Autenticación biométrica: ¿el fin de las contraseñas tradicionales?

De la clave al rostro: empresas que apuestan por la biometría

Un número creciente de compañías reemplaza los típicos usuarios y contraseñas por sistemas biométricos. Gigantes tecnológicos como Google, Apple, Amazon y Microsoft lideran el cambio hacia alternativas de seguridad sin contraseñas, por ejemplo mediante el uso de “passkeys” que se desbloquean con datos biométricos.

En la práctica, esto significa que servicios y aplicaciones permiten al usuario identificarse mediante su huella dactilar o su rostro en lugar de memorizar complejos códigos. Por caso, Apple introdujo Face ID y Touch ID en sus dispositivos móviles, aprovechando la cámara y sensores para reconocer la cara o huella del dueño del teléfono. Del lado de Google, la última versión de Android también soporta desbloqueo facial y por huella, e incluso ambas empresas –junto a Microsoft– impulsan estándares de inicio de sesión sin contraseña basados en criptografía y biometría (ergo, la ya mencionada tecnología de passkeys)​.

En el sector financiero, la banca digital se suma a esta tendencia. Varios bancos ya permiten a sus clientes ingresar a la aplicación móvil mediante reconocimiento facial o dactilar, agilizando el acceso a cuentas sin tipear una clave. En Argentina, por ejemplo, el Banco Ciudad promociona un “ingreso rápido” a su home banking usando la huella digital o el rostro, sin necesidad de ingresar usuario y clave. Esta expansión de la biometría abarca también algunas curiosas soluciones. De hecho, en ciertas clínicas ya se utilizan escáners de palma para registrar pacientes al instante y, en grandes eventos deportivos o conciertos, se están probando sistemas de ingreso por reconocimiento facial para evitar fraudes con entradas.En síntesis, múltiples industrias están probando que el “propio cuerpo como contraseña” puede ser la llave maestra del futuro.

Más seguridad y menos contraseñas: las ventajas de la autenticación biométrica

¿Por qué tantas organizaciones están adoptando la autenticación biométrica? Una de las razones principales es la seguridad mejorada. Las contraseñas tradicionales sufren de innumerables problemas: los usuarios tienden a reutilizarlas o elegir combinaciones débiles, y han ocurrido fugas masivas de bases de datos con millones de credenciales. En cambio, los rasgos biométricos son inherentemente únicos y difíciles de falsificar. Como explica un informe técnico, la biometría agrega un obstáculo importante para los estafadores: por más que un atacante conozca la típica contraseña (“el nombre de tu perro con unos números”), no podrá imitar tu huella digital para desbloquear una cuenta sin tener tu dedo presente.

De hecho, la probabilidad de que dos personas compartan exactamente la misma huella es ínfima (se calcula en 1 en 64 mil millones)​, lo cual hace virtualmente imposible que un hacker obtenga acceso usando la biometría de otra persona al azar. Asimismo, solo un ser humano real puede aportar estos rasgos en el momento; un robot o software automático difícilmente engañe a un escáner de iris o rostro que esté bien diseñado.

Otro punto a favor es la comodidad y rapidez para el usuario. Colocar el dedo en un sensor o mirar brevemente a la cámara puede autenticarte en cuestión de segundos, mucho más rápido que teclear una contraseña larga con mayúsculas, símbolos y números​. Esto mejora la experiencia, especialmente en móviles: ya no hay que recordar ni actualizar contraseñas, reduciendo la “fatiga de contraseñas” que tantos padecemos. Además, a diferencia de un PIN o clave, es imposible “olvidar” tus datos biométricos. La biometría tampoco es transferible: requiere la presencia del usuario cada vez, lo que dificulta el prestado o robo de credenciales (no puedes simplemente enviar tu huella digital por mensaje a alguien, como sí podrías filtrar una contraseña)​.

El otro lado de la moneda: desafíos en privacidad y seguridad

Pese a sus beneficios, la autenticación biométrica trae consigo varios desafíos importantes. Uno de los más citados por expertos en ciberseguridad es la privacidad de los datos y el control sobre esa información sensible. Como ya se ha mencionado en notas anteriores de este Instituto, la pregunta que surge es ¿quién es dueño de los datos? Más aún cuando hablamos de nuestros valiosísimos datos biométricos.

En ese sentido, a diferencia de una contraseña (que se puede cambiar tras una filtración), los datos biométricos son inmutables e irrevocables. En ese sentido, el manejo transparente y ético de la información también está en la mira. Activistas de privacidad enfatizan que los usuarios deben estar plenamente informados sobre qué datos biométricos se recopilan, con qué propósito y cómo se usan

Otra preocupación son los errores y sesgos de la tecnología. Ningún sistema biométrico es perfecto: pueden ocurrir falsos rechazos (que no reconozca al usuario legítimo) o peor aún falsas aceptaciones (que alguien no autorizado sea reconocido erróneamente como válido)​. La precisión varía según la calidad del sensor y el algoritmo. A su vez, estudios han demostrado que algunos sistemas de reconocimiento facial presentan sesgos demográficos, con menor exactitud para personas de piel más oscura o mujeres, por ejemplo​. Este sesgo podría implicar discriminación o dificultades injustas para ciertos grupos de usuarios al autenticarse. Minimizar estos errores es uno de los retos principales para los proveedores actuales de biometría​. Por último, implementar infraestructura biométrica conlleva costos: requiere inversión en dispositivos especializados, software y capacitación, lo cual puede ser una barrera para algunas organizaciones más pequeñas​.

Regulaciones: la protección legal de los datos biométricos

Dada la sensibilidad del tema, los marcos legales están evolucionando para regular el uso de datos biométricos tanto en Argentina como en el mundo. En Argentina, la Ley de Protección de Datos Personales N° 25.326 (vigente desde 2000) ya sienta principios generales: requiere consentimiento para recolectar datos personales y trata con especial cuidado los considerados “datos sensibles”. Si bien la norma original no mencionaba explícitamente a la biometría (tecnología incipiente por entonces), por analogía muchos juristas interpretan que una huella digital o patrón facial –al ser identificatorios e íntimos– entran en la categoría de datos sensibles. De hecho, el país se encuentra en proceso de modernizar su ley: un proyecto presentado en 2023 propone incluir explícitamente a los datos biométricos dentro de la definición de datos sensibles, dada su potencial para discriminación o alto riesgo para los titulares​. Esto significaría exigir protección reforzada y fundamentos legales claros antes de usar información biométrica de individuos. Argentina busca así alinearse con estándares internacionales más recientes. A nivel internacional, la Unión Europea marca la pauta con el Reglamento General de Protección de Datos (RGPD). El RGPD clasifica a los datos biométricos (cuando son usados para identificar personas) como categoría especial, equiparándolos a datos de salud, origen étnico, creencias, etc., lo que impone requisitos estrictos para su tratamiento. En la UE normalmente se exige consentimiento expreso del individuo o una justificación legal concreta para recopilar biometría.

En el horizonte cercano, la autenticación multifactor seguirá siendo recomendada: combinar algo que somos (biometría) con algo que tenemos (un dispositivo seguro) y/o algo que sabemos (un PIN de respaldo). De hecho, las mencionadas passkeys funcionan bajo este principio, donde la biometría desbloquea una clave criptográfica en el dispositivo, y esa clave (no la biometría cruda) es la que se utiliza para autenticación online.

En definitiva, la “llave corporal” promete un futuro sin contraseñas más seguro y conveniente, pero su adopción responsable requerirá equilibrar innovación con garantías sólidas de privacidad. Las empresas y reguladores se encaminan en esa dirección, aprendiendo de cada caso y afinando el balance entre aprovechar la singularidad de nuestro cuerpo para autenticarnos y proteger aquello que nos hace únicos en el mundo digital.