En la era digital que vivimos, muchos de nosotros usamos nuestros datos biométricos como una herramienta esencial para la identificación personal, en ocasiones sin estar conscientes de su uso; por ejemplo, cuando nuestro teléfono se desbloquea con el reconocimiento de nuestro rostro porque es una configuración que viene por defecto. Aunque el empleo de este tipo de datos puede brindar comodidad al usuario cuando accede a diferentes sistemas o servicios, conlleva serias preocupaciones sobre su protección.
Los datos biométricos son aquellos “datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos”(Unión Europea, 2018). Aunque los datos biométricos pueden estar sujetos a ciertos cambios, por ejemplo, la voz de una persona puede cambiar en la pubertad o luego de un accidente una persona puede quedar con alguna deformación en el rostro (Sabry & Costa, 2024); este tipo de datos está ganando terreno para la identificación de las personas por ser considerados difíciles de falsificar, en comparación con una contraseña tradicional o un número de PIN. No obstante, su carácter único implica también que no pueden ser cambiados o actualizados, como ocurre con una contraseña cuando ha sido comprometida.
La naturaleza altamente sensible e irremplazable de los datos biométricos es uno de los principales desafíos que se presentan en la protección de estos datos que, al estar esencialmente ligados a la persona, genera una mayor preocupación ante las brechas de seguridad que se pueden dar. Si un cibercriminal tiene acceso a un conjunto de datos biométricos, las consecuencias pueden ser devastadoras, ya que estos datos no pueden ser reemplazados. De esta forma, el robo de datos biométricos puede ocasionar que sus propietarios sean víctimas de:
- Fraudes financieros, ya que muchos sistemas bancarios usan reconocimiento facial para la identificación de los usuarios.
- Robo de identidad, porque los ciberdelincuentes pueden crear cuentas falsas en redes sociales, y así realizar actividades fraudulentas en nombre del propietario de los datos.
- Venta en la Dark Web, ya que la venta de este tipo de datos es muy cotizada en el mercado clandestino digital.
- Robo de cuentas, porque los cibercriminales pueden acceder la vida digital de las personas como redes sociales, correo electrónico, cuentas bancarias, etc.
- Espionaje corporativo, porque los datos personales pueden convertirse en una herramienta para atacar a la empresa en donde trabajan los propietarios de dichos datos (Domínguez Waisbrod, 2024).
Si bien las compañías que usan sistemas de identificación biométrica requieren contar con medidas técnicas y debidos procesos que garanticen una protección adecuada de los datos biométricos, es indispensable también concienciar a las personas sobre la importancia de sus datos biométricos y los peligros a los cuales se exponen si no cuidan adecuadamente de ellos. Esto se evidencia aún más este 2024 con el caso de la empresa Worldcoin, la cual cobró renombre debido a que inició operaciones en varios países alrededor del mundo para pagar a cientos de miles de personas 10 worldcoins o tokes (criptomonedas) a cambio del escaneo de su iris. Dependiendo de la cotización de las criptomonedas, el valor pagado equivalía aproximadamente a 20 USD o 30 USD, aunque en las últimas semanas su equivalencia bajó a 10 USD. El iris es un dato biométrico considerando muy distintivo de una persona que prácticamente no se modifica a lo largo de su vida. Por lo tanto, el problema que se presenta con el escaneo de iris que realiza Worldcoin es que no está claro el tipo de consentimiento que los propietarios de los datos entregan, así como tampoco se conoce exactamente cómo esta empresa va a usar dichos datos o los está almacenando. Por ello, varias autoridades de protección de datos a nivel mundial activaron sus alertas y cuestionaron la legalidad del tratamiento de datos biométricos que está realizando Worldcoin; y en muchos países se han suspendido ya las actividades de esta empresa por orden de las autoridades (Martinez Vega, 2024). Pero quizás lo inverosímil de esta situación con Woroldcoin es que las personas estén dispuestas a vender sus datos biométricos por una cantidad insignificante de dinero, porque no han comprendido aún el verdadero valor que tiene este tipo de datos.
Frente a esta realidad, ¿cómo podemos proteger nuestros datos biométricos? Sin duda, se requiere de un esfuerzo conjunto en varios actores; por ejemplo:
- Los usuarios deben evitar compartir datos biométricos innecesarios (Domínguez Waisbrod, 2024).
- El estado debe tener un rol activo creando una legislación que facilite el avance tecnológico, pero también considere la privacidad de las personas y la protección de sus datos personales, más aún de los datos biométricos (Braga, 2024).
- Las empresas que requieren tratar datos biométricos deben considerar, entre otros, los siguientes criterios: la finalidad; el ámbito o alcance del tratamiento de estos datos; la operación biométrica debe ser comprendida y autorizada por el propietario de los datos; se debe capturar y almacenar los datos mínimos requeridos; realizar una evaluación continua de las brechas de datos biométricos que ocurren y aplicar medidas de protección para evitar el filtrado o pérdida de estos datos.
Bibliografía
Braga, R. (2024). Debemos tomar acciones concretas ante la compra de datos biométricos. Infobae.
Domínguez Waisbrod, S. (2024). 8 razones por las que los cibercriminales quieren tus datos personales. Welivesecurity.
Martinez Vega, C. (2024). De Black Mirror a la realidad: el dilema de Worldcoin y el escaneo del iris a cambio de dinero.
Sabry, F., & Costa, G. (2024). Reconocimiento de iris: Perspectivas esclarecedoras sobre el reconocimiento del iris en la visión por computadora. Mil Millones De Conocimientos [Spanish]. https://books.google.com.ec/books?id=YdgJEQAAQBAJ
Unión Europea. (2018). General Data Protection Regulation (GDPR). Diario Oficial de La Unión Europea.