Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Tecnologias Biometricas Aplicadas A La Seguridad España
Tecnologias Biometricas Aplicadas A La Seguridad España
OBSERVATORIO DE LAaplicadas
Estudio sobre las tecnologías biométricas SEGURIDAD
a la seguridad DE LA INFORMACIÓN
Página 1 de 100
Observatorio de la Seguridad de la Información
Edición: Diciembre 2011
El “Estudio sobre las tecnologías biométricas aplicadas a la seguridad” ha sido elaborado por el
siguiente equipo de trabajo del Observatorio de la Seguridad de la Información de INTECO:
La presente publicación pertenece al Instituto Nacional de Tecnologías de la Comunicación (INTECO) y está bajo una
licencia Reconocimiento-No comercial 3.0 España de Creative Commons, y por ello está permitido copiar, distribuir y
comunicar públicamente esta obra bajo las condiciones siguientes:
• Reconocimiento: El contenido de este informe se puede reproducir total o parcialmente por terceros, citando su
procedencia y haciendo referencia expresa tanto a INTECO como a su sitio web: www.inteco.es. Dicho
reconocimiento no podrá en ningún caso sugerir que INTECO presta apoyo a dicho tercero o apoya el uso que hace
de su obra.
• Uso No Comercial: El material original y los trabajos derivados pueden ser distribuidos, copiados y exhibidos
mientras su uso no tenga fines comerciales.
Al reutilizar o distribuir la obra, tiene que dejar bien claro los términos de la licencia de esta obra. Alguna de estas
condiciones puede no aplicarse si se obtiene el permiso de INTECO como titular de los derechos de autor. Nada en esta
licencia menoscaba o restringe los derechos morales de INTECO. http://creativecommons.org/licenses/by-nc/3.0/es/
El presente documento cumple con las condiciones de accesibilidad del formato PDF (Portable Document Format). Así, se
trata de un documento estructurado y etiquetado, provisto de alternativas a todo elemento no textual, marcado de idioma y
orden de lectura adecuado.
Para ampliar información sobre la construcción de documentos PDF accesibles puede consultar la guía disponible en la
Estudio
sección sobre las tecnologías
Accesibilidad biométricas
> Formación aplicadas
> Manuales y Guíasa de
la seguridad
la página http://www.inteco.es Página 2 de 100
Observatorio de la Seguridad de la Información
ÍNDICE
1.1 Presentación......................................................................................................10
2 DISEÑO METODOLÓGICO......................................................................................15
2.3 Fase 3: Elaboración del informe de conclusiones finales del proyecto ...............21
3.1 Antecedentes.....................................................................................................22
10 CONCLUSIONES .................................................................................................87
11 RECOMENDACIONES .........................................................................................90
ANEXO I: BIBLIOGRAFÍA................................................................................................95
En primer lugar, se basa en el análisis documental, para lo cual se han inventariado las
fuentes de información que disponen y publican estudios, informes o trabajos
relacionados con la biometría y se han analizado las principales conclusiones de aquellos
informes que contienen información actual y útil para realizar este estudio.
Las técnicas biométricas existentes se clasifican en función del rasgo humano analizado,
el cual puede ser fisiológico –donde encontramos el reconocimiento de huella dactilar, de
iris, de retina y de rostro, entre otros– o de comportamiento –donde se encuentran el
reconocimiento de voz, de firma o de la manera de andar, entre otros–.
Los beneficios para las entidades se centran en el aumento de los niveles de seguridad,
la reducción de las posibilidades de fraude interno y la reducción en los costes de
mantenimiento de los sistemas de seguridad y autenticación.
Por su parte, los usuarios pueden ver como aumenta su comodidad al no tener que
recordar múltiples y complejas contraseñas, podrán realizar tramitaciones remotas con
mayor seguridad y en el caso de operaciones presenciales podrán ver reducidos los
tiempos de espera. Por otra parte, su privacidad puede verse reforzada si el acceso a sus
datos personales se realiza mediante autenticación biométrica.
En base a las entrevistas realizadas, la principal finalidad para la cual se utilizan sistemas
biométricos es el control de acceso (tanto físico como lógico) a edificios, zonas
restringidas y sistemas de información. Sin embargo, en el mercado actualmente se
encuentran técnicas biométricas empleadas con objetivos como el control de presencia,
el control de fronteras, la lucha contra el fraude y la investigación de delitos.
Estudio sobre las tecnologías biométricas aplicadas a la seguridad Página 6 de 100
Observatorio de la Seguridad de la Información
La utilización de sistemas de reconocimiento basados en biometría supone grandes
beneficios para las organizaciones o entidades que los implantan en aspectos como la
reducción de costes, el aumento de la seguridad y la eficiencia, y la mejora de la imagen
corporativa. También supone grandes beneficios para los usuarios finales en relación a
su comodidad, reducción de tiempos de espera, posibilidad de realizar tramitaciones
remotas y mayor salvaguarda de su privacidad entre otras.
Se puede destacar también una serie de aplicaciones en fase de desarrollo que han sido
identificadas en el análisis documental y comentadas por los expertos que han
colaborado en el proceso de consulta. Actualmente se están desarrollando soluciones
para facilitar la autenticación a distancia, verificar diferentes medios de pago y mejorar los
sistemas de control parental y de vigilancia en general. Es especialmente reseñable el
desarrollo que se está produciendo de sistemas biométricos para la autenticación de
usuarios que realizan transacciones mediante teléfonos móviles.
V. Casos de éxito
En ambos casos destaca la comodidad para los usuarios que ha supuesto la implantación
de sistemas biométricos, y la eficiencia conseguida por parte de las organizaciones, las
cuales han podido destinar sus recursos, que previamente destinaban al reconocimiento
de personas, a otras funciones.
Los datos biométricos son considerados datos de carácter personal por las diferentes
autoridades nacionales y europeas de protección de datos. Es por ello que deben
aplicarse los principios establecidos en la Ley Orgánica de Protección de Datos de
Carácter Personal y las medidas de seguridad establecidas en su Reglamento de
Desarrollo.
Con el objetivo de gestionar los riesgos identificados, los expertos señalan métodos se
solución y prevención de los mismos que facilitan la implantación exitosa de sistemas
biométricos. En este sentido, cabe destacar la detección de vida, la utilización de
biometría en movimiento, el almacenamiento seguro de muestras, la formación de los
usuarios finales y la realización de un análisis previo a la implantación.
1.1 PRESENTACIÓN
La misión de INTECO es aportar valor e innovación a los ciudadanos, a las PYMES, a las
Administraciones Públicas y al sector de las tecnologías de la información, a través del
desarrollo de proyectos que contribuyan a reforzar la confianza en los servicios de la
Sociedad de la Información en nuestro país, promoviendo además una línea de
participación internacional.
Para la realización del mismo se plantean una serie objetivos que se desarrollan a
continuación.
• Identificar los puntos clave del beneficio para las organizaciones al implantar
sistemas biométricos.
• Analizar los métodos de solución y prevención que permiten gestionar los riesgos
identificados previamente.
Recomendaciones
Esta fase del proyecto se ha destinado a consultar la opinión de expertos sobre los
diferentes ámbitos de análisis propuestos para el estudio.
• Ganetec. Jesús Tejedor, Ramón Llorca y Miquel Mora, R & D Software engineers
y Gerente.
• San José State University. Jim Wayman, Director del departamento ‘National
Biometric Test Center’.
• Universidad Carlos III de Madrid. Raúl Sánchez Reillo, Director del GUTI -
Grupo Universitario de Tecnologías de Identificación.
3.1 ANTECEDENTES
Los primeros antecedentes de los que se tiene referencia sobre la biometría datan de
hace más de mil años en China, donde los alfareros comenzaron a incluir sus huellas
dactilares en los productos que realizaban como símbolo de distinción o firma, lo que les
permitía diferenciarse del resto.
Sin embargo, no fue hasta finales del siglo XIX cuando Alphonse Bertillon –antropólogo
francés que trabajó para la policía– comenzó a dar a la biometría el carácter de ciencia,
profesionalizando su práctica. Basaba su teoría en que una cierta combinación de
medidas del cuerpo humano era invariable en el tiempo, lo que permitió dar solución al
problema de identificar a los criminales convictos a lo largo de toda su vida.
El sistema de Bertillon o “Antropometría”, que incluía, entre otras, medidas como el largo
y ancho de la cabeza o la longitud del pie izquierdo y del antebrazo, se comenzó a utilizar
comúnmente a lo largo de todo el mundo. Sin embargo, su efectividad se puso en duda al
presentarse algunos problemas en el uso de diferentes medidas y, especialmente, por las
dificultades en la diferenciación de sujetos extremadamente similares como los gemelos.
Esta desacreditación hizo que Sir Edward Henry, Inspector General de la Policía de
Bengala, buscase otras técnicas y se interesase por las investigaciones de Sir Francis
Galton, el cual utilizaba la huella dactilar como método de identificación. Primero en
Bengala y posteriormente en Londres (1901), Sir Edward Henry estableció su oficina de
huella dactilar exitosamente y consiguió rápidamente la aceptación de la comunidad a
nivel mundial. Así, los métodos utilizados en oriente desde siglos atrás fueron
introducidos exitosamente en occidente.
Ya a comienzo de los años 70, Shearson Hamil, una empresa de Wall Street, instaló
Identimat, un sistema de identificación automática basado en huella dactilar que se utilizó
Inscripción
Información Pre-procesamiento
Sensor
biométrica
Identidad de usuario
Extractor de características
Identificación
Información Pre-procesamiento
Sensor
biométrica
Extractor de características
Coincidencia
Todas las plantillas
(n coincidencias)
Identificación del
usuario o no
Verificación
Información
Sensor Pre-procesamiento
biométrica
Identidad declarada
Extractor de características
Generador de plantillas
Plantillas
guardadas
Plantilla
Plantilla declarada
Coincidencia
Verdadero/Falso
Huella dactilar
Estos sensores sólo trabajan con pieles sanas normales, ya que no son
operativos cuando se utilizan sobre pieles con zonas duras, callos o cicatrices. La
humedad, la grasa o el polvo también pueden afectar a su funcionamiento.
Reconocimiento facial
Uno de los principales inconvenientes que presenta esta técnica es su escasa resistencia
al fraude, puesto que una persona puede modificar visualmente su cara de manera
sencilla, como por ejemplo, utilizando unas gafas de sol o dejándose crecer la barba.
Asimismo, debe considerarse que el rostro de las personas varía con la edad.
El iris es la parte pigmentada del ojo que rodea la pupila. Este método utiliza las
características del iris humano con el fin de verificar la identidad de un individuo.
Los patrones de iris vienen marcados desde el nacimiento y rara vez cambian. Son
extremadamente complejos, contienen una gran cantidad de información y tienen más de
200 propiedades únicas.
Es importante señalar que no existe ningún riesgo para la salud, ya que al obtenerse la
muestra mediante una cámara de infrarrojos, no hay peligro de que el ojo resulte dañado
en el proceso.
Una vez tomada la muestra, es esencial la correcta ubicación y aislamiento del iris en la
imagen, ya que en caso de no realizarse adecuadamente, las interferencias generadas
por el exceso de información que provocan las pestañas, reflejos y las pupilas podrían
resultar en problemas en el funcionamiento del sistema.
El hecho de que los iris de los ojos derecho e izquierdo de cada persona sean diferentes
y que los patrones sean difíciles de capturar, tienen como consecuencia que el
reconocimiento de iris sea una de las tecnologías biométricas más resistentes al fraude.
1
La distancia de Hamming es un método de medición de las diferencias entre dos elementos. Se define como el número
de caracteres que deberían modificarse para transformar un elemento en otro referente, o lo que es lo mismo, el número de
caracteres que les diferencia teniendo en cuenta la magnitud de cada de las desigualdades. De este modo se puede medir
el número de errores que se deberían dar para que una muestra se interpretase como coincidente o diferente a otra.
Esta tecnología utiliza la forma de la mano para confirmar la identidad del individuo. Su
aceptación por parte de los usuarios es muy elevada, ya que no requiere información
detallada de los individuos.
Por otro lado, se trata de una técnica que es preferible que sea utilizada para la
verificación de personas y no recomendada para la identificación, a no ser que sea
combinada con otras características mediante sistemas biométricos bimodales.
Las características extraídas incluyen las curvas de los dedos, su grosor y longitud, la
altura y la anchura del dorso de la mano, las distancias entre las articulaciones y la
estructura ósea en general. No tienen en cuenta detalles superficiales, tales como huellas
dactilares, líneas, cicatrices o suciedad, así como las uñas, que pueden variar de tamaño
en un breve período de tiempo.
Si bien es cierto que la estructura de los huesos y las articulaciones de la mano son
rasgos relativamente constantes, otras circunstancias, como una inflamación o una
lesión, pueden variar la estructura básica de la mano dificultando la autenticación. A
Reconocimiento de retina
Pese a que su tasa de falsos positivos sea prácticamente nula, esta tecnología tiene un
inconveniente considerable ya que es necesaria la total colaboración por parte del
usuario al tratarse de un proceso que puede resultar incómodo. La toma de la muestra se
realiza a partir de la pupila, lo que requiere que el usuario permanezca inmóvil y muy
cerca del sensor durante la captura de la imagen. No obstante, al realizarse la captura de
esta muestra mediante una cámara de infrarrojos, no existe el riesgo de que el ojo resulte
dañado en el proceso.
Si bien es una de las tecnologías que aparentemente pueden llegar a ofrecer mejores
resultados y mayor seguridad, la baja aceptación por parte de los usuarios, así como el
alto coste de los dispositivos, hacen que la utilización de esta tecnología se limite a
instalaciones militares, nucleares o laboratorios.
Esta tecnología se basa en la estructura de las venas de la mano o del dedo. De forma
similar al iris o a la retina, la geometría de las venas se define antes del nacimiento y es
diferente incluso en gemelos idénticos. En el proceso de captura de la muestra, el sensor
infrarrojo obtiene una imagen del patrón de las venas, a partir del cual se genera una
plantilla biométrica.
Se trata de una tecnología relativamente reciente. Tras su adopción por parte de algunos
bancos japoneses y polacos en cajeros automáticos (uno de los casos de éxito tratados
en el presente estudio) está comenzando a ser implantada por las empresas,
especialmente en el sector sanitario donde un método de autenticación en lugares
estériles, incluso cuando los usuarios utilicen guantes médicos, resulta de gran utilidad.
Reconocimiento de voz
A pesar de que siguen existiendo dificultades para reconocer la forma natural de hablar
de ciertos individuos, esta tecnología cuenta con la ventaja de que el dispositivo de
adquisición es simplemente un micrófono (integrados desde hace años en teléfonos y
ordenadores personales), por lo que no requiere inversiones adicionales.
La utilización de este método está más extendida en sistemas de respuesta por voz y en
centros de atención de llamadas telefónicas (call centers) que en el control de acceso
físico a edificios o a redes y equipos informáticos.
Reconocimiento de firma
Esta técnica analiza la firma manuscrita para confirmar la identidad del usuario. Cabe la
posibilidad de que existan ligeras variaciones en la firma de una persona, pero la
consistencia creada por el movimiento natural y la práctica a lo largo del tiempo crea un
patrón reconocible que hace que pueda usarse para la identificación biométrica.
La firma es y ha sido durante muchos años una de las técnicas más habituales de
identificación de las personas, es por ello que goza de una gran aceptación entre la
ciudadanía.
No obstante, el patrón de escritura puede verse afectado por aspectos como el nivel de
fatiga, estrés, distracción, postura del usuario y del teclado. También se debe tener en
Este método toma como referencia la forma de caminar de una persona. Este acto se
graba y se somete a un proceso analítico que genera una plantilla biométrica única
derivada de dicho comportamiento. El dispositivo de captura es una cámara estándar, por
lo que no se requiere una gran inversión. Adicionalmente, este sistema permite la
identificación a distancia.
Comportamiento
Mensurabilidad
Resistencia al
Universalidad
Permanencia
Aceptación
Grado de
Unicidad
fraude
Huella dactilar M A M A A A M
Reconocimiento facial A B A B M B A
Reconocimiento de iris B A M A A A A
Geometría de la mano M M A M M M M
Reconocimiento de retina B A B A A A A
Geometría de venas M A M M M M M
Reconocimiento de voz A B M B B B M
Reconocimiento de firma A B A B B B B
Reconocimiento de
M M M B B B B
escritura de teclado
Forma de andar A M A B B B M
A: Alto M: Medio B: Bajo
• Coste de implantación
• Patrones muy complejos alto
Reconocimiento de iris • Unicidad muy alta • Menor grado de
• Alto grado de permanencia aceptación
• Precisa de total
Reconocimiento de retina • Unicidad muy alta colaboración del
• Alto grado de permanencia usuario
Reconocimiento de la • Alto grado de permanencia • Unicidad limitada
geometría de la mano • Facilidad de uso
• Dificultad de captura
Reconocimiento de firma • Buena aceptación por cambios de
• Facilidad de uso posición
• No requiere inversión en
Reconocimiento de escritura dispositivos • Tecnología emergente
de teclado • Posibilidad de realizar
monitorización
El reconocimiento de iris es otra de las tecnologías más maduras aunque lejos del nivel
presentado por la huella dactilar. En concreto, se encuentra más desarrollada en el área
de la investigación, teniendo un menor recorrido en el mercado. Esto se debe a que su
coste aun se considera elevado, lo que dificulta su expansión.
Por otro lado, las tecnologías menos maduras actualmente son aquellas que se
encuentran en un estado de investigación temprano. Entre ellas podemos destacar:
reconocimiento de la forma de andar o reconocimiento de escritura de teclado.
Estas técnicas tienen mucho margen de mejora en el campo de la investigación al ser de
reciente aparición.
Reconocimiento
Reconocimiento
de voz
de escritura del
Geometría de la 3%
teclado
mano
1%
5%
Reconocimiento
facial
7%
Reconocimiento
de firma Huella dactilar
12% 58%
Reconocimiento
de iris
14%
Como conclusión se puede indicar que este parámetro es variable. El objetivo de uso del
sistema es el que marcará el beneficio a conseguir y, en función de esto, se decidirá el
coste asumible. La proporcionalidad entre la necesidad de la entidad y la seguridad
aportada por la solución es fundamental.
Las tecnologías biométricas surgen como alternativa y/o complemento a las técnicas de
identificación y autenticación ya existentes. Por ello es posible establecer una
comparación directa entre ambas, destacando beneficios que resultan del uso de
biometría junto con aspectos en los que las técnicas tradicionales son superiores.
Necesidad de Secreto
Posibilidad de robo
Posibilidad de pérdida
Coste de mantenimiento
Proceso de comparación
Medidas de prevención
Autenticación de usuarios
‘reales’
Coste de implantación
Esta estructura mejorada se aprovecha de las ventajas que aporta cada técnica y se
puede utilizar para superar algunas de las limitaciones de un sistema biométrico único.
Un sistema bimodal que combine las conclusiones obtenidas tras la utilización de dos
técnicas diferentes, puede superar muchos de estos inconvenientes. Adicionalmente, la
combinación de dos factores supone un aumento significativo de la seguridad y de la
resistencia al fraude.
Un sistema bimodal podría ser, por ejemplo, una combinación de verificación de huellas
digitales y reconocimiento facial. Este tipo de sistemas está siendo usado actualmente en
el control fronterizo de varios aeropuertos españoles.
iii) Las vulnerabilidades y amenazas a las que está expuesto el sistema se reducen,
ya que, en muchos casos, uno de los factores actúa como control mitigante del
otro.
Para los diferentes expertos, las grandes organizaciones deben suponer el principal
motor que promueva e invierta en el desarrollo de las tecnologías biométricas.
Para que esto ocurra, los beneficios potenciales a obtener con su implantación han de ser
claros y relevantes. A continuación se describen los más destacados:
Tanto el robo como la utilización por parte de varios usuarios de las mismas credenciales,
suponen una grave brecha en la seguridad en las entidades que puede ser evitada. A
través de la implementación de sistemas biométricos, se aumenta la seguridad
reduciendo la probabilidad de que alguien no autorizado acceda a zonas o a aplicaciones
restringidas.
Sin embargo, en el caso de las tecnologías biométricas –donde la inversión inicial puede
llegar a ser elevada en el caso de que sea necesario comprar dispositivos o software de
adquisición y procesamiento de muestras– una vez la tecnología está en funcionamiento
y sus usuarios acostumbrados a usarla, el coste de mantenimiento es muy reducido, ya
que no se dan los riesgos anteriormente referidos.
Este beneficio es más notable en las tecnologías cuyo coste de implantación no es muy
alto, como la huella dactilar, el reconocimiento de voz, el reconocimiento facial o el
reconocimiento de escritura de teclado.
Como se puede observar en los dos casos de éxito analizados en el presente estudio,
mediante la elección de la tecnología biométrica más adecuada para los diferentes casos
y la necesaria formación de los usuarios (unas nociones básicas de utilización) se puede
aumentar considerablemente la eficiencia de los procesos con el consiguiente beneficio
económico resultante para la entidad.
Es por ello que, sumado a todas las ventajas descritas anteriormente, se produce una
importante mejora en la opinión general sobre la compañía. Así mismo, se asociaría la
entidad con la innovación, la inversión en investigación y desarrollo y la apuesta por
tecnología puntera.
Los expertos coinciden en que dentro del sector privado también se desarrollan proyectos
de importante calado. Especialmente el sector financiero (grandes bancos y
aseguradoras), que ha llevado a cabo implantaciones para el control de acceso a sus
instalaciones y el control del fraude, así como para asegurar transacciones remotas, tanto
a través de Internet como vía telefónica.
De cara al futuro se prevé una implicación mucho mayor por parte del sector privado a
medida que el mercado vaya madurando. Mediante el desarrollo de la investigación se
pueden concretar nuevas aplicaciones que solucionen necesidades de las compañías así
como abaratarse procesos que faciliten implantaciones actualmente inviables por su alto
coste.
Usada como forma única de autenticación o combinada con otras medidas, la biometría
está destinada, según los expertos consultados, a extenderse en muchos aspectos de
nuestra vida diaria. De hecho, estos mismos expertos manifiestan que las tecnologías
biométricas se están convirtiendo ya en la base de un número considerable de soluciones
de identificación de alta seguridad y verificación personal. A medida que se descubren
brechas de seguridad e incrementan las posibilidades de transacciones fraudulentas, la
necesidad de una tecnología que satisfaga dichas necesidades se hace más patente.
A continuación se describen los principales usos que se dan a las tecnologías biométricas
a día de hoy según los expertos consultados y el análisis documental realizado.
Los expertos coinciden en que la huella dactilar es la solución más habitual para este uso
en España debido a su alto grado de madurez, que permite el establecimiento de precios
competitivos, y a la usabilidad que ofrece.
Los expertos recomiendan que para el control de acceso a zonas de alta seguridad se
haga uso de autenticación de doble factor. De este modo la autorización para el acceso
de una persona se basaría en un reconocimiento de cómo es junto a lo que sabe o tiene.
Del mismo modo que se han instalado sensores en la entrada de edificios y salas de
acceso restringido, cada vez más los proveedores de este tipo de tecnologías reciben
peticiones para la integración de sensores biométricos en los ordenadores corporativos
de cara a gestionar la autenticación en sistemas y aplicaciones.
“El uso de cualquier técnica biométrica supone una forma eficaz de mitigar
este riesgo por la imposibilidad de compartir los rasgos biométricos entre
empleados”
Según han transmitido los profesionales involucrados en el presente estudio, para este
tipo de aplicaciones se utiliza habitualmente la huella dactilar, aunque también técnicas
menos extendidas en el mercado como la geometría de la mano, que está siendo usada
(en combinación con el PIN) por determinadas Administraciones Públicas.
Los rasgos a analizar normalmente son la topografía facial y las huellas dactilares.
Actualmente un gran número de administraciones públicas de todo el mundo está
implantando la biometría en aduanas y aeropuertos para aumentar la seguridad y agilidad
de los mismos.
Sin embargo, su uso para la prevención de fraude no se limita a entidades privadas. Las
administraciones públicas están comenzando a implantar sistemas biométricos para
prevenir este delito, con el objetivo de evitar el gasto de fondos públicos de forma
irregular.
Un ejemplo concreto que han señalado diversos expertos durante el desarrollo de las
entrevistas, es la utilización en la gestión de los servicios sanitarios gubernamentales
ofrecidos a domicilio en Estados Unidos. En este caso, se verifica biométricamente que el
Las huellas dactilares se remiten, junto con los datos demográficos, para identificar o
verificar la identidad de la persona. Las búsquedas pueden tardar minutos, horas o días,
dependiendo de la calidad de la información presentada y el tamaño de la base de datos
en la que se busca.
• Banca telefónica: Según los expertos consultados, en los últimos años este tipo
de servicios está creciendo en el mercado. Considerando que para realizar
cualquier operación previamente se debe verificar la identidad de cada cliente en
cada llamada, el uso del reconocimiento por voz resulta en un aumento de la
seguridad y la rentabilidad al mismo tiempo.
En este sentido cabe destacar la tecnología NFC (Near Field Communication), integrada
en la mayoría de los teléfonos móviles de última generación y utilizada en combinación
con biometría para la realización de pagos. Se prevé que esta será una de las principales
líneas de investigación futura debido a su gran potencial.
6.2.6 Sanidad
El uso de la biometría supone una nueva posibilidad dentro del sector sanitario a la hora
de detectar problemas de salud.
En el proceso de entrevista con los diferentes actores del sector, se han destacado
importantes implantaciones de biometría a gran escala en el mundo, las cuales son
consideradas como casos de éxito de la aplicación de las tecnologías biométricas.
El sistema está formado por un conjunto de quioscos en los que se introduce un pasajero
que verifica su identidad por medio del reconocimiento facial y de huella dactilar.
Posteriormente, y ya verificada su identidad, accede a través de unas puertas
automáticas. Adicionalmente, los agentes fronterizos están situados en una cabina
próxima, desde la que monitorizan todo el proceso e intervienen en caso de que lo
consideren necesario.
Existen dos tipos de instalaciones: de puerta simple (quioscos distribuidos por la sala de
la terminal y puertas de acceso automáticas) y de esclusa (quioscos integrados en las
puertas automáticas; en estos si la verificación no tiene éxito el pasajero no puede
avanzar).
El sistema es utilizado por 350 pasajeros diariamente, teniendo en cuenta que su uso no
es obligatorio. El empleo de este sistema equivale al trabajo de ocho funcionarios
policiales.
2
Encuentro Internacional de Seguridad de la Información, organizado por INTECO.
• Incremento de la seguridad.
Uno de los principales factores que llevaron al éxito de esta implantación fue el
compromiso de todos los actores en la realización del proyecto en las fechas acordadas.
7.1.4 Inconvenientes
Se han identificado los siguientes inconvenientes:
• Elevado coste de adquisición del sistema, aunque hay que señalar que éste se
amortiza de forma casi inmediata.
Por otra parte, es esencial fomentar que las organizaciones y los usuarios pierdan el
miedo a usar este tipo de tecnologías para la identificación. Se trata de tecnologías muy
maduras y aportan muchos beneficios.
En definitiva, se ha concluido que los sistemas biométricos son válidos para el control de
fronteras.
Mensualmente un total de 2.000 personas hacen uso de la tecnología en cada una de las
65 sucursales en la que está instalada.
Siendo las prioridades del gobierno polaco, la lucha contra el fraude y el aumento de la
seguridad, se optó por un sistema biométrico.
Una de las claves del éxito fue que la población pudo percibir rápidamente los beneficios
que se obtienen de su uso.
7.2.4 Inconvenientes
El principal problema encontrado ha sido la necesidad de formar a las personas para el
uso del sistema, puesto que los usuarios no siempre tienen los conocimientos suficientes
para utilizarlo adecuadamente.
Para evitar errores, el personal de las oficinas bancarias ha tenido que invertir tiempo en
enseñar a los usuarios a utilizarlo. Este inconveniente se soluciona con el transcurso del
tiempo a medida que los ciudadanos se acostumbran a la utilización del sistema.
7.2.5 Recomendaciones
Una percepción de inseguridad por parte de los usuarios hacia el sistema puede implicar
su negativa a usarlo. Es por ello que es esencial transmitir confianza a los ciudadanos
haciéndoles conscientes de que el robo de sus datos es muy poco probable y que el
sistema es seguro para su salud.
Se está trabajando en que cualquier transacción que actualmente se valide con la firma
electrónica o manuscrita de una persona, se haga mediante el uso de firma biométrica.
La Agencia Española de Protección de Datos (AEPD) define los datos biométricos como:
A los sistemas informáticos mediante los cuales se traten datos biométricos de personas
físicas identificadas o identificables se les deben aplicar las medidas de seguridad de
carácter físico, técnico y/u organizativo calificadas como de nivel básico por el Título VIII
del Reglamento de Desarrollo de la LOPD 4. En el caso de que los datos biométricos
objeto de tratamiento en el sistema pudiesen además encontrarse eventualmente
asociados o vinculados a la salud de los afectados, como por ejemplo en el supuesto de
discapacidades físicas, resultaría también necesaria la implantación de las medidas de
seguridad de nivel medio y alto 5.
3
Informe Jurídico número 0368/2006 de la Agencia Española de Protección de Datos sobre huella dactilar.
4
Las medidas de nivel básico incluyen las siguientes cuestiones: definición de los deberes y las funciones del personal con
acceso a los datos biométricos; registro de incidencias relacionadas con estos ficheros; control de acceso a ellos; gestión
de soportes y documentos que los contengan; identificación y autenticación de usuarios al acceder a estos datos; y
establecimiento de procedimientos para la realización de copias de respaldo y recuperación respecto a estos ficheros.
5
Las medidas de nivel alto, además de las de nivel básico (ver nota a pie de página anterior), incluyen las de nivel medio.
Las medidas de nivel medio comprenden: nombramiento de un responsable de seguridad; realización de auditoría bienal;
gestión de soportes y documentos; identificación y autenticación; control de acceso físico; registro de incidencias. Las
medidas de nivel alto incluyen la gestión y distribución de soportes; copias de respaldo y recuperación; registro de accesos;
y securización de la transmisión de datos a través de redes de telecomunicaciones.
En algunos casos se trata de forma genérica los datos de carácter personal, mientras que
en otros se aborda específicamente el tratamiento de los datos biométricos.
De ello se deriva que los datos biométricos se pueden considerar como datos
personales a los que se aplicaría la legislación pertinente.
6
Directiva 95/46/CE, del Parlamento Europeo y del Consejo, de 24 de octubre. D.O.U.E. serie L, núm. 281, de 23 de
noviembre de 1995.
7
Grupo creado en virtud del artículo 29 de la Directiva 95/46/CE, constituido como el órgano asesor comunitario
independiente sobre protección de datos y de la vida privada.
II. Reglamento sobre Normas para las medidas de seguridad y datos biométricos
en los pasaportes y documentos de viaje expedidos por los Estados
miembros 8
Tiene por objeto la armonización de las medidas de seguridad, entre las que se
encuentran los identificadores biométricos y, para ello, recoge determinadas
especificaciones de carácter técnico.
8
Reglamento (CE) 2004/2252/CE, de 13 de diciembre, del Consejo. Modificado parcialmente por el Reglamento (CE) Nº
444/2009 del Parlamento Europeo y del Consejo, de 28 de mayo de 2009.
9
B.O.E. núm. 298, de 14 de diciembre de 1999, y B.O.E. núm. 17, de 19 de enero de 2007, respectivamente.
Esta Instrucción regula de manera específica los datos de carácter personal tratados de
forma automatizada que son recabados por los servicios de seguridad con la finalidad de
controlar el acceso a los edificios públicos y privados, así como a establecimientos,
espectáculos, certámenes y convenciones.
10
B.O.E. núm. 62, de 12 de marzo de 1996.
Asimismo, según señala el artículo 11, el chip incorporado a la tarjeta soporte del D.N.I.
contendrá, entre otras cuestiones, la plantilla de la impresión dactilar del dedo índice de la
mano derecha o, en su caso, del dedo que corresponda según lo indicado en el artículo
5.3 del Real Decreto.
11
Boletín Oficial de la Comunidad de Madrid, de 25 de julio de 2001.
12
Boletín Oficial del País Vasco, núm. 44, de 4 de marzo 2004.
13
Diari Oficial de la Generalitat de Catalunya nº. 5731, 8 de octubre de 2010.
Resultado de los trabajos iniciados en el año 2003 por el Grupo de Proyecto sobre la
Protección de Datos bajo la tutela del Comité Europeo de Cooperación Jurídica, se
dedica específicamente al tratamiento de datos biométricos.
Entre las principales conclusiones destaca que, a juicio del Grupo, antes de recurrirse a la
biometría el responsable del proceso debería evaluar por una parte las ventajas e
inconvenientes posibles para la vida privada de la persona afectada y, por otra, las
finalidades previstas, así como tener en cuenta posibles soluciones alternativas que
supongan un menor atentado contra la vida privada. En consecuencia, los datos
biométricos tratados deberían ser adecuados, pertinentes y no excesivos en comparación
con la finalidad del proceso.
Por otro lado, se pone de manifiesto que la persona afectada debería ser informada de la
finalidad del sistema y de la identidad del responsable de proceso, así como de los datos
procesados y de las categorías de personas a las que se comunicarán esos datos.
De este modo la AEPD pone de manifiesto que en caso de delegar el tratamiento de los
datos biométricos a un tercero, se estaría produciendo un acceso a datos por cuenta de
terceros que habría de regularse conforme al artículo 12 de la LOPD.
Si bien este informe se emite con el fin de dar respuesta a la consulta sobre si la creación
de una base de datos con huella dactilar de los clientes, al que se otorga un código
De este modo, la AEPD muestra una diferenciación entre el criterio seguido en los
casos de control de presencia de empleados y el manifestado en el caso de
relaciones comerciales.
14
Informe Jurídico nº 0368/2006, de la AEPD, sobre la “Proporcionalidad del tratamiento de la huella dactilar de alumnos
de un colegio”
“No informar adecuadamente del uso que se va a dar a los datos adquiridos y
su utilización indiscriminada son problemas importantes y a tener en cuenta”
Pone de manifiesto que la AEPD entiende que “la utilización del dato correspondiente a la
huella dactilar y su posterior conversión en un patrón de datos no supone una vulneración
del principio de calidad de datos […]”.
“la recogida de los datos biométricos por sistemas informáticos, huella dactilar
digitalizada y el archivo de sus datos en una tarjeta, no vulneran su derecho
fundamental [en relación al denunciante], puesto que ni siquiera se trata de
someter al sujeto a operaciones que le afecten físicamente, fuera del
momento de recepción de la huella, puesto que se trata de una tarjeta con
Los estándares biométricos especifican las condiciones necesarias para que las
tecnologías biométricas puedan ser eficaces e interoperables. Adicionalmente, describen
métodos para su integración con los sistemas de identificación y autenticación y para el
intercambio de información entre sistemas.
Aspecto Estándares
Además algunos sistemas biométricos actuales cuentan con ciertas limitaciones, tales
como no ser capaces de satisfacer las cada vez mayores demandas de carga de trabajo
o contar con dificultades de interoperabilidad entre sistemas, tal y como afirman algunos
entrevistados. Estas carencias demuestran la necesidad de un mayor desarrollo y la
aplicación de medidas de seguridad específicas.
9.1.1 Amenazas
Las tecnologías biométricas, como el resto de tecnologías, están expuestas a una serie
de amenazas. Estas pueden ser exclusivas o compartidas con otras tecnologías de
autenticación. Las más destacadas se desarrollan a continuación.
Suplantación de identidad
Sabotaje
A pesar de que estos datos se han considerado, con carácter general, como “de
protección básica” de conformidad con el RDLOPD, siendo equiparables a una simple
dirección o un número de teléfono, siempre es aconsejable tratar estos datos con la
máxima cautela y protección posible.
Puede tratarse de una de las principales amenazas, ya que si los usuarios no confían en
estas tecnologías se dificultaría en buena medida su implantación. En muchos casos el
usuario final otorga a estos datos una alta sensibilidad, por estar extremadamente ligados
a su persona. Por ello se debe escoger el modo más adecuado para su implantación en
virtud a diferentes características.
Calidad de la tecnología
Caída de las líneas de comunicación, del propio sistema o de los sistemas de soporte
(por ejemplo luz o sistema de comunicaciones), ataques informáticos, etc. Estos
problemas afectan de forma similar que al resto de tecnologías.
Indisponibilidad de sensor
Alteraciones en las huellas dactilares, en el vello facial, en las cuerdas vocales, etc. con
el objetivo de evitar ser reconocido por un sistema biométrico. Es una práctica frecuente
en los intentos de entrada ilegal en un país, tratando de eludir la identificación de un
individuo reincidente.
“En algunas fronteras conflictivas, las personas llegan a abrasar sus huellas
dactilares con el objetivo de no ser reconocidos por las autoridades y no ser
encarcelados”
Los cambios en los rasgos biométricos, como variaciones de la voz, vello facial o el
peinado también suceden de forma natural. En estos casos, el usuario no tiene intención
de engañar al sistema. No obstante, estos cambios pueden dificultar el proceso de
identificación y generar, incluso, una percepción negativa para el usuario.
Un mal uso involuntario del sensor realizado por una persona sin los conocimientos
adecuados puede tener como consecuencia la desconfianza del usuario en la tecnología
y el aumento de la tasa de error de la misma.
“Es necesaria formación de cara a que los empleados hagan un uso óptimo de
los sensores”
Tabla 9: Vulnerabilidades
Tecnología
Vulnerabilidades
biométrica
• Calidad baja de los dispositivos de captura.
• Ubicación inadecuada del dispositivo de captura.
Vulnerabilidades • Desconocimiento en la calidad o del abanico de productos y
comunes a todas utilidades disponibles.
las tecnologías • Falta de conocimientos técnicos del personal.
biométricas • Falta de recursos (tanto de personal como económicos).
• Escasa concienciación en materia de seguridad.
• Percepción de ausencia de privacidad por parte de los usuarios.
• Condición del dedo en el momento de tomar la muestra: mojado,
seco, manchado, etc.
• Condiciones climatológicas que afectan al lector: humedad,
Huella dactilar temperatura, etc.
• Condiciones de la huella: cortes, heridas o inflamaciones.
• Actividad laboral: trabajos que puedan afectar a la huella, por ejemplo
el uso habitual de productos químicos que puedan deteriorarla.
• Enfermedades de la voz: bronquitis, faringitis, gripe, laringitis, afonías,
etc.
• Variación entre el dispositivo de registro y el usado en la captura de
Reconocimiento
muestras.
de voz
• Variación entre entornos de registro y captura de muestras (por
ejemplo: interior y exterior).
• Volumen del habla.
• Variación en el aspecto facial: peinado, vello, gafas, sombrero, etc.
• Condiciones de luminosidad.
Reconocimiento
facial • Variación en el peso.
• Uso de vestimenta que puede dificultar la localización o visión de la
cara (pañuelos, bufandas, etc.).
• Excesivo movimiento ocular o de la cabeza.
Escáner de iris y • Enfermedades oculares.
retina • Uso de gafas.
• Problemas debidos al uso de lentes de contacto (iris).
• Uso de joyería, bisutería o abalorios.
Geometría de la • Uso de vendajes o guantes.
mano • Condiciones de la mano: inflamaciones en las articulaciones, heridas,
etc.
• Velocidad de la firma: excesivamente rápida o lenta.
Escáner de firma • Diferente postura del sujeto durante la firma.
• Firma no consistente: el sujeto varía su firma.
De este modo, el dispositivo biométrico comprobará uno o más de los siguientes factores,
dependiendo de la tecnología empleada:
Esta técnica es uno de los principales métodos de los que dispone la biometría para
combatir el fraude. No obstante, aún tiene bastante margen de mejora de cara al futuro.
A este respecto, destacar que en todo caso los datos biométricos que pudiesen ser
sometidos a tratamiento a través de dichos sistemas deberían ser siempre adecuados,
pertinentes y no excesivos en comparación con la finalidad del proceso (por ejemplo:
control horario, control de accesos, control de presencia, etc.).
Del mismo modo, es necesario recordar que las medidas de seguridad señaladas por la
LOPD y su reglamento de desarrollo no solo se consideran exigencias para el
cumplimiento legal, sino también buenas prácticas que mitigan y evitan posibles
incidencias en relación a la privacidad de los usuarios. Tal es el caso de la determinación
del personal con acceso a los datos biométricos del sistema y sus funciones o la
asignación de cuentas de usuario para cada trabajador junto a medidas de trazabilidad
para hacer constar quién accede a estos datos o realiza modificaciones en ellos.
• Ausencia de conocimiento por parte de los potenciales usuarios, esto es, de las
entidades que podrían estar interesadas en la implantación de sistemas
biométricos. En muchas ocasiones, la alta dirección no es consciente de los
beneficios en materia de ahorro de costes, aumento de seguridad y mejora de la
imagen corporativa que podría tener la utilización de un sistema con estas
características ni de la multitud de finalidades para las cuales podría ser
interesante su uso.
Una vez contemplados todos estos aspectos de manera previa a la implantación del
sistema biométrico, se podrá estimar un coste aproximado de la puesta en marcha y de
su mantenimiento en el tiempo.
1) Apostar por la implantación de tecnologías de calidad, esto es, ante las diferentes
tecnologías existentes en el mercado, primar aquellas que ofrezcan mayor
fiabilidad y, consecuentemente, mejores resultados.
4) Ser consciente de que los datos biométricos son de carácter personal: es por ello
que están regulados por la Ley Orgánica de Protección de Datos y se deben
proteger como tales.
7) Solicitar permiso a los usuarios para tratar sus datos biométricos, siendo muy
concreto y transparente sobre el tratamiento y la finalidad de su uso.
• Air University and Iqra University (2011). Biometric Access Control System Using
Automated Iris Recognition.
http://iqrauniversity.edu.pk/AJEST%20Volume%201%20Issue%201.pdf
• Centre for European Policy Studies (2010). Developing Biometrics in the EU.
• Centre for European Policy Studies (2010). Quantum Surveillance and ‘Shared
Secrets’. A biometric step too far?
• Computer Law & Security Review (2011). Body scanners vs. privacy and data
protection.
http://www.uio.no/studier/emner/jus/jus/JUR5630/v11/undervisningsmateriale/Mironen
ko_article_13012011.pdf
• Deloitte & National Physical Laboratory (2006). Latest biometric test results:
performance, quality and interoperability.
• Gartner (2010). Hype Cycle for Identity and Access Management Technologies.
• Gartner (2010). Revisiting the Business Case for Biometrics and Retail Timekeeping.
• Universidad Carlos III de Madrid (2010). Privacy and Legal Requirements for
Developing Biometric Identification Software in Context-Based Applications.
http://www.sersc.org/journals/IJBSBT/vol2_no1/2.pdf
• Universidad de Deusto & Universidad del País Vasco (2007). Análisis en torno a la
tecnología biométrica para los sistemas electrónicos de identificación y autenticación.
http://www.redeweb.com/_txt/630/52.pdf
ÍNDICE DE TABLAS
ÍNDICE DE GRÁFICOS
ÍNDICE DE ILUSTRACIONES
Web http://observatorio.inteco.es
observatorio@inteco.es
Instituto Nacional
de Tecnologías
de la Comunicación
www.inteco.es