In-seguridad de la huella dactilar como contraseña

La utilización de las huellas dactilares como medio de identificación de las personas viene de lejos. Ya en el siglo XVII, Malpighi llevaba a cabo estudios científicos sobre los dibujos papilares. Desde aquel entonces, se ha avanzado mucho hasta llegar a la dactiloscopia como la conocemos hoy.

La dactiloscopia es la ciencia que estudia los dibujos papilares del blando de los dedos de las manos.

Los dibujos se crean con esa combinación de relieves y surcos que tenemos en la parte blanda de los dedos de las manos y que, de un modo más científico, se llaman crestas papilares y surcos interpapilares.

Cada uno de nosotros tiene sus propios dibujos, siendo diferentes en cada persona (aunque hay quienes aseguran que no se puede probar que no haya dos huellas dactilares iguales); es más, cada dedo de la mano tiene su propio dibujo, siendo diferente del dibujo del resto de dedos, incluso de la misma mano.

Además, el dibujo es el mismo desde el sexto mes en el que estamos en el vientre materno hasta que se descomponen los tejidos, de manera que, a medida que vamos creciendo y, consecuentemente, nuestras manos también, igualmente lo hacen, de manera proporcional, los dibujos de los dedos.

Incluso después de quemarnos o de hacernos heridas, el dibujo se regenera, salvo que la dermis se destruya extensa y profundamente.

Por todos estos motivos, las huellas dactilares son un medio tan eficaz y preciso para identificar a las personas, aunque para algunos no sea totalmente infalible.

Sobre la huella dactilar se ha pronunciado el Tribunal Supremo, y en diversas sentencias ha establecido, respecto a su valor probatorio, que “constituye una prueba plena en lo que respecta a la acreditación de la presencia de una persona determinada en el lugar en el que la huella se encuentra -si éste es un objeto fijo- o permite esclarecer, con seguridad prácticamente absoluta, que sus manos han estado en contacto con la superficie en la que aparecen impresas -en el caso de objetos muebles móviles-“ (STS 4345/2014 o 4113/2013, entre otras).

Teniendo en cuenta estos hechos, podríamos decir que la huella dactilar es un método bastante eficaz y fiable como contraseña para identificar a una persona. Entonces, ¿cuál es el problema?

Pues bien, para utilizar una huella dactilar como contraseña para acceder a un servicio o a un establecimiento (servicios de banca, teléfono, gimnasio…), esa huella, previamente, se tiene que escanear y, posteriormente, almacenar la información en un software o programa informático; de este modo, cuando quieres acceder al servicio o establecimiento “pones tu huella”, el programa la reconoce y da el OK porque existe una coincidencia con la información que tiene almacenada.

Ahora, que nuestros datos estén más o menos seguros depende del nivel de conciencia en materia de ciberseguridad que tenga quien ha decidido implementar este sistema de identificación.

Es cierto que se ha aprobado el Reglamento General de Protección de Datos (aplicable a partir del 25 de mayo de 2018), y que el mismo impone al responsable del tratamiento la obligación de adoptar las medidas técnicas y organizativas más apropiadas para garantizar un nivel de seguridad adecuado al riesgo que presente el tratamiento. Sin embargo, el hecho de que algo sea obligatorio no quiere decir que siempre se cumpla; si así fuera, no existiría ni la responsabilidad civil, ni la administrativa ni la penal.

De ahí que buena parte de la preservación de nuestros datos personales dependa del buen hacer de los responsables de seguridad y de la conciencia del responsable del tratamiento.

Digamos que sí, que ese responsable ha adoptado las medidas más apropiadas para garantizar un nivel de seguridad adecuado al riesgo. Pues bien, eso tampoco quiere decir que podamos estar 100% seguros de que nuestra información no va a ser revelada o utilizada “de modo contrario a nuestros intereses”, porque puede descubrirse algún tipo de vulnerabilidad que ponga en peligro la preservación de nuestros datos. El propio Reglamento General de Protección de Datos contempla la posibilidad de que esto pueda ocurrir al regular el modo de actuación en caso de producirse una violación de la seguridad de los datos personales.

Puede que sea muy moderno identificarse con la huella dactilar, pero estamos hablando de que la huella dactilar es, según lo que se ha comentado, sino el, uno de los medios de identificación de personas por excelencia.

Además, no hay que olvidar la normativa sobre protección de datos. Puesto que la extensión del artículo está determinada y hay más cosas de las que quiero tratar, no voy a profundizar sobre este aspecto. Lo que sí quisiera mencionar es que el Grupo del Artículo 29, en su Dictamen 3/2012, hace referencia a la evolución de las tecnologías biométricas y, entre muchas otras cuestiones, recuerda que “el uso de la biometría plantea la cuestión de la proporcionalidad de cada categoría de datos tratados a la luz de los fines para los que se traten los datos. Puesto que los datos biométricos solo pueden utilizarse si son adecuados, pertinentes y no excesivos, ello implica una evaluación estricta de la necesidad y la proporcionalidad de los datos tratados y de si la finalidad prevista podría alcanzarse de manera menos intrusiva”.

Cambiando de tercio, ¿sabías que se pueden “fabricar” los dibujos de una huella dactilar? Ya en el año 2005 se publicó, en la revista Guardia Civil, un artículo del que resultaba y se explicaba cómo se podían reproducir los dactilogramas (el dibujo formado en la parte blanda de los dedos o la impresión o reproducción gráfica de éste), “sin necesidad de grandes medios”. Piénsese, entonces, qué no se podría hacer hoy en día con una impresora 3D.

¿Os habéis parado a pensar que vamos dejando nuestra huella por todos lados? ¿Qué pasaría si alguien la reproduce y la utiliza para suplantarnos? Puede ser que algunas cuentas o servicios que utilicemos y a los cuales hayamos facilitado nuestra huella como método de identificación utilicen un doble sistema de verificación, pero… ¿y si no es así?

Por otro lado, cuantos más servicios y establecimientos nos requieran nuestra huella dactilar como método de identificación y nosotros accedamos a facilitársela, más vulnerables seremos, porque más dependeremos: 1º) del buen hacer de los responsables de seguridad y del tratamiento de los datos y, 2º), de la esperanza de que los sistemas que utilizan las empresas que nos piden la huella no sufran ninguna violación de seguridad y de que, si la sufren, no seamos del interés de terceros malintencionados.

A lo anterior se suma que nuestra huella es una, en cambio las contraseñas las podemos y deberíamos cambiar con bastante regularidad, lo que, a priori, ofrece mayor seguridad, siempre y cuando estemos hablando de contraseñas robustas.

Por todo ello, entiendo que no deberíamos de tomar tan a la ligera un dato que, aunque parezca que no tiene importancia, puede hacernos pasar muy malos ratos. Imagínate que, por h o por b, alguien se hace con tu huella y accede a un servicio cuyo único medio de identificación sea la huella dactilar, o, peor todavía, que plasmen una reproducción de tu huella en el escenario de un crimen.

Ahora… ¿tú que piensas? ¿Es in-segura la utilización de la huella dactilar como contraseña?

Laura Melgar Martínez
Abogada, Técnico Superior en Administración y Finanzas y Perito Informático
Fundadora de Digital Crime Abogados
Twitter: @LauraM_Abogada
Linkedin
Página web: https://www.digitalcrimeabogados.com/
Blog: https://digitalcrimeabogados.blogspot.com.es/