La biometría (del griego bios vida y metron medida) es la toma de medidas estandarizadas de los seres vivos (personas) o de procesos biológicos (interacciones). Se llama también biometría al estudio para el reconocimiento inequívoco de personas basado en uno o más rasgos conductuales o físicos intrínsecos.
En las tecnologías de la información (TI), la «autentificación biométrica» o «biometría informática» es la aplicación de técnicas matemáticas y estadísticas sobre los rasgos físicos o de conducta de un individuo, para su autentificación, es decir, «verificar» su identidad.
Las huellas dactilares, la retina, el iris, los patrones faciales, de venas de la mano o la geometría de la palma de la mano, representan ejemplos de características físicas (estáticas), mientras que entre los ejemplos de características del comportamiento se incluye la firma, el paso y el tecleo (dinámicas). Algunos rasgos biométricos, como la voz, comparten aspectos físicos y del comportamiento.
Breve historia de la biometría
La biometría no se puso en práctica en las culturas occidentales hasta finales del siglo XIX, pero era utilizada en China desde al menos el siglo XIV. Un explorador y escritor que respondía al nombre de Joao de Barros escribió que los comerciantes chinos estampaban las impresiones y las huellas de la palma de las manos de los niños en papel con tinta. Los comerciantes hacían esto como método para distinguir entre los niños jóvenes.
En Occidente, la identificación confiaba simplemente en la memoria de Eidetic (memoria fotográfica) hasta que Alphonse Bertillon, jefe del departamento fotográfico de la Policía de París, desarrolló el sistema antropométrico (también conocido más tarde como Bertillonage) en 1883. Este era el primer sistema preciso, ampliamente utilizado científicamente para identificar a criminales y convirtió a la biométrica en un campo de estudio. Funcionaba midiendo de forma precisa ciertas longitudes y anchuras de la cabeza y del cuerpo, así como registrando marcas individuales como tatuajes y cicatrices. El sistema de Bertillon fue adoptado extensamente en occidente hasta que aparecieron defectos en el sistema –principalmente problemas con métodos distintos de medidas y cambios de medida. Después de esto, las fuerzas policiales occidentales comenzaron a usar la huella dactilar– esencialmente el mismo sistema visto en China cientos de años antes.
En estos últimos años la biométrica ha crecido desde usar simplemente la huella dactilar, a emplear muchos métodos distintos teniendo en cuenta varias medidas físicas y de comportamiento. Las aplicaciones de la biometría también han aumentado –desde sólo identificación hasta sistemas de seguridad y más.
La idea para usar patrones de iris como método de identificación fue propuesto en 1936 por el oftalmólogo Frank Burch. Para la década de 1980 la idea ya había aparecido en películas de James Bond, pero permanecía siendo ciencia ficción.
En 1985 los doctores Leonard Flom y Aran Safir retomaron la idea. Su investigación y documentación les concedió una patente en 1987. En 1989 Flom y Safir recurrieron a John Daugman para crear algoritmos para el reconocimiento de iris. Estos algoritmos, patentados por Daugman en 1994 y que son propiedad de Iridian Technologies, son la base para todos los productos de reconocimiento de iris.
En 1993 la Agencia Nuclear de Defensa empezó a trabajar con IriScan, Inc. para desarrollar y probar un prototipo. 18 meses después el primer prototipo se completó y está disponible comercialmente.
¿Cómo funciona la biometría?
En un sistema de Biometría típico, la persona se registra con el sistema cuando una o más de sus características físicas y de conducta es obtenida, procesada por un algoritmo numérico, e introducida en una base de datos. Idealmente, cuando entra, casi todas sus características concuerdan; entonces cuando alguna otra persona intenta identificarse, no empareja completamente, por lo que el sistema no le permite el acceso. Las tecnologías actuales tienen tasas de acierto que varían ampliamente (desde valores bajos como el 60%, hasta altos como el 99,9%).
El rendimiento de una medida biométrica se define generalmente en términos de tasa de falso positivo (False Acceptance Rate o FAR), la tasa de falso negativo (False NonMatch Rate o FNMR, también False Rejection Rate o FRR), y la tasa de fallo de alistamiento (Failure-to-enroll Rate, FTE o FER).
En los sistemas biométricos reales el FAR y el FRR puede transformarse en los demás cambiando cierto parámetro. Una de las medidas más comunes de los sistemas biométricos reales es la tasa en la que el ajuste en el cual acepta y rechaza los errores es igual: la tasa de error igual (Equal Error Rate o EER), también conocida como la tasa de error de cruce (Cross-over Error Rate o CER). Cuanto más bajo es el EER o el CER, se considera que el sistema es más exacto.
Las tasas de error anunciadas implican a veces elementos idiosincrásicos o subjetivos. Por ejemplo, un fabricante de sistemas biométricos fijó el umbral de aceptación alto, para reducir al mínimo las falsas aceptaciones; en la práctica, se permitían tres intentos, por lo que un falso rechazo se contaba sólo si los tres intentos resultaban fallidos (por ejemplo escritura, habla, etc.), las opiniones pueden variar sobre qué constituye un falso rechazo. Si entró a un sistema de verificación de firmas usando mi inicial y apellido, ¿puedo decir legítimamente que se trata de un falso rechazo cuando rechace mi nombre y apellido?
A pesar de estas dudas, los sistemas biométricos tienen un potencial para identificar a individuos con un grado de certeza muy alto. La prueba forense del ADN goza de un grado particularmente alto de confianza pública actualmente (ca. 2004) y la tecnología está orientándose al reconocimiento del iris, que tiene la capacidad de diferenciar entre dos individuos con un ADN idéntico.
¿Qué beneficios tiene utilizar la biometría?
Uno de los beneficios que otorga la tecnología biométrica es que hace que no sea necesario llevar una tarjeta o llave para acceder a un edificio. Las infraestructuras de grandes redes empresariales, las identificaciones en el gobierno, las transacciones bancarias seguras, y los servicios sociales y de salud, entre otros ámbitos, ya se benefician del uso de este tipo de verificaciones.
Asociada a otras tecnologías de restricción de accesos, la biometría garantiza uno de los niveles de autenticación menos franqueables en la actualidad. Además, los inconvenientes de tener que recordar una password o un número de PIN de acceso serán pronto superados gracias al uso de los métodos biométricos, debido a que estos últimos presentan notables ventajas: están relacionados de forma directa con el usuario, son exactos y permiten hacer un rastreo de auditorías.
La utilización de un dispositivo biométrico permite que los costos de administración sean más pequeños, ya que sólo se debe realizar el mantenimiento del lector, y que una persona se encargue de mantener la base de datos actualizada. Otro beneficio: las características biométricas de una persona son intransferibles a otra.
Tablas comparativas y de participantes
Lo que sigue a continuación es una tabla en la que recogen las diferentes características de los sistemas biométricos:
Iris | Huella | Venas | Mano | Facial (2D/3D) | |
---|---|---|---|---|---|
Fiabilidad | Muy alta | Muy alta | Muy alta | Alta | Media/Alta |
Facilidad de uso | Media | Alta | Muy alta | Alta | Alta |
Prevención de ataques | Muy alta | Alta | Muy alta | Alta | Media/Alta |
Aceptación | Media | Alta | Alta | Alta | Muy alta |
Estabilidad | Alta | Alta | Alta | Media | Media/Alta |
La industria de biométrica ofrece varias tecnologías. Cada tecnología es considerada como un segmento de mercado diferente. Las más conocidas son las huellas dactilares, reconocimiento de cara y reconocimiento de iris (ojos). El cuadro abajo contiene las diferentes tecnologías, aplicaciones horizontales y los principales mercados verticales (en el sector privado y público) que ofrece la industria biométrica:
Tecnología | Aplicación horizontal | Principales mercados verticales |
---|---|---|
AFIS/Lifescan | Controles de vigilancia | Servicios policiales y militares |
Reconocimiento de cara | Identificación sin contacto | Farmacéuticas, hospitales, industria pesada y obras |
Geometría de mano | Identificación criminal | Hospitales y sector salud |
Reconocimiento de iris (ojo) | Acceso a sistemas | Industria manufacturera |
Reconocimiento de voz | Acceso a instalaciones | Viajes y turismo |
Escritura y firma | Vigilancia |
Los estándares asociados a tecnologías biométricas
En los últimos años se ha notado una preocupación creciente por las organizaciones regulatorias respecto a elaborar estándares relativos al uso de técnicas biométricas en el ambiente informático. Esta preocupación es reflejo del creciente interés industrial por este ámbito tecnológico, y a los múltiples beneficios que su uso aporta. No obstante, la estandarización continua aún sigue siendo deficiente y como resultado de ello, los proveedores de soluciones biométricas continúan suministrando interfaces de software propietario para sus productos, lo que dificulta a las empresas el cambio de producto o vendedor.
A nivel mundial el principal organismo que coordina las actividades de estandarización biométrica es el Sub-Comité 17 (SC17) del Joint Technical Committee on Information Technology (ISO/IEC JTC1), del International Organization for Standardization (ISO) y el International Electrotechnical Commission (IEC).
En Estados Unidos desempeñan un papel similar el Comité Técnico M1 del INCITS (InterNational Committee for Information Technology Standards), el National Institute of Standards and Technology (NIST) y el American National Standards Institute (ANSI).
Existen además otros organismos no gubernamentales impulsando iniciativas en materias biométricas tales como: Biometrics Consortium, International Biometrics Groups y BioAPI. Este último se estableció en Estados Unidos en 1998 compuesto por las empresas Bioscrypt, Compaq, Iridiam, Infineon, NIST, Saflink y Unisis. El Consorcio BioAPI desarrolló conjuntamente con otros consorcios y asociaciones, un estándar que promoviera la conexión entre los dispositivos biométricos y los diferentes tipos de programas de aplicación, además de promover el crecimiento de los mercados biométricos.
Algunos de los estándares más importantes son:
- Estándar ANSI X.9.84: creado en 2001, por la ANSI (American National Standards Institute) y actualizado en 2003, define las condiciones de los sistemas biométricos para la industria de servicios financieros haciendo referencia a la transmisión y almacenamiento seguro de información biométrica, y a la seguridad del hardware asociado.
- Estándar ANSI / INCITS 358: creado en 2002 por ANSI y BioApi Consortium, presenta una interfaz de programación de aplicación que garantiza que los productos y sistemas que cumplen este estándar son interoperables entre sí.
- Estándar NISTIR 6529: también conocido como CBEFF (Common Biometric Exchange File Format) es un estándar creado en 1999 por NIST y Biometrics Consortium que propone un formato estandarizado (estructura lógica de archivos de datos) para el intercambio de información biométrica.
- Estándar ANSI 378: creado en 2004 por la ANSI, establece criterios para representar e intercambiar la información de las huellas dactilares a través del uso de minucias. El propósito de esta norma es que un sistema biométrico dactilar pueda realizar procesos de verificación de identidad e identificación, empleando información biométrica proveniente de otros sistemas.
- Estándar ISO 19794-2: creado en 2005 por la ISO/IEC con propósitos similares a la norma ANSI 378, respecto a la que guarda mucha similitud.
- Estándar PIV-071006: creado en 2006 por el NIST y el FBI en el contexto de la norma FIPS 201 del gobierno de EE. UU, establece los criterios de calidad de imagen que deben cumplir los lectores de huellas dactilares para poder ser usados en procesos de verificación de identidad en agencias federales.
Los procesos de autentificación e identificación biométrica
En el proceso de autentificación (o verificación) los rasgos biométricos se comparan solamente con los de un patrón ya guardado, este proceso se conoce también como uno-para-uno ( 1:1 ). Este proceso implica conocer presuntamente la identidad del individuo a autentificar, por lo tanto, dicho individuo ha presentado algún tipo de credencial, que después del proceso de autentificación biométrica será validada o no.
En el proceso de identificación los rasgos biométricos se comparan con los de un conjunto de patrones ya guardados, este proceso se conoce también como uno-para-muchos ( 1:N ). Este proceso implica no conocer la identidad presunta del individuo, la nueva muestra de datos biométricos es tomada del usuario y comparada una a una con los patrones ya existentes en el banco de datos registrados. El resultado de este proceso es la identidad del individuo, mientras que en el proceso de autentificación es un valor verdadero o falso.
El proceso de autentificación o verificación biométrica es más rápido que el de identificación biométrica, sobre todo cuando el número de usuarios (N) es elevado. Esto es debido a que la necesidad de procesamiento y comparaciones es más reducido en el proceso de autentificación. Por esta razón, es habitual usar autentificación cuando se quiere validar la identidad de un individuo desde un sistema con capacidad de procesamiento limitada o se quiere un proceso muy rápido.
Un ejemplo de esto es la aplicación móvil OneID, diseñada para sistemas Single Sign-On, que utiliza la dactiloscopía.1 Una coalición de empresas de hardware y software denominada Alianza Fido, se dedica al estudio de sistemas biométricos para reemplazar el uso de contraseñas, ya sea con lectores de huellas dactilares, faciales o identificadores de voz. Un ejemplo de su producción es YubiKey, producto de la empresa Yubico.1
Reconocimiento de iris
El iris es una membrana pigmentada suspendida en el interior del ojo, entre la córnea y el cristalino. Regula el tamaño de la pupila para controlar la cantidad de luz que ingresa al ojo. Adquiere su pigmentación de la melanina.
Antes de que ocurra el reconocimiento de iris, se localiza el iris usando características del punto de referencia. Estas características del punto de referencia y la forma distinta del iris permiten digitalización de la imagen, el aislamiento de la característica, y la extracción. La localización del iris es un paso importante en el reconocimiento del iris porque, si está hecho incorrectamente, el ruido resultante (e.g., pestañas, reflexiones, pupilas, y párpados) en la imagen puede conducir al bajo rendimiento.
Debido a que el infrarrojo tiene energía insuficiente para causar efectos fotoquímicos, la modalidad potencial principal de daños es termal. Cuando se produce NIR usando los diodos electroluminosos, la luz que resulta es incoherente. Cualquier riesgo para la seguridad del ojo es remoto con una sola fuente de led usando tecnología de led de hoy. Los iluminadores múltiples de led pueden, sin embargo, producir daño en el ojo si no es diseñado y usado cuidadosamente.
Reconocimiento facial 2D y 3D
El rostro de la persona es una característica física que permite la identificación de la persona de manera única y estable. Existen equipos que capturan el patrón 2D (proyección en el plano) y equipos que capturan el patrón 3D (descripción volumétrica del rostro).
La desventaja de los equipos 2D es que el sistema no distingue si lo que está capturando es realmente un rostro o una fotografía de un rostro, por lo que no ofrecen un nivel de seguridad suficiente en la mayoría de aplicaciones de control de acceso.
Los equipos con tecnología biométrica facial 3D incluyen la tecnología infrarroja combinada con la 3D, con lo que inhabilitan el uso de caretas o fotografías para falsificar el rostro. Gracias a esto, la biometría facial 3D permite la identificación sin contacto de forma muy rápida y segura, debido a que se consigue construir un patrón 3D del rostro de la persona identificada.
Por lo tanto, los equipos 3D ofrecen una seguridad mucho más elevada ya que necesitan un rostro real (no una fotografía) para identificar el usuario. Por esta razón en aplicaciones de control de acceso y control de presencia es aconsejable usar equipos de reconocimiento facial 3D.
Otra característica importante de los sistemas de reconocimiento facial es la capacidad de identificar a la persona sin contacto (normalmente del orden de decenas de centímetros), por lo que estos sistemas son mucho menos intrusivos que los basados en biometría dactilar, de iris o vascular. Aparte de ser menos intrusivos, esta capacidad de identificación a distancia, hace que tengan muy buena aceptación para aplicaciones de control de acceso o control de presencia en entornos en que el contacto directo del usuario con el terminal pueda representar problemas (ya sea por cuestiones de higiene o bien por qué los usuarios llevan guantes).
Reconocimiento vascular
En la biometría vascular se extrae el patrón biométrico a partir de la geometría del árbol de venas del dedo. A diferencia de la huella dactilar el patrón biométrico es interno, por esta razón no deja rastro y solo se puede conseguir en presencia de la persona. Es por tanto muy difícil el robo de identidad.
Debido a estas características es especialmente indicado para entornos de alta seguridad, así como en entornos duros, en que la superficie del dedo (y por consiguiente la huella superficial) pueden estar en mal estado, erosionados o poco limpios.
Las aplicaciones de la biometría
Las aplicaciones de la tecnología biométrica son muchas y están relacionadas con la identificación de la persona. Entre las principales aplicaciones están las aplicaciones de control de acceso físico, control de presencia (o fichaje laboral), control de acceso a información y recursos o control de firma biométrica.
Para las aplicaciones de control de acceso y control de presencia es habitual el uso de la tecnología biométrica en combinación con otras tecnologías de identificación por tarjeta, como por ejemplo las tarjetas RFID. Esta combinación permite que el patrón biométrico se guarda en la tarjeta, por lo que es el usuario quién custodia esta información y no se guarda en el dispositivo de control.
El avance de la tecnología y la miniaturización de los dispositivos ha permitido recientemente el uso de escáneres de huella dactilar en dispositivos electrónicos de consumo, como ordenadores portátiles y móviles.
Suelen incorporarse sistemas biométricos para el control de asistencia, el sistema reconoce la entrada y salida del individuo, lo que facilita un control de las horas trabajadas, además de evitar falsedades en el registro de asistencia.2
Cuestiones y preocupaciones sobre la biometría
Como con otros procesos tecnológicos y de gran alcance, las excesivas dudas en lo referente a la biometría pueden eclipsar una crítica más general. La biometría puede llegar a asociarse con fallos severos de la justicia en aquellos casos en los que la tecnología ha desviado la atención del verdadero foco, así, un individuo podría:
introducir deliberadamente ADN en la escena de un crimen
relacionar sus propios parámetros biométricos con la identidad de otra persona
Robo de identidad
Las preocupaciones acerca del robo de identidad por el uso de la Biometria aún no han sido resueltas. Si el número de tarjeta de crédito de una persona es robado, por ejemplo, puede causarle a esa persona grandes dificultades. Si sus patrones de escaneado de iris son robados, sin embargo, y eso permite a otra persona acceder a información personal o a cuentas financieras, el daño podría ser irreversible ya que a diferencia del uso de claves o frases clave, los datos biométricos de un individuo no pueden cambiarse y una vez comprometidos no se podría volver a tener seguridad en su uso.
Frecuentemente, las tecnologías biométricas han sido puestas en uso sin medidas adecuadas de seguridad para la información personal que es resguardada a través de las mismas.
Privacidad
Aunque la biometría es frecuentemente utilizada como un medio para combatir la criminalidad, existe la preocupación de que la biometría pueda ser utilizada para disminuir las libertades personales de los ciudadanos.
Los desarrollos en tecnología video digital, infrarrojos, rayos X, inalámbricas, sistemas de posicionamiento global, biometría, escaneado de imágenes, reconocimiento de voz, ADN, e identificación de ondas cerebrales le proveen al gobierno con nuevos métodos para “buscar e investigar” vastas bases de datos individuales y colectivas de información sobre la población en general.