To read this piece in English, click here.
Imagina despertar con la noticia de que un actor malintencionado ha filtrado en línea una base de datos con huellas dactilares y escaneos faciales. A diferencia de una filtración de contraseñas, no puedes simplemente restablecer tu huella o cambiar tu rostro. Los rasgos que hacen que la autenticación biométrica sea tan segura también la hacen irreversible en caso de una filtración.
La autenticación biométrica —ya sea mediante huellas dactilares, reconocimiento facial o voz— se ha convertido en una piedra angular de la seguridad moderna. Ofrece ventajas poderosas sobre las contraseñas tradicionales, pero también plantea una pregunta urgente: ¿qué sucede si los datos biométricos se ven comprometidos? Hace unas semanas, mi colega Diego Baldin analizó las limitaciones del reconocimiento facial. A diferencia de una contraseña, no puedes cambiar tu rostro ni restablecer tu huella una vez que la información ha sido expuesta.
Proteger esta información requiere medidas de seguridad estrictas, desde un registro seguro hasta almacenamiento cifrado y acceso rigurosamente controlado. Mientras que una contraseña robada puede reemplazarse por una más fuerte, una filtración de datos biométricos crea un riesgo duradero y mucho más complejo.
Esto nos lleva a otra cuestión crítica: ¿quién debe ser responsable de proteger estos datos sensibles y cómo? Hoy, muchos terceros mantienen amplias bases de datos de registros biométricos para instituciones financieras, a menudo con estándares de seguridad desiguales. El estado de Texas ganó recientemente una demanda contra Meta por el uso indebido de datos biométricos, lo que resultó en una multa significativa para el gigante tecnológico.
El uso generalizado del reconocimiento facial o de huellas dactilares conlleva una serie de desafíos legales y éticos. Dado que se trata de información altamente sensible, su uso indebido puede poner en riesgo la privacidad y los derechos fundamentales. En toda América Latina, los gobiernos han respondido de diversas maneras: algunos fomentan la adopción de la biometría para combatir el fraude, mientras que otros imponen controles más estrictos para proteger los datos personales. Con la excepción de México, la mayoría de los países de la región aún carecen de un marco integral que permita una autenticación biométrica robusta garantizando al mismo tiempo su resguardo, preservación y uso responsable.
Comparativa por país de la regulación de la biometría facial y los marcos de protección de datos
Brasil, México, Colombia y Chile regulan el uso de la biometría facial en el ámbito financiero (y en marcos más amplios de protección de datos) de manera diferente.
Brasil:
- Requisitos de biometría facial: No es obligatoria por ley. Los bancos la utilizan ampliamente de forma voluntaria.
- Marco de protección de datos personales: La LGPD (2020) define los datos biométricos como sensibles. No existe regulación específica sobre IA o reconocimiento facial.
- Consentimiento y restricciones: Se requiere consentimiento expreso. La LGPD aplica caso por caso.
México:
- Requisitos de biometría facial: Obligatorios desde 2018 por la CNBV. Se usa principalmente huella digital en sucursales y aplicaciones.
- Marco de protección de datos personales: LFPDPPP (2010) clasifica los datos biométricos como sensibles. INAI emitió lineamientos específicos en 2018.
- Consentimiento y restricciones: Se requiere consentimiento expreso y se deben ofrecer alternativas.
Colombia
- Requisitos de biometría facial: Prohibidos para autenticación. Se permite la huella con consentimiento.
- Marco de protección de datos personales: Ley 1581 (2012). La SIC regula el tratamiento de datos biométricos.
- Consentimiento y restricciones: Se requiere consentimiento explícito. No puede exigirse como condición de servicio.
Chile
- Requisitos de biometría facial: No obligatorios en banca, serán obligatorios en telecomunicaciones desde 2025.
- Marco de protección de datos personales: Ley 21.719 (2024) inspirada en el GDPR. Los datos biométricos son sensibles.
- Consentimiento y restricciones: Se requiere consentimiento reforzado y supervisión estricta.
Riesgos y capas de autenticación
Los especialistas señalan preocupaciones en materia de privacidad y ética. Entre los principales riesgos se incluyen:
- Sesgo y discriminación: mayores tasas de error en mujeres y personas de piel oscura.
- PII: muchos gobiernos consideran Face ID, huellas y voz como información personal identificable (PII).
- Vulnerabilidad al fraude y ataques: troyanos como GoldPickaxe pueden evadir Face ID.
- Costos y errores operativos: se requiere inversión significativa y un enfoque multifactorial.
Autenticación conductual vs. biometría conductual
La biometría conductual mide patrones de interacción como ritmo al escribir o deslizar la pantalla. Se basa en anonimización mediante hashing y patrones, no en identificadores únicos.
Equilibrando seguridad y privacidad
La autenticación biométrica física implica desafíos regulatorios, tecnológicos y éticos. Debe usarse con consentimiento informado, cifrado y alternativas claras. Las instituciones financieras deben adoptar un enfoque multicapa que combine inteligencia conductual y biometría física.