Hace pocos días, el Centro Criptológico Nacional (CCN) publicó el documento CCN-TEC 103, «Tecnologías biométricas seguras para el control de acceso», donde se ofrece una visión actualizada sobre el papel de la biometría en el control de acceso, tanto físico como digital.

Este documento destaca las ventajas de las tecnologías biométricas modernas desde la perspectiva de la seguridad de la información, aclarando malentendidos recientes relacionados con su implementación y su compatibilidad con normativas como el Reglamento General de Protección de Datos (RGPD), el Esquema Nacional de Seguridad (ENS) o el Reglamento Europeo de Inteligencia Artificial (IA Act).

En este artículo vamos a analizar algunas de las conclusiones más relevantes y de mayor impacto a corto plazo sobre la implementación de soluciones de verificación de identidad basadas en biometría que aparecen destacadas en el documento CCN-TEC 103, pero antes revisemos cuál es el rol de la biometría.

El Esquema Nacional de Seguridad (ENS) y la autenticación biométrica

El ENS es un marco normativo español desarrollado por el CCN que establece los principios y requisitos para garantizar la protección de la información en el ámbito público y privado.

Su objetivo principal es crear un entorno seguro que favorezca la confianza en el uso de tecnologías. Dentro de este contexto, el ENS considera la biometría como uno de los tres factores posibles de autenticación.

Un rasgo biométrico es un factor de inherencia, lo que lo convierte en la única garantía explícita de identidad real frente a factores de posesión (algo que tienes, como un token) o conocimiento (algo que sabes, como una contraseña). Los factores no inherentes se basan en presunciones, confiando en que la persona que sabe o posee algo es quien dice ser. Sin embargo, para garantizar un mayor grado de seguridad, es imprescindible contar con un factor que asegure explícitamente la identidad. Aquí es donde la biometría juega un papel crucial, ofreciendo un método claro de validación de identidad del usuario.

Además, tecnologías avanzadas como la detección de ataques de presentación (PAD) permiten identificar intentos de suplantación con gran precisión, mejorando la seguridad del motor biométrico. La combinación de los tres factores de autenticación permite construir sistemas de verificación de identidad altamente robustos.

Control de acceso físico, jerarquía y biometría

En el ámbito físico, el CCN-TEC 103 pone un énfasis particular en el control de acceso a espacios, redefiniendo el orden de jerarquía tradicional entre el grado de seguridad asociado a procesos manuales y automáticos. Para que una verificación manual sea equivalente a la biométrica, es necesario que una persona valide la autenticidad del documento de identidad (función equivalente a la detección de ataques de presentación) y asegure la correspondencia facial entre el documento y el portador.

Este doble proceso, llevado a cabo de forma manual, requiere un esfuerzo considerable. Sin embargo, los últimos avances en tecnologías de modelado biométrico facial, impulsados por el aprendizaje profundo, han permitido alcanzar tasas de acierto superiores a las de operadores humanos, quienes pueden cometer errores debido a factores como la fatiga, los sesgos cognitivos o las limitaciones de la memoria visual. No obstante, persiste cierta desconfianza hacia las tecnologías biométricas en términos de seguridad de la información, heredada de las limitaciones técnicas de generaciones anteriores.

Del limitado enfoque antropométrico a la seguridad del aprendizaje profundo

Los sistemas biométricos previos al aprendizaje profundo dependían de medidas antropométricas: se trazaba una malla de puntos faciales a partir de la cual se calculaban distancias para modelar los rasgos. Este enfoque presentaba varias limitaciones: requería entornos controlados, almacenaba información fácilmente interpretable y generaba vectores interoperables e irrevocables. Estas carencias frenaban su adopción en procesos críticos.

Todo cambió con la llegada de la IA basada en aprendizaje profundo. Las arquitecturas de IA basadas en aprendizaje profundo generan vectores de características que no contienen información directamente interpretable: durante el proceso de entrenamiento el sistema aprende a extraer características biométricas a partir de los datos de ejemplo, generando vectores biométricos robustos, irreversibles y no interoperables.

Plantillas biométricas de nueva generación (RBRs)

Todas estas condiciones son las que aparecen en la Norma ISO 24745 sobre protección de información biométrica que establece los principios que deben regir los patrones biométricos de nueva generación: Renewables Biometric References (RBRs).

Para cumplir con todos los requisitos de seguridad listados es necesario ir un paso más allá y añadir medidas extra de seguridad a las que los modelos de aprendizaje profundo aportan per se. Existen algunos estudios que han conseguido con limitado éxito llevar a cabo ataques de caja blanca y caja negra para reconstruir el rasgo original a partir de patrones profundos. Aunque en un escenario real sería tremendamente complicado llevar a cabo esta operación, es necesario aportar soluciones técnicas para proveer seguridad y confianza a los usuarios de sistemas biométricos.

Innovaciones en la protección de datos: criptobiometría y cifrado

En Mobbeel, llevamos tiempo investigando y aplicando tecnologías avanzadas para proteger la información biométrica. Un ejemplo es la criptobiometría, que permite cifrar vectores con claves criptográficas personalizadas y realizar comparaciones indirectas, sin descifrar la información original. Esto tiene aplicaciones interesantes en contextos como el financiero, donde, por ejemplo, un dato biométrico cifrado junto con el hash de una transacción puede utilizarse para validar de manera conjunta una operación bancaria y la identidad de la persona que la lleva a cabo.

En otros casos, como el almacenamiento seguro de datos biométricos, el cifrado homomórfico permite realizar verificaciones sin necesidad de descifrar la información, preservando en todo momento su seguridad.

Niveles de riesgo y biometría en el Reglamento Europeo de IA

Por último, han surgido dudas respecto al papel de la biometría en el Reglamento Europeo de IA. Esta normativa, aún en desarrollo, clasifica los usos en función de su riesgo, desde prohibidos hasta mínimamente invasivos. Aunque algunos usos marginales de la biometría están en categorías de alto riesgo, los sistemas desarrollados por Mobbeel se clasifican en niveles de riesgo bajo o nulo. Esto se debe a que no son indiscriminados, requieren la aceptación activa del usuario y no almacenan información que pueda ser reutilizada para otros fines. De esta manera, el CCN-TEC 103 avala que soluciones como las comercializadas por Mobbeel son plenamente operativas y quedan bajo el paragüas de los usos autorizados en la IA Act.

En resumen…

• La popularización de servicios digitales remotos ha hecho imprescindible el desarrollo de sistemas de verificación de identidad que permitan autenticar usuarios de una manera segura y sencilla.
• La biometría es un método clave para construir modelos robustos de autenticación, ya que aporta un factor necesario de inherencia.
• Los últimos avances en IA han permitido superar algunas de las limitaciones de las tecnologías biométricas de la generación anterior, haciendo posible verificar la identidad de los usuarios con métodos seguros y poco invasivos.

En Mobbeel seguimos liderando el sector con más de 15 años de experiencia, anticipándonos a los desafíos y ofreciendo soluciones innovadoras que cumplen con los estándares más exigentes en seguridad y privacidad en el sentido del CCN-TEC 013.