16 de abril de 2025

La filtración de datos del "tarro de miel" de 2024 en El Salvador fue una llamada de atención. Casi el 80% de la población del país vio expuestos sus registros personales, incluidas imágenes faciales. A medida que este incidente resurge en las redes sociales, plantea cuestiones críticas sobre lo que realmente hace que la autenticación biométrica sea segura.

Pero esto es lo que muchos comentaristas pasan por alto: esta brecha, aunque alarmante por motivos de privacidad, no pone en peligro los sistemas de autenticación biométrica con capacidad de detección de actividad. Entender por qué significa disipar un error común.

En este artículo, explicaremos la diferencia entre la protección de la privacidad y la seguridad de la autenticación en los sistemas biométricos, y distinguiremos entre la forma en que los datos biométricos se almacenan y cómo se utilizan para verificar identidad.

Un error común: El mito del secreto facial

Muchas personas suponen que la seguridad biométrica depende de mantener en secreto su imagen facial, como si su rostro fuera una contraseña que debe permanecer oculta. La idea es que si tu rostro permanece oculto, también lo hace tu identidad y, por tanto, el servicio que utilizas permanece seguro. 

En nuestra era digital, la realidad es que nuestra cara ya es pública. Piensa en:

  • Fotos profesionales en LinkedIn
  • Imágenes personales en las redes sociales
  • Fotos del DNI
  • Cámaras de seguridad en espacios públicos

Un atacante puede encontrar fácilmente una foto en las redes sociales sin tener que violar una base de datos segura. Si la seguridad biométrica depende únicamente del secreto de un rostro, publicar tu foto en Instagram supondría un enorme riesgo para la seguridad.

Un atacante no necesita violar una base de datos segura para encontrar su rostro: le basta con visitar sus perfiles públicos. Sin embargo, los sistemas de autenticación biométrica siguen garantizando miles de millones de transacciones diarias. ¿Cómo?

El mero hecho de que alguien vea tu cara o una imagen de ella no le permite replicar las condiciones exactas requeridas para la autenticación sin tu presencia. El verdadero reto consiste en verificar que la persona que intenta acceder a un sistema es realmente la persona correcta, una persona real, autenticándose en tiempo real - algo que una imagen estática es incapaz de demostrar.

Obtenga más información sobre cómo iProov consigue defenderse sistemáticamente de las amenazas emergentes y en evolución aquí.

Privacidad frente a seguridad: Una distinción fundamental

La información biométrica almacenada debe cifrarse y salvaguardarse. pero principalmente para respetar los derechos individuales de privacidad y seguir cumpliendo la normativa, no porque su exposición comprometa la seguridad biométrica. 

La privacidad y la seguridad, aunque están relacionadas, tienen objetivos diferentes en los sistemas biométricos:

  • La protección de la intimidad se refiere a cómo se almacenan, acceden y utilizan los datos personales. Se trata de respetar el derecho de las personas a controlar su información e impedir el acceso no autorizado a esos datos.
  • La seguridad de la autenticación se centra en una cuestión crucial: ¿La persona que intenta acceder es realmente quien dice ser, autenticándose en tiempo real?

La brecha de El Salvador, aunque representa una grave violación de la privacidad, no crea necesariamente una vulnerabilidad de seguridad en los sistemas de autenticación correctamente diseñados. 

Aunque encriptar los datos biométricos es esencial para la privacidad, la verdadera medida de seguridad es si el sistema puede confirmar que la persona que accede a ellos está realmente presente en el momento de la transacción.

La verdadera base de la seguridad biométrica

Lo que realmente protege contra los intentos de suplantación es una combinación de tecnologías y algoritmos subyacentes que determinan la presencia de una persona auténtica en tiempo real, no una repetición, deepfakeo ataque de inyección digital.

Cuando se aplica una solución de autenticación biométrica basada en la ciencia, las imágenes robadas pierden todo su valor en los ataques. No pueden utilizarse para engañar a un sofisticado sistema biométrico de detección de la vitalidad que determine si la persona real se está autenticando en ese momento.

Incluso si un atacante consigue acceder a una base de datos de imágenes faciales, esas imágenes serían inútiles si el sistema requiere una prueba de presencia en vivo. Una foto estática o incluso una deepfake no superarían la prueba de viveza basada en la ciencia.

Los sistemas biométricos avanzados requieren pruebas de que:

  1. Hay un ser humano real (no una foto ni un deepfake)
  2. Esta persona específica (que coincide con las credenciales almacenadas) se autentica
  3. La autenticación se está produciendo ahora (no se ha reproducido de una sesión anterior)

Obtenga más información sobre los procesos/acreditaciones de privacidad y seguridad de nuestro sistema en el nuevo eBook de Seguridad y Arquitectura.

Más allá de la seguridad de las plantillas

Muchas organizaciones se centran mucho en cómo almacenar los datos biométricos de forma segura, dividiéndolos y cifrándolos en varias ubicaciones, de forma parecida a como se guardan las piezas de un cuadro valioso en diferentes cámaras acorazadas de alta seguridad. 

La tecnología de iProov utiliza un cortafuegos de privacidad. iProov no tiene acceso a otra información aparte del rostro, y la organización que utiliza iProov no tiene acceso a los datos biométricos. Existe una separación estructural entre la identidad del usuario y la biometría del usuario, lo que resulta muy eficaz para salvaguardar la privacidad del usuario.

Pero la seguridad de la autenticación biométrica no depende de lo bien que almacenemos imágenes faciales o plantillas biométricas - depende de la capacidad del sistema para detectar e impedir los intentos de suplantación durante el propio acto de autenticación.

Detección de actividad basada en la ciencia

Establecer la autenticidad en tiempo real es uno de los retos más acuciantes de la seguridad biométrica. Para lograrlo, los métodos pasivos desafío-respuesta pasiva, que constituye la verdadera base de la autenticación biométrica segura. A diferencia de las respuestas activas, como el giro de cabeza, la respuesta pasiva no tiene instrucciones complejas y ofrece un alto rendimiento en todos los grupos demográficos.

iProov Dynamic Liveness verifica que se trata de una persona real y que se está autenticando en tiempo real, ofreciendo el más alto nivel de garantía de identidad y defensa contra falsificaciones profundas de misión crítica. Los avanzados niveles de seguridad se consiguen mediante la tecnología patentada Flashmark™ que ilumina la pantalla del dispositivo durante el proceso de captura facial. El reflejo de la luz en el rostro de la persona confirma que está realmente presente y ofrece una mitigación avanzada de los ataques de día cero basados en IA, incluidas las falsificaciones profundas y los intercambios de rostros.

De cara al futuro

La brecha de El Salvador pone de relieve una verdad crucial: en un mundo cada vez más amenazado por sofisticadas falsificaciones y ataques de inyección digital, la seguridad de los sistemas biométricos dependerá más que nunca de su capacidad para verificar la presencia humana genuina. Al centrarse en la veracidad basada en la ciencia con verificación en tiempo real, las organizaciones pueden crear un entorno de seguridad en el que los datos robados no puedan utilizarse para suplantar identidades.

La lección de El Salvador no es que la autenticación biométrica sea defectuosa, sino que los rostros no son la solución. no la clave de la biometría, sino la detección de la vitalidad. Con una detección de la vitalidad adecuada, la autenticación biométrica sigue siendo una de nuestras herramientas más potentes contra el fraude de identidad.

A medida que la autenticación biométrica se convierte en un elemento cada vez más importante de nuestra vida digital -desde la banca a la sanidad, pasando por los servicios gubernamentales-, resulta crucial elegir al socio tecnológico adecuado.

iProov se toma muy en serio la privacidad y la seguridad. certificada por FIDO e ISOy cumple con GDPR, SOC 2 y eIDAS (y otros - más información), proporcionando el más alto nivel de garantía de identidad para reducir el fraude y proteger a su organización. ¿Está listo para ver cómo nuestras soluciones avanzadas de autenticación pueden proteger a sus usuarios? Reserve su demostración hoy mismo.

20250416 ID del proyecto HoneyWhatBlog v1
Índice