Los usuarios de aplicaciones populares en Rusia podrán aumentar la seguridad de sus cuentas utilizando datos biométricos. Esto está previsto en un nuevo proyecto de ley destinado a combatir a los estafadores telefónicos y de Internet, que fue presentado a la Duma Estatal en febrero de este año. Sin embargo, según los expertos, estos cambios pueden conllevar ciertos riesgos, incluida la posibilidad de fuga de información personal.
¿Para qué sirve la identificación biométrica en las aplicaciones?
La necesidad de utilizar la autenticación biométrica en las aplicaciones se debe al creciente número de casos de fraude en Internet, cuando los delincuentes utilizan las credenciales de otras personas para acceder a servicios importantes, como «Госуслуги», banca en línea y otros recursos que contienen información confidencial. Así lo informó Konstantín Gorbunov, experto líder en amenazas de red y desarrollador web de la empresa «Код Безопасности».
En respuesta a la introducción de la autenticación de dos factores, los estafadores están inventando activamente nuevos esquemas y, con diferentes pretextos, averiguan los códigos únicos de los usuarios: algunos a través de phishing en mensajeros, otros a través de llamadas de spam, otros a través de envíos. Sin embargo, en el caso de la biometría, el usuario debe estar directamente frente a la pantalla para la autorización.
Evgueni Yanov, jefe del departamento de auditoría y consultoría de la empresa F6, señala que los datos biométricos no se pueden perder, como una contraseña o un código PIN, y no se pueden olvidar, como un dispositivo con autenticación de dos factores. Esto hace que el proceso de interacción sea más cómodo y potencialmente reduce los gastos administrativos en la verificación de la información sobre los usuarios.
Experiencia en la introducción de la biometría en aplicaciones en el extranjero
En el mundo ya existen muchos ejemplos de uso de la identificación biométrica en diversas aplicaciones. Uno de estos ejemplos es el sistema Aadhaar en la India. Utiliza datos biométricos para interactuar con el sistema fiscal y los bancos, así como para registrar tarjetas SIM.
Otro ejemplo es el sistema e-ID en Estonia. Se utiliza para acceder a la mayoría de los servicios estatales, como la atención médica, los bancos, la votación y los impuestos. Sistemas similares también existen en los EAU, Brasil y otros países.
El experto en ciberseguridad de Angara Security, Nikolái Dolgov, señala que los métodos más comunes de identificación biométrica son el reconocimiento facial, las huellas dactilares y la voz. Es importante señalar que, en la mayoría de los casos, la tecnología se utiliza de forma voluntaria, lo que permite minimizar los riesgos de fuga de datos y proteger mejor los derechos de los usuarios.
Serguéi Polunin, jefe del grupo de protección de soluciones de TI de infraestructura de la empresa «Газинформсервис», añadió que la experiencia en el uso de la biometría en diversos ámbitos resulta ambigua. Por ejemplo, en la India ya ha habido casos de hackeo del registro estatal de datos biométricos. En 2024, los datos del servicio de policía del país, incluidas las huellas dactilares, las firmas y los escaneos faciales, se filtraron a la red.
Por otro lado, en los países europeos se está introduciendo activamente el voto electrónico en las elecciones, donde la biometría es la principal forma de confirmar la identidad, subraya el experto.
¿Es eficaz la biometría?
La información sobre los contactos y los datos personales, incluidos los nombres completos, se almacenan por separado de la información biométrica cifrada, lo que reduce la probabilidad de su fuga, como afirma Vitali Fomín, jefe del grupo de especialistas en seguridad de la información de la Liga de la Economía Digital. Incluso si los datos caen en manos de los delincuentes, no podrán utilizarlos.
Las características fisiológicas y de comportamiento de una persona son difíciles de falsificar, por lo que, con la correcta introducción de las tecnologías biométricas, se puede alcanzar un alto nivel de protección. Sin embargo, es más eficaz combinar este método con otras opciones de identificación para garantizar una seguridad total.
Al mismo tiempo, según Vitali Fomín, los residentes de Rusia desconfían de las innovaciones y no se apresuran a proporcionar datos biométricos, ya que están al tanto de los casos de fraude con su uso. En particular, en la actualidad se están desarrollando activamente las tecnologías de deepfakes, lo que dificulta a los usuarios comunes reconocer imágenes y mensajes de audio falsos al iniciar sesión por rostro o voz.
Evgueni Yanov, especialista en el campo de la identificación biométrica, explica que existen varios métodos que se pueden utilizar para implementar esta tecnología en las aplicaciones. Entre ellos se encuentran el escaneo facial, la dactiloscopia, la autenticación por el iris del ojo y por la voz.
Los métodos más comunes son el reconocimiento facial y las huellas dactilares. Sin embargo, existen otras opciones que se pueden utilizar. Lo principal es garantizar una protección fiable contra la falsificación y tener en cuenta la disponibilidad de dispositivos con el método necesario para los usuarios.
La capacidad de la biometría para proteger eficazmente a los usuarios dependerá directamente de la implementación y las medidas de protección adoptadas. El sistema estonio, por ejemplo, se basa en blockchain, y los datos biométricos se almacenan en tarjetas inteligentes. El sistema en la India utiliza un almacenamiento centralizado con cifrado multicapa.
En algunos otros sistemas se utiliza SSI, un modelo de almacenamiento para garantizar la descentralización. Al mismo tiempo, la mayoría de ellos no almacenan los datos biométricos directamente, sino que utilizan la tokenización. También es importante garantizar la seguridad de la transmisión de datos en el sistema y seguir el principio de «confianza cero» al desarrollar su arquitectura.
Riesgos de la identificación biométrica
Es importante que esta iniciativa se implemente teniendo en cuenta los intereses y los derechos de los ciudadanos, así como para proteger su vida privada y su personalidad, declaró el jefe del laboratorio de I+D del Centro de Tecnologías de Ciberseguridad del Grupo «Солар», Maksim Buzínov. Según sus palabras, para la recopilación y el procesamiento de datos se utilizarán algoritmos de aprendizaje automático, que son capaces de reconocer voces y rostros. Es importante garantizar la seguridad tanto de la propia base de datos como la precisión del reconocimiento, que se logra gracias a estos algoritmos.
Es necesario garantizar la actualización y la renovación periódicas de dicha base, garantizar el trabajo para corregir los falsos positivos. Y, por supuesto, vale la pena tener en cuenta los riesgos de los ataques en los que se utilizan gemelos digitales, completamente generados por la inteligencia artificial (IA).
Al mismo tiempo, Evgueni Yanov cree que existe la probabilidad de que los estafadores puedan pasar de los intentos de robo de datos a la coerción de las personas para que realicen acciones dirigidas a la recopilación ilegal de datos biométricos. En caso de que los datos biométricos se vean comprometidos, no será posible cambiarlos, a diferencia de una contraseña.
En nuestro tiempo, las redes neuronales son capaces de crear imágenes bastante realistas de personas. Y para las huellas dactilares se puede utilizar un ataque de suplantación de identidad, cuando una persona o un programa se disfraza con éxito de otro. Para protegerse de tal ataque, es necesario no solo verificar la correspondencia del dibujo de las líneas papilares, sino también determinar de manera fiable que el dedo que se aplica es real. Esto complica el proceso de verificación.
Para hacer conclusiones más precisas sobre la fiabilidad de la fuente de información al intentar la autenticación, es necesario tener en cuenta no solo las características técnicas, sino también las características del comportamiento del usuario. Además, el uso de métodos de autenticación biométricos requiere la disponibilidad de equipos correspondientes, como un escáner facial o de huellas dactilares. Esto puede convertirse en un problema para las personas mayores.
Anteriormente, se advirtió a los rusos que los estafadores han comenzado a utilizar videollamadas para recopilar datos biométricos, incluida la voz y la imagen del rostro, con el fin de debitar posteriormente fondos de las cuentas bancarias. Los delincuentes pueden hacerse pasar por empleados de operadores móviles, ofrecer servicios, realizar encuestas o probar la calidad de la conexión.