Es otra de las grandes promesas tecnológicas: la biometría apuntaba a ser clave para la identificación y autenticación de usuarios en todo tipo de situaciones, pero de momento su aplicación práctica ha sido desigual. Y no ha sido por falta de opciones.
Muchos han sido los esfuerzos para que este sector avance. Los lectores de huella dactilar son probablemente los elementos más extendidos, pero hay todo un mundo de soluciones que tratan de utilizar nuestro cuerpo como sistema de identificación. ¿Dónde estamos, y hacia dónde vamos?
Es importante distinguir entre los identificadores biométricos, que puede estar basada en características fisiológicas -las propias de nuestro cuerpo, como sucede con al huella dactilar o el reconocimiento facial- y las características de comportamiento -que afectan a la forma en la que realizamos ciertas acciones, como la forma en la que hablamos o en la que firmamos-. Las tecnologías biométricas son muchas y variadas, y a continuación queremos hacer un repaso de algunas de las más importantes.
La huella dactilar, protagonista
El análisis de las huellas dactilares y su uso como sistema de identificación es uno de los ejemplos clásicos de la aplicación práctica de la biometría. En ese análisis entran en juego los patrones presentes en nuestras huellas dactilares, pero también en características especiales que también diferencian unas huellas de otras, como surcos cortos o bifurcaciones en algunos de los surcos de nuestra huella.
Los sensores que permiten analizar huellas dactilares son de varios tipos -ópticos (receptivos y transmisivos), ultrasónicos, capacitivos, mecánicos o térmicos, por ejemplo-, y todos ellos tratan de ofrecer mejores prestaciones en ciertos escenarios y en ciertas aplicaciones prácticas.
Hay muchos ejemplos que han tenido cabida en Xataka durante los últimos años. Samsung ya hacía uso de un sistema de este tipo en su SCH-370, lanzado en 2005 y que seguía la estela, por ejemplo, de algunos Pockets PCs que algún tiempo antes también ofrecían esa capacidad. Los sensores de huella dactilar han sido también opción común en ordenadores portátiles empresariales, pero también en otros dispositivos como discos duros externos, sistemas de apertura de puertas, o sistemas de pago, por ejemplo. Y todo apunta a que seguiremos viendo más y más dispositivos con este tipo de tecnología.
Los dispositivos móviles también han popularizado este tipo de sistemas de identificación en los últimos tiempos, y tanto el iPhone 5S -con su tecnología TouchID, de la que Apple ha dado diversos detalles en las últimas semanas- como el Samsung Galaxy 5 -con una propuesta algo distinta, pero igualmente interesante- los han utilizado para ofrecer a los usuarios una forma alternativa de desbloquear estos terminales e incluso de realizar pagos electrónicos con una autenticación basada en estos sistemas.
La fiabilidad de este tipo de sistemas biométricos es elevada, pero como se ha demostrado últimamente, la seguridad que proporcionan no es total y a menudo ha sido posible "engañar" a este tipo de sistemas con moldes fabricados con mayor o menor esfuerzo. Para tratar de evitar ese tipo de problema se han ido implementando características adicionales en los sensores que permiten combinar la huella dactilar con factores como la temperatura, la conductividad, la constante dieléctrica relativa (que es distinta en nuestra piel y , por ejemplo, en un molde de silicona), la presión sanguínea, o el ritmo cardiaco que demuestran que lo que estamos poniendo encima del sensor es, efectivamente, el dedo de esa persona, y que dicha persona está viva.
Hay estudios que revelan que a pesar de todo los fabricantes de este tipo de lectores no puedan de momento dar pruebas definitivas de que estos dispositivos sean totalmente seguros, y de hecho recomiendan no usarlos como método de autenticación.
Reconocimiento de iris
También es muy conocido el segmento dedicado al reconocimiento del iris como mecanismo de identificación y autenticación. Son varias las empresas y organismos académicos que tratan de lograr desarrollos que puedan ayudar a gestionar esos procesos de identificación en escenarios como aeropuertos.
Ojo -y nunca mejor dicho-, porque no hay que confundir el reconocimiento del iris con otras tecnologías de este tipo como los escáneres de retina o la biometría basada en las venas oculares. En el caso del reconocimiento de retina se utilizan cámaras con una ligera iluminación infrarroja que permite obtener todos los detalles del iris.
Los algoritmos de reconocimiento del iris pueden identificar más de 200 puntos característicos de esta parte de nuestro ojo, y los expertos creen que es una de las partes más fiables de nuestro puerto para realizar una identificación biométrica. Aunque es muy difícil demostrar que cada iris es único -como ocurre con las huellas dactilares- las probabilidades de falsos positivos es muy baja.
Sin embargo, eso no impide que los sistemas comerciales no puedan ser también superados con fotos de alta calidad del iris en lugar del ojo real, y al igual que las huellas dactilares es complicado demostrar --a no ser que haya una segunda persona que lo verifique, por ejemplo- que lo que se está mostrando es una imagen y no un ojo real.
Escánares de retina
Como comentábamos, a menudo confundido con el reconocimiento de iris, este tipo de procedimiento se basa en un principio distinto: la retina humana es un delgado tejido compuesto de células neuronales situado en la parte posterior del ojo, y debido al complejo entramado de vasos capilares que proporcionan sangre a la retina, cada retina es única y, salvo casos excepcionales -diabetes, glaucoma- permanece inalterada durante toda la vida de una persona.
Para realizar este tipo de identificaciones se hace uso de rayos de luz infrarroja de poca energía, y el hecho de que los vasos capilares absorben la luz de forma más intensa que el resto del ojo, la cantidad de reflexión varía durante el proceso de escaneo. Es ese patrón de variaciones lo que determina el patrón con el que se compara a posteriori esa retina con la de la persona que se quiere autenticar en el sistema.
Aunque hay pocas probabilidades de falsos positivos y es casi imposible obtener falsos negativos, el procedimiento de escaneo es algo más invasivo, y los escáneres de retina son aún muy caros para implantarlos de forma masiva en muchos escenarios.
Reconocimiento facial
Mucho más comunes son los sistemas de reconocimiento facial, que no son más que aplicaciones informáticas que identifican y verifican la identidad de una persona a partir de una imagen digital o de un fotograma que forma parte de un vídeo en vivo o grabado.
Los algoritmos de reconocimiento facial extraen características diferenciales de la cara de unas personas. Por ejemplo, la posición relativa, tamaño o forma de los ojos, la nariz, o la mandíbula. Esas características pueden combinarse con otras técnicas más avanzadas como el reconocimiento 3D que recoge también la forma de nuestra cara y sus corntornos, y que por ejemplo sirve para realizar el reconocimiento incluso con perfiles de personas. El análisis de la textura de la piel es también otro de los componentes que ayudan a incrementar la fiabilidad de este método.
Las aplicaciones del reconocimiento facial son hoy en día muy numerosas en todo tipo de escenarios, y además de los sistemas que por ejemplo se han aplicado en Facebook para el reconocimiento facial -y que fueron prohibidas en la Unión Europea-, existen aplicaciones singulares. La detección de ciertas expresiones en los rostros de las personas pueden, por ejemplo, ayudar a estudiantes con problemas o a evitar situaciones de estrés en el coche.
Hay no obstante problemas importantes para su aplicación en ciertos ámbitos. La iluminación, el uso de gafas de sol o incluso la presencia de pelo largo puede provocar falsos positivos y falsos negativos, pero incluso las expresiones faciales pueden ser un problema. De hecho, Canadá exige que en la foto haya una expresión "neutral" para las fotos de pasaporte. En España no hay indicaciones sobre la expresión facial para las fotos del DNI electrónico, pero sí se indica que no se usen por ejemplo gafas de cristales oscuros:
Una fotografía reciente en color, del rostro del solicitante, tamaño 32 por 26 milímetros, con fondo uniforme blanco y liso, tomadas de frente con la cabeza totalmente descubierta y sin gafas de cristales oscuros o cualquier otra prenda que pueda impedir o dificultar la identificación de la persona.
A esos problemas se une otro que de hecho es muy preocupante en estos últimos tiempos: el de la invasión de la privacidad. La instalación masiva de cámaras de seguridad en lugares no solo privados, sino públicos de ciertos países permite según los cuerpos de seguridad de dichas naciones luchar contra el terrorismo y otros delitos, pero las críticas por esa invasión de la privacidad son cada vez más numerosas. Lo revelaba por ejemplo un artículo reciente en Newsweek en el que se destacaba el principal problema:
[...] Pero la tecnología tiene un lado oscuro. El gobierno de los Estados Unidos está en pleno proceso a la hora de construir la base de datos más grande del mundo con datos para el reconocimiento facial, con el objetivo de identificar a todas las personas del país. La creación de este tipo de base de datos significaría que cualquiera podría ser monitorizado en cuanto su cara apareciera, tanto si es en una calle de cualquier ciudad como en un centro comercial. Las leyes actuales no protegen a los americanos a la hora de ser escaneados por parte de webcams.
Reconocimiento de voz
Probablemente muchos de vosotros hayáis visto Sneakers (Los fisgones, 1992), una película que era especialmente curiosa por el tratamiento de temas relacionados con la informática y la seguridad informática. En aquella película había una escena en la que el reconocimiento de voz era clave para lograr acceder a cierta localización, y los protagonistas se las apañaban para "robarle" la voz a la persona que sí tenía acceso.
Aquella escena demostraba ya entonces los obstáculos a los que se enfrenta la biometría y el hecho de que no siempre se puede aplicar con éxito en materia de seguridad. La voz y su reconocimiento son candidatos claros en ese apartado, pero los desarrolladores de estas soluciones hace tiempo que han ideado otros muchos usos para nuestra voz.
De hecho, los sistemas de reconocimiento de voz son hoy en día claros protagonistas del panorama tecnológico. Las consolas, los dispositivos móviles, los coches o los televisores integran software y hardware que permite que nuestras órdenes de voz sean reconocidas y ejecutadas. De hecho, ese reconocimiento de voz se combina también a menudo con características de seguridad.
Es el caso del Moto X que analizamos recientemente y que se activa incluso estando en reposo cuando decimos la frase "Ok, Google Now". Eso sí: solo reconocerá la voz que se ha grabado en el entrenamiento del dispositivo, y ya probamos que incluso intentando imitar la voz del propietario del dispositivo, el sistema funciona sorprendentemente bien.
Otros sistemas biométricos
Por supuesto, la biometría afecta a muchos otros elementos de nuestro cuerpo. En el pasado hemos hablado por ejemplo de sistemas de protección biométrica de la firma, un sistema biométrico basado en el comportamiento que poco a poco se va implementando en diversas áreas. No solo se analizan las formas de las letras, sino aspectos como la presión aplicada, la velocidad a la que escribimos, o la secuencia con la que se forman las letras.
Hay otros sistemas aún más curiosos, como el reconocimiento del ritmo cardiaco, de la temperatura facial o incluso de la geometría vascular, que aún está investigándose pero que aún así se puede usar en conjunción con, por ejemplo, otros datos forenses para llegar a conclusiones sobre la identidad de una persona.
Más curiosas resultan características singulares como el reconocimiento del olor corporal, otro componente aparentemente inequívoco de cada ser humano, y que entre otras cosas tendría una aplicación práctica destacable: la detección de enfermedades. Lo demuestra un estudio de la Universidad Politécnica de Madrid realizado en colaboración con el Hospital Infanta Sofía de la capital española que por ejemplo toma en cuenta marcadores en el aliento para detección temprana del cáncer de colon y de leucemia.
Incluso el reconocimiento gestual, igualmente popular en esas mismas clases de dispositivos, se puede aplicar a la autenticación. Así lo destacaba ya un estudio (PDF) del Berlin Institute of Technology. Un grupo de investigadores logró utilizar el acelerómetro y el giroscopio de un dispositivo móvil para autenticar a un usuario que hacía un movimiento "muy suyo" con el móvil.
Hay otros campos biométricos que sonarían a broma, pero que se aplican de forma real. Por ejemplo, el de la biometría aplicada a nuestro trasero, y que se utiliza en los asientos de los coches de fabricantes que investigan en este terreno. La presión ejercida sobre estos asientos parece ser otro de los signos inequívocos de que quien conduce el coche es su propietario, y no un extraño.
Un estudio de la Universidad de Bath en el Reino Unido demostró que la nariz también puede ser un método muy eficiente para, por ejemplo, identificar a criminales. Las conclusiones del estudio dividían en 6 grandes grupos los tipos de nariz, que escanean en 3D, y lo situaban como una posible alternativa al escáner de iris. "No hay un sistema biométrico mágico que te resuelva todos los problemas", destacaban, y aunque la nariz también tiene sus desventajas en este tipo de procesos, creen que "la técnica tiene potencial, quizás para ser usada en combinación con otros métodos de identificación".
Algo similar ocurre con las orejas, cuyas propiedades "únicas" en el campo de la biometría se demostraron en la cuarta Conferencia sobre Biometría de la IEEEE celebrada en septiembre de 2010. En aquel simposio se reveló como un algoritmo de búsqueda de imágenes podría ser útil como método no intrusivo para identificar a personas en base a la forma de sus orejas. La tecnología, afirmaban sus desarrolladores, es capaz de identificar una oreja con una precisión del 99,6%.
Aunque ya habíamos hablado del ritmo cardiaco como complemento del reconocimiento de huella dactilar para hacerlo más preciso, esa característica es también especialmente identificativa de cada persona. Así lo afirmaban por ejemplo investigadores de la Universidad de Toronto, que hace algo más de un año patentaron un sistema que monitoriza constantemente el patrón PQRST que se obtiene por ejemplo en un electrocardiograma y que muestra los distintos picos del ritmo cardíaco. De hecho han creado una empresa llamada Byonim que actualmente comercializa la pulsera Nymi que permite autentificarse en diversos tipos de sistemas a través de la medición de ese ritmo cardiaco.
Los expertos opinan
Hace unos meses ya realizamos una aproximación a este segmento en el que no solo hablábamos de la biometría, sino del uso de sistemas de contraseñas tradicionales --y no tan tradicionales-- como mecanismos de protección.
En aquella ocasión contamos con la colaboración de dos expertos en la materia, Chema Alonso y Sergio de los Santos, y en ambos casos sus dudas sobre la biometría eran patentes. Alonso comentaba, por ejemplo, que ciertos datos biométricos pueden acabar siendo robados para ser utilizados en dispositivos y servicios, mientras que los Santos opinaba que "la biometría no va a sustituir a las contraseñas".
Bruce Schneier, otro de los grandes expertos en el segmento de la ciberseguridad, dejaba también claras sus dudas al hablar de la seguridad del sensor de huella dactilar del iPhone. Como explicaba en su estudio de este sistema, "tu huella dactilar no es un secreto: la dejas en todo aquello que tocas". La seguridad impuesta por estos sensores es discutible, indicaba, y la biometría tiene otro problema: la de que no gestionan bien los fallos. Los falsos negativos --no dar acceso al usuario que sí debería tenerlo-- es algo que no favorece su uso masivo.
Un futuro con demasiadas incógnitas
Los esfuerzos en este terreno siguen siendo sólidos, y son varias las empresas que tratan de ofrecer garantías en unos sistemas que no acaban de cuajar en el mercado.
De hecho, una de las propuestas más ambiciosas es la de la FIDO Alliance, un organismo formado por diversas empresas --algunas de la talla de Google, LG, Lenovo o PayPal-- que tratan de aprovechar las ventajas de la biometría combinándolas con todo tipo de dispositivos electrónicos:
FIDO, explican en la web oficial del proyecto, proporciona autenticación en dos pasos, y hacen uso de un cliente que puede funcionar en cualquier plataforma y que da soporte a un gran número de soluciones de seguridad, tales como sensores biométricos, los tradicionales PIN y dispositivos físicos USB conectados a nuestros ordenadores, por ejemplo.
Hay otros muchos esfuerzos paralelos en este sentido de diversas empresas, y todos van dirigidos a hacer que nuestro cuerpo y todo lo que nos hace únicos en él pueda ser aprovechado para autenticarnos y hacer más cómoda y segura nuestra vida.
Ver 9 comentarios