Los riesgos en el escaneo del iris
Por Mario Micucci, investigador de Seguridad Informática de ESET Latinoamérica.
La seguridad digital se ha convertido en una pieza fundamental no solo para las empresas, sino para la sociedad en general. La mayoría de las personas hoy usan algún método de autenticación para confirmar su identidad, bien sea para desbloquear sus equipos tecnológicos, acceder a correos, cuentas bancarias, aplicaciones, entre otras ventanas digitales donde posea información personal y delicada.
Ante la necesidad de que estos espacios sean más seguros, hay una apuesta fuerte por el uso de los datos biométricos para complementar las contraseñas. En estos entran la huella dactilar, rasgos faciales y escaneo del iris. Este último se ha convertido en la novedad para una verificación más precisa pero, al mismo tiempo, revierte riesgos.
Se trata de datos que son únicos entre las personas. Recientemente en Chile, el Registro Civil informó que trabaja en la utilización de este mecanismo con la finalidad de fortalecer las medidas de seguridad para la identificación de las personas. Esto llevaría al país a un punto muy alto en cuanto a innovación.
Un factor que no puede cambiar
La actualización de las soluciones de identificación van avanzando a medida que se detectan mayores vulnerabilidades que podrían afectar a las personas. La captación del iris llega a cubrir las necesidades que otros factores humanos no pueden con el tiempo.
De acuerdo con la clínica española Vista Oftalmólogos el color de los ojos no interviene en el proceso de identificación biométricas, es decir que lo que hace único a un ser humano es la estructura del iris que está compuesto de 6.000 fibras en forma de rayos alrededor de la pupila.
Esto conlleva a que el uso de equipos y tecnologías encargadas de escanear el iris de una persona tengan una capacidad de al menos 99% de efectividad, con un falso positivo de 0,1% (en condiciones ideales), al momento de la identificación. Esto depende del instrumento tecnológico que se utilice para tomar la muestra de iris.
Resguardo de la información que nuestro cuerpo provee
En el último año se ha conocido que millones de personas han accedido al escaneo de su iris a cambio de dinero a través de una reconocida cartera de criptomonedas. Una práctica que es rechazada por diversos organismos y que podría poner en peligro los datos personales de las personas.
Desde ESET compartimos 5 recomendaciones que se deben considerar antes de implementar el escaneo del iris como método de identificación:
1. Protección de los datos biométricos. Es importante hacer cifrado en tránsito y reposo de los datos biométricos, incluidos los del irisis, con el objetivo de proteger el acceso no autorizado o filtración de esta información. Asimismo, las empresas deben contar con sistemas de almacenamiento seguro, en bases aisladas o módulos de seguridad de hardware que ofrezcan un nivel robusto de protección.
Es importante también que los Estados consideren políticas y leyes claras sobre la retención y eliminación de datos biométricos, ya que estos deben conservarse sólo en el tiempo que sea necesario y posteriormente ser eliminados de manera segura, cuando ya no se requiera.
2. Evaluación de riesgos. Realizar un análisis de vulnerabilidades y una evaluación de riesgos es prioritario antes de implementar el sistema de escaneo de iris. Esto permitirá que se identifiquen posibles amenazas, como ataques de suplantación o manipulación de dispositivos. Aunado a ello, se deben ejecutar pruebas de penetración para identificar posibles debilidades en la infraestructura y corregirlas antes de que el sistema entre en funcionamiento.
3. Privacidad y cumplimiento normativo. Asegurarse de que la implementación cumpla con las leyes y regulaciones locales e internacionales sobre privacidad y protección de datos, como el GDPR en Europa o la recién aprobada Ley de Protección de Datos Personales en Chile.
Esto incluye que las corporaciones o entidades que incorporen esta tecnología deben contar con el consentimiento de las personas para recopilar sus datos biométricos, además de detallar los motivos por los que se necesitan.
4. Seguridad física. Validar que los dispositivos de escaneo de iris están protegidos físicamente contra manipulaciones. Esto incluye asegurar que solo personal autorizado tenga acceso a ellos y que estén ubicados en áreas seguras.
5. Actualizaciones y mantenimiento. Mantener el software del sistema de reconocimiento de iris actualizado para proteger contra nuevas vulnerabilidades y mejorar la precisión y seguridad del sistema. Esto implica realizar mantenimiento regular de los dispositivos de escaneo para garantizar que funcionen correctamente y no presenten fallos que puedan comprometer la seguridad.