Los sistemas de acceso biométrico, ampliamente utilizados en entornos corporativos, están cada vez más presentes en la vida cotidiana, permitiendo la entrada a condominios y edificios residenciales. Sin embargo, esta tendencia trae consigo varios aspectos de seguridad que deben ser considerados, según advierte ESET, compañía especializada en ciberseguridad.
La Ley General de Protección de Datos (LGPD) de Brasil clasifica los datos biométricos como información sensible, lo que exige un tratamiento más discreto que el de los datos personales. En particular, la biometría facial puede revelar características étnicas, convicciones religiosas e incluso aspectos de salud, aumentando la necesidad de protección rigurosa. Aunque la ley no especifica los medios exactos para proteger estos datos, establece que su integridad, disponibilidad y confidencialidad deben ser salvaguardadas.
Daniel Cunha Barbosa, Investigador de Seguridad Informática de ESET Latinoamérica, observa que, aunque los datos estén adecuadamente protegidos, la comunicación con los residentes en algunos edificios de San Pablo (Brasil) es deficiente. “Me di cuenta de que la comunicación no es clara con los residentes, haciendo entender a algunos que el reconocimiento facial es la única alternativa de acceso y esto no es ni puede ser cierto”, comentó.
Los métodos de control de acceso más comunes incluyen el reconocimiento facial biométrico. Según la LGPD, estos datos pueden ser tratados si se cumplen ciertos requisitos, como el consentimiento explícito del interesado y el cumplimiento de obligaciones para proteger la información. Si un titular se niega a proporcionar sus datos biométricos, las empresas responsables deben ofrecer alternativas, como el uso de huellas dactilares, tarjetas de proximidad (NFC), PIN numéricos o llaves.
ESET subraya la importancia de considerar los posibles incidentes de seguridad al adoptar la biometría o medidas alternativas. Entre ellos, los incidentes de seguridad con el titular de acceso. Si una persona con derecho legítimo a entrar se encuentra bajo coacción, los medios de acceso —ya sean biométricos, tarjetas, PIN o llaves— no evitan el problema. Además, objetos como llaves y tarjetas pueden perderse, ser robados o falsificados, lo que representa un riesgo significativo.
ESET enfatiza la necesidad de un enfoque integral en la seguridad, asegurando que los procesos de almacenamiento y manejo de datos biométricos sean claros y cumplan con las normativas. Este enfoque no solo protege la información sensible, sino que también garantiza que los residentes comprendan sus opciones de acceso y las medidas de seguridad implementadas.
Posibles incidentes de seguridad
Incidentes de seguridad en un entorno protegido por biometría: este tipo de escenario es el más preocupante porque suelen tener un impacto alto, y pueden afectar a todos los que forman parte de este entorno.
Incidentes de seguridad en medios digitales, los directamente vinculadas a cuestiones relacionados con el acceso a la estructura, son:
- Registro de uno o varios medios de acceso al entorno para uno o varios delincuentes: permite a los ciberdelincuentes autorizar su propio ingreso por cualquiera de los medios disponibles por el equipo, asegurando el acceso sin necesidad de interacción con otras personas.
- Robo de datos registrales y biométricos: en posesión de datos registrales y biométricos, especialmente biométricos de reconocimiento facial, es posible registrarse, comprar productos e incluso solicitar préstamos, realizando las validaciones necesarias con la imagen recolectada de la víctima.
- Deshabilitar dispositivos o eliminar usuarios de la base: ambas acciones tienen como objetivo evitar que cualquier usuario acceda al entorno, ya sea el entorno digital o físico.
Incidentes de seguridad en medios físicos: este tipo de incidentes tiene el agravante de que los delincuentes ya estarán físicamente dentro del entorno y también pueden causar daños a los usuarios y sus bienes.
Prácticas de seguridad
Para usuarios: asegurarse de que el entorno cuenta con buenas prácticas de seguridad y protección de datos, ya sean biométricos o no. Si se adoptan métodos alternativos de acceso, como tarjetas de identificación o llaves, asegurarse de que siempre permanezcan en posesión del propietario, sin olvidarlas sin supervisión en ningún lugar.
Para empresas:
- Proteger todos los dispositivos presentes en el entorno con un software de protección robusto, como protecciones de endpoints (antivirus).
- Asegurarse de que todos los usuarios han dado su consentimiento formal para el tratamiento de sus datos personales.
- Instruir a los empleados sobre la necesidad de ofrecer formas alternativas de acceso más allá de la biometría.
- Restringir el acceso a los equipos de control relacionados con el acceso biométrico y los datos personales solo a los empleados que realmente lo necesiten.