En la actualidad, los sistemas de autenticación basados en biometría son muy relevantes por su capacidad de proporcionar un nivel avanzado de seguridad en muchos sistemas y servicios, asegurando por ejemplo la autenticación de usuarios a través del uso de características físicas o patrones únicos de un individuo, como las huellas dactilares, el iris, la voz o el rostro, para verificar su identidad.

El uso de dichas tecnologías requiere la necesidad de gestionar adecuadamente los riesgos de seguridad a los que se encuentran expuestas, y deben entonces cumplir con ciertos estándares y regulaciones para lograr un adecuado gobierno de la seguridad de la información.

La biometría es un área que estudia características físicas y de comportamiento únicas de las personas para identificarlas y autenticar su identidad. Por ejemplo: las huellas dactilares, el reconocimiento facial y el escaneo o examen de retina son formas de tecnología biométrica. Otros identificadores que pueden ser utilizados son: la forma de caminar y sentarse, olores corporales, las venas de las manos e incluso los gestos faciales.

Las técnicas biométricas poseen la ventaja de ser difíciles de falsificar y pueden proporcionar un nivel de seguridad bastante superior al de los métodos tradicionales de identificación como las contraseñas. Sin embargo, también plantea grandes desafíos y preocupaciones respecto de la privacidad y la protección de datos, ya que la información biométrica es altamente sensible por tratarse de datos personales, por ello es por lo que se deben aplicar controles rigurosos antes, durante y después de su aplicación.

Gobernanza

Se refiere a la implementación de políticas, procedimientos y controles para gestionar el uso de tecnologías biométricas de manera efectiva y ética. Esto es crucial para proteger la privacidad de los individuos y garantizar la seguridad de los datos biométricos.

Existen varios frameworks y estándares que pueden aplicarse para la gobernanza de la biometría en la seguridad de la información, por ejemplo: ISO/IEC 30107 (Biometric Presentation Attack Detection) que brinda información de cómo detectar y mitigar ataques a sistemas biométricos, como la suplantación de identidad mediante el uso de huellas dactilares falsas o fotografías. Por otro lado, ISO/IEC 24745 (Biometric Information Protection) ofrece directrices de protección de la información biométrica acerca de cómo gestionar, proteger y mantener la privacidad de los datos biométricos.

El Instituto Nacional de Estándares y Tecnología (NIST) ofrece en la guía SP 800-76-2 especificaciones técnicas para la utilización de datos biométricos en la verificación de identidad personal.

Además de los controles que se aplican a la protección de los datos, su privacidad y el cumplimiento normativo, también es relevante el concepto de transparencia, que se refiere a la claridad sobre el tratamiento de los datos para su recolección, uso, almacenamiento y eliminación. La efectividad del tratamiento mencionado dependerá de la correcta aplicación de auditorías y evaluaciones periódicas que se ajusten a lo establecido tanto por los estándares de seguridad de la industria, como por las regulaciones vigentes aplicables.

Gestión del riesgo

La gestión del riesgo de seguridad de la información en el ámbito de la biometría consiste en identificar, evaluar y mitigar los riesgos asociados con el uso y almacenamiento de datos biométricos. Las principales actividades de dicha gestión de riesgo son las de:

  • Identificar: para detectar posibles amenazas a la seguridad de los datos biométricos, como accesos no autorizados o brechas de seguridad.
  • Evaluar: para analizar la probabilidad y el impacto de cada riesgo identificado.
  • Mitigar: para implementar medidas de seguridad que permitan reducir los riesgos, como podrían ser cifrado de datos, autenticación robusta multifactor o controles de acceso estrictos.
  • Monitorear: para supervisar continuamente los sistemas biométricos y actualizar las medidas o controles de seguridad según sea necesario.

La aplicación de tales actividades debe realizarse de manera continua y deseable a través de procesos formales que incluyan responsables para su ejecución. De ese modo es posible minimizar la materialización de riesgos e incidentes de seguridad que puedan afectar la confidencialidad, integridad y disponibilidad de los datos biométricos, y permiten su uso seguro conforme a lo que establecen las buenas prácticas y estándares de la industria.

Cumplimiento y marco regulatorio

El cumplimiento y marco regulatorio son aspectos críticos para garantizar que las tecnologías biométricas se utilicen de manera ética, legal y segura. A continuación, se detallan los componentes clave para dicha gestión:

  • Políticas y procedimientos: se deben definir políticas de privacidad, procedimientos de consentimiento y políticas de retención y eliminación de datos. Es de suma importancia que dichas políticas contemplen la definición de roles y responsables en la organización para la ejecución y supervisión de las acciones que garanticen tanto el cumplimiento de los controles como la gestión de cualquier incidente con datos biométricos.
  • Auditorías y evaluaciones: se deben llevar a cabo auditorías internas y evaluaciones periódicas para verificar que se cumplan las políticas. Estas actividades deben considerar la medición del impacto sobre la privacidad de los datos.
  • Capacitación y concientización: diseñar e implementar programas de capacitación y campañas de concientización es clave para mantener actualizados a los usuarios de estas tecnologías respecto de los riesgos y amenazas a los que se encuentran expuestos y cómo deben prevenirlos.
  • Monitoreo y reporte: se debe aplicar un monitoreo continuo sobre los controles implementados para poder identificar desvíos de cumplimiento y reportar incidentes en tiempo y forma.
  • Regulaciones: es relevante adherirse y adecuarse a los requerimientos establecidos por las legislaciones y regulaciones vigentes relacionadas con la protección de datos biométricos.

En Argentina se encuentra vigente la Ley 25.326 de Protección de Datos Personales que permite resguardar la privacidad y el honor de las personas, derechos que podrían verse afectados por las prácticas computacionales, y la Ley 27.275 de Derecho de Acceso a la Información Pública que garantiza el efectivo ejercicio del derecho de acceso a la información, promoción de la participación ciudadana y la transparencia de la gestión pública.

A nivel internacional existen otras legislaciones, como el Reglamento General de Protección de Datos (GDPR) en Europa, o la Ley de Privacidad del Consumidor de California (CCPA) en Estados Unidos.

Por otro lado, existen también estándares específicos como PCI DSS (Payment Card Industry Data Security Standard) que establecen controles sobre los datos biométricos utilizados para la autenticación en transacciones financieras.

Conclusión

Gestionar el gobierno, riesgo y cumplimiento de la seguridad de la información en el uso de tecnologías biométricas es crucial para proteger la privacidad y los derechos de los individuos, asegurar la integridad y confidencialidad de los datos biométricos, y cumplir con las leyes y regulaciones. Una gestión efectiva, considerando estos aspectos, minimiza riesgos, previene brechas de seguridad y fortalece la confianza en el uso de tecnologías biométricas, y garantiza su implementación segura y ética.

Fuentes de consulta

NIST SP 800-76-2 – Biometric Specifications for Personal Identity Verification.

ISO/IEC 30107-3:2023 – Information technology – Biometric presentation attack detection.

ISO/IEC 24745:2022 – Information security, cybersecurity and privacy protection — Biometric information protection.

Ley 25.326 Protección de los Datos Personales.

Ley 27275 Derecho de Acceso a la Información Pública.

PCI DSS V4 Estándar de Seguridad de los Datos para la Industria de Tarjetas de Pago.

GDPR General Data Protection Regulation. 2016.

CCPA Ley de Privacidad del Consumidor de California.

 

Yemina Angélica de Filippo, Carlos Daniel Banda y Pablo Manuel Alzérreca 

[email protected]

[email protected]

[email protected]