologas existentes en el mercado, primar aquellas que ofrezcan mayor fiabilidad y, consecuentemente, mejores resultados. 2) Informarse adecuadamente de cara a hacer un uso correcto de las tcnicas biomtricas a implantar en la organizacin. 3) Ofrecer colaboracin a los usuarios finales; la cooperacin con ellos es el gran factor en el xito de las implantaciones de tecnologas biomtricas. 4) Ser consciente de que los datos biomtricos son de carcter personal: es por ello que estn regulados por la Ley Orgnica de Proteccin de Datos y se deben proteger como tales. 5) Solicitar siempre el consentimiento de recogida y uso de datos biomtricos. La empresa que quiera recopilar y emplear dichos datos ha de obtener el consentimiento del usuario, informndole previamente de su finalidad y tratamiento. De este modo no slo se cumplir con la legislacin, sino que una actuacin transparente ayudar a mejorar los niveles de aceptacin por la ciudadana, la usabilidad, y, por tanto, la efectividad de estas tecnologas.
Pgina 91 de 100
6) Facilitar el ejercicio de los derechos ARCO de los usuarios sobre sus datos personales, dndoles a conocer la posibilidad de obtener informacin, modificar, suprimir y oponerse a su tratamiento de dichos datos. 11.2 RECOMENDACIONES DIRIGIDAS A LA INDUSTRIA Como se ha descrito previamente, para la elaboracin del presente estudio se ha contado con la colaboracin de expertos en sistemas biomtricos de muy diversa naturaleza, desde perfiles legales a ms tcnicos. En este sentido, se les solicit que fueran crticos con su propia industria y este es el conjunto de recomendaciones destacables al respecto. 11.2.1 Fabricantes y proveedores de servicios
1) Apostar por la innovacin en el desarrollo e implantacin con el objetivo de fomentar las tecnologas biomtricas. 2) Ofrecer sistemas de alta calidad, fomentando el xito final que ayudar a la mejora de la imagen de la biometra en general. 3) Solventar las dudas de los clientes, informando de la importancia y la base tecnolgica del sistema; de esta forma el cliente podr tomar una decisin informada sobre la tecnologa a implantar. 4) Analizar al cliente para poder asesorarle en la tecnologa idnea segn sus necesidades y poder formar apropiadamente a los usuarios sobre su utilizacin. 5) Promover una unificacin de algoritmos, cifrados y procesos de extraccin de muestras, lo que favorecer la interoperabilidad entre los sistemas implantados. 6) Mostrar las ventajas de estos productos y servicios y no exagerar sobre los defectos o inconvenientes de otras tcnicas de la competencia ya que, como consecuencia de ello, se desprestigia a la biometra en general. 7) Solicitar permiso a los usuarios para tratar sus datos biomtricos, siendo muy concreto y transparente sobre el tratamiento y la finalidad de su uso. 8) Garantizar especialmente la seguridad y confidencialidad de los datos cedidos para generar confianza en los usuarios del sistema.
Pgina 92 de 100
11.2.2
Investigadores
1) Adaptarse a los requerimientos de los usuarios finales con el objetivo de desarrollar lneas de investigacin que puedan satisfacer las necesidades existentes. 2) Conocer la situacin actual de la industria biomtrica y evitar la elaboracin de prototipos de difcil aplicacin en el mbito comercial por su coste o utilidad. 3) Explorar diferentes opciones de mejora y abaratamiento de la tecnologa para favorecer su desarrollo y expansin. 4) Realizar labor divulgativa de cara a fomentar que la ciudadana se familiarice, comprenda y confe en la biometra. 11.3 RECOMENDACIONES DIRIGIDAS A LAS ADMINISTRACIONES PBLICAS Como en muchos otros aspectos innovadores, especialmente en el mbito de la seguridad, las Administraciones Pblicas son un factor clave en el desarrollo de la biometra. En este sentido, tras la elaboracin del presente estudio, cabe destacar las siguientes recomendaciones de cara a fomentar y facilitar el conocimiento y la utilizacin de tecnologas biomtricas. 1) Facilitar acceso a servicios pblicos por parte de los ciudadanos empleando sistemas biomtricos. Las ventajas evidentes para los ciudadanos de cara a realizar todos los trmites con las administraciones pblicas de manera telemtica y mediante su autenticacin a distancia, supondr un percepcin muy positiva por parte de los mismos. 2) Utilizacin de sistemas biomtricos para sus propias instalaciones. Adems de fomentar su uso y conocimiento, la implantacin de sistemas biomtricos en las instalaciones de las administraciones puede suponer una mejora en la seguridad y la eficiencia de los trabajadores. 3) La continuidad en la inversin en materia de defensa y control de fronteras utilizando sistemas biomtricos disminuye la necesidad de recursos humanos para estas tareas y permite el empeo de los recursos de las fuerzas y cuerpos de seguridad en otras funciones donde la intervencin humana sea crtica. 4) Como en toda tecnologa punta, la continuada inversin en investigacin y desarrollo se torna esencial de cara a obtener an mejores sistemas biomtricos. 5) Llevar a cabo acciones de divulgacin de los beneficios del uso de tecnologas biomtricas, desmitificando sus inconvenientes y evidenciando las mejoras que pueden suponer en el da a da de los ciudadanos.
Pgina 93 de 100
11.4 RECOMENDACIONES ESTANDARIZACIN
PARA
LEGISLADORES
AGENTES
DE
Los organismos encargados de regular y normalizar los diferentes aspectos de la biometra, tanto legal como tcnicamente, pueden fomentar su desarrollo siguiendo una serie de recomendaciones: 1) Garantizar los derechos de privacidad de los ciudadanos, permitiendo al mismo tiempo el desarrollo de las tecnologas que ofrecen una mayor seguridad, como las biomtricas. 2) Si bien la regulacin actual en Espaa en materia de proteccin de datos es suficiente para regular el mbito de la biometra, de cara a unificar criterios y atender a una especial sensibilidad de la poblacin podra ser conveniente desarrollar una regulacin especfica para la biometra. 3) Evitar una normativa excesivamente rgida que impida o dificulte el uso de la biometra o que no se pueda adaptar fcilmente a los futuros desarrollos. 4) Desarrollar un anlisis profundo de los riesgos y beneficios de la biometra antes de redactar y promulgar la normativa de desarrollo. 5) Avanzar en la regulacin legislativa relativa a la suplantacin de identidad, una de las mayores amenazas identificadas. 6) Fomentar la creacin de un estndar nico para cada tecnologa que facilite la interoperabilidad.
Pgina 94 de 100
ANEXO I: BIBLIOGRAFA
Air University and Iqra University (2011). Biometric Access Control System Using Automated Iris Recognition. http://iqrauniversity.edu.pk/AJEST%20Volume%201%20Issue%201.pdf Central Institute of Technology of Kokrajhar (2010). Internet Banking Risk Analysis and Applicability of Biometric Technology for Authentication. http://ijopaasat.in/yahoo_site_admin/assets/docs/Gunajit_Paper6_Review_.18192851.pdf Centre for European Policy Studies (2006). Communicating (in)Security: A Failure of Public Diplomacy? Centre for European Policy Studies (2010). Developing Biometrics in the EU. Centre for European Policy Studies (2010). Quantum Surveillance and Shared Secrets. A biometric step too far? Computer Law & Security Review (2011). Body scanners vs. privacy and data protection. http://www.uio.no/studier/emner/jus/jus/JUR5630/v11/undervisningsmateriale/Mironen ko_article_13012011.pdf Deloitte & National Physical Laboratory (2006). Latest biometric test results: performance, quality and interoperability. Deloitte (2004). Biometric security. Deloitte (2005). Biometric ID card debates. Deloitte (2005). Suitability of biometrics at airports (Airport Industry Conference 2005, Moscow). cole Polytechnique Fdrale de Lausanne (2010). Biometrics & Security Combining Fingerprints, Smart Cards and Cryptography. European Commitee for Standarization (2009). Report on a biometric profile specific to cross-border interoperability of biometrics applicable to e-Identity. http://www.cen.eu/cen/Sectors/Sectors/ISSS/Focus/Documents/ReportCrossborderInt eroperabilityv10att1.pdf
European Committee for Standardization (2004). Towards an electronic ID for the European Citizen, a strategic vision. http://www.umic.pt/images/stories/publicacoes/Towards%20eID.pdf
Pgina 95 de 100
Forrester (2008). Biometrics: State Of The Art And Future Implications. Forrester (2010). Smart Computing Fuels Biometrics Growth. Forrester (2011). Forrsights: The Evolution of IT Security, 2010 To 2011. Gartner (2008). Case Study - Health Management Company Deploys Voice Biometrics for Caller Verification. Gartner (2010). Hype Cycle for Contact Center Infrastructure. Gartner (2010). Hype Cycle for Identity and Access Management Technologies. Gartner (2010). Q&A: Biometric Authentication Methods. Gartner (2010). Revisiting the Business Case for Biometrics and Retail Timekeeping. Gartner (2011). Using Voice Recognition Technology to Capture Criminals. Institute of Electrical and Electronics Engineers (2011). Universal biometric evaluation system: Framework for testing evaluation and comparison of biometric methods. Michigan State University (2010). Biometrics of Next Generation: An Overview. Sri Jayachamarajendra College of Engineering (2011). Future Path Way to Biometric. Trub AG (2005). Biometrics Whitepaper. Universidad Carlos III de Madrid (2010). Privacy and Legal Requirements for Developing Biometric Identification Software in Context-Based Applications. http://www.sersc.org/journals/IJBSBT/vol2_no1/2.pdf Universidad de Deusto & Universidad del Pas Vasco (2007). Anlisis en torno a la tecnologa biomtrica para los sistemas electrnicos de identificacin y autenticacin. http://www.redeweb.com/_txt/630/52.pdf
Universit di Bologna (2009). Biometric Fingerprint Recognition http://amsdottorato.cib.unibo.it/1234/1/TesiFinale_-_Matteo_Ferrara.pdf
Systems.
University of Kebangsaan & Institute of Electrical and Electronics Engineers (2011). State of the art in offline signature verification system.
Pgina 96 de 100
ANEXO II: NDICES ILUSTRACIONES

NDICE DE TABLAS
DE
TABLAS,
GRFICOS
Tabla 1: Sensores segn tipos de tecnologa biomtrica .................................................23 Tabla 2: Parmetros considerados en cada tecnologa biomtrica ..................................24 Tabla 3: Caractersticas extradas en cada tcnica biomtrica.........................................25 Tabla 4: Valoracin comparativa de las distintas tcnicas biomtricas ............................41 Tabla 5: Ventajas e inconvenientes de las distintas tecnologas ......................................41 Tabla 6: Comparativa biometra vs Contraseas/tarjetas .................................................46 Tabla 7: Principales estndares existentes ......................................................................78 Tabla 8: Impacto en la privacidad ....................................................................................80 Tabla 9: Vulnerabilidades ................................................................................................83
NDICE DE GRFICOS Grfico 1: Proceso de inscripcin en el registro ...............................................................25 Grfico 2: Proceso de identificacin en la autenticacin ..................................................26 Grfico 3: Proceso de verificacin en la autenticacin .....................................................27 Grfico 4: Grado de implantacin en el mercado .............................................................43
NDICE DE ILUSTRACIONES Ilustracin 1: Minucias de una huella dactilar ...................................................................30 Ilustracin 2: Tcnica de correlacin ................................................................................30 Ilustracin 3: Reconocimiento facial .................................................................................31 Ilustracin 4: Reconocimiento de la geometra de la mano ..............................................34 Ilustracin 5: Reconocimiento de retina ...........................................................................35
Pgina 97 de 100
Ilustracin 6: Reconocimiento de venas de la mano ........................................................36 Ilustracin 7: Reconocimiento de la forma de andar ........................................................39 Ilustracin 8: Control de accesos .....................................................................................57 Ilustracin 9: Control de presencia de doble factor ..........................................................57 Ilustracin 10: Acceso rpido a fronteras aeroportuarias .................................................63 Ilustracin 11: Aplicacin para gestin de ayudas pblicas a travs de cajeros automticos .....................................................................................................................66
Pgina 98 de 100
Sguenos a travs de:
Web
http://observatorio.inteco.es Perfil Facebook ObservaINTECO http://www.facebook.com/ObservaINTECO Perfil Twitter ObservaINTECO http://www.twitter.com/ObservaINTECO Perfil Scribd ObservaINTECO http://www.scribd.com/ObservaINTECO Canal Youtube ObservaINTECO http://www.youtube.com/ObservaINTECO Blog del Observatorio de la Seguridad de la Informacin: http://www.inteco.es/blogs/inteco/Seguridad/BlogSeguridad
Envanos tus consultas y comentarios a:

observatorio@inteco.es
Instituto Nacional de Tecnologas de la Comunicacin
www.inteco.es

Estudio Sobre Las Tecnologías Biométricas Aplicadas A La Seguridad

Hochgeladen von

Dokumentinformationen

Originaltitel

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Estudio Sobre Las Tecnologías Biométricas Aplicadas A La Seguridad

Hochgeladen von

Copyright:

Verfügbare Formate

Estudio sobre las tecnologas biomtricas aplicadas a la seguridad

Edicin: Diciembre 2011

Correo electrnico del Observatorio de la Seguridad de la Informacin: observatorio@inteco.es

CASOS DE XITO ...................................................................................................62

10 10.1 10.2 10.3 11 11.1 11.2 11.3 11.4

Recomendaciones y buenas prcticas

Forrester Gartner Institute of Electrical and Electronics Engineer

VaniOS. Jorge Urios, CEO.

Desde INTECO se les agradece su colaboracin y disponibilidad. 2.2.2 Realizacin de entrevistas

Plantilla del usuario

Generador de plantillas Plantilla

Todas las plantillas

Identificacin del usuario o no

Generador de plantillas Plantilla

Ilustracin 1: Minucias de una huella dactilar

Ilustracin 6: Reconocimiento de venas de la mano

Tabla 4: Valoracin comparativa de las distintas tcnicas biomtricas Comportamiento Mensurabilidad

Reconocimiento de retina Reconocimiento de la geometra de la mano Reconocimiento de firma

Reconocimiento de escritura de teclado

Grfico 4: Grado de implantacin en el mercado

Reconocimiento de escritura del teclado 1%

Reconocimiento de firma 12% Reconocimiento de iris 14%

Huella dactilar 58%

Fuente: Central Institute of Technology of Kokrajhar (2010)

ANLISIS DE LOS PROCESOS DE IDENTIFICACIN

SISTEMAS DE AUTENTICACIN DE DOBLE FACTOR

BENEFICIOS DE LA UTILIZACIN TECNOLOGAS BIOMTRICAS

Reduccin de costes de mantenimiento

Familiarizacin con tecnologa avanzada

USOS Y APLICACIONES DE LAS TECNOLOGAS BIOMTRICAS

Ilustracin 8: Control de accesos

APLICACIONES EN FASE DE DESARROLLO

Ilustracin 10: Acceso rpido a fronteras aeroportuarias

Encuentro Internacional de Seguridad de la Informacin, organizado por INTECO.

Normativa de la Unin Europea

B.O.E. nm. 62, de 12 de marzo de 1996.

Tabla 7: Principales estndares existentes Aspecto Imagen de la huella dactilar

Minucia de la huella dactilar

ANSI INCITS 378-2004 Formato de la minucia del dedo para intercambio de

ANSI INCITS 377-2004 Formato de intercambio de la informacin bsica

Reconocimiento facial Reconocimiento de iris

ANSI INCITS 385-2004 Formato de reconocimiento facial para intercambio

ISO/IEC 19794-5 Formatos de intercambio de datos biomtricos- Parte 5:

OSP/IEC 19794-6 Formato de intercambio de datos biomtricos-Parte 6:

Vulnerabilidades comunes a todas las tecnologas biomtricas

Escner de iris y retina

MTODOS DE SOLUCIN Y PREVENCIN

10.1 CONCLUSIONES GENERALES 10.1.1 Tecnologa madura vs. Mercado en desarrollo

11.4 RECOMENDACIONES ESTANDARIZACIN

Universit di Bologna (2009). Biometric Fingerprint Recognition http://amsdottorato.cib.unibo.it/1234/1/TesiFinale_-_Matteo_Ferrara.pdf

ANEXO II: NDICES ILUSTRACIONES

Sguenos a travs de:

Envanos tus consultas y comentarios a:

Instituto Nacional de Tecnologas de la Comunicacin

Das könnte Ihnen auch gefallen