La contraseña ha muerto

La revolución de la biometría es de tal calibre que analistas especializados en este mercado como Acuity Market Intelligence se atreven a proclamar que «la contraseña ha muerto». Pero lo mejor es que no ha muerto este año, sino que lo hizo ya en el 2013, según sostiene la FIDO Alliance, en la que empresas como Google, eBay, Lenovo, Microsoft, RSA y Blackberry velan por la interoperabilidad de los estándares biométricos. Sus argumentos son variados pero contundentes: grandes multinacionales como Google, por ejemplo, o parte del Gobierno de EEUU ya no utilizan contraseñas de texto para acceder a sus sistemas. O al menos, no de forma única. Y se considera que alguien que base su negocio en ellas está en riesgo porque el 73% de los ataques informáticos tienen éxito por contraseñas débiles, según la operadora de telecomunicaciones estadounidense Verizon.

Los datos biométricos, para la ley española, tienen el mismo tratamiento que otros datos personales como las direcciones postales, los nombres o los correos electrónicos. Es más, cuando se rellena un formulario para solicitar la inscripción de un fichero en la Agencia Española de Protección de Datos (AEPD), hay un apartado específico para este tema, más estricto.

Lo que exige la legislación española es proporcionalidad; es decir, que el tipo de dato sea justificable para el bien que persigue. A este respecto, un dictamen de la AEPD recordaba las negativas de la agencia francesa (la CNIL) a que alumnos de un colegio confirmaran su uso del comedor escolar con la huella dactilar o de la agencia portuguesa, que rechazó el mismo sistema para que fichara el personal no docente de una universidad.

Importancia del dato

«Lo que es técnicamente posible no tiene por qué ser éticamente viable o moralmente aceptable», sostiene Ramsés Gallego, vicepresidente de ISACA, la principal entidad internacional auditora de seguridad del software. «El afán comercial por vendernos cosas no  nos debe llevar a dejar de plantearnos cuestiones como qué ocurriría si perdiéramos aquello que hemos comprado: un móvil, un ordenador… y qué implicaciones tendría para nuestra seguridad y nuestra privacidad», añade. 

  Un archivo con huellas biométricas sería muy valioso para los delincuentes, porque «la huella dactilar o un ojo no te los puedes cambiar», recuerda el ejecutivo, lo que obliga a extremar las medidas de protección. Por ello, las empresas que almacenan este tipo de información buscan también soluciones para que no sean archivos que puedan utilizarse sin más.

Habitualmente, los sistemas biométricos son de doble factor: una parte es física (voz, cara, dedo, ojo... ) y otra es informática, de modo que la segunda es la que permite identificar la primera. Pese a ello, el cine ha recurrido a cortes de ojos y dedos para que los héroes accedieran a sistemas que suscitan sonrisas entre los profesionales.

En el iPhone 5 -el único móvil con sensores biométricos de uso extendido antes del anunciado  Samsung Galaxy S5-, la huella no se almacena directamente sino en forma de códigos cifrados que permiten reconstruirla si se conocen las claves. Y se hace en una parte del procesador, no en internet.

«El cambio tecnológico hacia la biometría no tiene vuelta atrás, es algo que ha venido para quedarse», afirma Gallego. «Pero un sistema tiene que ser seguro y usable. Y habrá que ver si todo el mundo está dispuesto o está culturalmente preparado para aceptar el paso de la contraseña a la biometría».