estudio sobre las tecnologías biométricas aplicadas a … · 2018-08-27 · de personas, a otras...

Estudio sobre las tecnologías biométricas aplicadas a la seguridad Página 1 de 100 Observatorio de la Seguridad de la Información

Estudio sobre las tecnologías biométricas aplicadas a la seguridad

OBSERVATORIO DE LA SEGURIDAD DE LA INFORMACIÓN


Edición: Diciembre 2011

El “Estudio sobre las tecnologías biométricas aplicadas a la seguridad” ha sido elaborado por el siguiente equipo de trabajo del Observatorio de la Seguridad de la Información de INTECO:

Pablo Pérez San-José (dirección)

Eduardo Álvarez Alonso (coordinación)

Susana de la Fuente Rodríguez

Laura García Pérez

Cristina Gutiérrez Borge

Correo electrónico del Observatorio de la Seguridad de la Información: [email protected]

La presente publicación pertenece al Instituto Nacional de Tecnologías de la Comunicación (INTECO) y está bajo una licencia Reconocimiento-No comercial 3.0 España de Creative Commons, y por ello está permitido copiar, distribuir y comunicar públicamente esta obra bajo las condiciones siguientes:

• Reconocimiento: El contenido de este informe se puede reproducir total o parcialmente por terceros, citando su procedencia y haciendo referencia expresa tanto a INTECO como a su sitio web: www.inteco.es. Dicho reconocimiento no podrá en ningún caso sugerir que INTECO presta apoyo a dicho tercero o apoya el uso que hace de su obra.

• Uso No Comercial: El material original y los trabajos derivados pueden ser distribuidos, copiados y exhibidos mientras su uso no tenga fines comerciales.

Al reutilizar o distribuir la obra, tiene que dejar bien claro los términos de la licencia de esta obra. Alguna de estas condiciones puede no aplicarse si se obtiene el permiso de INTECO como titular de los derechos de autor. Nada en esta licencia menoscaba o restringe los derechos morales de INTECO. http://creativecommons.org/licenses/by-nc/3.0/es/

El presente documento cumple con las condiciones de accesibilidad del formato PDF (Portable Document Format). Así, se trata de un documento estructurado y etiquetado, provisto de alternativas a todo elemento no textual, marcado de idioma y orden de lectura adecuado.

Para ampliar información sobre la construcción de documentos PDF accesibles puede consultar la guía disponible en la sección Accesibilidad > Formación > Manuales y Guías de la página http://www.inteco.es

mailto:[email protected]�

http://creativecommons.org/licenses/by-nc/3.0/es/�

http://www.inteco.es/Accesibilidad/Formacion_6/Manuales_y_Guias/guia_accesibilidad_en_pdf�

http://www.inteco.es/�


ÍNDICE

1 INTRODUCCIÓN Y OBJETIVOS ..............................................................................10

1.1 Presentación ......................................................................................................10

1.2 Estudio sobre las tecnologías biométricas aplicadas a la seguridad ..................12

2 DISEÑO METODOLÓGICO ......................................................................................15

2.1 Fase 1: Búsqueda y análisis documental. ..........................................................15

2.2 Fase 2: Consulta a expertos ..............................................................................16

2.3 Fase 3: Elaboración del informe de conclusiones finales del proyecto ...............21

2.4 Fase 4: Elaboración de una guía práctica dirigida a usuarios ............................21

3 INTRODUCCIÓN A LAS TECNOLOGÍAS BIOMÉTRICAS .......................................22

3.1 Antecedentes .....................................................................................................22

3.2 Conceptos clave ................................................................................................23

3.3 Tipos, técnicas y tecnologías aplicadas a la biometría .......................................28

3.4 Comparativa de técnicas y tecnologías biométricas ...........................................39

4 ANÁLISIS DE LOS PROCESOS DE IDENTIFICACIÓN ...........................................45

4.1 Análisis de las técnicas aplicadas y tipos de identificación ................................45

4.2 Sistemas de autenticación de doble factor .........................................................47

5 BENEFICIOS DE LA UTILIZACIÓN DE LAS TECNOLOGÍAS BIOMÉTRICAS .........50

5.1 Para las entidades usuarias ...............................................................................50

5.2 Para los usuarios finales ....................................................................................52

6 USOS Y APLICACIONES DE LAS TECNOLOGÍAS BIOMÉTRICAS ........................55

6.1 Aplicaciones actuales ........................................................................................56

6.2 Aplicaciones en fase de desarrollo ....................................................................60

7 CASOS DE ÉXITO ...................................................................................................62


7.1 Acceso rápido a fronteras aeroportuarias (España) ...........................................62

7.2 Gestión de ayudas públicas (Polonia) ................................................................65

8 MARCO REGULATORIO .........................................................................................68

8.1 Normativa legal ..................................................................................................68

8.2 Informes Jurídicos y jurisprudencia ....................................................................72

8.3 Estándares internacionales ................................................................................76

9 GESTIÓN DE RIESGOS ..........................................................................................79

9.1 Amenazas y vulnerabilidades en los procesos ...................................................79

9.2 Métodos de solución y prevención .....................................................................84

10 CONCLUSIONES .................................................................................................87

10.1 Conclusiones generales .....................................................................................87

10.2 Fortalezas y oportunidades ................................................................................88

10.3 Debilidades y posibles riesgos ...........................................................................89

11 RECOMENDACIONES .........................................................................................90

11.1 Recomendaciones dirigidas a las organizaciones ..............................................90

11.2 Recomendaciones dirigidas a la industria ..........................................................92

11.3 Recomendaciones dirigidas a las Administraciones Públicas ............................93

11.4 Recomendaciones para legisladores y agentes de estandarización ..................94

ANEXO I: BIBLIOGRAFÍA ................................................................................................95

ANEXO II: ÍNDICES DE TABLAS, GRÁFICOS E ILUSTRACIONES ...............................97

Índice de tablas ............................................................................................................97

Índice de gráficos .........................................................................................................97

Índice de ilustraciones ..................................................................................................97


PUNTOS CLAVE

INTECO, con la misión de aportar valor y desarrollar la Sociedad del Conocimiento a través de proyectos en el marco de la innovación y la tecnología, publica el Estudio sobre las tecnologías biométricas aplicadas a la seguridad.

En el mercado existen múltiples soluciones biométricas diferenciadas tanto por la técnica que emplean como por la funcionalidad que ofrecen, sin embargo todas ellas están orientadas al reconocimiento de personas físicas. Esta finalidad última supone el tratamiento de datos de carácter personal, por lo que la privacidad se convierte en un aspecto especialmente relevante en el ámbito de la biometría.

La metodología utilizada para la realización del estudio y la consecuente publicación del presente informe está fundamentada en dos aspectos complementarios.

En primer lugar, se basa en el análisis documental, para lo cual se han inventariado las fuentes de información que disponen y publican estudios, informes o trabajos relacionados con la biometría y se han analizado las principales conclusiones de aquellos informes que contienen información actual y útil para realizar este estudio.

Paralelamente, se ha consultado mediante entrevista a diferentes actores de la industria de la biometría a nivel mundial, involucrando a fabricantes, distribuidores, expertos en derecho, consultores e investigadores. Así mismo, se ha realizando un análisis detallado de dos casos de éxito reconocidos internacionalmente.

Esta diversidad de colectivos participantes en el estudio permite, junto al análisis de los informes y reportes, conocer el estado actual de los sistemas biométricos desde diferentes puntos de vista, identificando así los principales puntos a favor y oportunidades y los puntos en contra y posibles riesgos que afrontan actualmente.

I. Introducción a las tecnologías biométricas

El análisis documental ha permitido la identificación de las principales técnicas biométricas existentes. Si bien algunas de ellas aún se encuentran en estados de madurez insuficientes para poder encontrarse en el mercado de una forma eficiente y razonable en cuanto a costes, muchas otras se encuentran suficientemente maduras y ofrecen actualmente soluciones de autenticación en muy diversos ámbitos.

Las técnicas biométricas existentes se clasifican en función del rasgo humano analizado, el cual puede ser fisiológico –donde encontramos el reconocimiento de huella dactilar, de iris, de retina y de rostro, entre otros– o de comportamiento –donde se encuentran el reconocimiento de voz, de firma o de la manera de andar, entre otros–.


El estudio revela que el reconocimiento de huella dactilar y el reconocimiento de iris son las técnicas actualmente más extendidas en el sector de la biometría. Los principales motivos de la expansión de ambas técnicas, se basan principalmente en que se trata de métodos de autenticación muy poco intrusivos con los usuarios finales y en que ambas técnicas fueron de las primeras en ser concebidas, lo que ha permitido por un lado su mayor desarrollo y evolución hacia una reducción de costes de implementación, y por otro lado, la confianza por parte de los ciudadanos que reduce la resistencia inicial al uso de nuevas tecnologías.

II. Análisis de los procesos de identificación basados en biometría

El progresivo avance de las tecnologías biométricas ha supuesto la progresión de la forma unimodal a sistemas de autenticación de doble factor, que pueden incorporar más de una tecnología biométrica –biometría bimodal– o combinar el uso de la biometría con otros sistemas como tarjetas de identificación o contraseñas. Es por ello que los expertos señalan que la combinación de técnicas biométricas con otros sistemas de reconocimiento, es habitualmente un aspecto clave para el éxito de los sistemas de autenticación.

III. Beneficios de la utilización de las tecnologías biométricas

La aplicación de tecnologías biométricas reporta diferentes beneficios, tanto para las organizaciones como para los propios usuarios.

Los beneficios para las entidades se centran en el aumento de los niveles de seguridad, la reducción de las posibilidades de fraude interno y la reducción en los costes de mantenimiento de los sistemas de seguridad y autenticación.

Por su parte, los usuarios pueden ver como aumenta su comodidad al no tener que recordar múltiples y complejas contraseñas, podrán realizar tramitaciones remotas con mayor seguridad y en el caso de operaciones presenciales podrán ver reducidos los tiempos de espera. Por otra parte, su privacidad puede verse reforzada si el acceso a sus datos personales se realiza mediante autenticación biométrica.

IV. Usos y aplicaciones de las tecnologías biométricas

Independientemente de la técnica empleada, los sistemas biométricos son utilizados en muy diversos entornos y con muy diversas finalidades.

En base a las entrevistas realizadas, la principal finalidad para la cual se utilizan sistemas biométricos es el control de acceso (tanto físico como lógico) a edificios, zonas restringidas y sistemas de información. Sin embargo, en el mercado actualmente se encuentran técnicas biométricas empleadas con objetivos como el control de presencia, el control de fronteras, la lucha contra el fraude y la investigación de delitos.


La utilización de sistemas de reconocimiento basados en biometría supone grandes beneficios para las organizaciones o entidades que los implantan en aspectos como la reducción de costes, el aumento de la seguridad y la eficiencia, y la mejora de la imagen corporativa. También supone grandes beneficios para los usuarios finales en relación a su comodidad, reducción de tiempos de espera, posibilidad de realizar tramitaciones remotas y mayor salvaguarda de su privacidad entre otras.

Se puede destacar también una serie de aplicaciones en fase de desarrollo que han sido identificadas en el análisis documental y comentadas por los expertos que han colaborado en el proceso de consulta. Actualmente se están desarrollando soluciones para facilitar la autenticación a distancia, verificar diferentes medios de pago y mejorar los sistemas de control parental y de vigilancia en general. Es especialmente reseñable el desarrollo que se está produciendo de sistemas biométricos para la autenticación de usuarios que realizan transacciones mediante teléfonos móviles.

V. Casos de éxito

En el presente estudio, se han seleccionado dos casos de éxito específicos, principalmente por su diversidad en cuanto a finalidad y tecnología empleada:

• Acceso rápido a fronteras aeroportuarias en España.

• Gestión de ayudas públicas en Polonia.

En ambos casos destaca la comodidad para los usuarios que ha supuesto la implantación de sistemas biométricos, y la eficiencia conseguida por parte de las organizaciones, las cuales han podido destinar sus recursos, que previamente destinaban al reconocimiento de personas, a otras funciones.

VI. Marco regulatorio

Los datos biométricos son considerados datos de carácter personal por las diferentes autoridades nacionales y europeas de protección de datos. Es por ello que deben aplicarse los principios establecidos en la Ley Orgánica de Protección de Datos de Carácter Personal y las medidas de seguridad establecidas en su Reglamento de Desarrollo.

En el presente informe se puede observar una recolección de legislación y jurisprudencia de aplicación señalados por los expertos consultados así como los principales estándares asociados a cada técnica biométrica.

Según señalan los expertos la regulación actual en España en materia de protección de datos es suficiente para regular el ámbito de la biometría. Sin embargo, de cara a unificar criterios y atender a una especial sensibilidad de la población, podría ser conveniente


desarrollar una regulación específica para la biometría. Para ello, se debería evitar una normativa excesivamente rígida que impida o dificulte el uso de la biometría o que no se pueda adaptar fácilmente a los futuros desarrollos.

Paralelamente, los expertos también señalan la conveniencia de avanzar en la regulación legislativa relativa a la suplantación de identidad, una de las mayores amenazas identificadas.

Por otro lado, se observa en la jurisprudencia analizada la criticidad de la necesidad de dar cumplimiento al deber de información establecido en la LOPD por parte de las entidades que implantan sistemas de reconocimiento biométrico para sus empleados.

VII. Gestión de riesgos

No obstante, en la elaboración del presente estudio se han identificado un conjunto de amenazas y vulnerabilidades intrínsecamente ligados a la utilización de tecnologías de reconocimiento basadas en biometría. En este sentido, los expertos destacan principalmente las siguientes:

• Idoneidad de la implantación: Es necesario un análisis previo para llevar a cabo la implantación de sistemas apropiados.

• Suplantación de identidad: Como en todo sistema de autenticación, es una de las principales amenazas.

• Alteración de rasgos: En ocasiones, voluntaria o involuntariamente los rasgos biométricos de las personas pueden verse alterados.

• Aceptación cultural: La idiosincrasia cultural de cada país puede suponer un inconveniente para la implantación de determinados sistemas de reconocimiento.

• Desconocimiento: En ocasiones las entidades que podrían estar interesadas desconocen la calidad o el abanico de productos y utilidades disponibles.

• Percepción negativa: Percepción de ausencia de privacidad por parte de los usuarios.

Con el objetivo de gestionar los riesgos identificados, los expertos señalan métodos se solución y prevención de los mismos que facilitan la implantación exitosa de sistemas biométricos. En este sentido, cabe destacar la detección de vida, la utilización de biometría en movimiento, el almacenamiento seguro de muestras, la formación de los usuarios finales y la realización de un análisis previo a la implantación.


VIII. Recomendaciones y buenas prácticas

Por último, durante el proceso de elaboración del presente estudio se ha recopilado un conjunto de recomendaciones dirigidas a los diferentes actores del sector de la biometría donde cabe destacar las siguientes.

• Realización de un análisis detallado previo a la implantación.

• Utilización de tecnología de calidad.

• Informar y formar a los usuarios de los sistemas.

• Garantizar la seguridad de los datos biométricos.

• Alineamiento entre mercado e investigadores.

• Divulgación hacia la ciudadanía e inversión en desarrollo de nuevas tecnologías.


1 INTRODUCCIÓN Y OBJETIVOS

1.1 PRESENTACIÓN

1.1.1 Instituto Nacional de Tecnologías de la Comunicación

El Instituto Nacional de Tecnologías de la Comunicación, S.A. (INTECO), es una sociedad estatal adscrita al Ministerio de Industria, Turismo y Comercio a través de la Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información.

INTECO es un centro de desarrollo de carácter innovador y de interés público de ámbito nacional que se orienta a la aportación de valor, a la industria y a los usuarios, y a la difusión de las nuevas tecnologías de la información y la comunicación (TIC) en España, en clara sintonía con Europa.

Su objetivo fundamental es servir como instrumento para desarrollar la Sociedad de la Información, con actividades propias en el ámbito de la innovación y el desarrollo de proyectos asociados a las TIC, basándose en tres pilares fundamentales: la investigación aplicada, la prestación de servicios y la formación.

La misión de INTECO es aportar valor e innovación a los ciudadanos, a las PYMES, a las Administraciones Públicas y al sector de las tecnologías de la información, a través del desarrollo de proyectos que contribuyan a reforzar la confianza en los servicios de la Sociedad de la Información en nuestro país, promoviendo además una línea de participación internacional.

Para ello, INTECO desarrolla actuaciones en las siguientes líneas:

• Seguridad Tecnológica: INTECO está comprometido con la promoción de servicios de la Sociedad de la Información cada vez más seguros, que protejan los datos personales de los interesados, su intimidad, la integridad de su información y eviten ataques que pongan en riesgo los servicios prestados. Y por supuesto que garanticen un cumplimiento estricto de la normativa legal en materia de TIC. Para ello coordina distintas iniciativas públicas en torno a la seguridad de las TIC, que se materializan en la prestación de servicios por parte del Observatorio de la Seguridad de la Información, el Centro de Respuesta a Incidentes de Seguridad en Tecnologías de la Información (INTECO-CERT) con su Centro Demostrador de Tecnologías de Seguridad, y la Oficina de Seguridad del Internauta, de los que se benefician ciudadanos, PYMES, Administraciones Públicas y el sector tecnológico.

• Accesibilidad: INTECO promueve servicios de la Sociedad de la Información más accesibles, que supriman las barreras de exclusión, cualquiera que sea la dificultad o carencia técnica, formativa, etc., incluso discapacidad, que tengan sus


usuarios. Y que faciliten la integración progresiva de todos los colectivos de usuarios, de modo que todos ellos puedan beneficiarse de las oportunidades que ofrece la Sociedad de la Información. Asimismo desarrolla proyectos en el ámbito de la accesibilidad orientados a garantizar el derecho de ciudadanos y empresas a relacionarse electrónicamente con las AA.PP.

• Calidad TIC: INTECO promueve unos servicios de la Sociedad de la Información que cada vez sean de mayor calidad, que garanticen unos adecuados niveles de servicio, lo cual se traduce en una mayor robustez de aplicaciones y sistemas, un compromiso en la disponibilidad y los tiempos de respuesta, un adecuado soporte para los usuarios, una información precisa y clara sobre la evolución de las funcionalidades de los servicios, y en resumen, servicios cada vez mejores. En esta línea impulsa la competitividad de la industria del Software a través de la promoción de la mejora de la calidad y la certificación de las empresas y profesionales de la ingeniería del software.

• Formación: la formación es un factor determinante para la atracción de talento y para la mejora de la competitividad de las empresas. Por ello, INTECO impulsa la formación de universitarios y profesionales en las tecnologías más demandadas por la industria.

1.1.2 Observatorio de la Seguridad de la Información

El Observatorio de la Seguridad de la Información se inserta dentro de la línea estratégica de actuación de INTECO en materia de Seguridad Tecnológica.

Nace con el objetivo de describir de manera detallada y sistemática el nivel de seguridad y confianza en la Sociedad de la Información y de generar conocimiento especializado en la materia. De este modo, se encuentra al servicio de los ciudadanos, las empresas y las administraciones públicas españolas para describir, analizar, asesorar y difundir la cultura de la seguridad de la información y la e-confianza.

El Observatorio ha diseñado un Plan de Actividades y Estudios con el objeto de producir conocimiento especializado y útil en materia de seguridad por parte de INTECO, así como de elaborar recomendaciones y propuestas que definan tendencias válidas para la toma de decisiones futuras por parte de los poderes públicos.

Dentro de este plan de acción se realizan labores de investigación, análisis, estudio, asesoramiento y divulgación que atenderán, entre otras, a las siguientes estrategias:

• Elaboración de estudios e informes propios en materia de seguridad de las Tecnologías de la Información y la Comunicación, con especial énfasis en la Seguridad en Internet.


• Seguimiento de los principales indicadores y políticas públicas relacionadas con la seguridad de la información y la confianza en el ámbito nacional e internacional.

• Generación de una base de datos que permita el análisis y evaluación de la seguridad y la confianza con una perspectiva temporal.

• Impulso de proyectos de investigación en materia de seguridad TIC.

• Difusión de estudios e informes publicados por otras entidades y organismos nacionales e internacionales, así como de información sobre la actualidad nacional y europea en materia de la seguridad y confianza en la Sociedad de la Información.

• Asesoramiento a las Administraciones Públicas en materia de seguridad de la información y confianza, así como el apoyo a la elaboración, seguimiento y evaluación de políticas públicas en este ámbito.

1.2 ESTUDIO SOBRE LAS TECNOLOGÍAS BIOMÉTRICAS APLICADAS A LA SEGURIDAD

El presente estudio surge de la necesidad de conocer el nivel de desarrollo y confianza de las tecnologías biométricas así como su capacidad para afrontar los riesgos existentes y sus futuras líneas de desarrollo.

Para la realización del mismo se plantean una serie objetivos que se desarrollan a continuación.

1.2.1 Objetivos generales

El objetivo general de este estudio es el análisis de las técnicas biométricas existentes, sus diferentes usos y aplicaciones, amenazas y vulnerabilidades a las que están expuestas las tecnologías biométricas. Este análisis se basará en la percepción de expertos en diversos campos así como en la documentación ya publicada.

Otro objetivo de este análisis es la propuesta de recomendaciones de actuación o buenas prácticas a usuarios, pequeñas y medianas empresas, industria y Administraciones Públicas para impulsar el cumplimiento de estándares, el conocimiento y el desarrollo de la biometría.

1.2.2 Objetivos específicos

Los anteriores objetivos se desglosan operativamente en los siguientes objetivos específicos que permiten, además, orientar la estructura temática del presente informe.


Introducción a las tecnologías biométricas

• Describir el concepto de biometría, los antecedentes existentes así como conceptos clave relacionados.

• Identificar los tipos de tecnologías biométricas existentes en el mercado.

• Establecer una comparativa de las diferentes tecnologías identificadas, clasificándolas en función de su grado de madurez y de implantación en el mercado, considerando también, entre otros, aspectos como la relación coste/beneficio.

Análisis de los procesos de identificación basados en biometría

• Describir las técnicas aplicadas y los tipos de identificación.

• Comparar las tecnologías biométricas frente a otros tipos de sistemas de identificación describiendo las posibles ventajas.

• Analizar la autenticación de doble factor en relación a la biometría.

Beneficios de la utilización de las tecnologías biométricas

• Identificar las ventajas que la biometría reporta a los usuarios

• Identificar los puntos clave del beneficio para las organizaciones al implantar sistemas biométricos.

Usos y aplicaciones de las tecnologías biométricas

• Analizar e identificar las principales aplicaciones actuales de la biometría.

• Identificar los diferentes sectores de especial relevancia en el ámbito biométrico.

• Estudiar las posibilidades de expansión a otras áreas de la tecnología a medio plazo.

• Conocer las áreas de investigación que resulten interesantes para el desarrollo e implantación de tecnologías biométricas en el mercado.

Regulación: legislación y estándares internacionales desarrollados

• Identificar y analizar la legislación actualmente aplicable.

• Identificar los estándares internacionales existentes.


Gestión de riesgos

• Identificar las amenazas y vulnerabilidades que puedan comprometer la seguridad o la confianza en estos procesos.

• Analizar los métodos de solución y prevención que permiten gestionar los riesgos identificados previamente.

Recomendaciones

• Conocer las buenas prácticas relativas a los momentos de decisión e implantación de tecnologías biométricas en pequeñas y medianas empresas.

• Analizar el uso de estándares, auto-regulación y áreas de desarrollo en la industria biométrica.

• Identificar políticas de instauración y concienciación recomendables para las Administraciones Públicas.


2 DISEÑO METODOLÓGICO

Esta investigación se ha desarrollado siguiendo un enfoque cualitativo al tiempo que se han utilizado datos cuantitativos procedentes de otras investigaciones como complemento. Las fases en que se ha abordado han sido:

• Fase 1: Recopilación y estudio de informes.

• Fase 2: Entrevistas a expertos, sesión de trabajo y aportación 2.0.

• Fase 3: Elaboración del informe de conclusiones finales del proyecto.

• Fase 4: Elaboración de una guía práctica dirigida a usuarios sobre seguridad y confianza en el uso de las tecnologías biométricas.

2.1 FASE 1: BÚSQUEDA Y ANÁLISIS DOCUMENTAL.

Esta etapa ha abarcado el análisis de la situación actual de las tecnologías biométricas en relación a su grado de madurez, ventajas, inconvenientes, así como las tendencias futuras en función de la industria o el sector.

Para la consecución de estos objetivos se han inventariado las fuentes de información que disponen y publican estudios, informes y/o trabajos relacionados con la biometría. Finalmente, se han analizado y extraído las principales conclusiones de aquellos informes que contienen información actual y útil para el presente estudio.

Es importante destacar que una gran parte de estas publicaciones pertenecen a entidades públicas o privadas cuyo ámbito de estudio se sitúa en Norteamérica (Estados Unidos y Canadá) u otros países europeos más desarrollados desde el punto de vista del objeto del presente estudio.

En el Anexo I: Bibliografía se incluye una relación de las publicaciones consideradas en la realización del informe. Todas ellas son propiedad de las siguientes entidades:

• Air University

• Central Institute of Technology of Kokrajhar

• Centre for European Policy Studies

• Complete Consultants Worldwide

• Computer Law & Security Review

• Deloitte

• École Polytechnique Fédérale de Lausanne

• European Commitee for Standarization


• Forrester

• Gartner

• Institute of Electrical and Electronics Engineer

• Iqra University

• Michigan State University

• National Institute of Standards and Technology (NIST)

• Sri Jayachamarajendra College of Engineering

• Trub AG

• Unión Europea

• Universidad Carlos III de Madrid

• Universidad de Deusto

• Universidad del País Vasco

• Università di Bologna

• University of Arkansas

• University of Kebangsaan

2.2 FASE 2: CONSULTA A EXPERTOS

Esta fase del proyecto se ha destinado a consultar la opinión de expertos sobre los diferentes ámbitos de análisis propuestos para el estudio.

2.2.1 Selección de expertos

Los perfiles que han abarcado los expertos participantes en la investigación son los siguientes:

• Fabricantes de sistemas biométricos: ofrecen la visión del fabricante de este tipo de sistemas, aportando especialmente su perspectiva sobre el desarrollo del mercado, las debilidades y barreras actuales además de las expectativas que tiene la industria. Pueden aportar su conocimiento sobre el marco regulatorio actual y los estándares.

• Distribuidores de sistemas biométricos: aportan la visión desde un punto de vista de negocio y demanda de clientes en cuanto al mercado actual de sistemas biométricos, las necesidades de los clientes y las barreras a la que se enfrentan a la hora de acceder a este tipo de soluciones.

• Integradores / consultores: contribuyen a la investigación con su experiencia en la implantación de sistemas biométricos, sobre todo desde el punto de vista de las buenas prácticas de seguridad y de los riesgos que se deben tener en cuenta en el momento de la adopción de estas tecnologías. También pueden complementar la visión existente sobre las necesidades de los clientes y el uso que actualmente están teniendo las tecnologías biométricas.


• Expertos en seguridad informática: brindan una visión más objetiva sobre el uso y aplicación de las tecnologías biométricas respecto a la seguridad de la información, identificación de personas y control de accesos. También resulta relevante su conocimiento sobre los riesgos y debilidades de este tipo de tecnologías y las buenas prácticas a tener en cuenta para su despliegue y uso eficaz.

• Expertos en derecho en nuevas tecnologías: ofrecen al estudio su visión desde el punto de vista jurídico sobre las precauciones y/o limitaciones existentes en la aplicación de este tipo de tecnologías.

• Usuarios finales: aportan al estudio la experiencia del cliente final a la hora de adoptar tecnologías biométricas y las posibles necesidades que pueden cubrir con las mismas. Su participación ayuda también a analizar las barreras de entrada existentes y obtener una visión sobre el grado de aplicación de las mismas en la actualidad. Aquellos usuarios que hayan abordado proyectos de implantación de este tipo de tecnologías ayudarán a contemplar el catálogo de buenas prácticas.

• Investigadores / académicos: contribuyen con su opinión sobre el futuro de este tipo de tecnologías y los condicionantes existentes en relación a su evolución y adecuación a nuevas necesidades. También aportan al proyecto su visión sobre otro tipo de aplicaciones que pueden tener estas tecnologías.

• Expertos internacionales: brindan al proyecto una visión integral del estado de desarrollo de estas tecnologías fuera del ámbito nacional y la evolución que puede tener esta industria de manera más global. También aportan conocimiento sobre cuáles son los líderes desde un punto de vista de fabricación e implantación de soluciones biométricas.

• Casos de éxito: ofrecen ejemplos sobre implantaciones de soluciones biométricas (tanto a pequeña escala como despliegues más significativos) ilustrando el proceso de adopción de este tipo de tecnologías y analizando los beneficios aportados por su implantación.

Se señalan a continuación las instituciones y profesionales que han colaborado en la realización del estudio:

• Agnitio. Javier Castaño y Marta García-Gomar, Socio fundador y Directora de tecnología.

• Avalon Biometrics. Ion Otazua y Javier Pérez, Strategic account manager y Project manager.


• ByTech. Sebastián González Andino, Responsable del departamento de firmware.

• Caixa Penedés. Mario Torres, Analista de seguridad.

• Centro per la Scienza, la Società e la Cittadinanza de Roma. Emilio Mordini, Director.

• Consiglio Nazionalle delle Ricerche (CNR). Mario Savastano, Senior researcher.

• Deloitte Abogados. Norman Heckh, Director.

• Deloitte. Srini Subramanian, Director.

• Escuela Universitaria de Mataró. Marcos Faúndez, Director.

• Ganetec. Jesús Tejedor, Ramón Llorca y Miquel Mora, R & D Software engineers y Gerente.

• Grupo Comex. Juan García e Ignacio Vilalta, Director de operaciones y Calidad.

• Grupo Spec. Maria del Carmen González Hernández y Antonio Tomasa, Directora comercial y Director de I+D.

• Guardia Civil. José Juan Lucena Molina, Teniente Coronel.

• Hitachi. Peter Jones, Business Manager.

• HR Access. Cristina Sirera, Responsable jurídico.

• Icarvision. Alejandro Haro, Director comercial.

• Indra. David Pérez, Gerente de seguridad.

• Mobbeel. José Luis Huertas, Director general.

• National Institute of Standards and Technology (NIST). Dr. Elaine Newton, Senior Advisor for Identity Technologies.

• San José State University. Jim Wayman, Director del departamento ‘National Biometric Test Center’.

• Tredess. Alfonso Represa, Jefe de Producto Video Supervisión.

• Universidad Autónoma de Madrid. Ignacio Garrote, Profesor.


• Universidad Autónoma de Madrid. Javier Ortega-García, Director del ATVS – Área de Tratamiento de Voz y Señales.

• Universidad Carlos III de Madrid. Raúl Sánchez Reillo, Director del GUTI - Grupo Universitario de Tecnologías de Identificación.

• Universidad de las Palmas de Gran Canaria. Miguel Ángel Ferrer y Carlos Travieso, Investigadores.

• VaniOS. Jorge Urios, CEO.

Desde INTECO se les agradece su colaboración y disponibilidad.

2.2.2 Realización de entrevistas

Las entrevistas desarrolladas con los expertos han seguido el siguiente guión:

a) Presentación y detalles del experto: presentación, principales campos de actuación y experiencia en proyectos biométricos.

b) Madurez de las tecnologías biométricas: general y según tecnologías y sectores. Referencia a casos de éxito conocidos.

c) Regulación aplicable: opinión sobre la legislación y las estandarizaciones existentes y las necesidades futuras al respecto.

d) Riesgos y amenazas de las tecnologías biométricas: inconvenientes a la hora de la implantación, aspectos de mejora, amenazas, controles compensatorios y causa de las vulnerabilidades de las tecnologías biométricas.

e) Recomendaciones: beneficios de la implantación de tecnologías biométricas y recomendaciones a usuarios, industria, legisladores y Administraciones Públicas.

f) Opinión de los ciudadanos: percepción general de los ciudadanos sobre las tecnologías biométricas.

g) Futuro de las tecnologías biométricas: visión sobre el futuro a medio y largo plazo, líneas de investigación más interesantes y sectores proclives a la implantación.

2.2.3 Investigación cualitativa 2.0

Como complemento a la fase cualitativa estrictu sensu, para ampliar la participación de otros especialistas así como recabar la opinión de otros interesados en la materia se ha realizado una consulta a foros profesionales mediante la promoción de debates en LinkedIn, una de las mayores redes profesionales del mundo en Internet.


Así, dentro del grupo “Biometrics Network & Forum”’ – grupo existente con anterioridad a esta investigación y constituido por 3.000 profesionales de la biometría – se han lanzado una serie de preguntas acerca de experiencia, casos de éxito, barreras en la implementación y futuro de la biometría. Las conclusiones al respecto se han sumado a las ya obtenidas en las entrevistas realizadas.

2.2.4 Sesión de trabajo

La fase de investigación cualitativa se ha completado con una sesión de trabajo en la que se han expuesto las principales conclusiones obtenidas durante la investigación para su valoración por parte del panel de expertos.

Para la realización de esta sesión de análisis de conclusiones se ha empleado una herramienta software (Power Vote), de fácil uso, que permite gestionar reuniones en grupo de forma interactiva, explorando las distintas opiniones y posibilidades que se van planteando y obteniendo aquellas consideraciones que cuentan con mayor aceptación (gracias a un la utilización de unos terminales de votación inalámbricos que utilizan los asistentes a la reunión para analizar cada aspecto a debatir).

Además, a partir de la preparación inicial de los temas a tratar en la reunión es posible añadir, modificar o eliminar información a medida que avanza el debate, en función de los hechos recogidos. Esta característica facilita la gestión de reuniones de forma dinámica y flexible, permitiendo obtener conclusiones en tiempo real.

Se plantearon un total de 18 conclusiones que fueron valoradas y votadas por los siguientes expertos:

• Javier Castaño (Agnitio)

• Ion Otazua y Javier Pérez (Avalon Biometrics)

• Sebastián González (Bytech)

• Raúl Alonso (Carlos III de Madrid)

• Norman Heckh (Deloitte Abogados)

• Ramón Llorca (Ganetec)

• Daniel Cuesta (Indra)

• Pablo Pérez (INTECO)

• Jorge Urios (VaniOS)


Las conclusiones obtenidas en esta sesión se han tenido en cuenta para refrendar aspectos detectados y aclarar determinadas cuestiones.

2.3 FASE 3: ELABORACIÓN DEL INFORME DE CONCLUSIONES FINALES DEL PROYECTO

Una vez finalizadas las etapas correspondientes a los trabajos de investigación, se documentan y exponen las conclusiones alcanzadas en el informe final.

En la elaboración del presente informe se recoge el análisis y las conclusiones de la investigación, junto con las recomendaciones de actuación dirigidas a los usuarios, a la industria y a las Administraciones Públicas.

2.4 FASE 4: ELABORACIÓN DE UNA GUÍA PRÁCTICA DIRIGIDA A USUARIOS

En paralelo a la realización del estudio sobre el nivel de desarrollo y confianza de las tecnologías biométricas, y aprovechando los resultados del mismo, se ha elaborado una guía divulgativa con la intención de dar a conocer las diferentes tecnologías biométricas, sus diferentes usos y aplicaciones, los riesgos a los que están expuestas y desarrollar un catálogo de buenas prácticas y recomendaciones.


3 INTRODUCCIÓN A LAS TECNOLOGÍAS BIOMÉTRICAS

3.1 ANTECEDENTES

La biometría es un método de reconocimiento de personas basado en sus características fisiológicas o de comportamiento. Se trata de un proceso similar al que habitualmente realiza el ser humano reconociendo e identificando a sus congéneres por su aspecto físico, su voz, su forma de andar, etc.

En la actualidad, la tecnología ha permitido automatizar y perfeccionar estos procesos de reconocimiento biométrico, de forma que tienen multitud de aplicaciones y finalidades –y especialmente aquellas relacionadas con la seguridad– algunas de las cuales se expondrán a lo largo del presente informe.

Los primeros antecedentes de los que se tiene referencia sobre la biometría datan de hace más de mil años en China, donde los alfareros comenzaron a incluir sus huellas dactilares en los productos que realizaban como símbolo de distinción o firma, lo que les permitía diferenciarse del resto.

Sin embargo, no fue hasta finales del siglo XIX cuando Alphonse Bertillon –antropólogo francés que trabajó para la policía– comenzó a dar a la biometría el carácter de ciencia, profesionalizando su práctica. Basaba su teoría en que una cierta combinación de medidas del cuerpo humano era invariable en el tiempo, lo que permitió dar solución al problema de identificar a los criminales convictos a lo largo de toda su vida.

El sistema de Bertillon o “Antropometría”, que incluía, entre otras, medidas como el largo y ancho de la cabeza o la longitud del pie izquierdo y del antebrazo, se comenzó a utilizar comúnmente a lo largo de todo el mundo. Sin embargo, su efectividad se puso en duda al presentarse algunos problemas en el uso de diferentes medidas y, especialmente, por las dificultades en la diferenciación de sujetos extremadamente similares como los gemelos.

Esta desacreditación hizo que Sir Edward Henry, Inspector General de la Policía de Bengala, buscase otras técnicas y se interesase por las investigaciones de Sir Francis Galton, el cual utilizaba la huella dactilar como método de identificación. Primero en Bengala y posteriormente en Londres (1901), Sir Edward Henry estableció su oficina de huella dactilar exitosamente y consiguió rápidamente la aceptación de la comunidad a nivel mundial. Así, los métodos utilizados en oriente desde siglos atrás fueron introducidos exitosamente en occidente.

Ya a comienzo de los años 70, Shearson Hamil, una empresa de Wall Street, instaló Identimat, un sistema de identificación automática basado en huella dactilar que se utilizó


para el control de acceso físico a instalaciones, siendo la primera solución biométrica de uso comercial.

Desde entonces se ha investigado mucho en el campo de la biometría, detectándose multitud de rasgos biométricos diferentes a la huella dactilar.

A día de hoy, el avance en el conocimiento de dichos rasgos y sus correspondientes ventajas e inconvenientes, unido a las posibilidades que ofrece la tecnología, hacen que la biometría se considere uno de los elementos clave en cuanto a las técnicas de identificación y seguridad en el futuro.

3.2 CONCEPTOS CLAVE

Cuando se aborda la biometría, se hace referencia a una tecnología puntera, sobre la cual no mucha gente tiene conocimientos precisos. Es por ello que es conveniente señalar y aclarar aquellos conceptos que se consideran esenciales para la comprensión del funcionamiento de los sistemas biométricos. A continuación se identifican una serie de conceptos básicos y comunes a todas las tecnologías biométricas.

3.2.1 Componentes de un sistema biométrico

Los principales componentes que se pueden identificar en un sistema biométrico son:

• Sensor: Es el dispositivo que captura los rasgos o características biométricas. Dependiendo de los rasgos biométricos que se quieran registrar y convertir en datos digitales, se necesitarán los sensores adecuados. A continuación se muestra una tabla con algunos de los diferentes tipos de sensores utilizados para algunas de las tecnologías biométricas que se tratarán más adelante.

Tabla 1: Sensores según tipos de tecnología biométrica

Tecnología Dispositivo de captura

Huella dactilar Periférico de escritorio, tarjeta PCMCIA o lector integrado.

Reconocimiento de voz Micrófono o teléfono

Reconocimiento facial Cámara de video o cámara integrada en un PC

Reconocimiento de iris Cámara de infrarrojos

Reconocimiento de retina Unidad propietaria de escritorio o de pared

Reconocimiento de la geometría de la mano Unidad propietaria de pared o de pie

Reconocimiento de firma Tableta de firma, puntero sensor al movimiento

Reconocimiento de escritura de teclado Teclado


• Repositorio: Es la base de datos donde se almacenan las plantillas biométricas inscritas para su comparación. Debería protegerse en un área física segura, así como ser cifrada y firmada digitalmente.

• Algoritmos: Usados para la extracción de características (procesamiento) y su comparación. Las tres funciones básicas asociadas a ellos son: registro, verificación e identificación.

3.2.2 Registro en el sistema

En la mayor parte de los casos, los usuarios deben registrar su identidad en el sistema antes de hacer uso de él. Esto se realiza por medio de la obtención de los parámetros biométricos. Este proceso es el de registro y se compone de tres fases distintas:

• Captura: Se recogen los parámetros biométricos. Estos parámetros varían en cada tecnología, como se observa en la siguiente tabla.

Tabla 2: Parámetros considerados en cada tecnología biométrica

Tecnología Muestra biométrica

Huella dactilar Imagen o minucia de la huella dactilar

Reconocimiento de voz Grabación de voz

Reconocimiento facial Imagen facial

Reconocimiento de iris Imagen del iris

Reconocimiento de retina Imagen de la retina

Reconocimiento de la geometría de la mano Imagen en 3-D de la parte superior y lateral de mano y dedos

Reconocimiento de firma Imagen de la firma y registro de medidas relacionadas con la dinámica

Reconocimiento de escritura de teclado Registro de las teclas pulsadas y registro de medidas relacionadas con la dinámica

• Procesamiento: Se genera una plantilla con las características personales de los parámetros capturados. La siguiente tabla muestra los diferentes rasgos extraídos.


Tabla 3: Características extraídas en cada técnica biométrica

Tecnología Característica extraída

Huella dactilar Ubicación y dirección del final de las minucias o formas de las huellas

Reconocimiento de voz Frecuencia, cadencia y duración del patrón vocal.

Reconocimiento facial Posición relativa y forma de la nariz, posición de la mandíbula

Reconocimiento de iris Surcos y estrías del iris

Reconocimiento de retina Patrones de los vasos sanguíneos de la retina

Reconocimiento de la geometría de la mano Altura y anchura de los huesos y las articulaciones de los dedos y de la mano

Reconocimiento de firma Velocidad, orden de los trazos, presión y apariencia de la firma

Reconocimiento de escritura de teclado Secuencia de teclas y pausas entre pulsaciones

• Inscripción: La plantilla procesada se guarda en un medio de almacenamiento adecuado. Una vez que la inscripción está completa, el sistema puede autenticar a las personas mediante el uso de esta plantilla. Para ello se sigue el procedimiento que se señala en el siguiente esquema:

Gráfico 1: Proceso de inscripción en el registro

Identidad de usuario

Sensor Pre-procesamiento

Extractor de características

Generador de plantillas Plantillas guardadas

Información biométrica

Plantilla del usuario

Inscripción


3.2.3 Autenticación

La autenticación es el proceso mediante el cual se captura una muestra biométrica del individuo para su comparación con las plantillas ya registradas. Esta autenticación puede realizarse de dos maneras diferentes, identificación y verificación, que conviene distinguir:

• Identificación: Consiste en la comparación de la muestra recogida del usuario frente a una base de datos de rasgos biométricos registrados previamente. No se precisa de declaración inicial de su identidad por parte del usuario, es decir, el único dato que se utiliza es la muestra biométrica recogida en el momento de uso, sin apoyo de un registro anterior ni un nombre de usuario o cualquier otro tipo de reconocimiento. Este método requiere de un proceso de cálculo complejo, puesto que se ha de comparar esta muestra con cada una de las anteriormente almacenadas para buscar una coincidencia. El proceso desarrollado es el siguiente:

Gráfico 2: Proceso de identificación

en la autenticación

• Verificación: En este caso, sin embargo, el primer paso del proceso es la identificación del individuo mediante un nombre de usuario, tarjeta o algún otro método. De este modo se selecciona de la base de datos el patrón que anteriormente se ha registrado para dicho usuario. Posteriormente, el sistema

Identificación

Sensor Información biométrica

Pre-procesamiento


Generador de plantillas

Plantilla

Coincidencia

(n coincidencias)

Identificación del usuario o no

Plantillas guardadas

Todas las plantillas


recoge la característica biométrica y la compara con la que tiene almacenada. Es un proceso simple, al tener que contrastar únicamente dos muestras, en el que el resultado es positivo o negativo:

Gráfico 3: Proceso de verificación

en la autenticación

3.2.4 Toma de decisiones

El proceso de toma de decisiones en la biometría consta de cuatro etapas:

• Búsqueda de coincidencias: Comparación de las muestras biométricas para determinar el grado de similitud o correlación entre ellas.

• Cálculo de una puntuación: Para la comparación de datos biométricos se calcula un valor numérico que indica el grado de similitud o correlación entre las muestras. Los métodos de verificación tradicionales (contraseñas, PINs, etc.) son binarios, es decir, ofrecen una respuesta positiva o negativa. Este no es el caso en la mayoría de sistemas biométricos. La mayor parte los sistemas biométricos se basan en algoritmos de búsqueda de coincidencias que generan una

Verificación

Sensor Información biométrica

Pre-procesamiento


Generador de plantillas

Plantilla

Coincidencia

Verdadero/Falso

Identidad declarada

Plantillas guardadas

Plantilla declarada


puntuación. Esta puntuación representa el grado de correlación entre la muestra a autenticar y la de registro.

• Comparación con el umbral establecido: El umbral es un número predefinido, normalmente por el administrador del sistema biométrico, que establece el grado de correlación necesario para que una muestra se considere similar a otra. Si la puntuación resultante de la comparación de muestras supera el umbral, las muestras se consideran coincidentes, aunque las muestras en sí no sean necesariamente idénticas. Esto se debe a la inclusión en el análisis de las posibles deficiencias en la captura de las muestras.

• Decisión: Resultado de la comparación entre la puntuación y el umbral. Las decisiones que puede tomar un sistema biométrico incluyen: coincidencia, no coincidencia e inconcluyente (el sistema no es capaz de determinar si la muestra recogida es coincidente o no). Dependiendo del sistema biométrico implementado, una coincidencia puede permitir el acceso, una no coincidencia restringirlo y una muestra inconcluyente puede solicitar al usuario otra muestra.

3.2.5 Funcionamiento del sistema

El funcionamiento y fiabilidad del sistema se puede valorar mediante una serie de tasas:

• Tasa de error de adquisición (Failure To Adquire rate): Proporción de ocasiones en las que el sistema no es capaz de capturar una muestra de calidad suficiente para ser procesada.

• Tasa de error de registro (Failure To Enrol rate): Proporción de la población para la cual el sistema biométrico no es capaz de generar muestras de calidad suficiente.

• Tasa de falso negativo (False Rejection Rate): Proporción de ocasiones en las que el sistema no vincula a un individuo con su propia plantilla biométrica existente en el registro.

• Tasa de falso positivo (False Acceptance Rate): Proporción de ocasiones en las que un sistema vincula erróneamente a un individuo con la información biométrica existente de otra persona.

3.3 TIPOS, TÉCNICAS Y TECNOLOGÍAS APLICADAS A LA BIOMETRÍA

Las tecnologías biométricas se definen como métodos automáticos utilizados para reconocer a personas sobre la base del análisis de sus características físicas o de comportamiento.


Dependiendo de la técnica biométrica empleada, los parámetros considerados son diferentes: surcos de la huella dactilar, geometría de la mano, imagen facial, etc. De estos parámetros se extrae un patrón único para cada persona, que será utilizado para posteriores comparaciones.

Fundamentalmente se distinguen dos grupos de tecnologías biométricas en función de la metodología utilizada: aquellas que analizan características fisiológicas de las personas y aquellas que analizan su comportamiento.

3.3.1 Tecnologías biométricas fisiológicas

Las tecnologías biométricas fisiológicas se caracterizan por considerar parámetros derivados de la medición directa de algún rasgo estrictamente físico del cuerpo humano a la hora de identificar personas.

Huella dactilar

La identificación basada en huella dactilar es la más antigua de las técnicas biométricas y ha sido utilizada en un gran número de aplicaciones debido a que la mayoría de la población tiene huellas dactilares únicas e inalterables.

Es el rasgo biométrico más utilizado para autenticación y tiene la mayor gama de tecnologías de captura, con distintas características de funcionamiento. Asimismo, tiene como ventajas su alta tasa de precisión y que habitualmente los usuarios tienen conocimientos suficientes sobre su utilización.

Existen dos tipos de técnicas de búsqueda de coincidencias entre muestras de huella dactilar:

• Basadas en minucias: Esta técnica basa su mecanismo de autenticación en las “minucias”, es decir, en determinadas formas fácilmente identificables existentes en la huella dactilar. Así, se registra el tipo de minucia y su posición dentro de la huella, estableciendo una serie de mediciones. De esta forma, el modelo o plantilla correspondiente a cada usuario es un esquema en el que se indican las minucias que se han de detectar, su posición y las distancias que separan unas de otras.


Ilustración 1: Minucias de una huella dactilar

No obstante, existen algunas dificultades asociadas a este método. Por un lado, no es sencillo extraer de forma precisa las mencionadas minucias cuando la calidad de la muestra no es buena. Por otro lado, no se tiene en cuenta el patrón global de crestas y surcos.

• Basadas en correlación: Mediante la utilización de esta técnica se analiza el patrón global seguido por la huella dactilar, es decir, el esquema general del conjunto de la huella en lugar de las minucias. Esta técnica no requiere de un registro tan preciso, pero su principal inconveniente es que se ve afectada por la traslación y la rotación de la imagen.

Ilustración 2: Técnica de correlación

El pequeño tamaño de los receptores, su fácil integración (pudiendo ser incluidos de forma sencilla en teclados), y su usabilidad, así como los bajos costes asociados a los mismos, convierten a la huella dactilar en una tecnología muy útil para su implantación en oficinas y hogares.

Paralelamente y de manera independiente a la técnica utilizada para la búsqueda de coincidencias, existen diferentes tipos de sensores:


• Sensores ópticos: Son los más comunes en el mercado y cuentan con una superficie de cristal donde se coloca el dedo, lentes, un prisma, una fuente de luz y una cámara. La cámara se basa en tecnologías CCD (Charge-Coupled Device) o CMOS (Complementary Metal Oxide Semiconductor) siendo ambos tipos de silicio y similares en cuanto a sensibilidad. La cámara consta de varios cientos de miles de píxeles situados en forma de malla que, cuando se ven estimulados con la luz que incide sobre ellos, almacenan una pequeña carga de electricidad, transportando a los circuitos de procesamiento de la cámara la muestra recibida.

• Sensores capacitivos: Están compuestos en la superficie de un circuito integrado de silicona que dispone de una malla de capacitores que miden las diferencias de voltaje en el contacto con la superficie dactilar.

Estos sensores sólo trabajan con pieles sanas normales, ya que no son operativos cuando se utilizan sobre pieles con zonas duras, callos o cicatrices. La humedad, la grasa o el polvo también pueden afectar a su funcionamiento.

Reconocimiento facial

El reconocimiento facial es una técnica mediante la cual se reconoce a una persona a partir de una imagen o fotografía. Para ello, se utilizan programas de cálculo que analizan imágenes de rostros humanos. El proceso de registro dura entre 20 y 30 segundos, tiempo en el cual se toman varias fotografías de la cara. Idealmente, la serie de imágenes debería incluir diferentes ángulos y expresiones faciales, para permitir una búsqueda de coincidencias más precisa.

Ilustración 3: Reconocimiento facial


Los cuatro métodos principales empleados por los proveedores de reconocimiento facial se describen a continuación:

1. Eigenface: Podría traducirse como "cara de uno mismo". Es una tecnología patentada en el Massachusetts Institute of Technology (MIT) que utiliza imágenes bidimensionales en escala de grises que representan características distintivas de una imagen facial.

2. Análisis de características locales: Es la tecnología más utilizada en el reconocimiento facial. Esta tecnología está relacionada con Eigenface, pero es capaz de adaptarse mejor a los cambios en la apariencia o aspecto facial (sonriendo, frunciendo el ceño, etc.). El análisis de características locales (Local Feature Analysis) utiliza docenas de características de las diferentes regiones de la cara y también incorpora la ubicación relativa de estos rasgos. Las pequeñas características extraídas son bloques de construcción y, tanto el tipo de bloques como su disposición, se utilizan para identificar y/o verificar.

3. Neural Network Mapping: En este método las redes neuronales emplean un algoritmo para determinar la similitud de las características únicas de la muestra adquirida y de la obtenida en el registro, utilizando tantas partes de la imagen facial como sea posible.

4. Procesamiento automático de la cara (Automatic Face Processing): Es una tecnología más rudimentaria, que utiliza las ratios de distancia entre las características de fácil adquisición, tales como los ojos, la punta de la nariz y las comisuras de la boca. Aunque en general no es tan robusto como los demás métodos, la AFP puede ser más eficaz cuando la captura de imagen es frontal en condiciones de poca luz.

A diferencia de otros sistemas biométricos, el reconocimiento facial puede ser utilizado para la vigilancia, habitualmente mediante cámaras de video. Es por ello que, en este caso, no es necesaria una inversión en dispositivos específicos.

Uno de los principales inconvenientes que presenta esta técnica es su escasa resistencia al fraude, puesto que una persona puede modificar visualmente su cara de manera sencilla, como por ejemplo, utilizando unas gafas de sol o dejándose crecer la barba. Asimismo, debe considerarse que el rostro de las personas varía con la edad.


Reconocimiento de iris

El iris es la parte pigmentada del ojo que rodea la pupila. Este método utiliza las características del iris humano con el fin de verificar la identidad de un individuo.

Los patrones de iris vienen marcados desde el nacimiento y rara vez cambian. Son extremadamente complejos, contienen una gran cantidad de información y tienen más de 200 propiedades únicas.

El escaneado de iris se lleva a cabo mediante una cámara de infrarrojos especializada –situada por lo general muy cerca de la persona– que ilumina el ojo realizando una fotografía de alta resolución. Este proceso dura sólo uno o dos segundos y proporciona los detalles del iris que se localizan, registran y almacenan para realizar futuras verificaciones.

Es importante señalar que no existe ningún riesgo para la salud, ya que al obtenerse la muestra mediante una cámara de infrarrojos, no hay peligro de que el ojo resulte dañado en el proceso.

Una vez tomada la muestra, es esencial la correcta ubicación y aislamiento del iris en la imagen, ya que en caso de no realizarse adecuadamente, las interferencias generadas por el exceso de información que provocan las pestañas, reflejos y las pupilas podrían resultar en problemas en el funcionamiento del sistema.

Por ello, y previamente a la comparación de la muestra, se realiza un pre-procesamiento de la imagen – habitualmente aplicación de filtros y máscaras – para aliviar de carga computacional necesaria al proceso de reconocimiento.

La comparación entre muestras de iris se realiza utilizando la distancia de Hamming1

El hecho de que los iris de los ojos derecho e izquierdo de cada persona sean diferentes y que los patrones sean difíciles de capturar, tienen como consecuencia que el reconocimiento de iris sea una de las tecnologías biométricas más resistentes al fraude.

para extraer las diferencias entre las imágenes pre-procesadas. Un valor inferior al umbral establecido, relativo a la distancia máxima entre las imágenes, supone una coincidencia entre los patrones comparados.

1 La distancia de Hamming es un método de medición de las diferencias entre dos elementos. Se define como el número de caracteres que deberían modificarse para transformar un elemento en otro referente, o lo que es lo mismo, el número de caracteres que les diferencia teniendo en cuenta la magnitud de cada de las desigualdades. De este modo se puede medir el número de errores que se deberían dar para que una muestra se interpretase como coincidente o diferente a otra.


Reconocimiento de la geometría de la mano

Esta tecnología utiliza la forma de la mano para confirmar la identidad del individuo. Su aceptación por parte de los usuarios es muy elevada, ya que no requiere información detallada de los individuos.

Ilustración 4: Reconocimiento de la geometría de la mano

Por otro lado, se trata de una técnica que es preferible que sea utilizada para la verificación de personas y no recomendada para la identificación, a no ser que sea combinada con otras características mediante sistemas biométricos bimodales.

Para la captura de la muestra, se debe colocar la mano sobre la superficie de un lector. La posición se determina mediante cinco guías que sitúan correctamente la mano para la captura. Una serie de cámaras toman imágenes en 3-D de la mano desde diferentes ángulos. Se trata de un proceso rápido y sencillo. El dispositivo de escaneo de mano puede procesar las imágenes 3-D en 5 segundos o menos y la verificación de la mano dura menos de 1 segundo.

Las características extraídas incluyen las curvas de los dedos, su grosor y longitud, la altura y la anchura del dorso de la mano, las distancias entre las articulaciones y la estructura ósea en general. No tienen en cuenta detalles superficiales, tales como huellas dactilares, líneas, cicatrices o suciedad, así como las uñas, que pueden variar de tamaño en un breve período de tiempo.

Si bien es cierto que la estructura de los huesos y las articulaciones de la mano son rasgos relativamente constantes, otras circunstancias, como una inflamación o una lesión, pueden variar la estructura básica de la mano dificultando la autenticación. A


pesar de que la tecnología descrita es relativamente precisa, no se basa en un conjunto de datos tan rico como una huella dactilar o un patrón de iris.

Reconocimiento de retina

El escáner biométrico de la retina se basa en la utilización del patrón de los vasos sanguíneos contenidos en la misma. El hecho de que cada patrón sea único (incluso en gemelos idénticos, al ser independiente de factores genéticos) y que se mantenga invariable a lo largo del tiempo, la convierten en una técnica idónea para entornos de alta seguridad.

Ilustración 5: Reconocimiento de retina

Pese a que su tasa de falsos positivos sea prácticamente nula, esta tecnología tiene un inconveniente considerable ya que es necesaria la total colaboración por parte del usuario al tratarse de un proceso que puede resultar incómodo. La toma de la muestra se realiza a partir de la pupila, lo que requiere que el usuario permanezca inmóvil y muy cerca del sensor durante la captura de la imagen. No obstante, al realizarse la captura de esta muestra mediante una cámara de infrarrojos, no existe el riesgo de que el ojo resulte dañado en el proceso.

Si bien es una de las tecnologías que aparentemente pueden llegar a ofrecer mejores resultados y mayor seguridad, la baja aceptación por parte de los usuarios, así como el alto coste de los dispositivos, hacen que la utilización de esta tecnología se limite a instalaciones militares, nucleares o laboratorios.

Reconocimiento de la geometría de las venas

Esta tecnología se basa en la estructura de las venas de la mano o del dedo. De forma similar al iris o a la retina, la geometría de las venas se define antes del nacimiento y es diferente incluso en gemelos idénticos. En el proceso de captura de la muestra, el sensor infrarrojo obtiene una imagen del patrón de las venas, a partir del cual se genera una plantilla biométrica.

http://www.google.com/imgres?q=retina&um=1&hl=en&biw=1178&bih=682&tbs=iur:fc&tbm=isch&tbnid=39yT1lyTqie7vM:&imgrefurl=http://www.flickr.com/photos/bike/2635107055/&docid=vQA4VOwV8ria-M&w=500&h=332&ei=gvyTToizBPTb4QSCmoGVCA&zoom=1�


Ilustración 6: Reconocimiento de venas de la mano

Como características más reseñables de esta técnica destacan la unicidad, universalidad y permanencia de estos rasgos junto a la no necesidad de contacto en el momento de tomar la muestra. Adicionalmente, al tratarse de un órgano interno, resulta más complejo realizar cualquier variación sobre el mismo. No obstante, existen condiciones externas, como la realización de ejercicio físico y diferentes enfermedades (diabetes, arterioesclerosis o tumores) que pueden afectar a la apariencia de los vasos sanguíneos.

Se trata de una tecnología relativamente reciente. Tras su adopción por parte de algunos bancos japoneses y polacos en cajeros automáticos (uno de los casos de éxito tratados en el presente estudio) está comenzando a ser implantada por las empresas, especialmente en el sector sanitario donde un método de autenticación en lugares estériles, incluso cuando los usuarios utilicen guantes médicos, resulta de gran utilidad.

Otras tecnologías fisiológicas

Adicionalmente a los sistemas ya descritos existen tecnologías que se encuentran en un estado de desarrollo incipiente. Entre ellos se encuentran principalmente los siguientes:

• Líneas de la palma de la mano: La imagen de la palma de la mano de un individuo consiste en una serie de surcos y pliegues. De forma similar a algunos sistemas de reconocimiento de huella dactilar, esta técnica utiliza minucias para buscar coincidencias. Su uso está, por el momento, bastante limitado a la investigación forense.

• A.D.N.: Se toma una muestra de tejido de un individuo para la extracción del A.D.N. (Ácido Desoxirribonucleico) del núcleo de una célula. Esta técnica resulta adecuada para el uso forense pero no para la identificación en tiempo real debido a la complejidad del proceso y al tiempo necesario para extraer una huella


genética a partir de una muestra de tejido. Este sistema tiene inconvenientes asociados ya que los gemelos idénticos comparten A.D.N. y de una muestra se puede obtener información sobre la raza y la salud de un individuo, datos de carácter personal especialmente sensibles.

• Forma de las orejas: La identificación se realiza a partir de la forma de las orejas del individuo. Se toma como muestra una imagen infrarroja de la misma. Esta técnica no requiere de la colaboración del usuario y permite la identificación a media distancia.

• Piel: Se toma una imagen de la superficie de la piel. Esta imagen se clasifica usando el algoritmo de análisis de la textura de la superficie de la piel que tiene en cuenta una serie de características aleatorias y genera una plantilla.

3.3.2 Tecnologías biométricas de comportamiento

Las tecnologías biométricas de comportamiento se caracterizan por considerar en el proceso de autenticación rasgos derivados de una acción realizada por una persona. Por tanto, incluyen la variable tiempo, ya que toda acción tiene un comienzo, un desarrollo y un final.

Reconocimiento de voz

Junto con el reconocimiento facial, el reconocimiento locutor es un método natural de identificación. Es un proceso realizado a diario por los individuos para reconocer a un conocido en una llamada telefónica o al oír una voz. Estas aplicaciones usan redes neuronales para aprender a identificar voces. Los algoritmos deben medir y estimar la similitud para devolver un resultado o una lista de posibles candidatos. La autenticación se complica debido a factores como el ruido de fondo, la calidad de la muestra y su duración, por lo que siempre es necesario considerar un margen de error.

Actualmente existen dos métodos de verificación que se usan dependiendo de la naturaleza y objetivo de la aplicación:

• Verificación no-restringida: Utiliza una conversación normal como muestra.

• Verificación restringida: Es el método más común. La muestra se limita a determinadas palabras, frases cortas o expresiones. Por esta razón, las tasas de error se reducen considerablemente. Además, al estar basada la verificación en locuciones de poca duración, el sistema responde de manera más rápida.

A pesar de que siguen existiendo dificultades para reconocer la forma natural de hablar de ciertos individuos, esta tecnología cuenta con la ventaja de que el dispositivo de adquisición es simplemente un micrófono (integrados desde hace años en teléfonos y ordenadores personales), por lo que no requiere inversiones adicionales.


No obstante, la voz no es tan única o permanente como otras características, lo cual implica que la precisión de este método es menor.

La utilización de este método está más extendida en sistemas de respuesta por voz y en centros de atención de llamadas telefónicas (call centers) que en el control de acceso físico a edificios o a redes y equipos informáticos.

Reconocimiento de firma

Esta técnica analiza la firma manuscrita para confirmar la identidad del usuario. Cabe la posibilidad de que existan ligeras variaciones en la firma de una persona, pero la consistencia creada por el movimiento natural y la práctica a lo largo del tiempo crea un patrón reconocible que hace que pueda usarse para la identificación biométrica.

Existen dos variantes a la hora de identificar a las personas según su firma:

• Comparación simple: se considera el grado de parecido entre dos firmas, la original y la que está siendo verificada.

• Verificación dinámica de firma: se realiza un análisis de la forma, la velocidad, la presión de la pluma o bolígrafo y la duración del proceso de firma. No se considera significativa la forma o el aspecto de la firma, sino los cambios en la velocidad y la presión que ocurren durante el proceso, ya que sólo el firmante original puede reproducir estas características.

La firma es y ha sido durante muchos años una de las técnicas más habituales de identificación de las personas, es por ello que goza de una gran aceptación entre la ciudadanía.

Reconocimiento de escritura de teclado

Esta técnica se basa en la existencia de un patrón de escritura en teclado que es permanente y propio de cada individuo. De este modo, se mide la fuerza de tecleo, la duración de la pulsación y el periodo de tiempo que pasa entre que se presiona una tecla y otra.

La principal ventaja de esta técnica es que la inversión necesaria en sensores es prácticamente nula, ya que los teclados de ordenador están presentes en múltiples aspectos de nuestra vida cotidiana y, además, están altamente aceptados por la población, que hace uso de ellos a diario. De este modo los costos de implantación se centrarían en el software.

No obstante, el patrón de escritura puede verse afectado por aspectos como el nivel de fatiga, estrés, distracción, postura del usuario y del teclado. También se debe tener en


cuenta la población que no está habituada al uso de teclados y cuyo patrón de escritura se modificaría rápidamente a causa del aprendizaje.

Adicionalmente a su uso como método de autenticación, también puede ser empleado para la monitorización. De esta manera se podría prevenir el uso no autorizado de terminales no supervisados así como obtener evidencias de auditoría.

Reconocimiento de la forma de andar

Este método toma como referencia la forma de caminar de una persona. Este acto se graba y se somete a un proceso analítico que genera una plantilla biométrica única derivada de dicho comportamiento. El dispositivo de captura es una cámara estándar, por lo que no se requiere una gran inversión. Adicionalmente, este sistema permite la identificación a distancia.

Ilustración 7: Reconocimiento de la forma de andar

Esta tecnología está todavía en desarrollo y no ha alcanzado aún los niveles de rendimiento necesarios para ser implantada de manera similar al resto de tecnologías biométricas

3.4 COMPARATIVA DE TÉCNICAS Y TECNOLOGÍAS BIOMÉTRICAS

Las tecnologías biométricas señaladas comparten, en su mayoría, el mismo objetivo. Es por ello que puede establecerse una comparación entre ellas en función de diferentes aspectos que se describirán a continuación, identificando para cada uno de ellos las tecnologías que más destacan y las que menos desarrolladas están.


3.4.1 Criterios de evaluación

Los parámetros utilizados para evaluar una tecnología biométrica incluyen:

• Grado de aceptación: Disposición de los usuarios a utilizar una tecnología biométrica. Este factor está relacionado con lo intrusiva que se considere una técnica por parte de los individuos. Es necesario a su vez considerar los factores sociales y culturales que pueden suponer que unas técnicas sean más aceptadas o menos aceptadas en función del entorno donde se implanten.

• Resistencia al fraude: Capacidad del sistema de detectar y desechar los intentos de autenticación por parte de usuarios no autorizados así como de prevenir la no identificación por parte de usuarios que pretenden no ser reconocidos.

• Mensurabilidad: Determina la capacidad de adquisición y medición precisa de las características presentes en las muestras considerando a su vez la facilidad en su captura al utilizarse preferiblemente métodos no intrusivos para los usuarios.

• Comportamiento: Precisión de reconocimiento que ofrece una técnica biométrica. Suele mejorar según una técnica va madurando.

• Permanencia: Característica que determina el grado de variación de un rasgo biométrico a lo largo del tiempo. A una menor variación le corresponde una mejor valoración en cuanto a la permanencia.

• Unicidad: Es la característica que determina la diferenciación entre individuos. Cuanto mayor es la unicidad de los rasgos recogidos, más difícil resulta encontrar dos personas que cuyas muestras biométricas sean iguales y por lo tanto es más sencillo discernir entre los usuarios.

• Universalidad: Todo individuo que vaya a hacer uso de la tecnología ha de poseer la característica biométrica evaluada. Cuanto mayor sea la universalidad de la característica analizada, mayor número de personas podrá utilizarla.


Tabla 4: Valoración comparativa de las distintas técnicas biométricas

Gra

do d

e A

cept

ació

n

Res

iste

ncia

al

frau

de

Men

sura

bilid

ad

Com

port

amie

nto

Perm

anen

cia

Uni

cida

d

Uni

vers

alid

ad

Huella dactilar M A M A A A M Reconocimiento facial A B A B M B A Reconocimiento de iris B A M A A A A Geometría de la mano M M A M M M M Reconocimiento de retina B A B A A A A Geometría de venas M A M M M M M Reconocimiento de voz A B M B B B M Reconocimiento de firma A B A B B B B Reconocimiento de escritura de teclado M M M B B B B

Forma de andar A M A B B B M

A: Alto M: Medio B: Bajo

3.4.2 Ventajas e inconvenientes

Cada técnica biométrica cuenta con sus puntos fuertes y débiles, por lo que la elección de una de ellas en concreto se deberá basar en el análisis de estas características y su adecuación al caso en el que se aplicarían.

A continuación se detallan las ventajas e inconvenientes asociados a cada tecnología.

Tabla 5: Ventajas e inconvenientes de las distintas tecnologías

Tecnología Ventajas Inconvenientes

Huella dactilar • Alto grado de madurez • Costes de implantación

reducidos • Buena aceptación

• Incompatibilidad con determinados trabajos manuales

Reconocimiento de voz • No requiere inversión en

dispositivos • Posibilidad de autenticación

remota

• El ruido de fondo dificulta la captura

• Dificultad para reconocer ciertas formas de hablar

Reconocimiento facial • Reconocimiento en multitudes • Identificación a media

distancia • Buena aceptación

• Escasa resistencia al fraude

• Unicidad limitada


Tecnología Ventajas Inconvenientes

Reconocimiento de iris • Patrones muy complejos • Unicidad muy alta • Alto grado de permanencia

• Coste de implantación alto

• Menor grado de aceptación

Reconocimiento de retina • Unicidad muy alta • Alto grado de permanencia

• Precisa de total colaboración del usuario

Reconocimiento de la geometría de la mano

• Alto grado de permanencia • Facilidad de uso

• Unicidad limitada

Reconocimiento de firma • Buena aceptación • Facilidad de uso

• Dificultad de captura por cambios de posición

Reconocimiento de escritura de teclado

• No requiere inversión en dispositivos

• Posibilidad de realizar monitorización

• Tecnología emergente

3.4.3 Grado de madurez

El grado de madurez es el nivel de experiencia que presentan las tecnologías biométricas tanto en las investigaciones desarrolladas como en el mercado actual.

La huella dactilar es la tecnología destacada en este aspecto debido a que es la más veterana de las existentes. Es por ello que es la técnica sobre la que más se ha investigado y la que lleva más tiempo en el mercado. Esto ha permitido un gran desarrollo tanto de su software como de su hardware y tiene como consecuencia una disminución de sus costes.

El reconocimiento de iris es otra de las tecnologías más maduras aunque lejos del nivel presentado por la huella dactilar. En concreto, se encuentra más desarrollada en el área de la investigación, teniendo un menor recorrido en el mercado. Esto se debe a que su coste aun se considera elevado, lo que dificulta su expansión.

Por otro lado, las tecnologías menos maduras actualmente son aquellas que se encuentran en un estado de investigación temprano. Entre ellas podemos destacar: reconocimiento de la forma de andar o reconocimiento de escritura de teclado. Estas técnicas tienen mucho margen de mejora en el campo de la investigación al ser de reciente aparición.

3.4.4 Implantación en el mercado

A continuación se muestra un gráfico que detalla la presencia que tienen las diferentes técnicas en el mercado.


Gráfico 4: Grado de implantación en el mercado

Fuente: Central Institute of Technology of Kokrajhar (2010)

Como se puede observar, la huella dactilar también es la tecnología mayoritaria en lo que se refiere a implantación en el mercado biométrico, abarcando más de la mitad del mismo. Esto es consecuencia de su alto grado de madurez, que implica un coste menor.

El reconocimiento facial se encuentra en segundo lugar aunque muy alejado de la primera posición. La inclusión de una fotografía de la cara del individuo en la mayoría de documentos de identificación es un factor que ha facilitado su implantación.

Por otro lado, y con apenas presencia en el mercado, se sitúa el reconocimiento de escritura de teclado. Adicionalmente, cabe destacar la ausencia de soluciones relacionadas con el reconocimiento de retina.

3.4.5 Relación coste-beneficio

Un aspecto relevante a tener en cuenta a la hora de evaluar una tecnología biométrica es el beneficio que la misma puede a aportar en contraposición al coste que supone su adopción.

En este sentido, existen diversas tecnologías cuyo coste de implantación no es muy elevado. Por un lado está la huella dactilar, debido a su alto grado de madurez. Por otro lado están técnicas como el reconocimiento facial, el reconocimiento de voz o el reconocimiento de escritura de teclado, que no plantean la necesidad de adquirir un dispositivo de captura de muestras específico.

No obstante, en la relación coste-beneficio también es relevante evaluar la criticidad del sistema que va a ser protegido mediante biometría. Es por ello que un alto coste puede

Huella dactilar58%

Reconocimiento de iris14%

Reconocimiento de firma

12%

Reconocimiento facial7%

Geometría de la mano

5%


3%

Reconocimiento de escritura del

teclado1%


estar justificado por el beneficio obtenido con una autenticación de alta seguridad. En este aspecto destaca el reconocimiento de iris.

Como conclusión se puede indicar que este parámetro es variable. El objetivo de uso del sistema es el que marcará el beneficio a conseguir y, en función de esto, se decidirá el coste asumible. La proporcionalidad entre la necesidad de la entidad y la seguridad aportada por la solución es fundamental.


4 ANÁLISIS DE LOS PROCESOS DE IDENTIFICACIÓN

4.1 ANÁLISIS DE LAS TÉCNICAS APLICADAS Y TIPOS DE IDENTIFICACIÓN

Las tecnologías biométricas surgen como alternativa y/o complemento a las técnicas de identificación y autenticación ya existentes. Por ello es posible establecer una comparación directa entre ambas, destacando beneficios que resultan del uso de biometría junto con aspectos en los que las técnicas tradicionales son superiores.

Se han de considerar los siguientes aspectos:

• Necesidad de secreto: Las contraseñas han de ocultarse y las tarjetas no deben de estar al alcance de terceros, mientras que la biometría no requiere de estas medidas de protección que son exclusivamente dependientes del usuario.

• Posibilidad de robo: Las tarjetas y contraseñas pueden ser robadas. Sin embargo, robar un rasgo biométrico es extremadamente complejo.

• Posibilidad de pérdida: Las contraseñas son fácilmente olvidables y las tarjetas se pueden perder. Los rasgos biométricos permanecen invariables salvo en contadas excepciones y siempre están con el sujeto a quien identifican.

• Registro inicial y posibilidad de regeneración: La facilidad con la que se puede enviar una contraseña o tarjeta nueva contrasta con la complejidad que supone el registro en un sistema biométrico, ya que requiere de la presencia física del individuo en esta fase. Hay que señalar que los rasgos biométricos son por definición limitados, mientras que la generación de contraseñas es ilimitada, lo cual es una ventaja.

• Proceso de comparación: La comparación de dos contraseñas es un proceso sencillo. Sin embargo, comparar dos rasgos biométricos requiere de mayor capacidad computacional.

• Comodidad del usuario: El usuario ha de memorizar una o múltiples contraseñas y, en el caso de que use una tarjeta, ha de llevarse siempre consigo. Utilizando tecnología biométrica no se necesita hacer estos esfuerzos.

• Vulnerabilidad ante el espionaje: Una discreta vigilancia de nuestra actividad podría servir para obtener nuestra contraseña o robar nuestra tarjeta. Ese método no es válido ante los sistemas biométricos.

• Vulnerabilidad a un ataque por fuerza bruta: Las contraseñas tienen una longitud de varios caracteres. Por su parte, una muestra biométrica emplea cientos de bytes, lo que complica mucho los ataques por fuerza bruta.


• Medidas de prevención: Los ataques contra sistemas protegidos por contraseña o tarjeta se producen desde hace años, y las medidas de prevención contra ellos ya se encuentran maduras. Por el contrario, los ataques a los sistemas biométricos son un área en la que estas medidas de prevención se están generando en estos momentos.

• Autenticación de usuarios ‘reales’: La autenticación de usuarios mediante contraseña o tarjeta y su efectividad, dependen absolutamente de la voluntad del usuario a la hora de hacerlas personales e intransferibles. La biometría está altamente relacionada con el propio usuario pues no puede ser prestada ni compartida.

• Coste de implantación: En el momento de la implantación, el hecho de instaurar un sistema de contraseñas tiene un coste bajo, mientras que en el caso de un sistema basado en muestras biométricas es más costoso.

• Coste de mantenimiento: El coste de mantenimiento de un sistema biométrico, una vez está implantado con éxito, es menor al de un sistema de contraseña o tarjeta ya que no conlleva gastos de gestión asociados a la pérdida u olvido de credenciales.

A continuación se muestra una tabla ilustrativa identificando en qué aspectos destaca cada método de autenticación:

Tabla 6: Comparativa biometría vs Contraseñas/tarjetas

Aspecto Biometría Contraseñas/Tarjetas

Necesidad de Secreto

Posibilidad de robo

Posibilidad de pérdida

Coste de mantenimiento

Registro inicial y posibilidad de regeneración

Proceso de comparación

Comodidad del usuario


Aspecto Biometría Contraseñas/Tarjetas

Vulnerabilidad ante el espionaje

Vulnerabilidad a un ataque por fuerza bruta

Medidas de prevención

Autenticación de usuarios ‘reales’

Coste de implantación

4.2 SISTEMAS DE AUTENTICACIÓN DE DOBLE FACTOR

El progresivo avance de las tecnologías biométricas ha supuesto el paso de la forma identificación unimodal a sistemas de autenticación de doble factor, que pueden combinar el uso de la biometría con otros sistemas, como tarjetas de identificación o contraseñas, o incorporar más de una tecnología biométrica, biometría bimodal.

4.2.1 Interacción de la biometría con otros sistemas

La autenticación de doble factor es la combinación de dos técnicas de identificación diferentes, pudiendo ser una de ellas cualquier tecnología.

El principal objetivo de esta combinación es aumentar considerablemente la seguridad y reducir por tanto la posibilidad fraude.

“El futuro pasa por la utilización de la doble identificación: biométrica y no

biométrica”

En la mayoría de los casos planteados por los expertos el sistema no biométrico empleado es una tarjeta de identificación o una contraseña.

• Tarjeta de identificación: Por norma general se utiliza para realizar la identificación del individuo. Posteriormente se usaría una tecnología biométrica para verificarla. La disponibilidad de la tarjeta es indispensable para la autenticación. En algunos casos el propio sensor y la información biométrica están integrados en la tarjeta.

• Contraseña: Usada en combinación con un rasgo biométrico aportando una capa extra de seguridad.

• Criptografía: La interacción entre la biometría y la criptografía es un área de investigación relativamente reciente y con un desarrollo incipiente. En la mayoría


de aplicaciones actuales la criptografía se utiliza para asegurar los datos biométricos.

• En la actualidad, la combinación de técnicas biométricas y convencionales ya se está aplicando, por ejemplo algunas Administraciones Públicas utilizan el reconocimiento de la geometría de la mano sumado al uso de un PIN para el control horario.

4.2.2 Herramientas biométricas bimodales

Un sistema biométrico bimodal es aquel que utiliza dos técnicas distintas para la captura de rasgos biométricos. Esta circunstancia supone la utilización de dos sensores de reconocimiento y sus correspondientes sistemas de verificación con el consiguiente aumento de la seguridad que esto supone.

Esta estructura mejorada se aprovecha de las ventajas que aporta cada técnica y se puede utilizar para superar algunas de las limitaciones de un sistema biométrico único.

Como ejemplo de limitaciones, destacar que se estima que un pequeño porcentaje de la población no tiene huellas dactilares legibles, la voz puede ser alterada por un resfriado y los sistemas de reconocimiento facial son susceptibles a los cambios en la luz ambiental o la actitud del sujeto.

Un sistema bimodal que combine las conclusiones obtenidas tras la utilización de dos técnicas diferentes, puede superar muchos de estos inconvenientes. Adicionalmente, la combinación de dos factores supone un aumento significativo de la seguridad y de la resistencia al fraude.

Un sistema bimodal podría ser, por ejemplo, una combinación de verificación de huellas digitales y reconocimiento facial. Este tipo de sistemas está siendo usado actualmente en el control fronterizo de varios aeropuertos españoles.

4.2.3 Valoración de la autenticación de doble factor

Ambos procesos de autenticación de doble factor que incluyen la biometría suponen una evolución respecto a los sistemas unimodales existentes. El uso de la autenticación de doble factor presenta aspectos ventajosos e inconvenientes.

Entre las ventajas, cabe destacar:

i) El beneficio fundamental de la utilización de dos factores de autenticación es el aumento de la seguridad logrado. Este aspecto ya se consigue empleando un solo factor biométrico, pero al introducir otro factor se potencia notablemente al incluir una capa de seguridad adicional.


ii) La resistencia al fraude

iii) Las

que presentan estos sistemas también resulta reforzada ya que un individuo no autorizado ha de burlar ambos controles para poder acceder al sistema o instalación que se protege.

vulnerabilidades y amenazas a las que está expuesto el sistema se reducen

iv) En el caso del uso de tarjeta de identificación, se puede incluir la información biométrica en la misma, por lo que la verificación no se tendrá que hacer respecto a una base de datos remota sino respecto a la propia tarjeta. Esto implica un

, ya que, en muchos casos, uno de los factores actúa como control mitigante del otro.

aumento de la eficiencia y de la privacidad de los datos personales

No obstante, la autenticación de doble factor presenta ciertos inconvenientes, como son:

del usuario.

i) La implantación de un doble factor de autenticación implica un aumento de coste

ii) Si bien uno de los beneficios principales de la utilización de sistemas de reconocimiento biométricos es el ahorro de costes frente al mantenimiento de contraseñas y tarjetas, cuando combinamos la biometría y uno de estos dos factores, esa

del sistema.

iii) La interacción de la biometría con otro sistema implica que no disponer de la contraseña o tarjeta imposibilite la autenticación. Esto conlleva una

disminución de costes es inexistente.

reducción de la comodidad del usuario.


5 BENEFICIOS DE LA UTILIZACIÓN DE LAS TECNOLOGÍAS BIOMÉTRICAS

Los expertos consultados coinciden en que para la realización de un análisis de los beneficios de las tecnologías biométricas deben considerarse diferentes factores como su finalidad, número estimado de usuarios, técnica biométrica empleada, entorno de confianza o desconfianza donde se encuentra, etc. Es por ello que debe realizarse un análisis detallado caso a caso para saber si realmente resultaría rentable su adopción.

“La inversión económica que supone la implantación de las tecnologías

biométricas puede ser uno de los principales inconvenientes en su desarrollo”

La implantación de tecnologías biométricas conlleva un conjunto de beneficios tanto para entidades públicas y privadas como para los usuarios finales.

5.1 PARA LAS ENTIDADES USUARIAS

Para los diferentes expertos, las grandes organizaciones deben suponer el principal motor que promueva e invierta en el desarrollo de las tecnologías biométricas.

“La biometría, tecnológicamente, está suficientemente madura, ahora es

función de las grandes corporaciones comenzar a ofrecer servicios basándose

en los beneficios que aporta”

Para que esto ocurra, los beneficios potenciales a obtener con su implantación han de ser claros y relevantes. A continuación se describen los más destacados:

5.1.1 Aumento de la seguridad

Sin duda, los entrevistados coinciden en que una de las ventajas más importantes de la utilización de técnicas biométricas para la autenticación de usuarios es que garantizan que la persona es quien dice ser, es decir, que los rasgos biométricos se encuentran exclusivamente ligados a su legítimo usuario.

Mediante el robo de credenciales ajenas, un individuo puede acceder a zonas restringidas o realizar operaciones no permitidas, inculpando a terceros. Asimismo, es posible que estas credenciales se compartan voluntariamente entre empleados.

Tanto el robo como la utilización por parte de varios usuarios de las mismas credenciales, suponen una grave brecha en la seguridad en las entidades que puede ser evitada. A través de la implementación de sistemas biométricos, se aumenta la seguridad reduciendo la probabilidad de que alguien no autorizado acceda a zonas o a aplicaciones restringidas.


5.1.2 Reducción de costes de mantenimiento

Si bien las técnicas tradicionales –como el uso de contraseñas o tarjetas de identificación– requieren una inversión muy baja en su implantación, no obstante, conllevan costes elevados asociados a su gestión diaria. Esta es la consecuencia de uno de los riesgos más evidentes asociados a este tipo de métodos de autenticación: la posibilidad de que las credenciales sean perdidas, robadas u olvidadas.

“El uso de la biometría implica un ahorro de tiempo, una reducción de costes

de mantenimiento y un aumento de la seguridad”

Sin embargo, en el caso de las tecnologías biométricas –donde la inversión inicial puede llegar a ser elevada en el caso de que sea necesario comprar dispositivos o software de adquisición y procesamiento de muestras– una vez la tecnología está en funcionamiento y sus usuarios acostumbrados a usarla, el coste de mantenimiento es muy reducido, ya que no se dan los riesgos anteriormente referidos.

Este beneficio es más notable en las tecnologías cuyo coste de implantación no es muy alto, como la huella dactilar, el reconocimiento de voz, el reconocimiento facial o el reconocimiento de escritura de teclado.

5.1.3 Aumento de la eficiencia

No debemos olvidar que la realización de los diferentes procesos de autenticación, control de accesos e identificación mediante técnicas no biométricas supone, en ocasiones, una inversión excesiva de tiempo. A veces, aunque el proceso dure pocos segundos, si es realizado por un gran número de usuarios en un corto período de tiempo, puede resultar altamente ineficiente. Esto sucede, por ejemplo, en los accesos a grandes edificios de oficinas o en el control fronterizo de un aeropuerto en horas de máxima afluencia.

Como se puede observar en los dos casos de éxito analizados en el presente estudio, mediante la elección de la tecnología biométrica más adecuada para los diferentes casos y la necesaria formación de los usuarios (unas nociones básicas de utilización) se puede aumentar considerablemente la eficiencia de los procesos con el consiguiente beneficio económico resultante para la entidad.

5.1.4 Reducción del fraude interno

Uno de los métodos más habituales de cometer fraude interno en empresas y en organismos públicos es la imputación de horas de trabajo inexistentes, en algunos casos no estando tan siquiera el empleado físicamente en las instalaciones de la entidad. Para ello, se pueden apoyar en compañeros que “fichan” en su lugar. Como consecuencia de ello, la empresa estaría remunerando al empleado por unas horas de trabajo que, en realidad, no ha realizado.


Esta situación acarrea pérdidas económicas así como posibles perjuicios a la imagen corporativa. El uso de tecnología biométrica para el control horario de los empleados puede ayudar a prevenir este tipo de fraude, verificando mediante diferentes métodos tanto el tiempo de trabajo imputado, como que el trabajador que registra su entrada es realmente quien dice ser.

5.1.5 Mejora de imagen corporativa

La implantación de tecnologías biométricas contribuye a que una empresa sea más eficiente, más segura y reduzca el fraude interno.

“La implantación de biometría supone una mejora de imagen de la seguridad

de una entidad”

Es por ello que, sumado a todas las ventajas descritas anteriormente, se produce una importante mejora en la opinión general sobre la compañía. Así mismo, se asociaría la entidad con la innovación, la inversión en investigación y desarrollo y la apuesta por tecnología puntera.

5.1.6 Oferta de nuevos servicios

El desarrollo de las líneas de investigación que actualmente se están llevando a cabo en torno a la biometría puede resultar en la oferta de nuevos servicios en un futuro cercano. Estos servicios abarcan diversas aplicaciones en el sector sanitario, el pago mediante dispositivos móviles, control parental, videovigilancia, etc.

5.2 PARA LOS USUARIOS FINALES

Los usuarios finales también se ven favorecidos por la implantación de tecnologías biométricas. La experiencia de los profesionales entrevistados, tanto desde el punto de vista de usuarios como de proveedores de sistemas biométricos, les lleva a destacar los siguientes beneficios para los quienes utilizan habitualmente estos sistemas.

5.2.1 Aumento de la comodidad

La utilización de técnicas biométricas en procesos de identificación, autenticación y control de accesos supone un aumento considerable de comodidad para los usuarios en la realización de estas tareas.

“La no necesidad de recordar contraseñas es una de las grandes ventajas de

la biometría, especialmente desde el punto de vista de la comodidad para el

usuario”

El empleo de tecnologías biométricas elimina la necesidad de recordar múltiples contraseñas que, por seguridad, se deben cambiar cada corto periodo de tiempo. En este sentido, el usuario tampoco se tendrá que poner en contacto, salvo excepciones, con el servicio de soporte informático o de atención al cliente para restaurar sus credenciales


debido al olvido de contraseñas ni deberá extremar las precauciones para preservar la privacidad de las mismas. Del mismo modo, tampoco le resultará necesario llevar consigo ninguna tarjeta de identificación en todo momento ni existirá el riesgo de perderla o de que se dañe.

5.2.2 Reducción de tiempos de espera

La identificación y control de accesos realizados por métodos tradicionales suponen tiempos de espera que resultan molestos para el usuario. El uso efectivo de la biometría puede reducir considerablemente la espera y, por tanto, beneficiar al usuario. De este modo, en diferentes casos de éxito mencionados por los expertos, se observa una reducción de espera en aeropuertos, tiendas, centros de ocio, entidades bancarias, etc.

5.2.3 Posibilidad de tramitaciones remotas

Es posible emplear técnicas biométricas como forma de verificación en operaciones no presenciales de forma altamente fiable, pudiendo superar a las firmas electrónicas actuales. De esta forma se pueden reducir los traslados y trámites innecesarios e inconvenientes para el usuario final.

“Se está trabajando en que cualquier transacción que actualmente se valide

con la firma electrónica o manuscrita de una persona, se haga mediante el

uso de firma biométrica”

5.2.4 Mayor seguridad

Las tecnologías biométricas aportan un aumento de seguridad como consecuencia de los riesgos que mitigan. Esto redunda en beneficio para el usuario al reducir las posibilidades de que un tercero suplante su identidad para la comisión de algún delito o provocarle algún tipo de perjuicio.

La utilización de la biometría por parte de las administraciones públicas en la lucha contra el crimen también refuerza la sensación de seguridad de los ciudadanos.

5.2.5 Aumento de la privacidad

La seguridad de los datos de carácter personal de los ciudadanos en las múltiples transacciones que hacen uso de ellos, es otro de los aspectos reforzados por la aplicación de técnicas biométricas.

“Lo que más se valora es la privacidad del individuo”

Es la consecuencia de la notable dificultad que supone la falsificación de rasgos biométricos con el objetivo de acceder a la información personal de un usuario.


5.2.6 Familiarización con tecnología avanzada

El uso de tecnologías biométricas acerca en muchas ocasiones tecnología puntera, aplicada en sensores de última generación, a la ciudadanía. Pese a las reticencias que pueden mostrar los usuarios en un primer momento hacia una tecnología que no conocen, tras una pequeña fase de adaptación, su opinión sobre la misma suele mejorar por norma general. Como consecuencia, el uso de tecnología en el día a día del ciudadano se convierte en algo más sencillo y habitual.


6 USOS Y APLICACIONES DE LAS TECNOLOGÍAS BIOMÉTRICAS

La biometría se está desarrollando gracias a un crecimiento gradual en la concienciación pública y de la aceptación generalizada. No obstante, su grado de implantación es muy desigual entre los diferentes sectores debido a la finalidad de la misma y su coste.

“Existe una gran presencia de la biometría en el sector público”

Las Administraciones Públicas son, en la actualidad, las grandes impulsoras de las tecnologías biométricas. Es por ello que es en el sector público donde se pueden encontrar las mayores inversiones. Gran parte de estos proyectos están destinados a Defensa y a Seguridad Nacional, pero su uso está extendido en diferentes ámbitos al utilizarse en muchos casos para el control de presencia, siendo éste un uso transversal a todos los sectores.

Destacan sistemas para la identificación de terroristas y criminales, investigación forense, documentos nacionales de identidad, control fronterizo, control de acceso, control de presencia y gestión de ayudas públicas.

Los expertos coinciden en que dentro del sector privado también se desarrollan proyectos de importante calado. Especialmente el sector financiero (grandes bancos y aseguradoras), que ha llevado a cabo implantaciones para el control de acceso a sus instalaciones y el control del fraude, así como para asegurar transacciones remotas, tanto a través de Internet como vía telefónica.

Las compañías pertenecientes al área de las tecnologías de la información y de la comunicación (TIC), dentro de las que se encuentran fabricantes, integradores, consultores y desarrolladores de productos biométricos, también apuestan por la tecnología en el acceso físico a sus instalaciones así como en el acceso lógico a sus sistemas y servicios.

Es el caso también del sector hotelero, donde actualmente se está estudiando la implantación de sistemas de reconocimiento dactilar para el control de acceso a las habitaciones, eliminando así el gasto derivado del uso de consumibles como tarjetas de banda magnética o las baterías de sus dispositivos de lectura en los hoteles.

De cara al futuro se prevé una implicación mucho mayor por parte del sector privado a medida que el mercado vaya madurando. Mediante el desarrollo de la investigación se pueden concretar nuevas aplicaciones que solucionen necesidades de las compañías así como abaratarse procesos que faciliten implantaciones actualmente inviables por su alto coste.


Como se observa, los primeros sectores en avanzar en la implantación de tecnologías biométricas son aquellos cuya necesidad de elevar la seguridad es mayor. A pesar de ello, se trata de una tecnología llamada a expandirse a lo largo de muy diversas industrias y sectores, puesto que la necesidad de aumento en la seguridad y reducción de fraude en la autenticación de usuarios es una necesidad transversal.

Usada como forma única de autenticación o combinada con otras medidas, la biometría está destinada, según los expertos consultados, a extenderse en muchos aspectos de nuestra vida diaria. De hecho, estos mismos expertos manifiestan que las tecnologías biométricas se están convirtiendo ya en la base de un número considerable de soluciones de identificación de alta seguridad y verificación personal. A medida que se descubren brechas de seguridad e incrementan las posibilidades de transacciones fraudulentas, la necesidad de una tecnología que satisfaga dichas necesidades se hace más patente.

El contexto en el que se vaya a aplicar (colaborativo, a distancia, presencial, etc.) y la finalidad perseguida (control de accesos, control de presencia, control de identidad/personalidad, lucha contra el fraude, etc.) serán algunos de los elementos que determinen qué tecnología concreta es la más apropiada en cada caso.

6.1 APLICACIONES ACTUALES

En la actualidad las tecnologías biométricas se pueden utilizar en un amplio abanico de aplicaciones. Adicionalmente, existen líneas de investigación de cara a futuras extensiones masivas de determinados usos que parecen especialmente prometedoras.

A continuación se describen los principales usos que se dan a las tecnologías biométricas a día de hoy según los expertos consultados y el análisis documental realizado.

6.1.1 Control de accesos físicos y lógicos

“La finalidad en la que más extendido está el uso de la biometría es el control

de accesos, ya sea éste físico (por ejemplo acceso a edificios o espacios

restringidos) o lógico (acceso a sistemas, programas o equipos informáticos)”

Los expertos coinciden en que la huella dactilar es la solución más habitual para este uso en España debido a su alto grado de madurez, que permite el establecimiento de precios competitivos, y a la usabilidad que ofrece.

No obstante, y aunque su presencia sea menor, el reconocimiento de iris y el reconocimiento facial se presentan como alternativas a la huella dactilar en este tipo de aplicaciones.


Ilustración 8: Control de accesos

Los expertos recomiendan que para el control de acceso a zonas de alta seguridad se haga uso de autenticación de doble factor. De este modo la autorización para el acceso de una persona se basaría en un reconocimiento de cómo es junto a lo que sabe o tiene.

Ilustración 9: Control de presencia de doble factor

Del mismo modo que se han instalado sensores en la entrada de edificios y salas de acceso restringido, cada vez más los proveedores de este tipo de tecnologías reciben peticiones para la integración de sensores biométricos en los ordenadores corporativos de cara a gestionar la autenticación en sistemas y aplicaciones.

6.1.2 Control de presencia

Los métodos utilizados tradicionalmente para registrar diariamente los horarios en los que los empleados acceden y abandonan sus respectivos puestos de trabajo suelen estar basados en el uso de un PIN o tarjeta personal.

Uno de los principales inconvenientes que han manifestado los responsables de entidades que cuentan con sistemas de control horario basados en tecnologías tradicionales, es la facilidad con la que se pueden cometer irregularidades, por ejemplo

http://www.google.com/imgres?q=time+clock&um=1&hl=en&sa=X&biw=1178&bih=682&tbs=iur:fc&tbm=isch&tbnid=6dKVhhKpuV7WoM:&imgrefurl=http://www.flickr.com/photos/sanfranannie/2472250629/&docid=FTBo74SwOtTCuM&itg=1&w=500&h=375&ei=H7WSTsXvC6X-4QTn-P2mAQ&zoom=1�


compartiendo con un compañero de trabajo el PIN o la tarjeta personal, ya que no se requiere ninguna verificación adicional.

“El uso de cualquier técnica biométrica supone una forma eficaz de mitigar

este riesgo por la imposibilidad de compartir los rasgos biométricos entre

empleados”

Según han transmitido los profesionales involucrados en el presente estudio, para este tipo de aplicaciones se utiliza habitualmente la huella dactilar, aunque también técnicas menos extendidas en el mercado como la geometría de la mano, que está siendo usada (en combinación con el PIN) por determinadas Administraciones Públicas.

6.1.3 Control de fronteras

La biometría puede ser utilizada para verificar identidades por parte de agentes fronterizos mediante el uso de dispositivos de lectura biométrica y contrastando esta información con sus bases de datos.

Los rasgos a analizar normalmente son la topografía facial y las huellas dactilares. Actualmente un gran número de administraciones públicas de todo el mundo está implantando la biometría en aduanas y aeropuertos para aumentar la seguridad y agilidad de los mismos.

“Cuando llevamos a cabo proyectos cuya finalidad es el control de fronteras,

no debemos olvidarnos de que los usuarios no pueden ser formados

previamente, lo que supone un enorme reto de cara a conseguir una

usabilidad lo menos intrusiva posible”

6.1.4 Lucha contra el fraude

El uso de estas tecnologías para realizar transacciones bancarias se encuentra bastante extendido, ya que se consideran más adecuadas que el uso de los métodos tradicionales aportando mayores niveles de seguridad.

Sin embargo, su uso para la prevención de fraude no se limita a entidades privadas. Las administraciones públicas están comenzando a implantar sistemas biométricos para prevenir este delito, con el objetivo de evitar el gasto de fondos públicos de forma irregular.

“La prevención del fraude y la mejora de la vigilancia son dos grandes

beneficios de la aplicación de tecnología biométrica”

Un ejemplo concreto que han señalado diversos expertos durante el desarrollo de las entrevistas, es la utilización en la gestión de los servicios sanitarios gubernamentales ofrecidos a domicilio en Estados Unidos. En este caso, se verifica biométricamente que el


personal sanitario se ha presentado en las viviendas adecuadas y han ofrecido los servicios que posteriormente serán facturados.

6.1.5 Investigación de delitos

Las huellas recogidas de la escena de un delito, son posteriormente cotejadas a través del programa AFIS (Automated Fingerprint Identification System) o algún otro derivado del mismo.

Concretamente en España, se utiliza el sistema SAID (Sistema Automático de Identificación Dactilar), en el que se mantiene un registro de las huellas de individuos con antecedentes.

No obstante, esta base de datos es totalmente independiente de la que almacena las huellas dactilares obtenidas en el proceso de obtención del Documento Nacional de Identidad, por lo que las Fuerzas de Seguridad solamente pueden utilizar en estos casos las huellas tomadas en escenarios de algún crimen o de personas con antecedentes.

“Es muy importante distinguir la base de datos de huellas dactilares del

Documento Nacional de Identidad de las bases de datos utilizadas por la

policía con finalidades relacionadas con la investigación de delitos”

Las huellas dactilares se remiten, junto con los datos demográficos, para identificar o verificar la identidad de la persona. Las búsquedas pueden tardar minutos, horas o días, dependiendo de la calidad de la información presentada y el tamaño de la base de datos en la que se busca.

Este sistema procesa una o varias huellas dactilares desconocidas, buscando coincidencias automáticamente en una base de datos donde previamente se han almacenado todas las huellas sospechosas.

6.1.6 Acceso a servicios y ayudas gubernamentales

El uso de la biometría en el acceso a servicios sociales y a fondos de ayuda en caso de emergencias puede ser de utilidad en el control del reparto de estas ayudas. Esto supone un paso adelante en la reducción de la corrupción y apropiación indebida de los recursos gubernamentales. Los costes de administración relacionados con la distribución y registro de dichos beneficios también pueden disminuir. Adicionalmente, esto supone una reducción de tiempos de espera para los usuarios solicitantes, lo que implica un aumento de la comodidad de los ciudadanos.

Un ejemplo de esta aplicación, como se verá en los casos de éxito analizados, es la gestión de ayudas por parte del Gobierno de Polonia.


6.2 APLICACIONES EN FASE DE DESARROLLO

Adicionalmente a las aplicaciones existentes y difundidas actualmente en el mercado, existen líneas de desarrollo, en muchos casos ya en marcha, de cara a la extensión de usos más novedosos que, en base a las opiniones de los expertos consultados, serán de gran utilidad.

6.2.1 Centros de atención de llamadas

Las tecnologías biométricas se perfilan como las más idóneas en el ámbito de las potenciales tecnologías a aplicar en los centros de atención de llamadas. En concreto, el reconocimiento de voz ofrece posibilidades en varias áreas.

“La principal ventaja que ofrece el reconocimiento de voz es la no necesidad

de presencia física del usuario para autenticarse”

• Banca telefónica: Según los expertos consultados, en los últimos años este tipo de servicios está creciendo en el mercado. Considerando que para realizar cualquier operación previamente se debe verificar la identidad de cada cliente en cada llamada, el uso del reconocimiento por voz resulta en un aumento de la seguridad y la rentabilidad al mismo tiempo.

• Recuperación de contraseñas: En ocasiones, los servicios de atención al cliente de las entidades tienen dificultades para identificar vía telefónica a los usuarios que necesitan restaurar su contraseña. En este sentido, ya se están empleando en algunas compañías sistemas de reconocimiento de voz que garantizan que la persona que está llamando es quien dice ser, de manera que la regeneración de la contraseña de los usuarios corporativos se convierte en un proceso más resistente al fraude.

6.2.2 Medio de pago

El uso de la biometría en terminales de punto de venta (TPV) reduce el tiempo empleado en transacciones y disminuye las posibilidades de errores o confusiones. Como ejemplo, hay colegios que ya utilizan la huella dactilar para el pago del menú en el comedor, eliminando problemas relacionados con la pérdida de tarjetas, olvido de números de identificación, transacciones manuales y cargos a cuentas erróneas.

6.2.3 Control parental

Hoy en día se pueden usar controles paternos mediante huella dactilar aplicados al acceso a redes sociales y a determinados sitios web, incluyendo las restricciones que los padres hayan determinado, por ejemplo el filtrado de contenidos, la búsqueda de páginas o el uso de ciertos servicios o a partir de ciertas horas.


6.2.4 Vigilancia

Las técnicas biométricas son utilizadas como medida de vigilancia para identificar criminales y sospechosos entre multitudes. Acorde a los documentos analizados, este caso de uso requiere de rasgos biométricos que puedan ser adquiridos a una distancia media. La tecnología más utilizada actualmente es el reconocimiento facial, pero en el sector de la biometría ya se conoce que se están empezando a desarrollar sistemas que utilizan la forma de andar como rasgo biométrico.

6.2.5 Transacciones mediante teléfonos móviles

En la actualidad las técnicas biométricas se están comenzando a desarrollar en dispositivos móviles con el objetivo de proteger el acceso a los mismos y a determinadas aplicaciones, realizar pagos o para la gestión de contraseñas.

“La biometría en dispositivos móviles es una de las futuras aplicaciones más

interesantes y con mayor proyección”

En este sentido cabe destacar la tecnología NFC (Near Field Communication), integrada en la mayoría de los teléfonos móviles de última generación y utilizada en combinación con biometría para la realización de pagos. Se prevé que esta será una de las principales líneas de investigación futura debido a su gran potencial.

6.2.6 Sanidad

El uso de la biometría supone una nueva posibilidad dentro del sector sanitario a la hora de detectar problemas de salud.

“La tecnología biométrica también se puede aplicar a la salud, con el objetivo

de detectar ciertas enfermedades e investigar medicamentos”

Adicionalmente, también se podría aplicar la biometría para identificar a pacientes, especialmente en casos en los que el idioma es una barrera o en los que existen varios pacientes con nombres similares. De este modo se pueden reducir problemas relativos a errores médicos y fraude al seguro médico.


7 CASOS DE ÉXITO

En el proceso de entrevista con los diferentes actores del sector, se han destacado importantes implantaciones de biometría a gran escala en el mundo, las cuales son consideradas como casos de éxito de la aplicación de las tecnologías biométricas.

Se han seleccionado dos casos específicos debido principalmente a su diversidad en cuanto a finalidad y tecnología empleada:

• Acceso rápido a fronteras aeroportuarias en España.

• Gestión de ayudas públicas en Polonia.

A continuación se analizan los dos casos describiendo el proyecto y sus objetivos, el número de usuarios potenciales, las claves de éxito, los principales inconvenientes y beneficios encontrados así como la experiencia extraída y las lecciones aprendidas de los mismos.

Para la elaboración de ambos casos de éxito se ha contado con la colaboración de profesionales que participaron en el desarrollo e implantación de ambos sistemas, los cuales se prestaron a la realización de una entrevista específica y facilitaron documentación adicional.

7.1 ACCESO RÁPIDO A FRONTERAS AEROPORTUARIAS (ESPAÑA)

7.1.1 Descripción del proyecto

Proyecto de implantación del sistema Automatic Border Crossing (ABC) para el acceso rápido a fronteras aeroportuarias por parte de Indra Systems, impulsado por el Ministerio del Interior del Gobierno de España a través de la Secretaría de Estado de Seguridad con destino la Comisaría General de Extranjería y Fronteras.

El objetivo del proyecto es la implantación de un sistema que automatice el paso fronterizo, en la medida de lo posible, de manera desatendida. Está destinado a viajeros cuyo origen o destino está fuera del ámbito europeo.

El sistema está formado por un conjunto de quioscos en los que se introduce un pasajero que verifica su identidad por medio del reconocimiento facial y de huella dactilar. Posteriormente, y ya verificada su identidad, accede a través de unas puertas automáticas. Adicionalmente, los agentes fronterizos están situados en una cabina próxima, desde la que monitorizan todo el proceso e intervienen en caso de que lo consideren necesario.


Ilustración 10: Acceso rápido a fronteras aeroportuarias

El proceso comienza verificando físicamente el pasaporte mediante reconocimiento de patrones visuales y continúa verificando electrónicamente el chip que contiene este documento. Posteriormente lleva a cabo el reconocimiento dactilar y facial para acabar con una consulta a bases de datos policiales en busca de antecedentes o documentos robados.

Existen dos tipos de instalaciones: de puerta simple (quioscos distribuidos por la sala de la terminal y puertas de acceso automáticas) y de esclusa (quioscos integrados en las puertas automáticas; en estos si la verificación no tiene éxito el pasajero no puede avanzar).

El sistema es utilizado por 350 pasajeros diariamente, teniendo en cuenta que su uso no es obligatorio. El empleo de este sistema equivale al trabajo de ocho funcionarios policiales.

El proyecto ABC System. Control Automático de Fronteras desarrollado por el Ministerio del Interior ha sido galardonado con numerosos premios, entre otros el “Premio ENISE2

2010 al mejor servicio o proyecto con DNIe”.

2 Encuentro Internacional de Seguridad de la Información, organizado por INTECO.


7.1.2 Elección de biometría

Se hace uso de dos tecnologías biométricas para obtener mayor garantía en la verificación de la identidad de una persona.

En la elección de las tecnologías a emplear, se optó por el reconocimiento facial por su facilidad de captura y trabajos realizados previamente con ella por parte de la empresa implantadora. Por otro lado, la elección de la tecnología dactilar fue motivada por tratarse de una técnica madura y asequible económicamente frente a otras que no lo son en la actualidad.

7.1.3 Beneficios y claves de éxito

Los principales beneficios obtenidos mediante la implantación son:

• Mejora de la ratio de controles fronterizos que se pueden realizar por unidad de tiempo y por cada agente de policía.

• Incremento de la seguridad.

• Mitigación del temor que usuarios y entidades puedan tener a la utilización de sistemas biométricos.

Uno de los principales factores que llevaron al éxito de esta implantación fue el compromiso de todos los actores en la realización del proyecto en las fechas acordadas.

7.1.4 Inconvenientes

Se han identificado los siguientes inconvenientes:

• Desconocimiento de la tecnología por parte de los usuarios.

• Elevado coste de adquisición del sistema, aunque hay que señalar que éste se amortiza de forma casi inmediata.

En lo referente a la implantación del sistema es destacable que, teniendo en cuenta su complejidad, se realizó en tan sólo cuatro meses (desde la fabricación de los dispositivos hasta la finalización y formación de los agentes), lo que se consideró el gran escollo del proyecto.

Otro de los contratiempos es la heterogeneidad de los actores de un proyecto que parte de la Secretaría del Estado para la Seguridad, tiene como destinatario la Comisaría General de Extranjería y Fronteras e implica a una compañía como Aena, ya que la implantación fue realizada en sus instalaciones.


7.1.5 Recomendaciones

En base a esta experiencia, cuando se habla de sistemas de reconocimiento biométricos, se ha de recalcar la importancia de que la captura de muestras para el registro se haga con una mínima calidad que garantice el éxito del proceso de autenticación. Por lo tanto se debe invertir especialmente en sistemas y dispositivos que garanticen dicha calidad, pero también en la formación de los trabajadores que estén implicados en el proceso de registro al mismo tiempo que de los usuarios

Por otra parte, es esencial fomentar que las organizaciones y los usuarios pierdan el miedo a usar este tipo de tecnologías para la identificación. Se trata de tecnologías muy maduras y aportan muchos beneficios.

7.1.6 Líneas de desarrollo futuro

El proyecto ha sido considerado un éxito. Es por ello que existen planes de expansión a otros puestos fronterizos (más aeropuertos e incluso puertos marítimos) empleando un mayor número de elementos de verificación en cada una de ellas.

En definitiva, se ha concluido que los sistemas biométricos son válidos para el control de fronteras.

7.2 GESTIÓN DE AYUDAS PÚBLICAS (POLONIA)

7.2.1 Descripción del proyecto

Se trata de un proyecto de gestión de ayudas públicas otorgadas por el Gobierno de Polonia a través de cajeros automáticos, autenticando a los ciudadanos mediante el reconocimiento de la estructura de las venas de los dedos y un PIN.

Mensualmente un total de 2.000 personas hacen uso de la tecnología en cada una de las 65 sucursales en la que está instalada.

El objetivo es la gestión de las ayudas gubernamentales de forma segura, cómoda y automatizada. En un principio solamente se consideró la gestión de las prestaciones por desempleo pero actualmente su uso se ha ampliado a otras ayudas.

Con el uso de esta tecnología se pretende mejorar la eficiencia de la gestión de las ayudas gubernamentales. Hoy en día, si no se usa el sistema biométrico, la persona entrega un documento de identificación, el cual se comprueba, y se rellenan una serie de formularios. Este proceso se demora considerablemente en el tiempo. Esto suele conllevar la creación de largas colas de espera para poder acceder a las ayudas, provocando el descontento de los ciudadanos.


Ilustración 11: Aplicación para gestión de ayudas públicas a través de cajeros automáticos

Sin embargo, utilizando el sistema implantado, el usuario puede acudir a un cajero automático a la hora que le resulte más conveniente para obtener la ayuda. Esta comodidad es beneficiosa tanto para el banco, aliviando sus oficinas de clientes pudiendo ofrecer un mejor servicio, como para el usuario, que no necesita acudir en horario de apertura de oficinas.

7.2.2 Uso de biometría

Se optó por la tecnología biométrica tras probar un sistema que combina el uso de un PIN y una tarjeta que incorporaba un chip electrónico. El resultado de esta prueba fue muy negativo ya que los usuarios olvidaban con frecuencia el código PIN, la tarjeta se deterioraba y en ocasiones el PIN era anotado para evitar su olvido, siendo encontrado y utilizado por terceras personas junto con la tarjeta para acceder fraudulentamente a las ayudas.

Siendo las prioridades del gobierno polaco, la lucha contra el fraude y el aumento de la seguridad, se optó por un sistema biométrico.

7.2.3 Beneficios y claves de éxito

Las principales ventajas identificadas son:

• Aumento de la eficiencia, al dedicarse menos tiempo a la comprobación de documentos de identificación por parte del banco.

• Mejora del servicio ofrecido al ciudadano, al reducir las esperas existentes.


• Mejora de la seguridad, incorporando el factor “lo que eres” en el modelo de autenticación y evitando así posibles fraudes.

Adicionalmente, conlleva grandes ventajas en términos de ahorro y eficiencia para el gobierno, ya que el país gestiona grandes cantidades de dinero en procesos de pago social como pensiones, subsidios para el desempleo, etc.

Una de las claves del éxito fue que la población pudo percibir rápidamente los beneficios que se obtienen de su uso.

No obstante, el factor más crítico para el éxito es la seguridad y la privacidad, ya que se trata de un sistema en el que los datos del usuario que se almacenan en el banco (Hitachi, la empresa implantadora, no almacena nada) son el número personal de identificación, el nombre, el domicilio, el número de cuenta bancaria y la ayuda gubernamental correspondiente. Como medida de seguridad, no se almacena su información biométrica completa sino que se guarda una muestra encriptada.

7.2.4 Inconvenientes

El principal problema encontrado ha sido la necesidad de formar a las personas para el uso del sistema, puesto que los usuarios no siempre tienen los conocimientos suficientes para utilizarlo adecuadamente.

Para evitar errores, el personal de las oficinas bancarias ha tenido que invertir tiempo en enseñar a los usuarios a utilizarlo. Este inconveniente se soluciona con el transcurso del tiempo a medida que los ciudadanos se acostumbran a la utilización del sistema.

7.2.5 Recomendaciones

Una percepción de inseguridad por parte de los usuarios hacia el sistema puede implicar su negativa a usarlo. Es por ello que es esencial transmitir confianza a los ciudadanos haciéndoles conscientes de que el robo de sus datos es muy poco probable y que el sistema es seguro para su salud.

7.2.6 Líneas de desarrollo futuro

Existen varios casos de desarrollo en estudio. En la banca comercial, puede ser usado para validar cualquier proceso que el usuario deseara realizar con el banco. En lugar de que las personas hagan uso de un documento de identificación, se registran sus rasgos biométricos, que se usarían para autenticar transacciones, contratos, acuerdos, etc.

Se está trabajando en que cualquier transacción que actualmente se valide con la firma electrónica o manuscrita de una persona, se haga mediante el uso de firma biométrica.


8 MARCO REGULATORIO

Un aspecto de especial relevancia en relación a la implantación de sistemas biométricos es la regulación normativa que define los requisitos y obligaciones a cumplir. Esto se debe especialmente a que los datos biométricos son considerados de carácter personal, por lo que su tratamiento está regulado de cara a preservar la privacidad de los usuarios.

8.1 NORMATIVA LEGAL

A continuación se resume la principal normativa y jurisprudencia actualmente aplicable al uso de sistemas de tratamiento de datos biométricos.

“Existen normativas generales suficientes relacionadas con la protección de

datos personales, aunque no se refieran específicamente a la biometría”

La Agencia Española de Protección de Datos (AEPD) define los datos biométricos como:

“aquellos aspectos físicos que, mediante un análisis técnico, permiten distinguir las singularidades que concurren respecto de dichos aspectos y que, resultando que es imposible la coincidencia de tales aspectos en dos individuos, una vez procesados, permiten servir para identificar al individuo en cuestión”3

A los sistemas informáticos mediante los cuales se traten datos biométricos de personas físicas identificadas o identificables se les deben aplicar las

.

medidas de seguridad de carácter físico, técnico y/u organizativo calificadas como de nivel básico por el Título VIII del Reglamento de Desarrollo de la LOPD4. En el caso de que los datos biométricos objeto de tratamiento en el sistema pudiesen además encontrarse eventualmente asociados o vinculados a la salud de los afectados, como por ejemplo en el supuesto de discapacidades físicas, resultaría también necesaria la implantación de las medidas de seguridad de nivel medio y alto5

A continuación se detalla la normativa de aplicación al uso de sistemas dirigidos al tratamiento de este tipo de datos biométricos, así como la principal jurisprudencia asociada.

.

3 Informe Jurídico número 0368/2006 de la Agencia Española de Protección de Datos sobre huella dactilar. 4 Las medidas de nivel básico incluyen las siguientes cuestiones: definición de los deberes y las funciones del personal con acceso a los datos biométricos; registro de incidencias relacionadas con estos ficheros; control de acceso a ellos; gestión de soportes y documentos que los contengan; identificación y autenticación de usuarios al acceder a estos datos; y establecimiento de procedimientos para la realización de copias de respaldo y recuperación respecto a estos ficheros. 5 Las medidas de nivel alto, además de las de nivel básico (ver nota a pie de página anterior), incluyen las de nivel medio. Las medidas de nivel medio comprenden: nombramiento de un responsable de seguridad; realización de auditoría bienal; gestión de soportes y documentos; identificación y autenticación; control de acceso físico; registro de incidencias. Las medidas de nivel alto incluyen la gestión y distribución de soportes; copias de respaldo y recuperación; registro de accesos; y securización de la transmisión de datos a través de redes de telecomunicaciones.


8.1.1 Normativa de la Unión Europea

Desde la Unión Europea se han planteado una serie de cuestiones en relación a la privacidad de los ciudadanos que han llevado a la definición de algunas directrices y reglamentaciones que orientan, y en algunos casos obligan, a los estados miembros a la hora de legislar sobre estos aspectos.

En algunos casos se trata de forma genérica los datos de carácter personal, mientras que en otros se aborda específicamente el tratamiento de los datos biométricos.

I. Directiva relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos6

Su objetivo fundamental es que todos los Estados miembros de la Unión Europea garanticen la adecuada protección del derecho a la intimidad en lo que respecta al tratamiento de datos personales.

Su artículo 2 a) define los datos personales como

“toda información sobre una persona física identificada o identificable (el ‛interesado’); se considerará identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un número de identificación o uno o varios elementos específicos, característicos de su identidad física, fisiológica, psíquica, económica, cultural o social”.

De ello se deriva que los datos biométricos se pueden considerar como datos personales a los que se aplicaría la legislación pertinente.

Se trata de una Directiva de mínimos, implementada en España a través de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal y por lo tanto no tiene aplicación directa. El nivel de protección ofrecido por la citada Ley Orgánica se encuentra alineado con el de la Directiva.

En materia de biometría, el Grupo de Trabajo creado por el artículo 29 de la Directiva7

6 Directiva 95/46/CE, del Parlamento Europeo y del Consejo, de 24 de octubre. D.O.U.E. serie L, núm. 281, de 23 de noviembre de 1995.

ha elaborado un Documento de Trabajo sobre Biometría, de fecha 1 de agosto de 2003. Su propósito es contribuir a la aplicación eficaz y armoniosa de las disposiciones nacionales sobre protección de datos adoptadas de acuerdo con la Directiva a los sistemas biométricos. Se centra principalmente en las aplicaciones biométricas para fines de autenticación y comprobación. De esta manera, el Grupo de Trabajo del artículo 29 pretende proporcionar unas orientaciones europeas

7 Grupo creado en virtud del artículo 29 de la Directiva 95/46/CE, constituido como el órgano asesor comunitario independiente sobre protección de datos y de la vida privada.


uniformes, especialmente para el sector de los sistemas biométricos y para los usuarios de estas tecnologías.

II. Reglamento sobre Normas para las medidas de seguridad y datos biométricos en los pasaportes y documentos de viaje expedidos por los Estados miembros8

Tiene por objeto la armonización de las medidas de seguridad, entre las que se encuentran los identificadores biométricos y, para ello, recoge determinadas especificaciones de carácter técnico.

8.1.2 Normativa española

Tomando como referencia las indicaciones provenientes de la Unión Europea, la legislación española ha desarrollado una serie de normativas en relación al tratamiento de datos de carácter personal, incluyéndose en ellos los datos biométricos.

Esta normativa está basada en la Ley Orgánica de Protección de Datos, su Reglamento de Desarrollo y las Instrucciones y Resoluciones de la Agencia Española de Protección de Datos (AEPD).

I. Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal y Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de Desarrollo de la LOPD9

Se trata de las normativas primordiales en cuanto a protección de datos personales en España y definen los datos de carácter personal como “cualquier información concerniente a personas físicas identificadas o identificables”. Para su protección establecen una serie de obligaciones y principios de obligado cumplimiento para todas aquellas entidades o empresas, tanto del sector público como privado, que traten datos de carácter personal para el desarrollo de su actividad:

• Deber de inscripción de ficheros en el Registro General de la AEPD;

• Deber de información a los afectados;

• Deber de obtención del consentimiento del interesado;

• Principio de calidad de los datos tratados;

• Respuesta al ejercicio de los derechos de acceso, rectificación, cancelación y oposición por parte de los interesados (conocidos como derechos ARCO).

8Reglamento (CE) 2004/2252/CE, de 13 de diciembre, del Consejo. Modificado parcialmente por el Reglamento (CE) Nº 444/2009 del Parlamento Europeo y del Consejo, de 28 de mayo de 2009. 9 B.O.E. núm. 298, de 14 de diciembre de 1999, y B.O.E. núm. 17, de 19 de enero de 2007, respectivamente.


• Obligación de implantación de medidas de seguridad, entre otras.

Según los expertos consultados, en el ámbito de la biometría es especialmente reseñable el artículo 6.1 de la LOPD, el cual establece, con carácter general, la necesidad de la obtención del consentimiento del afectado para el tratamiento de sus datos de carácter personal.

No obstante, de conformidad con el artículo 6.2 de la LOPD, no será necesario el consentimiento, entre otros supuestos, cuando los datos “se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento”. En la práctica, por ejemplo, no será necesario el consentimiento para tratar los datos personales de un trabajador cuando dicho tratamiento esté relacionado con el mantenimiento y cumplimiento de la relación laboral (pago de nómina, control horario, etc.).

Es en el Título VIII Reglamento de Desarrollo donde se detallan las medidas de seguridad de carácter físico, técnico y organizativo de nivel básico / medio / alto que deberán ser implantadas sobre los sistemas biométricos y/u otros soportes por parte de aquellas entidades o empresas que traten datos biométricos de los afectados.

II. Instrucción 1/1996, de 1 de marzo, de la AEPD, sobre ficheros establecidos con la finalidad de controlar el acceso a los edificios10

Esta Instrucción regula de manera específica los datos de carácter personal tratados de forma automatizada que son recabados por los servicios de seguridad con la finalidad de controlar el acceso a los edificios públicos y privados, así como a establecimientos, espectáculos, certámenes y convenciones.

.

La Instrucción versa sobre la legitimación del tratamiento de los datos recopilados en cumplimiento de las funciones de vigilancia, las medidas de seguridad que les son de aplicación, el periodo en que los mismos deban ser conservados y su posterior cancelación por haber dejado de ser necesarios o pertinentes para los fines para los que fueron recabados. El uso de sistemas biométricos para el control de accesos físicos deberá tener en cuenta esta Instrucción.

III. Real Decreto 1553/2005, de 23 de diciembre, que Regula la expedición del Documento Nacional de Identidad y sus certificados de firma electrónica

En relación a los datos biométricos contenidos en el Documento Nacional de Identidad (D.N.I.), este Real Decreto establece normas en relación con su expedición.

10 B.O.E. núm. 62, de 12 de marzo de 1996.


Según establece su artículo 5, para poder solicitar la expedición del D.N.I. es imprescindible la presencia física de la persona dado que, en el momento de la solicitud, al interesado se le recogerán las impresiones dactilares de los dedos índices de ambas manos.

Asimismo, según señala el artículo 11, el chip incorporado a la tarjeta soporte del D.N.I. contendrá, entre otras cuestiones, la plantilla de la impresión dactilar del dedo índice de la mano derecha o, en su caso, del dedo que corresponda según lo indicado en el artículo 5.3 del Real Decreto.

IV. Normativas autonómicas

Dada la existencia de algunas agencias de protección de datos a nivel autonómico, es necesario señalar que existen regulaciones establecidas por éstas dentro de su ámbito de acción.

• Comunidad de Madrid: Ley 8/2001, de 13 de julio, de Protección de Datos de Carácter Personal en la Comunidad de Madrid11

• País Vasco: Ley 2/2004, de 25 de febrero, de Ficheros de Datos de Carácter Personal de Titularidad Pública y de Creación de la Agencia Vasca de Protección de Datos

.

12

• Cataluña: Ley 32/2010, de 1 de octubre, de la Autoridad Catalana de Protección de Datos

.

13

8.2 INFORMES JURÍDICOS Y JURISPRUDENCIA

.

8.2.1 Informes jurídicos y otros documentos interpretativos

Por otro lado, existen diferentes Informes jurídicos, tanto a nivel europeo como nacional, que dan respuesta a las posibles dudas sobre el sentido real de la normativa en ciertos aspectos. Estos informes en muchos casos responden a las consultas planteadas ante casos prácticos, por lo que ejemplifican en gran medida las problemáticas que se deben tener en cuenta en la implantación de estos sistemas.

11 Boletín Oficial de la Comunidad de Madrid, de 25 de julio de 2001. 12 Boletín Oficial del País Vasco, núm. 44, de 4 de marzo 2004. 13 Diari Oficial de la Generalitat de Catalunya nº. 5731, 8 de octubre de 2010.


I. Informe de situación relativo a la aplicación de los principios de la Convención 108 a la recogida y al proceso de los datos biométricos emitido en Estrasburgo, en febrero de 2005, por el Comité Consultivo de la Comisión para la Protección de las Personas respecto al proceso automatizado de los datos de carácter personal

Resultado de los trabajos iniciados en el año 2003 por el Grupo de Proyecto sobre la Protección de Datos bajo la tutela del Comité Europeo de Cooperación Jurídica, se dedica específicamente al tratamiento de datos biométricos.

Entre las principales conclusiones destaca que, a juicio del Grupo, antes de recurrirse a la biometría el responsable del proceso debería evaluar por una parte las ventajas e inconvenientes posibles para la vida privada de la persona afectada y, por otra, las finalidades previstas, así como tener en cuenta posibles soluciones alternativas que supongan un menor atentado contra la vida privada. En consecuencia, los datos biométricos tratados deberían ser adecuados, pertinentes y no excesivos en comparación con la finalidad del proceso.

Por otro lado, se pone de manifiesto que la persona afectada debería ser informada de la finalidad del sistema y de la identidad del responsable de proceso, así como de los datos procesados y de las categorías de personas a las que se comunicarán esos datos.

II. Informe Jurídico nº 0324/2009 sobre el “Acceso al dato huella dactilar de empleados de una empresa por otra. Encargado del tratamiento”

Responde a una consulta planteada a la AEPD en relación a la posibilidad de implantar un sistema para el control horario de los trabajadores basado en la lectura de la huella digital y su conformidad con lo dispuesto en la LOPD y en el RDLOPD.

En concreto, la AEPD analiza el supuesto en que el responsable de dicho sistema, una de las comunidades que componen una mancomunidad, encomendase a la citada mancomunidad el tratamiento del dato de la huella dactilar de sus trabajadores con la finalidad específica de control horario de trabajo. Ante este caso, la AEPD considera necesario suscribir el contrato de encargado del tratamiento previsto en artículo 12 de la LOPD y en el Capítulo III del Título II del RDLOPD.

De este modo la AEPD pone de manifiesto que en caso de delegar el tratamiento de los datos biométricos a un tercero, se estaría produciendo un acceso a datos por cuenta de terceros que habría de regularse conforme al artículo 12 de la LOPD.

III. Informe Jurídico nº 0082/2010 sobre la “Creación de una base de datos a través de la huella dactilar queda sometido a la LOPD”

Si bien este informe se emite con el fin de dar respuesta a la consulta sobre si la creación de una base de datos con huella dactilar de los clientes, al que se otorga un código


alfanumérico, debe registrarse en la AEPD de conformidad con la LOPD, el citado Organismo aborda la proporcionalidad de la adopción de las referidas medidas:

“[…] resulta desproporcionado, la necesidad de recabar la huella dactilar para prestar un servicio comercial a los clientes, cuando dicho servicio puede prestarse con otros medios menos intrusivos en los derechos y libertades de los clientes, tales como el uso de las tarjetas de fidelización”.

De este modo, la AEPD muestra una diferenciación entre el criterio seguido en los casos de control de presencia de empleados y el manifestado en el caso de relaciones comerciales.

Esto pone de manifiesto la importancia y las diferencias legales que se pueden plantear según los contextos en que se pretendan aplicar las tecnologías biométricas. Otro ejemplo de ello se puede observar en un informe en el que se considera desproporcionado el uso de la huella dactilar en el control de asistencia de los alumnos en un colegio14

8.2.2 Resoluciones y Sentencias más relevantes

.

Por último, se reseñará la interpretación final que tanto la AEPD como diferentes tribunales de justicia españoles han realizado antes casos particulares en los que se encuentra implicado el uso de sistemas biométricos.

I. Resolución de archivo de actuaciones de la AEPD, de 21 de marzo de 2006, correspondiente al Expediente Nº: E/00057/2005

Ligada a una denuncia presentada contra un Ayuntamiento que decidió instalar un sistema de control de presencia de su personal basado en la huella dactilar. El denunciante expone que no se ha informado convenientemente a los trabajadores, a la vista de lo exigido por el artículo 5 de la LOPD, en lo que respecta a la implantación de dicho sistema. Asimismo, se denuncia que tampoco se ha solicitado el consentimiento para el tratamiento de los datos que han sido requeridos a los trabajadores.

Por su parte, la AEPD concluye que, teniendo en cuenta la excepción al deber de obtención del consentimiento prevista en el artículo 6.2 de la LOPD referente a relaciones contractuales,

“En el caso que se examina parece deducirse que el tratamiento al que se hace referencia trae su origen, precisamente, de la necesidad de asegurar el debido cumplimiento de las obligaciones derivadas de la relación administrativa o laboral que vincula al funcionario o personal laboral con la

14 Informe Jurídico nº 0368/2006, de la AEPD, sobre la “Proporcionalidad del tratamiento de la huella dactilar de alumnos de un colegio”


empresa, lo que unido a lo hasta ahora señalado permite implementar dicho tratamiento de datos.

No obstante lo expuesto, deberá darse cumplimiento a lo dispuesto en el artículo 5 de la LOPD, dado que, si bien no será preciso el consentimiento del interesado, sí deberá advertirse al mismo de los extremos contenidos en ese precepto […]”.

Así pues, la interpretación de la norma obliga, en el caso de controles de presencia de trabajadores, a informar adecuadamente a los usuarios, no así respecto a la necesidad de recabar el consentimiento expreso si bien siempre es recomendable, tal y como han señalado los expertos consultados.

“No informar adecuadamente del uso que se va a dar a los datos adquiridos y

su utilización indiscriminada son problemas importantes y a tener en cuenta”

II. Resolución de archivo de actuaciones de la AEPD, de 5 de febrero de 2009, correspondiente al Expediente Nº: E/00016/2007

Pone de manifiesto que la AEPD entiende que “la utilización del dato correspondiente a la huella dactilar y su posterior conversión en un patrón de datos no supone una vulneración del principio de calidad de datos […]”.

III. Sentencia de la Audiencia Nacional (Sala de lo Contencioso-Administrativo, Sección 1ª), de 4 de marzo de 2010

Trata sobre la puesta en funcionamiento de un nuevo sistema de control de presencia consistente en que el trabajador introduzca los dedos índice y corazón de su mano en un terminal de marcaje. Según señala la Audiencia Nacional, “se informa sobre la recogida y tratamiento de datos personales, de su finalidad y destino […] y del responsable del tratamiento en cuestión […]”. No obstante, a la vista de lo exigido por el artículo 20 de la LOPD, recuerda la Audiencia Nacional que era conveniente actualizar las declaraciones de ficheros de titularidad pública ante la AEPD a fin de recoger expresamente entre sus finalidades la relativa al control horario mediante datos biométricos.

IV. Sentencia del Tribunal de Justicia de Andalucía, Granada (Sala de lo Contencioso-Administrativo, Sección 1ª), núm. 874/2007, de 3 de diciembre

Pone de manifiesto que

“la recogida de los datos biométricos por sistemas informáticos, huella dactilar digitalizada y el archivo de sus datos en una tarjeta, no vulneran su derecho fundamental [en relación al denunciante], puesto que ni siquiera se trata de someter al sujeto a operaciones que le afecten físicamente, fuera del momento de recepción de la huella, puesto que se trata de una tarjeta con


esos datos encriptados y no del sistema óptico de escáner de la mano, por tanto entiende el juzgador, que se han cumplido todos los controles y las garantías precisas para salvaguardar el derecho fundamental a la intimidad y a la privacidad […]”.

En resumen, y en base a todo lo anterior, la AEPD y los tribunales competentes en sus Informes Jurídicos, Resoluciones y Sentencias sobre la materia entienden que los siguientes requisitos habrían de tenerse en cuenta a la hora de efectuar tratamientos de datos biométricos:

• El tratamiento de datos ha de ser legítimo.

•

En éste sentido, se considera legítimo el tratamiento de la huella dactilar de trabajadores a los efectos de llevar a cabo actividades de control horario. Por el contrario, no se considera pertinente el tratamiento de la huella dactilar de clientes para la prestación de servicios comerciales o de alumnos con vistas a controlar su asistencia a un centro escolar.

Necesidad de informar al interesado

•

acerca del tratamiento de datos subyacente, conforme al artículo 5 de la LOPD.

Es necesario el consentimiento del usuario, salvo en ciertos casos.

•

No será necesario el consentimiento de interesado para el tratamiento de sus datos biométricos siempre y cuando con dicho tratamiento se pretenda dar cumplimiento a las obligaciones derivadas de la relación contractual subyacente.

Necesidad de inscripción de un fichero ante la AEPD

•

que cubra dicho tratamiento o, eventualmente, modificación de un fichero existente para dar reflejo a las finalidades y categorías de datos tratadas.

Delegación de tratamiento.

8.3 ESTÁNDARES INTERNACIONALES

Si un tercero tiene acceso a los datos a los efectos de prestar el servicio de recogida de los mismos, será considerado un encargado de tratamiento y habrá de cumplirse con lo dispuesto bajo el artículo 12 de la LOPD.

Además de la legislación vigente, existen otras regulaciones, éstas no vinculantes ni de obligado cumplimiento, que es aconsejable seguir. Se trata de los estándares técnicos que se plantean para cada una de las tecnologías y técnicas biométricas.

Los estándares biométricos especifican las condiciones necesarias para que las tecnologías biométricas puedan ser eficaces e interoperables. Adicionalmente, describen métodos para su integración con los sistemas de identificación y autenticación y para el intercambio de información entre sistemas.


La estandarización en el área de la biometría es menos avanzada que en las tarjetas inteligentes (smartcards), pero debido a la necesidad inminente se está acelerando el proceso. Este proceso está impulsado por el sector privado, por organizaciones de estándares internacionales así como por agencias gubernamentales de políticas y estándares. Las principales son:

• ANSI/INCITS. American National Standards Institute / International Committee for Information Technology Standards (ANSI/INCITS) Technical Committee M1, Biometrics, que también actúa como el ANSI’s Technical Advisory Group para el ISO/IEC Joint Technical Committee.

• ISO/IEC. International Standards Organization / International Electrotechnical Commission (ISO/IEC) JTC 1/SC 37 on Biometrics.

• NTSC. US National Science & Technology Council (NSTC) Subcomité de Biometría y Gestión de Identidades. Se ha establecido que las iniciativas biométricas del gobierno de Estados Unidos se basarán en los estándares biométricos del ANSI/INCITS y del ISO/IEC.

• UK British Standards Institute (BSI). Agencia nacional de estándares de Reino Unido. Colabora con el UK’s Technical Advisory Group para el ISO/IEC Joint Technical Committee.

• ICAO. United Nations International Civil Aviation Organization (ICAO) establece los estándares de integración de la biometría en los pasaportes electrónicos de acuerdo con el INCITS y el ISO/IEC.

• NIST. The US National Standards Institute. Agencia Estadounidense que desarrolla los estándares técnicos del gobierno, incluyendo aquellos que afectan a tecnologías biométricas. Los estándares del NIST se establecen de acuerdo a los del INCITS y del ISO/IEC.

Existen evaluaciones de terceros sobre muchas de las tecnologías biométricas, pero la publicación de estándares para la evaluación que faciliten una comparación fiable entre distintos sistemas es bastante reciente.

Los principales estándares existentes para las diferentes tecnologías se reflejan en la siguiente tabla:


Tabla 7: Principales estándares existentes

Aspecto Estándares

Imagen de la huella dactilar

• ISO/IEC 19794-4 Formatos de intercambios de datos biométricos. Parte 4: Información de imagen facial.

• ASNI INCITS 381-2004 Formato de intercambio de información del dedo.

Minucia de la huella dactilar

• ISO/IEC 19794-2 Formatos de intercambio de datos biométricos. Parte 2: Información de la minucia de la huella dactilar.

• ANSI INCITS 378-2004 Formato de la minucia del dedo para intercambio de datos.

• ANSI INCITS 377-2004 Formato de intercambio de la información básica del patrón dedo.


• ANSI INCITS 385-2004 Formato de reconocimiento facial para intercambio de datos.

• ISO/IEC 19794-5 Formatos de intercambio de datos biométricos- Parte 5: Información de la imagen facial.

Reconocimiento de iris

• OSP/IEC 19794-6 Formato de intercambio de datos biométricos-Parte 6: Información de la imagen del iris. Añadir una guía de implementación para especificar el uso de representación cartesiana.

Otras tecnologías

• ANSI/NIST ITL 1-2000 Formato de la información para el intercambio de huella dactilar, facial cicatrices y tatuajes (SMT).

• INSI/NIST ITL 1-2007 Formato de la información para el intercambio de huella dactilar, facial y otro tipo de datos biométricos-Parte 1.

• ANSI INCITS 396-2005 Formato para el intercambio de datos de la geometría de la mano.

• ANSI INCITS 395-2005 Formato para el intercambio de datos biométricos- Datos de la firma.

Interfaces técnicos

• ISO/IEC 19784-1 BIOAPI- Interfaz de programación de la aplicación biométrica – Parte 1: Especificación BioAPI.

• ISO/IEC 19784-2 Interfaz de programación de la aplicación biométrica (BioAPI) – Parte 2: Interfaz del proveedor del archivo biométrico.

• ISO/IEC 19785-1:2006: Marco común de intercambio de formatos biométricos- Parte 1: Especificación de los elementos de la información.

• ISO/IEC 19785-2: 2006: Marco común de intercambio de formato biométricos- Parte 2: Procedimientos para la autorización de registros biométricos.

• ANSI INCITS 358-2002 Especificación BioAPO (Version 1.1). • ANSI INCITS 398-2005 [NISTIR 6529-A]. Marco común de intercambio de

formatos biométricos. (CBEFF)

Rendimiento

• ANSI INCITS 409.1-2005 Reporte y testeo del rendimiento biométrico-Parte 1: Principios y marco.

• ANSI INCITS 409.2-2005 Reporte y testeo del rendimiento biométrico. Parte 2: Reporte y testeo de la tecnología.

• ANSI INCITS 409.3-2005 Reporte y testeo del rendimiento biométrico. Parte 3: Reporte y testeo del escenario.

• ANSI INCITS 409.4 Reporte y testeo del rendimiento biométrico. Parte 4: Metodologías de la operativa de testeo.


9 GESTIÓN DE RIESGOS

9.1 AMENAZAS Y VULNERABILIDADES EN LOS PROCESOS

La implantación y el empleo de tecnologías biométricas están expuestos a una serie de riesgos, algunos específicos y otros compartidos con las demás tecnologías y técnicas de identificación. A continuación se identifican las amenazas y vulnerabilidades especialmente destacables según los expertos en la materia que pueden comprometer la seguridad o la confianza en los sistemas biométricos.

Además algunos sistemas biométricos actuales cuentan con ciertas limitaciones, tales como no ser capaces de satisfacer las cada vez mayores demandas de carga de trabajo o contar con dificultades de interoperabilidad entre sistemas, tal y como afirman algunos entrevistados. Estas carencias demuestran la necesidad de un mayor desarrollo y la aplicación de medidas de seguridad específicas.

9.1.1 Amenazas

Las tecnologías biométricas, como el resto de tecnologías, están expuestas a una serie de amenazas. Estas pueden ser exclusivas o compartidas con otras tecnologías de autenticación. Las más destacadas se desarrollan a continuación.

Pérdida o robo de información biométrica

El robo de información es especialmente sensible en el caso de la biometría al tratarse de información exclusiva y extremadamente ligada al individuo, por lo que el robo de la misma supone un incidente de seguridad grave. A diferencia de las contraseñas o las tarjetas personales, los rasgos biométricos son invariables (como regla general), por lo que su número es limitado a lo largo del tiempo, sin posibilidad de renovación y, en consecuencia, su confidencialidad es esencial.

Suplantación de identidad

Se trata del uso de información biométrica robada o falsificada con el propósito de acceder a espacios o aplicaciones restringidas, falsificar el control de presencia, enmascarar o suplantar una personalidad, etc. Es de especial gravedad cuando se utiliza para cometer un crimen ya que su repudio resulta complicado.

Sabotaje

Pueden darse ataques al sensor de forma consciente para tratar de impedir su funcionamiento. Frecuentemente, la causa de estos ataques es una expresión del desacuerdo o descontento con la implantación de biometría precisamente debido a la alta fiabilidad que ofrece el sistema a la hora evitar conductas fraudulentas y accesos no autorizados.


Incumplimiento de requerimientos legales

Los rasgos biométricos se consideran datos de carácter personal, por lo que su tratamiento se encuentra regulado por la Ley Orgánica de Protección de Datos (LOPD) y su Reglamento de Desarrollo (RDLOPD). En consecuencia, de un tratamiento inadecuado puede derivar en un incumplimiento normativo, con la consecuente exposición a sanciones y el deterioro de la imagen de la entidad.

A pesar de que estos datos se han considerado, con carácter general, como “de protección básica” de conformidad con el RDLOPD, siendo equiparables a una simple dirección o un número de teléfono, siempre es aconsejable tratar estos datos con la máxima cautela y protección posible.

Percepción de falta de privacidad por parte de los usuarios

Puede tratarse de una de las principales amenazas, ya que si los usuarios no confían en estas tecnologías se dificultaría en buena medida su implantación. En muchos casos el usuario final otorga a estos datos una alta sensibilidad, por estar extremadamente ligados a su persona. Por ello se debe escoger el modo más adecuado para su implantación en virtud a diferentes características.

En la siguiente tabla se compara el impacto de la autenticación biométrica en la privacidad en función de diferentes factores:

Tabla 8: Impacto en la privacidad

Impacto en la privacidad Proceso Tipo de tecnología Muestra Tipo de base de

datos

Alto Identificación Fisiológica Imagen biométrica

Bases de datos grandes/

centralizadas

Bajo Verificación De comportamiento Muestra cifrada

Bases de datos pequeñas/ locales

Fuente: INTECO


Idoneidad de la implantación

Según los expertos consultados, es comunmente creido de manera errónea que un sistema biométrico garantiza la seguridad total y que es la solución a cualquier problema de seguridad. La implantación de tecnologías biométricas supone un considerable coste económico y una implicación de personal específicamente dedicado a ello durante la fase inicial. Por ello es necesario realizar un análisis para evaluar la verdadera necesidad, escenario adecuado de implantación y el beneficio logrado frente al coste incurrido, ya que es posible que ésta no sea la solución más adecuada para todos los casos.

Calidad de la tecnología

Si la calidad de la tecnología implantada no alcanza los niveles recomendables, podría acarrear graves brechas de seguridad así como un deterioro notable de la percepción de las tecnologías debido a su mal funcionamiento. Los elementos que se deben tener en cuenta al respecto son: la calidad del sensor, la eficiencia del algoritmo de comparación, la encriptación del almacenamiento de muestras obtenidas y la interoperabilidad con otros sistemas.

“En muchas ocasiones, todo el sector sufre debido a las experiencias

negativas en determinados proyectos que han sido llevados a cabo sin

considerar la necesidad de la utilización de una tecnología de calidad. La

notoriedad pública que habitualmente acompaña a los proyectos biométricos

es un arma de doble filo”

Incidencias con el sistema

Caída de las líneas de comunicación, del propio sistema o de los sistemas de soporte (por ejemplo luz o sistema de comunicaciones), ataques informáticos, etc. Estos problemas afectan de forma similar que al resto de tecnologías.

Indisponibilidad de sensor

Si el acceso o la autenticación se realizan exclusivamente mediante biometría, es decir, no existe un método alternativo como puede ser el uso de contraseñas o tarjetas personales, el fallo o ausencia del dispositivo de adquisición de muestras supone la imposibilidad de autenticación o acceso. Un ejemplo de esta situación es un usuario que tenga que acceder de forma urgente al correo electrónico desde fuera de la oficina mediante huella dactilar pero no disponga de sensor en su ordenador.

“Nunca un sistema de autenticación debe estar basado únicamente en un

rasgo biométrico. Deben establecerse procedimientos de urgencia que

alberguen la posibilidad de indisponibilidad de los sensores, o al hecho de que

la técnica biométrica empleada no tenga una alta universalidad”


Alteración con ánimo fraudulento de los rasgos biométricos

Alteraciones en las huellas dactilares, en el vello facial, en las cuerdas vocales, etc. con el objetivo de evitar ser reconocido por un sistema biométrico. Es una práctica frecuente en los intentos de entrada ilegal en un país, tratando de eludir la identificación de un individuo reincidente.

“En algunas fronteras conflictivas, las personas llegan a abrasar sus huellas

dactilares con el objetivo de no ser reconocidos por las autoridades y no ser

encarcelados”

Variación involuntaria en los rasgos biométricos

Los cambios en los rasgos biométricos, como variaciones de la voz, vello facial o el peinado también suceden de forma natural. En estos casos, el usuario no tiene intención de engañar al sistema. No obstante, estos cambios pueden dificultar el proceso de identificación y generar, incluso, una percepción negativa para el usuario.

“Es necesario considerar la variable tiempo en el diseño de un sistema de

autenticación biométrico”

Experiencia de uso negativa (usabilidad)

Un mal uso involuntario del sensor realizado por una persona sin los conocimientos adecuados puede tener como consecuencia la desconfianza del usuario en la tecnología y el aumento de la tasa de error de la misma.

“Es necesaria formación de cara a que los empleados hagan un uso óptimo de

los sensores”

Falta de aceptación cultural

Esta amenaza aparece en determinados grupos demográficos cuyas normas sociales o religiosas no favorecen la toma de muestras en determinadas técnicas. Por ejemplo, en algunas culturas el reconocimiento facial no es válido ya que no todos los ciudadanos llevan el rostro al descubierto; en otras la lectura de la huella dactilar se considera una práctica antihigiénica, etc.

“Nos hemos encontrado con verdaderos problemas que determinan el éxito o

fracaso de nuestros proyectos por no haber estudiado las diferentes

consideraciones culturales. Este factor es especialmente crítico en sistemas

cuyo ámbito es mundial”


9.1.2 Vulnerabilidades

A continuación se listan algunas vulnerabilidades que afectan negativamente tanto a la implantación de sistemas de reconocimiento biométrico como a su propio rendimiento. Estas vulnerabilidades se dividen según sean comunes a todas las técnicas biométricas o específicas de alguna de ellas.

Tabla 9: Vulnerabilidades

Tecnología biométrica Vulnerabilidades

Vulnerabilidades comunes a todas las tecnologías biométricas

• Calidad baja de los dispositivos de captura. • Ubicación inadecuada del dispositivo de captura. • Desconocimiento en la calidad o del abanico de productos y

utilidades disponibles. • Falta de conocimientos técnicos del personal. • Falta de recursos (tanto de personal como económicos). • Escasa concienciación en materia de seguridad. • Percepción de ausencia de privacidad por parte de los usuarios.

Huella dactilar

• Condición del dedo en el momento de tomar la muestra: mojado, seco, manchado, etc.

• Condiciones climatológicas que afectan al lector: humedad, temperatura, etc.

• Condiciones de la huella: cortes, heridas o inflamaciones. • Actividad laboral: trabajos que puedan afectar a la huella, por ejemplo

el uso habitual de productos químicos que puedan deteriorarla.


• Enfermedades de la voz: bronquitis, faringitis, gripe, laringitis, afonías, etc.

• Variación entre el dispositivo de registro y el usado en la captura de muestras.

• Variación entre entornos de registro y captura de muestras (por ejemplo: interior y exterior).

• Volumen del habla.


• Variación en el aspecto facial: peinado, vello, gafas, sombrero, etc. • Condiciones de luminosidad. • Variación en el peso. • Uso de vestimenta que puede dificultar la localización o visión de la

cara (pañuelos, bufandas, etc.).

Escáner de iris y retina

• Excesivo movimiento ocular o de la cabeza. • Enfermedades oculares. • Uso de gafas. • Problemas debidos al uso de lentes de contacto (iris).

Geometría de la mano

• Uso de joyería, bisutería o abalorios. • Uso de vendajes o guantes. • Condiciones de la mano: inflamaciones en las articulaciones, heridas,

etc.

Escáner de firma • Velocidad de la firma: excesivamente rápida o lenta. • Diferente postura del sujeto durante la firma. • Firma no consistente: el sujeto varía su firma.


9.2 MÉTODOS DE SOLUCIÓN Y PREVENCIÓN

La seguridad es fundamental en todos los elementos de un sistema biométrico. Es por ello que desde que se adquiere la muestra se deben aplicar los protocolos de seguridad pertinentes para garantizar la privacidad y evitar accesos no autorizados a la base de datos en que se guardan los registros biométricos.

La gestión de los riesgos anteriormente señalados se realiza mediante la aplicación de buenas prácticas y controles mitigantes en el uso de las tecnologías biométricas. De este modo, los expertos consultados señalan una serie de medidas a adoptar con el objetivo de reducir los riesgos asociados al empleo de biometría.

9.2.1 Detección de vida

La detección de vida consiste en la capacidad de un sistema biométrico de detectar si la muestra adquirida proviene de un ser humano vivo, con el fin de evitar posibles intentos de fraude como por ejemplo el uso de plantillas de goma que intenten simular una huella dactilar.

“Actualmente la línea de investigación sobre la que se debe hacer mayor

hincapié es la detección de vida”

De este modo, el dispositivo biométrico comprobará uno o más de los siguientes factores, dependiendo de la tecnología empleada:

• Pulso cardíaco.

• Presión sanguínea.

• Detección de poros.

• Transpiración.

• Profundidad de la cara.

• Movimientos de la cabeza.

• Cambios de expresión facial.

• Movimiento del ojo.

• Dilatación de la pupila.

• Pigmentación del iris.

• Selección de palabras a pronunciar.

Esta técnica es uno de los principales métodos de los que dispone la biometría para combatir el fraude. No obstante, aún tiene bastante margen de mejora de cara al futuro.

9.2.2 Almacenamiento de muestras

En el proceso de registro previo al uso de tecnologías biométricas han de almacenarse las muestras aportadas por los usuarios. Así, existe la posibilidad de almacenar una parte de la muestra o multitud de referencias en lugar de la muestra íntegra. Esto se hace para prevenir su utilización fraudulenta en caso de pérdida o robo. Un ejemplo es el almacenamiento de minucias de huellas dactilares, en lugar de la huella completa. De


esta forma resulta imposible la recreación de la huella a partir de una minucia, en caso de que esta sea robada.

“Es fundamental que no se pueda obtener la información biométrica del

usuario a partir de las muestras almacenadas. Lo que más se valora es la

privacidad del individuo”

9.2.3 Autenticación de doble factor

Con el objetivo de evitar el fraude se recomienda el uso de dos factores en el proceso de autenticación. Para ello se puede utilizar biometría bimodal (dos técnicas biométricas diferentes, por ejemplo huella dactilar e iris) o combinar la biometría con el uso de contraseña y/o tarjetas de identificación.

9.2.4 Realizar una buena adaptación

No todas las empresas son iguales, por ello la adaptación a las circunstancias de cada caso es esencial para evitar futuros problemas.

Por ejemplo, si una empresa va a incorporar un control de accesos en base a la huella dactilar y cuenta con empleados que realizan trabajos manuales o utilizan productos abrasivos, puede ser aconsejable registrar las huellas de la mano que menos utilicen (izquierda en el caso de los diestros y derecha en el caso de los zurdos) y de los dedos que menos se utilicen (generalmente anular y meñique). Con esta simple adaptación, se podrán evitar en buena medida futuros problemas relacionados con cortes o deterioros en la huella.

9.2.5 Adquisición de tecnología de calidad

Los expertos coinciden en que la obtención de muestras de calidad y la realización de comparativas fiables es importante para evitar falsos positivos, falsos negativos y altas tasas de error, y esto depende en gran medida de la calidad y fiabilidad de los sistemas utilizados. Una elección adecuada previene el fraude y la reticencia de los usuarios.

“La captura de muestras para el registro se ha de realizar con una mínima

calidad que garantice el éxito del proceso”

9.2.6 Biometría en movimiento

La captura de muestras en movimiento es una forma de reducir la posible percepción de las técnicas de adquisición de información biométrica como intrusivas y la reticencia a utilizarlas por este motivo. Los expertos señalan que este control no es válido para todas las técnicas pero ya se aplica en el reconocimiento facial y de iris.

9.2.7 Formación de los usuarios

Un factor clave en el éxito de las tecnologías biométricas es que sus usuarios las utilicen correctamente. Para la consecución de este objetivo se puede ofrecer una fase inicial de


formación que, por norma general, no será excesivamente larga y en la que se informe de lo que son las tecnologías biométricas y se aporten unas breves instrucciones y recomendaciones sobre su uso. En este sentido, los acuerdos con los representantes de los trabajadores previos a la implantación de las tecnologías favorecen este proceso.

9.2.8 Cumplimiento normativo

A la hora de implantar este tipo de tecnologías biométricas aplicadas a la seguridad, resulta de vital importancia evaluar previamente las ventajas e inconvenientes posibles que, desde el punto de vista jurídico, puede suponer la incorporación de dicho sistema respecto a la privacidad de las personas afectadas, así como tener en cuenta posibles sistemas o soluciones alternativas que puedan suponer una menor intrusión contra los derechos de los interesados.

A este respecto, destacar que en todo caso los datos biométricos que pudiesen ser sometidos a tratamiento a través de dichos sistemas deberían ser siempre adecuados, pertinentes y no excesivos en comparación con la finalidad del proceso (por ejemplo: control horario, control de accesos, control de presencia, etc.).

Del mismo modo, es necesario recordar que las medidas de seguridad señaladas por la LOPD y su reglamento de desarrollo no solo se consideran exigencias para el cumplimiento legal, sino también buenas prácticas que mitigan y evitan posibles incidencias en relación a la privacidad de los usuarios. Tal es el caso de la determinación del personal con acceso a los datos biométricos del sistema y sus funciones o la asignación de cuentas de usuario para cada trabajador junto a medidas de trazabilidad para hacer constar quién accede a estos datos o realiza modificaciones en ellos.


10 CONCLUSIONES

10.1 CONCLUSIONES GENERALES

10.1.1 Tecnología madura vs. Mercado en desarrollo

Tras la consulta a los diferentes expertos del sector de la biometría y la elaboración de su estudio se puede concluir que, desde el punto de vista técnico, las tecnologías biométricas se encuentran en un grado de madurez suficiente para ser implantadas con éxito, pero es el mercado el que actualmente no ha alcanzado la madurez necesaria. Concretamente, el mercado está carente aún de los siguientes aspectos:

• Ausencia de conocimiento por parte de los potenciales usuarios

•

, esto es, de las entidades que podrían estar interesadas en la implantación de sistemas biométricos. En muchas ocasiones, la alta dirección no es consciente de los beneficios en materia de ahorro de costes, aumento de seguridad y mejora de la imagen corporativa que podría tener la utilización de un sistema con estas características ni de la multitud de finalidades para las cuales podría ser interesante su uso.

Ausencia de oferta en cuanto a soluciones integradas de seguridad

•

por parte de distribuidores o fabricantes de soluciones de seguridad. Por ejemplo: videovigilancia con detección biométrica, integración de biometría en el sistema de gestión de identidades corporativo, etc.

Desconocimiento y desconfianza por parte de los ciudadanos

• Actualmente, el sector empresarial se encuentra en un

, la ciencia ficción ha difundido algunos miedos y mitos entre la ciudadanía que deben ser superados para evitar de este modo la resistencia a la utilización de técnicas biométricas. También pueden suponer un impedimento de consideración para la adopción por parte de los ciudadanos las barreras culturales existentes, por ejemplo en determinados países asiáticos donde no se permite el establecimiento de contacto por motivos higiénicos o la utilización de ropa que cubre la cara en diferentes culturas.

periodo de dificultades económicas

10.1.2 Necesidad de estandarización en el análisis

. Es por ello que en muchas instituciones no se prioriza la inversión en tecnologías innovadoras y se tiende a mantener los sistemas ya existentes.

Si bien las técnicas biométricas se encuentran suficientemente maduras, la ausencia de criterios comunes que permitan la evaluación de una forma objetiva de las diferentes soluciones existentes en el mercado dificulta el análisis de las mismas y supone una


fuerte barrera de cara a la implantación de los sistemas y a la percepción sobre su validez.

10.1.3 Posible exceso de confianza

En ocasiones se tiende a pensar que la biometría es la solución a todos los problemas de seguridad. El sector empresarial debe ser consciente de que la implantación de técnicas biométricas debe ser una decisión basada en la realización de un análisis coste/beneficio, así como de que la seguridad absoluta no existe en ningún sistema de seguridad. Como prueba de ello, se encuentra el conjunto de amenazas y vulnerabilidades destacados en el presente estudio.

10.1.4 Altos beneficios potenciales

En línea de la conclusión previa, los sistemas biométricos implantados tras un proceso adecuado de análisis previo, reportan grandes beneficios tanto a entidades como a ciudadanos y empleados. A modo de ejemplo pueden observarse los casos de éxito analizados en detalle en el presente estudio, donde se han obtenido mejoras tanto en la comodidad de los usuarios, en el aumento de la seguridad y en el ahorro de costes.

10.2 FORTALEZAS Y OPORTUNIDADES

10.2.1 Aprendizaje y perfeccionamiento

Actualmente se está implantando lo que se considera la segunda generación biométrica. El establecimiento de los sistemas biométricos de primera generación y la detección de sus limitaciones, determinaron cuáles deben ser los principales retos que esta segunda generación debe afrontar y solventar. Estos retos se clasifican en dos grandes tipologías: Retos técnicos, como precisión, velocidad, ergonomía y seguridad (por ejemplo, seguir avanzando en la detección de vida y la resistencia al fraude), y Retos sociales, especialmente en lo referente a preocupaciones por la privacidad y la salud así como problemas culturales o éticos.

10.2.2 Implicación de las Administraciones Públicas

El impulso por parte de las administraciones públicas se está produciendo y es un aspecto fundamental para la normalización e implantación de la tecnología y su desarrollo. Mediante la adopción de acciones divulgativas y la adopción de sistemas biométricos en sus propias instalaciones y servicios, las Administraciones Públicas serán principales impulsores de esta tecnología.

10.2.3 Impulso de las grandes empresas

Se considera un gran factor que abrirá nuevas oportunidades, especialmente la adopción por parte de aquellas que requieran de mayor seguridad en sus transacciones, como las financieras y aseguradoras. Con su implantación y desarrollo, estas empresas conseguirán el establecimiento de estándares comunes y sistemas de autenticación


homogéneos de cara a ofrecer servicios integrados de diferentes tipologías. Es decir, el establecimiento de una autenticación biométrica única por parte de grandes asociaciones empresariales es una línea de desarrollo futuro que, en coordinación con las administraciones públicas, será impulsado por las grandes corporaciones privadas que deseen aportar valor adicional a los servicios que ofrecen a sus clientes.

10.2.4 Estandarización e interoperabilidad

Los expertos entrevistados consideran la normalización de los datos almacenados o transmitidos en diversos estándares, que permitan la interoperabilidad entre plataformas y técnicas diferentes un factor, como un elemento fundamental que favorecerá el desarrollo de las tecnologías biométricas.

10.3 DEBILIDADES Y POSIBLES RIESGOS

10.3.1 Exposición pública

Uno de los principales riesgos con los que cuentan las tecnologías biométricas es la gran exposición que tienen estos proyectos a la opinión pública. Especialmente aquellos que se abordan a nivel nacional son muy publicitados, y en el caso de que la implantación final no sea satisfactoria habitualmente se hace perjudica a toda la industria, pues la percepción de los ciudadanos es negativa de manera genérica y no sobre el proyecto específico.

10.3.2 Temores por parte de los ciudadanos

Aún hoy, sigue existiendo un desconocimiento generalizado por parte de la ciudadanía a pesar de los esfuerzos ya realizados. El principal miedo es la ausencia o pérdida de privacidad de los ciudadanos, quienes siguen considerando que la biometría es una tecnología intrusiva para ellos. Es por esto que emprender acciones de concienciación de carácter general orientadas hacia la ciudadanía cobra especial relevancia de cara a evitar la falsa sensación de disminución de privacidad.

10.3.3 Necesidad de normativas específicas

A pesar de que la actual normativa pueda ser suficiente, la ausencia de regulación específica para sistemas de reconocimiento biométrico puede ser un riesgo que deba solventarse de la mejor manera posible. Para ello, se establecen un conjunto de recomendaciones en este sentido que faciliten la labor de los organismos reguladores.


11 RECOMENDACIONES

A continuación se ha recogido un conjunto de consejos y recomendaciones para la investigación, implantación y uso de las tecnologías biométricas así como para su regulación.

11.1 RECOMENDACIONES DIRIGIDAS A LAS ORGANIZACIONES

Algo en lo que coinciden los expertos consultados, es que es esencial considerar diferentes aspectos a la hora de valorar la posible implantación de un sistema biométrico. En este sentido, son destacables los siguientes factores:

• Localización: El lugar donde se vaya a ubicar físicamente el sistema de reconocimiento biométrico es un factor clave para la elección de la técnica a emplear. Es por ello que se debe contemplar si se encontrará ubicado en zonas de acceso público o restringido a la hora de seleccionar una técnica de mayor o menor resistencia al fraude y especialmente a los ataques físicos.

• Finalidad perseguida: Algunos sistemas de reconocimiento biométricos persiguen verificar la identidad de los usuarios (comparación 1:1) y otros sin embargo persiguen la identificación de los mismos (comparación 1:n). En este sentido la finalidad determina en muchas ocasiones la capacidad de computación que requiere el sistema (mayor cuando la finalidad es identificar al tener que comparar una muestra con todas las existentes en la base de datos) y por tanto la elección de la técnica a emplear.

• Número de usuarios: Se debe tener en cuenta el número de usuarios que utilizarán el sistema biométrico. Es previsible que en grandes sistemas de reconocimiento con una elevada carga de reconocimientos sea más sencilla la aplicación de economías de escala, reduciendo por tanto el coste medio por reconocimiento.

• Circunstancias de los usuarios: Conocer a los usuarios finales que van a emplear el sistema de reconocimiento puede determinar por completo el éxito o fracaso de la implantación. En este sentido, se deberá tener en cuenta:

o Conocimientos previos:

o

Es necesario considerar el conocimiento anterior con el que cuentan los usuarios de cara a facilitarles la utilización del sistema de biometría (tanto a los usuarios finales como a los usuarios administradores del mismo), pudiendo estimar así la necesidad de formación previa al lanzamiento.

Entorno: Existen diferentes entornos donde la utilización de un sistema biométrico concreto puede suponer un inconveniente. A modo de ejemplo,


no se debe utilizar el reconocimiento de huella dactilar en ubicaciones donde los empleados deban utilizar guantes protectores, o donde habitualmente tengan las manos húmedas o mojadas. Tampoco deberán emplearse sistemas de reconocimiento facial en culturas donde habitualmente las personas cubran su rostro.

o Confianza en los individuos:

• Información existente: En el momento de valorar económicamente qué sistema biométrico debe emplearse, es necesario recopilar el conjunto de información de la que se dispone previamente. De este modo se podrán aprovechar sinergias o reutilizar el trabajo realizado en proyectos anteriores.

La utilización o no utilización de biometría para la autenticación de usuarios en muchas ocasiones viene determinada por la confianza o desconfianza que se tenga sobre los usuarios finales.

Una vez contemplados todos estos aspectos de manera previa a la implantación del sistema biométrico, se podrá estimar un coste aproximado de la puesta en marcha y de su mantenimiento en el tiempo.

Tras determinar la necesidad de implantación de un sistema biométrico, se recomienda a las organizaciones tomar las siguientes medidas:

1) Apostar por la implantación de tecnologías de calidad

2)

, esto es, ante las diferentes tecnologías existentes en el mercado, primar aquellas que ofrezcan mayor fiabilidad y, consecuentemente, mejores resultados.

Informarse adecuadamente

3)

de cara a hacer un uso correcto de las técnicas biométricas a implantar en la organización.

Ofrecer colaboración a los usuarios finales

4) Ser consciente de que

; la cooperación con ellos es el gran factor en el éxito de las implantaciones de tecnologías biométricas.

los datos biométricos son de carácter personal

5)

: es por ello que están regulados por la Ley Orgánica de Protección de Datos y se deben proteger como tales.

Solicitar siempre el consentimiento de recogida y uso de datos biométricos. La empresa que quiera recopilar y emplear dichos datos ha de obtener el consentimiento del usuario, informándole previamente de su finalidad y tratamiento. De este modo no sólo se cumplirá con la legislación, sino que una actuación transparente ayudará a mejorar los niveles de aceptación por la ciudadanía, la usabilidad, y, por tanto, la efectividad de estas tecnologías.


6) Facilitar el ejercicio de los derechos ARCO

11.2 RECOMENDACIONES DIRIGIDAS A LA INDUSTRIA

de los usuarios sobre sus datos personales, dándoles a conocer la posibilidad de obtener información, modificar, suprimir y oponerse a su tratamiento de dichos datos.

Como se ha descrito previamente, para la elaboración del presente estudio se ha contado con la colaboración de expertos en sistemas biométricos de muy diversa naturaleza, desde perfiles legales a más técnicos. En este sentido, se les solicitó que fueran críticos con su propia industria y este es el conjunto de recomendaciones destacables al respecto.

11.2.1 Fabricantes y proveedores de servicios

1) Apostar por la innovación

2) Ofrecer

en el desarrollo e implantación con el objetivo de fomentar las tecnologías biométricas.

sistemas de alta calidad

3)

, fomentando el éxito final que ayudará a la mejora de la imagen de la biometría en general.

Solventar las dudas de los clientes

4)

, informando de la importancia y la base tecnológica del sistema; de esta forma el cliente podrá tomar una decisión informada sobre la tecnología a implantar.

Analizar al cliente

5) Promover una

para poder asesorarle en la tecnología idónea según sus necesidades y poder formar apropiadamente a los usuarios sobre su utilización.

unificación de algoritmos, cifrados y procesos de extracción de muestras

6)

, lo que favorecerá la interoperabilidad entre los sistemas implantados.

Mostrar las ventajas de estos productos y servicios y no exagerar sobre los defectos o inconvenientes de otras técnicas

7)

de la competencia ya que, como consecuencia de ello, se desprestigia a la biometría en general.

Solicitar permiso a los usuarios para tratar sus datos biométricos

8) Garantizar especialmente la

, siendo muy concreto y transparente sobre el tratamiento y la finalidad de su uso.

seguridad y confidencialidad

de los datos cedidos para generar confianza en los usuarios del sistema.


11.2.2 Investigadores

1) Adaptarse a los requerimientos de los usuarios finales con el objetivo de desarrollar líneas de investigación que puedan satisfacer las necesidades

2) Conocer la situación actual de la industria biométrica y

existentes.

evitar la elaboración de prototipos de difícil aplicación

3) Explorar diferentes opciones de

en el ámbito comercial por su coste o utilidad.

mejora y abaratamiento

4) Realizar

de la tecnología para favorecer su desarrollo y expansión.

labor divulgativa

11.3 RECOMENDACIONES DIRIGIDAS A LAS ADMINISTRACIONES PÚBLICAS

de cara a fomentar que la ciudadanía se familiarice, comprenda y confíe en la biometría.

Como en muchos otros aspectos innovadores, especialmente en el ámbito de la seguridad, las Administraciones Públicas son un factor clave en el desarrollo de la biometría. En este sentido, tras la elaboración del presente estudio, cabe destacar las siguientes recomendaciones de cara a fomentar y facilitar el conocimiento y la utilización de tecnologías biométricas.

1) Facilitar acceso a servicios públicos por parte de los ciudadanos empleando sistemas biométricos.

2) Utilización de

Las ventajas evidentes para los ciudadanos de cara a realizar todos los trámites con las administraciones públicas de manera telemática y mediante su autenticación a distancia, supondrá un percepción muy positiva por parte de los mismos.

sistemas biométricos para sus propias instalaciones

3) La continuidad en la

. Además de fomentar su uso y conocimiento, la implantación de sistemas biométricos en las instalaciones de las administraciones puede suponer una mejora en la seguridad y la eficiencia de los trabajadores.

inversión en materia de defensa y control de fronteras

4) Como en toda tecnología punta, la continuada

utilizando sistemas biométricos disminuye la necesidad de recursos humanos para estas tareas y permite el empeño de los recursos de las fuerzas y cuerpos de seguridad en otras funciones donde la intervención humana sea crítica.

inversión en investigación y desarrollo

5) Llevar a cabo acciones de

se torna esencial de cara a obtener aún mejores sistemas biométricos.

divulgación de los beneficios del uso de tecnologías biométricas, desmitificando sus inconvenientes y evidenciando las mejoras que pueden suponer en el día a día de los ciudadanos.


11.4 RECOMENDACIONES PARA LEGISLADORES Y AGENTES DE ESTANDARIZACIÓN

Los organismos encargados de regular y normalizar los diferentes aspectos de la biometría, tanto legal como técnicamente, pueden fomentar su desarrollo siguiendo una serie de recomendaciones:

1) Garantizar los derechos de privacidad de los ciudadanos

2) Si bien la regulación actual en España en materia de protección de datos es suficiente para regular el ámbito de la biometría, de cara a unificar criterios y atender a una especial sensibilidad de la población podría ser conveniente desarrollar una

, permitiendo al mismo tiempo el desarrollo de las tecnologías que ofrecen una mayor seguridad, como las biométricas.

regulación específica para la biometría

3)

.

Evitar una normativa excesivamente rígida

4) Desarrollar un

que impida o dificulte el uso de la biometría o que no se pueda adaptar fácilmente a los futuros desarrollos.

análisis profundo de los riesgos y beneficios

5) Avanzar en la

de la biometría antes de redactar y promulgar la normativa de desarrollo.

regulación legislativa relativa a la suplantación de identidad

6) Fomentar la

, una de las mayores amenazas identificadas.

creación de un estándar único

para cada tecnología que facilite la interoperabilidad.


ANEXO I: BIBLIOGRAFÍA

• Air University and Iqra University (2011). Biometric Access Control System Using Automated Iris Recognition. http://iqrauniversity.edu.pk/AJEST%20Volume%201%20Issue%201.pdf

• Central Institute of Technology of Kokrajhar (2010). Internet Banking Risk Analysis and Applicability of Biometric Technology for Authentication. http://ijopaasat.in/yahoo_site_admin/assets/docs/Gunajit_Paper-6_Review_.18192851.pdf

• Centre for European Policy Studies (2006). Communicating (in)Security: A Failure of Public Diplomacy?

• Centre for European Policy Studies (2010). Developing Biometrics in the EU.

• Centre for European Policy Studies (2010). Quantum Surveillance and ‘Shared Secrets’. A biometric step too far?

• Computer Law & Security Review (2011). Body scanners vs. privacy and data protection. http://www.uio.no/studier/emner/jus/jus/JUR5630/v11/undervisningsmateriale/Mironenko_article_13012011.pdf

• Deloitte & National Physical Laboratory (2006). Latest biometric test results: performance, quality and interoperability.

• Deloitte (2004). Biometric security.

• Deloitte (2005). Biometric ID card debates.

• Deloitte (2005). Suitability of biometrics at airports (Airport Industry Conference 2005, Moscow).

• École Polytechnique Fédérale de Lausanne (2010). Biometrics & Security Combining Fingerprints, Smart Cards and Cryptography.

• European Commitee for Standarization (2009). Report on a biometric profile specific to cross-border interoperability of biometrics applicable to e-Identity. http://www.cen.eu/cen/Sectors/Sectors/ISSS/Focus/Documents/ReportCrossborderInteroperabilityv10att1.pdf

• European Committee for Standardization (2004). Towards an electronic ID for the European Citizen, a strategic vision. http://www.umic.pt/images/stories/publicacoes/Towards%20eID.pdf

http://iqrauniversity.edu.pk/AJEST%20Volume%201%20Issue%201.pdf�

http://ijopaasat.in/yahoo_site_admin/assets/docs/Gunajit_Paper-6_Review_.18192851.pdf�

http://ijopaasat.in/yahoo_site_admin/assets/docs/Gunajit_Paper-6_Review_.18192851.pdf�

http://www.uio.no/studier/emner/jus/jus/JUR5630/v11/undervisningsmateriale/Mironenko_article_13012011.pdf�

http://www.uio.no/studier/emner/jus/jus/JUR5630/v11/undervisningsmateriale/Mironenko_article_13012011.pdf�

http://www.cen.eu/cen/Sectors/Sectors/ISSS/Focus/Documents/ReportCrossborderInteroperabilityv10att1.pdf�

http://www.cen.eu/cen/Sectors/Sectors/ISSS/Focus/Documents/ReportCrossborderInteroperabilityv10att1.pdf�

http://www.umic.pt/images/stories/publicacoes/Towards%20eID.pdf�


• Forrester (2008). Biometrics: State Of The Art And Future Implications.

• Forrester (2010). Smart Computing Fuels Biometrics Growth.

• Forrester (2011). Forrsights: The Evolution of IT Security, 2010 To 2011.

• Gartner (2008). Case Study - Health Management Company Deploys Voice Biometrics for Caller Verification.

• Gartner (2010). Hype Cycle for Contact Center Infrastructure.

• Gartner (2010). Hype Cycle for Identity and Access Management Technologies.

• Gartner (2010). Q&A: Biometric Authentication Methods.

• Gartner (2010). Revisiting the Business Case for Biometrics and Retail Timekeeping.

• Gartner (2011). Using Voice Recognition Technology to Capture Criminals.

• Institute of Electrical and Electronics Engineers (2011). Universal biometric evaluation system: Framework for testing evaluation and comparison of biometric methods.

• Michigan State University (2010). Biometrics of Next Generation: An Overview.

• Sri Jayachamarajendra College of Engineering (2011). Future Path Way to Biometric.

• Trub AG (2005). Biometrics Whitepaper.

• Universidad Carlos III de Madrid (2010). Privacy and Legal Requirements for Developing Biometric Identification Software in Context-Based Applications. http://www.sersc.org/journals/IJBSBT/vol2_no1/2.pdf

• Universidad de Deusto & Universidad del País Vasco (2007). Análisis en torno a la tecnología biométrica para los sistemas electrónicos de identificación y autenticación. http://www.redeweb.com/_txt/630/52.pdf

• Università di Bologna (2009). Biometric Fingerprint Recognition Systems. http://amsdottorato.cib.unibo.it/1234/1/TesiFinale_-_Matteo_Ferrara.pdf

• University of Kebangsaan & Institute of Electrical and Electronics Engineers (2011). State of the art in offline signature verification system.

http://www.sersc.org/journals/IJBSBT/vol2_no1/2.pdf�

http://www.redeweb.com/_txt/630/52.pdf�

http://amsdottorato.cib.unibo.it/1234/1/TesiFinale_-_Matteo_Ferrara.pdf�


ANEXO II: ÍNDICES DE TABLAS, GRÁFICOS E ILUSTRACIONES

ÍNDICE DE TABLAS

Tabla 1: Sensores según tipos de tecnología biométrica .................................................23

Tabla 2: Parámetros considerados en cada tecnología biométrica ..................................24

Tabla 3: Características extraídas en cada técnica biométrica .........................................25

Tabla 4: Valoración comparativa de las distintas técnicas biométricas ............................41

Tabla 5: Ventajas e inconvenientes de las distintas tecnologías ......................................41

Tabla 6: Comparativa biometría vs Contraseñas/tarjetas .................................................46

Tabla 7: Principales estándares existentes ......................................................................78

Tabla 8: Impacto en la privacidad ....................................................................................80

Tabla 9: Vulnerabilidades ................................................................................................83

ÍNDICE DE GRÁFICOS

Gráfico 1: Proceso de inscripción en el registro ...............................................................25

Gráfico 2: Proceso de identificación en la autenticación ..................................................26

Gráfico 3: Proceso de verificación en la autenticación .....................................................27

Gráfico 4: Grado de implantación en el mercado .............................................................43

ÍNDICE DE ILUSTRACIONES

Ilustración 1: Minucias de una huella dactilar ...................................................................30

Ilustración 2: Técnica de correlación ................................................................................30

Ilustración 3: Reconocimiento facial .................................................................................31

Ilustración 4: Reconocimiento de la geometría de la mano ..............................................34

Ilustración 5: Reconocimiento de retina ...........................................................................35


Ilustración 6: Reconocimiento de venas de la mano ........................................................36

Ilustración 7: Reconocimiento de la forma de andar ........................................................39

Ilustración 8: Control de accesos .....................................................................................57

Ilustración 9: Control de presencia de doble factor ..........................................................57

Ilustración 10: Acceso rápido a fronteras aeroportuarias .................................................63

Ilustración 11: Aplicación para gestión de ayudas públicas a través de cajeros automáticos .....................................................................................................................66

Síguenos a través de:

Web http://observatorio.inteco.es

Perfil Facebook ObservaINTECO http://www.facebook.com/ObservaINTECO

Perfil Twitter ObservaINTECO http://www.twitter.com/ObservaINTECO

Perfil Scribd ObservaINTECO http://www.scribd.com/ObservaINTECO

Canal Youtube ObservaINTECO http://www.youtube.com/ObservaINTECO

Blog del Observatorio de la Seguridad de la Información: http://www.inteco.es/blogs/inteco/Seguridad/BlogSeguridad

Envíanos tus consultas y comentarios a:

[email protected]

http://observatorio.inteco.es/�

http://www.facebook.com/ObservaINTECO�

http://www.twitter.com/ObservaINTECO�

http://www.scribd.com/ObservaINTECO�

http://www.youtube.com/ObservaINTECO�

http://www.inteco.es/blogs/inteco/Seguridad/BlogSeguridad�

mailto:[email protected]�

http://twitter.com/ObservaINTECO�

Instituto Nacionalde Tecnologías de la Comunicación

www.inteco.es

http://www.inteco.es/�