Peligro en puerta: ¿Son seguros controles de accesos biométricos?

La adopción de controles de acceso biométricos en edificios, tanto particulares como de empresas, facilitan las cosas, pero ¿se tiene en cuenta la seguridad y la protección de datos personales?

Hace poco estuve hablando de privacidad de datos con una persona cercana a mí y el tema terminó en la forma de acceso más utilizada y pensé que sería interesante compartir con ustedes algunos de estos puntos generados por esta conversación.

Los accesos biométricos se han utilizado ampliamente en entornos corporativos durante muchos años, pero se han utilizado cada vez más en nuestra vida personal, más precisamente para permitir la entrada a condominios y edificios particulares.

Observando brevemente varios desarrollos de nueva construcción en varias zonas de la ciudad de São Paulo, Brasil, pude ver que el reconocimiento facial se está utilizando para control de acceso en más del 90% de ellos, y esto trae varios puntos para tener en cuenta con respecto a la seguridad.

Comparto con ustedes algunos de estos puntos para que puedan cuestionar y, sobre todo, investigar si sus datos están siendo protegidos adecuadamente, si esto es parte de tu realidad a diario.

Los datos biométricos son vistos, por ejemplo, por Ley General de Protección de Datos (LGPD), de Brasil, como datos sensibles, y se exige que sean tratados con aún más discreción que los datos personales. En el caso de la biometría facial, estos datos tienen aún más información que puede presentar características étnicas, convicciones religiosas e incluso aspectos relacionados con la salud de las personas.

Con esto en mente, me pregunté si todas estas empresas enfocadas en la administración y protección física de los edificios de los que son responsables también protegen adecuadamente los datos biométricos de sus clientes.

La ley no estipula qué medios deben aplicarse para dicha protección de datos, sino que basa sus fundamentos en los pilares de la seguridad de la información, valorando su integridad, disponibilidad y confidencialidad, y las empresas deben aplicar todos los esfuerzos necesarios para lograr este objetivo.

Asumiendo que los datos están adecuadamente protegidos y que todos los procesos están siendo seguidos por quienes almacenarán estos datos, observando el funcionamiento de algunos de estos edificios y condominios me di cuenta de que la comunicación no es clara con los residentes, haciendo entender a algunos que el reconocimiento facial es la única alternativa de acceso y esto no es ni puede ser cierto.

Tipos de control de acceso más comunes 

Acceso biométrico por reconocimiento facial

La LGPD de Brasil establece que los datos pueden ser tratados con normalidad si se cumplen una serie de requisitos, como el consentimiento explícito del interesado, así como el cumplimiento de una serie de obligaciones para proteger estos datos. Este consentimiento debe estar formalmente bien descrito y no se puede presionar al titular para que lo acepte. Solo entonces podrán iniciarse los procedimientos de recopilación, almacenamiento y uso de estos datos para el fin propuesto.

Si el titular se niega a proporcionar sus datos biométricos, las empresas responsables de la seguridad perimetral deberán ofrecer alternativas para el acceso del titular y sus invitados.

Otras formas de control de acceso

Es importante destacar que muchos de los dispositivos que son capaces de realizar reconocimiento facial son capaces de permitir el acceso de otras formas, como el acceso biométrico a través de huellas dactilares, lectura de tarjetas de proximidad (NFC), PIN numéricos o, en los últimos casos, incluso el uso de una llave.

Suelen existir muchas hipótesis para permitir este acceso, pero conviene recordar que cada una de ellas tiene una característica concreta y no necesariamente protegerá el acceso al perímetro de forma igualmente segura.

Incidentes de seguridad más comunes

Aclarados estos puntos, paso ahora a los aspectos que considero muy importantes para tener en cuenta a la hora de conceder accesos, ya sea adoptando la biometría o con alguna de las alternativas antes mencionadas, los incidentes de seguridad.

Incidentes de seguridad con el titular

Si la persona que tiene un derecho legítimo a entrar en el edificio se encuentra bajo algún tipo de coacción impuesta por terceros, los medios utilizados para autorizar esta entrada no suelen tener repercusión. Ya sea con reconocimiento biométrico facial, biometría de huellas dactilares, tarjeta, PIN o llave, la víctima será coaccionada para usarlo y el resultado sería básicamente el mismo.

En los casos de incidentes en los que no hay acción directa de terceros, puede haber un cambio significativo en el escenario, dependiendo del tipo de acceso elegido por el propietario o la administración del condominio. Los objetos utilizados para abrir puertas, como llaves y tarjetas, pueden perderse, ser robados o perforados, lo que puede tener impactos muy negativos en la seguridad del medio ambiente.

Nota: Los incidentes de seguridad relacionados con el PIN a menudo están relacionados con el olvido del PIN, y este tipo de incidente suele tener un impacto de seguridad significativamente menor.

Incidentes de seguridad en un entorno protegido por biometría

Considero que este escenario es el más preocupante porque los incidentes de seguridad directamente relacionados con el entorno protegido suelen tener un impacto muy alto, y pueden afectar a todos los que disfrutan de este entorno.

Incidentes de seguridad en medios digitales

Son muchas las posibilidades relacionadas con el compromiso de un entorno digital, mencionaré algunas de las que están directamente vinculadas a cuestiones relacionadas con el acceso a la estructura:

  • Registro de uno o varios medios de acceso al entorno para uno o varios delincuentes: permite a los ciberdelincuentes autorizar su propio ingreso por cualquiera de los medios disponibles por el equipo, asegurando el acceso sin necesidad de interacción con otras personas.
  • Robo de datos registrales y biométricos: en posesión de datos registrales y biométricos, especialmente biométricos de reconocimiento facial, es posible registrarse, comprar productos e incluso solicitar préstamos, realizando las validaciones necesarias con la imagen recogida de la víctima.
  • Deshabilitar dispositivos o eliminar usuarios de la base: ambas acciones tienen como objetivo evitar que cualquier usuario acceda al entorno, ya sea el entorno digital o físico.
  • Incidentes de seguridad en medios físicos: este tipo de incidentes pueden tener las mismas repercusiones que en los incidentes en medios digitales, con el agravante de que los delincuentes ya estarán físicamente dentro del entorno y también pueden causar daños a los usuarios y sus bienes.

Consejos de buenas prácticas

Es interesante tener en cuenta que, independientemente de las tecnologías adoptadas en un entorno, y de si todos los usuarios de este entorno harán uso de esta tecnología o no, es posible hacerla más segura de varias maneras. A continuación, describo algunas de las mejores prácticas adoptadas para abordar de manera más adecuada la seguridad de un entorno como este 

Para los usuarios

Es posible adoptar medidas para llevar seguridad a los entornos que hacen uso de este tipo de tecnología. Asegurarse de que el entorno cuenta con buenas prácticas de seguridad y protección de datos, ya sean biométricos o no. Si se adoptan métodos alternativos de acceso, como tarjetas de identificación o llaves, asegúrese de que siempre permanezcan en posesión del propietario, sin olvidarlas sin supervisión en ningún lugar

Para empresas

  • Proteja todos los dispositivos presentes en el entorno con un software de protección robusto, como protecciones de endpoints (antivirus).
  • Asegurarse de que todos los usuarios han dado su consentimiento formal para el tratamiento de sus datos personales.
  • Instruir a los empleados sobre la necesidad de ofrecer formas alternativas de acceso más allá de la biometría.
  • Restrinja el acceso a los equipos de control relacionados con el acceso biométrico y los datos personales solo a los empleados que realmente lo necesiten.

Si tienes alguna duda o sugerencia sobre temas relacionados con la seguridad de la información que te gustaría que abordáramos en las próximas publicaciones, cuéntanos en los comentarios.

Fuente: www.welivesecurity.com