¿Y si suplantaran tu identidad con los datos de tu retina?

Por una parte, la autentificación de un usuario a través de su huella digital, la retina, el iris o su ADN (en definitiva,  sus datos biométricos) supone un acceso “seguro” durante el proceso de registro ya que el sistema puede verificar que quien trata de acceder es quien dice ser.

Pero, por otra parte, ¿no os genera cierta inquietud que esos datos puedan ser robados y suplantados si los malos logran acceder al lugar donde se almacenan? Nuestros registros biométricos no son una cuenta ni una password intercambiable, son un dato único e insustituible que nos identifica plenamente.

Somos lo que somos. Inventamos fórmulas matemáticas pero no rostros
La biometría, la identidad virtual y la privacidad van muy ligadas y tienen unas implicaciones técnico- jurídicas serias que difieren bastante de la suplantación de identidad que conocemos. La creación de identidades virtuales y la suplantación de identidad en la Red, NO ha sido incluida en la última modificación del Código Penal (a pesar del ser uno de los fenómenos más frecuentes en Internet) y tiene un proceso de registro específico que, salvo para los sistemas de pago electrónicos y las webs de juego online, no implica ningún tipo de verificación y autenticación para el usuario que lo de identifique con su identidad real.

De modo que, salvo con las salvedades en las que hay dinero por medio, en cualquier red social, web o servicio de mensajería podemos registrarnos con datos falsos o imaginarios o utilizar los de otro generando un código electrónico que NO está vinculado necesariamente a nuestro nombre y apellidos reales. Dícese del anonimato.

Las suplantaciones de identidad y sus consecuencias devastadoras
La suplantación de identidad es bastante frecuente y no se sabe si es por eso que no se tiene conciencia de los daños devastadores, y en algunos casos, irreparables, que tienen para la imagen personal o reputacional de una empresa o institución. Resulta que un perfil laboriosamente trabajado durante años, pasa a manos de un cibercriminal anónimo, un ex administrador cabreado o alguien que tiene a su community manager en el punto de mira.

De repente, un día, ese mismo loable perfil comienza a publicar contenidos pornográficos o barbaridades que lo pervierten tanto hasta sumir a la empresa en un caos, en una pérdida incuantificable de marca o en la depresión, la angustia y el miedo de un usuario.

De momento, su resolución, queda a expensas de la propia política de condiciones del sitio web que atienda, primero las peticiones mediante formularios establecidos al efecto y después a las plegarias del legítimo administrador de la cuenta.

Pero el proceso de creación de cuentas, seudónimos y passwords son una fuente y un mundo de posibilidades inagotable, tanto o casi como el sol. El tiempo pasa y los daños, morales o económicos también. Se crea otra cuenta con el mismo ingenio, con algo más de recelo y cibersabiduría y se mira hacia adelante, es lo que hay. No se ha podido saber quién ha accedido a tu cuenta y lo asumes con resignación.

Ahora es cuando viene el pasaje del terror
Los datos biométricos son identificadores unívocos (sólo hay una coincidencia entre millones de usuarios, al menos en la huella digital). Si encima combinas estos sistemas de reconocimiento facial, voz (e incluso la fuerza con la que pulsamos las teclas) con una clave, la seguridad es aún mayor ¿Estamos blindados o no? La respuesta es NO.

Con el registro biométrico tenemos a múltiples proveedores de servicio, data centers, etc. alojando estos datos comparados e unívocos en cualquier ubicación, accesible o inaccesible, conocida o desconocida, sin saber qué medidas de seguridad implementan o sus vulnerabilidades y un atacante intentando acceder a esas bases de datos con rasgos físicos vinculados a un nombre y apellidos. No todo puede ser el robo de datos biométricos, también la compra- venta, el tratamiento y la búsqueda comparativa de esa información con los datos públicos existentes en internet que permitan obtener más información sobre los usuarios.

¿Cómo se obtienen los datos biométricos? Por fuerza bruta ¿en todos los aspectos?
Tal vez os pueda resultar una respuesta absurda pero, aunque los sistemas de verificación y autentificación sean más “seguros”, las técnicas de ciberchoricismo para su obtención ilícita siguen siendo los mismos: ingeniería social, phishing, malware, etc. Podemos plantearnos el trasplante de huellas (huella obtenida de una superficie trasplantada a otra con un simple celofán) u otras técnicas más agresivas como una extorsión de toda la vida (pero como tiene un componente tecnológico ya es una ciberextorsión).

De momento, no podemos saber cuál es el grado de fortaleza implementado con este tipo de datos ante ataques potenciales ni dónde o cómo se almacenan, ni los protocolos de seguridad. De momento sabemos que ya se conocen ataques a estas bases de datos (y si no que se lo digan a una marca con forma de fruta).

“Black future “
Todavía es difícil aventurar las consecuencias reales de la utilización de datos biométricos por los cibercriminales en fraudes, extorsiones o suplantaciones de identidad. Pero tened en cuenta una cosa: el dato biométrico suplantado no da segundas oportunidades, no son intercambiables ni modificables como lo son el nombre de un perfil o un correo. Caras, (aunque algunos parezcan tener dos), solo hay una, pulgares y ojos, en su mayoría dos.