(The Conversation es una fuente independiente y sin ánimo de lucro de noticias, análisis y comentarios de expertos académicos).
Jonathan S. Weissman , Instituto Tecnológico de Rochester
(LA CONVERSACIÓN) Una mujer entra en un supermercado pensando en comprar manzanas. Antes incluso de llegar a la sección de frutas y verduras, una cámara de seguridad ya ha escaneado su rostro. Ya sea que el sistema esté buscando ladrones o simplemente registrando su llegada, su rostro se ha sumado a un registro digital, una huella que no puede borrar fácilmente. Comercios, bancos, aeropuertos, estadios y edificios de oficinas hacen lo mismo.
Pero ¿qué ocurre si roban o utilizan indebidamente la información facial de la mujer? Si un ciberdelincuente roba su contraseña, puede cambiarla. Si consiguen el número de su tarjeta de crédito, puede cancelarla. Pero no puede restablecer ni revocar la apariencia de sus pómulos.
Los sistemas de reconocimiento facial no almacenan imágenes reales. Convierten un rostro en una plantilla matemática que representa la posición y las proporciones de sus rasgos. Cuando otra cámara escanea a una persona posteriormente, el sistema compara su rostro en tiempo real con estas plantillas para confirmar su identidad.
En mi trabajo como profesor de ciberseguridad en el Instituto Tecnológico de Rochester, he descubierto que, si bien las plantillas son más seguras que las fotos —que cualquiera puede capturar y manipular en línea—, también pueden ser robadas. Una vez que esto sucede, estas claves digitales crean una vulnerabilidad permanente. Si se vulnera una base de datos de reconocimiento facial, los «bloqueos» que abre una plantilla —para acceder a una aplicación bancaria, pasar el control de seguridad en un aeropuerto o entrar en un edificio de oficinas— no se pueden restablecer. El rostro de una persona es permanente, y la amenaza también.
La amenaza no es teórica. Se han robado datos biométricos en filtraciones de datos. En 2024, se piratearon datos biométricos de un sistema de reconocimiento facial utilizado en bares y clubes de Australia. Y en 2019, se filtraron datos biométricos de un sistema piloto de reconocimiento facial implementado por la Oficina de Aduanas y Protección Fronteriza de EE. UU . en un ataque a la red de un subcontratista. Sin embargo, no está claro si se han explotado los datos biométricos robados de alguien.
Seguimiento de tu rostro
Todos los sistemas de identificación biométrica conllevan riesgos. Sin embargo, las huellas dactilares y el escaneo del iris se utilizan generalmente en situaciones controladas, como desbloquear el teléfono de una persona o permitirle el acceso a un edificio. En estos casos, la persona debe mirar deliberadamente al escáner. En cambio, las cámaras en espacios públicos pueden capturar rostros mientras la gente pasa, a distancia y sin que las personas cuyos rostros son escaneados se den cuenta.
Si se vulnera una base de datos de huellas dactilares o iris, el ladrón aún necesita presentar físicamente el dedo o el ojo, o una réplica, a un escáner. Sin embargo, alguien podría comparar una plantilla facial robada con imágenes de cámaras de vigilancia o fotos que circulan en internet, lo que facilitaría la identificación de una persona de interés o el seguimiento de sus movimientos y actividades.
También existe una gran diferencia, tanto técnica como ética, entre guardar un rostro en un teléfono y entregarlo a una base de datos. En los dispositivos Apple modernos y muchos sistemas Android, los datos biométricos utilizados para desbloquear los dispositivos se almacenan localmente en un chip de hardware dedicado y no se comparten con el fabricante ni con servicios en la nube para la autenticación. Por lo tanto, una brecha de seguridad en los sistemas corporativos o en la nube no expondría estas plantillas biométricas a nivel de dispositivo.
Algunas cámaras de seguridad y vigilancia en espacios públicos son pasivas, simplemente observan a la gente pasar, sin registros a largo plazo. Pero otras pueden estar siguiendo los pasos de las personas, vinculando rostros a bases de datos y creando un rastro digital persistente. El riesgo aumenta cuando las organizaciones utilizan sistemas para rastrear a personas específicas a través de múltiples bases de datos. Los sistemas de los aeropuertos podrían comparar el rostro de un viajero con las bases de datos de pasaportes o aerolíneas. Los estadios podrían comparar rostros con listas de vigilancia de seguridad locales o listas de las fuerzas del orden. La empresa que administra el Madison Square Garden ha utilizado el reconocimiento facial para impedir la entrada a abogados de bufetes que representaron a personas que demandaron a la empresa.
Algunas grandes cadenas minoristas, como Wegmans y Target , también utilizan sistemas de reconocimiento facial en sus esfuerzos por prevenir robos. Cada nueva captura añade un registro permanente.
Muchas empresas carecen de experiencia en ciberseguridad y dependen de proveedores externos para gestionar sus datos. Si estos sistemas centralizados se ven comprometidos, o si los conjuntos de datos se conectan entre plataformas, proveedores o intermediarios, su rostro puede convertirse en una especie de identificador persistente que puede utilizarse para exponerle o rastrearle. En algunos casos, al combinarse con otros datos comprometidos, su rostro capturado puede facilitar la suplantación de identidad.
Cuando el rostro de una persona se encuentra con sus datos
Un rostro puede funcionar como una «clave primaria»: un identificador único y estable que conecta registros. Si una base de datos vincula una plantilla facial a una dirección de correo electrónico, y una filtración de datos conecta ese correo electrónico con registros financieros o personales, un ladrón de identidad con una plantilla robada podría acceder a toda esa información.
Y la combinación de una plantilla con herramientas de IA, como los deepfakes o los modelos faciales tridimensionales, podría, en algunos casos, permitir a un delincuente suplantar la identidad de un individuo en sistemas que requieren la prueba de un rostro real, adoptando una identidad digital falsificada como si se pusiera un disfraz.
Cuando los delincuentes combinan plantillas biométricas con otros datos filtrados, como credenciales de acceso a perfiles de redes sociales o direcciones particulares, pueden crear «superperfiles» vinculados a muchas de las actividades de una persona. Dado que el rostro actúa como una clave de vinculación permanente, este nivel de robo de identidad es difícil de revertir.
Cómo minimizar la amenaza
La gente aún está tratando de adaptarse a la recopilación generalizada de datos biométricos. La comodidad de superar fácilmente los controles de seguridad o realizar compras resulta atractiva, pero a menudo conlleva un riesgo permanente para la privacidad y la seguridad.
Para mitigar la amenaza, las organizaciones pueden seguir varias buenas prácticas de privacidad de datos. Pueden conservar solo la información necesaria, eliminar rápidamente el resto y cifrar todas las plantillas matemáticas. Pueden almacenar únicamente plantillas cifradas en lugar de fotografías sin procesar. Pueden utilizar técnicas de protección, como las últimas técnicas de detección de vitalidad , para garantizar que sus sistemas interactúen con personas reales y no con fotografías, máscaras o deepfakes. Además, pueden adoptar un enfoque de privacidad desde el diseño , lo que significa que conservarán los datos solo durante el tiempo necesario, documentarán claramente su uso y restringirán el acceso a ellos.
Los consumidores también pueden tomar medidas. En lugares con leyes de privacidad, como California, Illinois y la Unión Europea, las personas pueden solicitar acceso a sus datos para saber qué datos biométricos posee una empresa y, en algunos casos, solicitar su eliminación. También pueden preguntar a los comercios qué datos recopilan, cuánto tiempo los conservan y cómo los protegen.
Este artículo se republica de The Conversation bajo una licencia Creative Commons. Lea el artículo original aquí: https://theconversation.com/facial-recognition-data-is-a-key-to-your-identity-if-stolen-you-cant-just-change-the-locks-278289 .
