Las ventajas y peligros de extender el uso del reconocimiento facial
El reconocimiento facial está en auge entre las entidades financieras. Aunque su uso se quiere relacionar a un incremento en seguridad para los usuarios, hay una serie de precauciones y dudas que rodean esta discusión.
Diego Ojeda
Pensar los datos personales como el nuevo petróleo puede ser una idea que suene manida, pero no por eso menos cierta. Su extracción y manejo es el motor de buena parte de la economía digital y la pieza central del modelo de negocios de empresas como Google y Facebook, por sólo mencionar dos de los nombres más grandes en el firmamento en línea.
Gánale la carrera a la desinformación NO TE QUEDES CON LAS GANAS DE LEER ESTE ARTÍCULO
¿Ya tienes una cuenta? Inicia sesión para continuar
Pensar los datos personales como el nuevo petróleo puede ser una idea que suene manida, pero no por eso menos cierta. Su extracción y manejo es el motor de buena parte de la economía digital y la pieza central del modelo de negocios de empresas como Google y Facebook, por sólo mencionar dos de los nombres más grandes en el firmamento en línea.
Y aunque estamos inmersos en una economía de los datos, hay que tener en cuenta que en varios países, incluyendo Colombia, la ley protege a las personas del uso indebido de estos, pues un mal tratamiento podría derivar en afectaciones que arrancan en la privacidad, pero se extienden más allá de este derecho fundamental.
Puntualmente en la ley de protección de datos se habla de una categoría especial de datos personales, llamada datos sensibles; es decir, aquellos cuyo uso indebido puede derivar en discriminación por origen racial o étnico, orientación política, convicciones religiosas o filosóficas, vida sexual y datos biométricos.
Esta última categoría es la que nos interesa en esta discusión.
Se entiende como dato biométrico aquel que permite el reconocimiento de una persona por una característica física única. Algunos ejemplos son el reconocimiento facial, el iris, las huellas dactilares, la voz y hasta la forma de caminar.
Lea también: ¿La Registraduría debe controlar el monopolio de los datos biométricos?
La ley es explícita en decir que está prohibido el tratamiento de los datos sensibles (por más normalizados que estén en nuestra cotidianidad), precisamente por los riesgos en que puede derivar su uso equivocado o malintencionado. Es común, por ejemplo, que en gimnasios, empresas y universidades pidan la huella dactilar para ingresar y salir de las instalaciones, cuando legalmente usted está en el derecho de negarse a suministrala y se debe proveer una alternativa de autenticación.
Sin embargo, hay excepciones que permiten a terceros realizar el tratamiento de estos datos sensibles. Entre estas está la autorización explícita del titular (es decir, cada persona), que comúnmente se otorga cuando se presiona el botón de “acepto los términos y condiciones”.
De allí que, tal vez sin darse cuenta, muchas entidades financieras ya tengan su registro facial para acciones como iniciar sesión en sus portales transaccionales y demás operaciones. De hecho, recientemente la financiera de Rappi (Rappi Pay) informó sobre una alianza con la Registraduría para implementar biometría facial, “para fortalecer la seguridad en transacciones financieras”.
Según lo descrito por Rappi, el reconocimiento facial ofrece una capa de seguridad adicional a los usuarios, mitigando el riesgo de fraude y suplantación de identidad. La empresa declinó pronunciarse más extensamente sobre este tema.
Un asunto que requiere atención
Aunque son múltiples los beneficios que ofrece esta tecnología, los expertos en datos y seguridad informática consultados coinciden en que no es un tema que deba abordarse con ligereza, sino que se deben tener presentes las posibles implicaciones de autorizar a otro el tratamiento de nuestra biometría.
Según el abogado y coordinador de la Línea de Autonomía y dignidad de la Fundación Karisma, Juan Diego Castañeda, la Registraduría ha adelantado esfuerzos para hacerse al reconocimiento facial de los colombianos, como ha pasado con la cédula digital. El problema, asegura, es que se ha hecho toda esta gestión sin que se haya dado la oportunidad de adelantar una discusión democrática sobre las posibles implicaciones (tanto positivas como negativas) que tiene el que esta entidad trate este dato sensible (como lo es compartir su base de datos con terceros privados).
Le puede interesar: Reconocimiento facial: ¿en el futuro todos seremos sospechosos?
“Lo grave es que las personas no podemos hacer nada. La razón es que cuando una persona saca la cédula por primera vez, o la renueva, obligatoriamente toma sus datos de reconocimiento facial”, menciona Castañeda al cuestionar sobre qué podría pasar en el futuro cuando se decida poner cámaras de reconocimiento facial en lugares públicos: ¿dónde quedará el derecho a la privacidad?
Para Juan Alejandro Aguirre, quien es director de ingeniería en la firma de seguridad digital Sophos, antes de suministrar el dato biométrico hay que tener ciertas garantías de que el tercero interesado tiene la capacidad de almacenarlo de forma segura y con altos estándares de cifrado, pues esto impediría (o mitigaría) que la información se vea comprometida ante un eventual ataque cibernético.
“Hay ciberdelincuentes que se especializan en robar este tipo de credenciales para venderlas a un alto precio. En las manos equivocadas esa información puede ser usada para vulnerar las cuentas de las víctimas, adelantar actos de fraude o para actividades de fraude y extorsión a conocidos y familiares”, menciona.
Otro aspecto a tener en cuenta es que los mecanismos de reconocimiento facial no son 100 % seguros pues, como otros métodos, también pueden ser vulnerados. Por lo mismo nunca debería usarse como único factor de autenticación, sino que debe mezclarse con otros como el clásico usuario y contraseña.
Al final, una mayor seguridad depende de capas de protección, como si se tratara de una cebolla. En temas de ciberseguridad, y de derechos digitales, no hay una solución única y mágica, por lo que siempre es recomendable tener varios pasos y etapas, no una bala de plata.
Mario Micucci, investigador de Seguridad informática de Eset Latinoamérica concuerda con esto, pero también resalta los beneficios que pueden tener estos mecanismos en temas como la prevención del robo de identidad o en facilitar la labor de las entidades financieras en el ofrecimiento de servicios personalizados o detección defraudes y actividades sospechosas.
No obstante, es enfático en decir que por las preocupaciones que se plantean en materia de privacidad y seguridad, las entidades financieras deben cumplir con las regulaciones de protección de datos, así como garantizar el adecuado almacenamiento y tratamiento de los que son sensibles.
La invitación es a no saltarse de forma deliberada los términos y condiciones, sino a tener un consentimiento informado, es decir, comprender y estar de acuerdo con el propósito por el cual se recopilará y utilizará ese dato biométrico, así como investigar cómo se almacena, por cuánto tiempo (si hay políticas de eliminación o anonimización de los mismos después de que dejan de ser relevantes), los mecanismos que se están implementando para proteger esa información y si estos pueden o no llegar a ser compartidos con terceros.
En suma, los datos biométricos son propiedad suya y solo usted está en la capacidad de suministrarlos. Si bien son muchas las facilidades y bondades que ofrecen las nuevas tecnologías, no deberíamos dejarnos deslumbrar, sino entender los posibles riesgos que podría derivar el mal uso de un dato que ante la ley es sensible. En otras palabras, tomarnos el tiempo de leer la letra pequeña y tomar decisiones informadas.
👽👽👽 ¿Ya está enterado de las últimas noticias de tecnología? Lo invitamos a visitar nuestra sección en El Espectador.