Cuando hace unos meses un estafador intentó hacerse una transferencia desde la cuenta de un cliente del Royal Bank of Scotland, el sistema informático detectó la jugarreta y la bloqueó. ¿Falló la contraseña utilizada? No necesariamente: una de las pifias del delincuente fue utilizar un ratón con rueda deslizante.
Lo narra el New York Times: después de entrar en la cuenta, tomó el ratón –que el cliente real no solía emplear– y dirigió el cursor hacia el teclado numérico superior que tenía en la pantalla, y no hacia el lateral, que es el que utilizaba el usuario real, y allí pulsó los números exactos. Pero el software del banco inmediatamente le impidió seguir y llevarse una cifra de seis ceros.
¿Por qué fracasó la estafa? Porque el banco utilizaba un programa de seguridad basado en la biométrica conductual (behavioral biometrics), que no se conforma con la contraseña correcta, sino que, tras acopiar silenciosamente datos de la conducta del titular, los usa para verificar que es realmente él.
Sucede que, gracias a los sensores de que disponen algunos aparatos electrónicos que usamos en la vida diaria, damos mucha más información que la que expresamos verbalmente. No todos tecleamos de igual manera en las pantallas táctiles, como tampoco en los teclados de los ordenadores. No son iguales las pausas, la velocidad, o la presión que ejercen los dedos de cada persona, y hay programas que captan esa información, la almacenan y la comparan con la de otros usuarios para, así, determinar sus identidades.
En un informe de 2003, la OCDE desaconsejaba que la verificación biométrica se convirtiera en la forma de identificación por defecto
John Whaley, jefe de Unifyid, una empresa involucrada en proyectos de este tipo, explica a The Economist que la biométrica conductual posibilita además identificar la “huella de movimiento particular” de un individuo, y que, con el software indicado, los sensores de un móvil pueden revelar detalles tan personales como qué parte de los pies pisa uno primero el pavimento y con cuánta fuerza, además de la longitud de los pasos, y el balanceo de las caderas y el ritmo. Puede saberse también si lleva el móvil en la mano, en el bolsillo o en la mochila.
Así, Unifyid ha clasificado 50.000 tipos diferentes de pasos, los ha cotejado con información sobre la presión de los dedos de los usuarios en la pantalla, los lugares en que acostumbran acceder a Internet, etc. Con todo esto, según Whaley, se puede configurar con exactitud el perfil y la identidad de cada uno.
Si se entera la compañía de seguros…
Son varios los gobiernos y las empresas que utilizan datos biométricos para verificar identidades. Forbes cita, por ejemplo, la integración de estas señas en pasaportes y visados (para los visados de Tailandia, se efectúa un escaneo del iris), la tarjeta de identidad multiuso de Malasia, o el sistema de reconocimiento facial que aplica el gobierno chino para rastrear las acciones de sus ciudadanos.
En cuanto a instituciones que han echado mano de la tecnología de verificación están los casinos, que utilizan el mismo método que los chinos para detectar a los jugadores que se saltan ciertas reglas; los hospitales, que se enfocan en las características de una vena que recorre la mano para determinar la identidad del paciente, y, por supuesto, las compañías de seguros.
Por qué puede interesarles la biometría a las aseguradoras, lo explica el New York Times: si un software detecta que el usuario del móvil o del ratón de un ordenador, antes tenía un pulso estable y de repente empieza a temblar, la empresa del seguro de su coche puede reaccionar negativamente. “Es potencialmente un problema si el banco del cliente, que ha detectado el temblor de este por medio de su software de seguridad, es además su asegurador”.
Si un “software” detecta que al usuario del móvil empieza a temblarle el pulso, la empresa del seguro de su coche puede reaccionar negativamente
Pero los bancos no emplean solamente este mecanismo: también el reconocimiento de voz. The Guardian apunta que un banco inglés, el HSBC, pide al cliente, cuando llama por teléfono para una gestión que requiera identificarse, que diga cinco veces la expresión “mi voz es mi contraseña”. En una próxima ocasión, únicamente debe repetir esa frase.
Dado que no hay dos voces exactamente iguales, se puede creer que un programa de ordenador percibirá milimétricamente las diferencias y bloqueará al intruso. Pero no: en mayo de 2017, el software de reconocimiento del HSBC fue engañado, a manera de prueba, por el hermano de un reportero de la BBC, que imitó la voz de este último, titular de la cuenta.
La tecnología, se ve, es falible. Y no es su único problema.
¿Y si cambian los rasgos biológicos?
La muralla que se alza sobre un afinado programa de reconocimiento de voz puede venirse abajo, precisamente, por la afinación paralela de un software de imitación. Según cuenta a The Guardian Graham Cluley, experto en seguridad informática, “ahora mismo existe una tecnología capaz de imitar las voces de las personas en tiempo real. Si un delincuente tiene un fragmento de un vídeo de YouTube o un podcast en el que estás hablando, hay medios tecnológicos que pueden configurar una imitación de tu voz muy convincente”.
Que le vacíen a uno la cuenta bancaria es, sin embargo, solo uno de los problemas que pueden surgir. Otro es la falta de certeza sobre dónde se almacenan esos datos, de modo que no se vea comprometida la seguridad de estos y la privacidad del cliente.
Se supone que, quien los colecta, los guarda en “algún lugar” en la nube (la red de servidores de Internet). Y la preocupación de muchos es que esa indefinición, esa ausencia de control sobre el destino de los datos propios, no impida que estos caigan en manos interesadas. Ya en 2003, un informe de la OCDE alertaba del peligro de que la información biométrica fuera utilizada con fines diferentes a los inicialmente declarados.
Los sensores de un móvil pueden revelar detalles tan personales como qué parte de los pies de uno pisa primero y con cuánta fuerza
El documento subrayaba también otro riesgo, hoy perfectamente constatable en China: que el gobierno utilice los datos biométricos como un instrumento de control social. Allí, 170 millones de cámaras inteligentes hacen un reconocimiento facial de los ciudadanos, graban sus acciones y, en dependencia de estas, el sistema les otorga una puntuación que los ubica en un lugar preferencial o despreciable del “ranking social”. El software toma nota incluso de cuánto papel higiénico gasta una persona en un baño público, y si coge más del “indicado”, malo para ella: se le pueden complicar muchas de las gestiones que realiza en su vida cotidiana.
Por último, la OCDE desaconsejaba que la verificación biométrica se convirtiera en la forma de identificación por defecto, toda vez que hay multitud de contextos en que es suficiente un modo menos intrusivo. Y –se podría añadir nuevamente– menos falible, porque, además de que un software de voz permita que una imitación pase como auténtica, ¿qué pasará si las condiciones biológicas de la persona se modifican repentinamente de alguna manera, por un accidente o por un brusco cambio de hábitos? ¿Perderá el acceso a determinados servicios, al no poder autentificar su identidad con los datos registrados por el sistema?
Hay todavía demasiados vacíos. Demasiados para la enorme cantidad de datos que, ahora mismo, “alguien” colecta y reserva en “algún sitio” del que los rastreados no tienen la llave.