“Los bancos tienen muchísimo que ganar con la biometría”

Especialista en Biometría y actualmente de viaje entre Japón y China para presentar sus proyectos, Julián Fiérrez lleva 15 años estudiando con tecnologías de sistemas biométricos de locutor, cara, huella, y firma escrita. En 2002 comenzó a trabajar con el laboratorio de identificación del servicio de criminalística de la Dirección General de la Guardia Civil, ha llevado la biometría también al Centro Criptológico Nacional o Telefónica, y más recientemente a Cecabank. Un “contacto estrecho con estas empresas e instituciones” le ha permitido conocer problemas y oportunidades reales de los sistemas biométricos.

¿Está de moda el reconocimiento e identificación de personas a través de sistemas biométricos?

Al contrario, la percepción general de los sistemas biométricos no es muy positiva, es más bien de poca utilidad, de sofisticación innecesaria.Aunque este tipo de sistemas se utilizan desde hace décadas con mucho éxito en ámbitos reducidos, como el de la investigación forense, es sólo hace unos veinte años, a finales de la década de los noventa, cuando estos sistemas empezaron a encontrar sus primeras aplicaciones a gran escala para el público general, como en controles de acceso a edificios y zonas restringidas.

¿No eran útiles?

Dos factores en ese momento hicieron que la percepción en los sistemas biométricos empeorase. Primero, por aquel entonces se trataba de sistemas muy limitados, poco avanzados tecnológicamente en comparación con los actuales, poco ergonómicos, incapaces de lidiar adecuadamente con la diversidad y dificultad en entornos de operación poco controlados.

Eran sistemas poco útiles para las aplicaciones objetivo para los que fueron diseñados. Más que ahorrar tiempo o aumentar el nivel de seguridad, eran un incordio. En segundo lugar, había grandes expectativas puestas en estos sistemas, excesivas en gran parte por la cultura popular y por reclamos comerciales ambiciosos e irreales. Ambos factores llevaron a grandes fracasos comerciales de este tipo de sistemas. Tras ello, en los últimos quince años, tanto usuarios desconocedores de la tecnología, como tecnólogos no expertos en la misma, se han mostrado, como es lógico, bastantes reticentes al uso y despliegue de este tipo de sistemas.

¿Ha cambiado la situación?

En la actualidad,  los avances recientes sustanciales en múltiples ámbitos tecnológicos están haciendo que las aplicaciones biométricas estén sufriendo un despliegue cada vez más mayor, superando barreras comprensibles de reticencia bastante generalizada. Varios ámbitos han sufrido un desarrollo sustancial en los últimos años: ergonomía y calidad de sensores (como los incluidos en teléfonos inteligentes y otros dispositivos táctiles), algoritmos de reconocimiento robustos en condiciones operacionales realistas poco controladas, y aprendizaje automático que aprovecha grandes conjuntos de datos.

¿Por qué los bancos, empresas, gobiernos están tan interesados en este tipo de reconocimiento actualmente?

Las aplicaciones para ellos son múltiples y de una importancia trascendental. Son tecnologías que permitirán la reducción y eliminación de papel en muchos ámbitos de administración electrónica, en historiales médicos y procesos judiciales, permitirán agilizar muchos procesos donde la autenticación de individuos sea necesaria, permitirán evitar fraude interno y externo en empresas e instituciones, permitirán a las iniciativas de educación a distancia el seguimiento y certificación de las capacidades obtenidas por los estudiantes, etc. El presente y futuro de estas tecnologías es muy prometedor.

¿Es el fin de las contraseñas?

El objetivo de los sistemas biométricos no es sustituir a los procesos actuales de autenticación: ni las tarjetas, ni las llaves, ni los passwords. El objetivo por el que abogamos actualmente la mayoría de los investigadores que trabajamos en estas tecnologías es el de mejorar en algún aspecto los procesos actuales de autenticación, complementándolos en algunos casos, sustituyendo ciertos procesos en otros, o incorporando nuevos procesos que hasta ahora no eran posibles.

¿La tecnología biométrica convivirá con las contraseñas?

Más que pensar en evitar el uso de passwords, la idea es pensar en el sistema completo de autenticación que usa el password, y mejorar dicho sistema en uno o varios aspectos (seguridad, rapidez, conveniencia, facilidad de gestión, coste de mantenimiento, etc.) introduciendo sistemas biométricos.

Con este enfoque en mente, creo que veremos una convivencia de desarrollos novedosos libres de contraseñas, como el desbloqueo de móviles basados en huella dactilar o imagen facial, con una multitud de sistemas que sigan utilizando contraseñas o llaves en cierta medida, quizás complementados con algo de información biométrica.

La pregunta no es si la biometría puede evitar un mundo de contraseñas, sino en qué medida puede ayudar el uso de la biometría en el mundo actual de contraseñas. Con seguridad, la respuesta a esta pregunta es que sí, y en gran medida.

La pregunta no es si la biometría puede evitar un mundo de contraseñas, sino en qué medida puede ayudar el uso de la biometría en el mundo actual de contraseñas

¿Cuál es el método de reconocimiento biométrico más seguro (voz, venas, iris….)?

Todos los métodos de reconocimiento biométrico existentes tienen sus ventajas e inconvenientes, desde la voz y la escritura, hasta el iris y los patrones de venas de la mano. En concreto, hablar de seguridad necesariamente implica un atacante que pretende un acceso ilícito. Antes de comparar unos rasgos biométricos con otros en cuanto a su seguridad, habría que especificar un modelo de atacante que caracterice preguntas como: ¿cómo se produce el ataque?, ¿cuánto le cuesta al atacante conseguir el éxito en su ataque? La idoneidad de un rasgo biométrico u otro dependerá de la aplicación en cuestión, del escenario de uso, del modelo de atacante que quiere vulnerar el sistema, y de los recursos que disponga para ello.

Existen varios desarrollos actuales para tratar de homogeneizar dichos modelos, y estandarizar lo que significa que un sistema biométrico sea seguro, y su nivel de seguridad, como la iniciativa Common Criteria, en la que nuestro grupo está contribuyendo gracias al proyecto europeo BEAT (Biometrics Evaluation and Testing).

Se podrá comparar un rasgo u otro en base a otros factores como usabilidad, coste económico, durabilidad, etc.Todos estos factores, una vez determinada la aplicación y escenario, son los que harán que un rasgo biométrico u otro, o una combinación de varios, utilizados de una forma concreta y con unos sensores determinados, sea la solución óptima. En este sentido, un sistema de reconocimiento de iris que no tenga protección frente a falsificaciones de imágenes de iris impresos puede ser menos seguro que un sistema de verificación de firma manuscrita.

¿Qué aporta a un banco?

El entorno bancario es uno de los que más se pueden beneficiar de los avances recientes en sistemas biométricos, ya que mucha de su operativa depende de la autenticación fiable y la gestión de identidades de sus clientes. La biometría podría reducir enormemente ciertos costes, como el del uso y registro de información en papel, o la prevención y control de multitud de fraudes. En concreto, los sistemas biométricos permiten modelar la identidad de un cliente tanto en registros puntuales (una firma manuscrita), como de forma continua a medio y largo plazo (por ejemplo con dinámica de tecleo o movimientos del ratón y puntero).

La detección de comportamientos anómalos frente a estos modelos es una buena forma de filtrar posibles fraudes. La tecnología actual permite ya en la actualidad una relación remota completa con el cliente haciendo uso de rasgos biométricos como el facial y el vocal para el seguimiento continuo del usuario, o la firma manuscrita sobre terminal táctil para la autenticación con validez legal. La gran diferencia en este escenario remoto respecto al escenario presencial es el modelo de impostores que pretendan vulnerar el sistema , coste de los ataques, impacto, posibles protecciones...).

Un mayor entendimiento de estos factores es clave para el éxito de este tipo de iniciativas en entornos de operación remotos. Existe mucha investigación actual sobre ello, y no es un problema totalmente resuelto, véanse por ejemplo los resultados de uno de los proyectos europeos en los que también hemos venido trabajando últimamente, TABULA RASA (Trusted Biometrics Under Spoofing Attacks).

¿Qué país está apostando más por la biometría?

Todo tipo de países desde EEUU o Japón a la India o China están apostando muy fuerte por la investigación y el desarrollo de este tipo de sistemas, conscientes de los beneficios presentes y futuros que aportarán estas tecnologías. No sólo los gobiernos de estos países, con programas de financiación a la investigación, también empresas como Google, Facebook, Microsoft, NEC, o Fujitsu, están apostando muy fuerte por este tipo de tecnologías.

¿A qué sector cree que le puede ayudar más?

Como mencionaba antes, el sector bancario no ha aprovechado hasta ahora los avances sustanciales en estas tecnologías en los últimos años y tiene muchísimo que ganar con estas tecnologías, en reducción de costes relacionados con gestión de identidades, prevención de fraude, conveniencia para clientes, y apertura de nuevos servicios presenciales y remotos personalizados.

Otros sectores que se beneficiarán mucho de los desarrollos biométricos incluyen: educación a distancia (se podría seguir el aprovechamiento de los cursos por parte de la persona en cuestión y por tanto certificar el cumplimiento de los mismos), administración electrónica, aseguradoras, notarías, juzgados, registros e historiales médicos, etc. En realidad cualquier ámbito en donde sea necesaria la autenticación de individuos y la posterior gestión de dichas identidades.

¿La privacidad y la biometría son compatibles?

Sí. La mayoría de los desarrollos actuales a gran escala de sistemas biométricos son muy conscientes de la importancia de la protección de la privacidad, especialmente en Europa, en donde la legislación sobre protección de datos personales es clara y estricta.

Muchos de estos sistemas biométricos, de hecho, no almacenan para el registro de usuarios (en la plantilla biométrica) la información en claro del individuo, sino versiones encriptadas o con información muy limitada, que en los desarrollos más novedosos ni siquiera se desencriptan para ser comparadas con otras plantillas biométricas. Estas técnicas de protección de plantillas biométricas son de hecho un tema candente de investigación en el que también trabaja mi grupo de la UAM.