Seleccionar página

¿Qué son las Referencias Biométricas Renovables (RBRs)?

por | Tecnología

referencia biométrica renovable

Hace tiempo que la biometría se ha consolidado como el método de autenticación más robusto y sencillo de usar, frente a otros medios más tradicionales como contraseñas o tokens. El reconocimiento facial o el reconocimiento de voz se utilizan hoy en sectores tan diversos como la banca, telecomunicaciones, administración pública y prácticamente en cualquier servicio digital que requiera conocer de manera fehaciente la identidad de las personas.

Sin embargo, la biometría tradicional arrastra un problema, que aunque es muy difícil de reproducir, podría presenta una brecha de seguridad: la irreversibilidad del dato original frente a una filtración. Existen investigaciones que han demostrado que, mediante métodos muy complejos de ingeniería inversa, sería posible reconstruir rasgos originales a partir de vectores biométricos.

Si bien es cierto que el esfuerzo invertido para obtener la foto original de una persona desde una plantilla biométrica, hace de por sí muy poco probable que nadie lo haga ya que se pueden obtener fotos de esa persona por otros muchos medios más sencillos, también lo es que algunos organismos internacionales de protección de datos se apoyan en esas vulnerabilidades para desaconsejar su uso.

Una vez filtrada la plantilla biométrica, no existe un mecanismo para “anular” esa huella o rostro en el sistema.

Además, desde la perspectiva de la normativa de protección de datos, en el Reglamento General de Protección de Datos (GDPR) se clasifican los datos biométricos como información de categoría especial, precisamente por la imposibilidad de revocarlos.

El resultado es una paradoja: la biometría es uno de los factores más fuertes para autenticar identidades, pero puede presentar vulnerabilidades si no se gestiona adecuadamente. De ahí surge la necesidad de una nueva generación de plantillas y sistemas biométricos de nueva generación: las Referencias Biométricas Renovables (RBRs), terminología definida por el CNN (Centro Criptológico Nacional) en la guía CCN-TEC 013 (Tecnologías Biométricas Seguras para el control de accesos) y que a su vez cumple con la norma ISO 24745.

pin

 La ISO 24745, estándar internacional sobre protección de información biométrica, establece como principios básicos que cualquier sistema debe garantizar irreversibilidad, desvinculación y revocabilidad de las referencias biométricas. Sin embargo, la mayoría de las implementaciones tradicionales no cumplen con el principio de revocabilidad o cancelación.

Una nueva generación de plantillas más seguras

Las RBRs cambian el paradigma al introducir un modelo en el que la información biométrica ya no es una plantilla o vector biométrico fijo en una base de datos, sino una representación matemática renovable y no reversible que permite regenerarse en caso de brechas de seguridad.

En particular, se deberán aplicar protecciones adicionales a las plantillas biométricas bajo los principios de Referencias Biométricas Renovables (RBR), garantizando su irreversibilidad, no interoperabilidad y revocabilidad.

Esta innovación facilita que la biometría cumpla plenamente con los principios de seguridad y privacidad establecidos por los estándares internacionales y por la AEPD.  

¿Qué son las Referencias Biométricas Renovables (RBRs)?

El estándar ISO/IEC 24745, establece cómo deben almacenarse los vectores o plantillas bioméricas de manera segura. Según este estándar, los vectores deben ser:

  • Renovables
  • Cancelables
  • No reversibles
  • No interoperables.

El principal desafío es la cancelabilidad, ya que actualmente, si se genera un vector de una misma foto utilizando una red neuronal, siempre se obtiene el mismo resultado, ya que el modelado biométrico (red neuronal) es determinista y devuelve la misma plantilla para una misma imagen de entrada. La propiedad de cancelabilidad lo que busca es que se pueda cancelar el vector y generar uno nuevo no trazable en caso de que se vea comprometida la base de datos. Por ello surgen las RBRs:

Una Referencia Biométrica Renovable (RBR) es una representación matemática de un rasgo biométrico (rostro, iris, voz, etc.) diseñada para ser irreversible, renovable y diversa. Es decir, se trata de una plantilla derivada de un dato biométrico real que:

  1. No permite reconstruir la biometría original (irreversibilidad matemática). Las RBRs son el resultado de una transformación unidireccional del vector biométrico. Esto significa que incluso con acceso total a la referencia, es matemáticamente inviable reconstruir el rasgo original.

  2. Puede regenerarse tantas veces como sea necesario sin necesidad de volver a capturar el dato original (revocabilidad). Cada plantilla puede regenerarse a partir de la biometría original aplicando nuevos parámetros de transformación. Esto convierte la biometría en algo análogo a una contraseña: puede “cambiarse” cuando se sospecha de un compromiso de seguridad.
  3. Puede generarse de forma distinta para diferentes sistemas o aplicaciones, evitando el cruce de identidades (diversidad y no interoperabilidad).

pin

 Para que esto suceda, a nivel técnico se aplica al vector de características una transformación unidireccional mediante un algoritmo irreversible y parametrizable, de tal manera que se obtiene un objeto matemático que no permite reconstruir el dato original.

 

Esto representa una ruptura con el modelo tradicional, donde la biometría se almacenaba en una plantilla estática y, por tanto, expuesta al riesgo de reutilización en caso de fuga.

Plantillas biométricas tradicionales vs RBRs

En un sistema biométrico clásico, el flujo funciona de la siguiente manera:

  1. Se captura el rasgo biométrico (por ejemplo, la cara).
  2. Se procesan sus características principales (minucias, patrones únicos).
  3. Se genera una plantilla biométrica estática, que se guarda en la base de datos.
  4. En cada autenticación, el sistema compara la nueva captura con la plantilla almacenada.

El problema surge porque esta plantilla es una representación fija del dato original. Si un atacante accede a ella, en teoría podría intentar reconstruir el rasgo biométrico original o usar la misma plantilla en sistemas diferentes (ataque de cross-matching).

Una Referencia Biométrica Renovables es básicamente un vector biométrico al que se le han aplicado técnicas de protección, que pueden ser de muchos tipos y con enfoques muy variados:

  • No puede invertirse para obtener la voz o rostro original.
  • Puede modificarse aplicando nuevas transformaciones matemáticas, generando una “nueva versión” de la plantilla.
  • Puede personalizarse por servicio, evitando que la misma identidad biométrica sea rastreable en múltiples plataformas.

 

técnicas protección vectores biométricos

 

El método de protección de información biométrica implantado en Mobbeel es el cifrado homórfico por varias razones:

  • Esta tecnología permite la protección de extremo a extremo, ya que en ningún momento del proceso es necesario descifrar los datos biométricos originales.
  • La comparación se produce exclusivamente dentro del entorno transformado (cifrado), y solo se descifra el resultado final de la coincidencia (matching score).
  • El cifrado se realiza utilizando un contexto específico (claves criptográficas) que se almacena de forma segura y separada en un gestor de secretos externo.
  • Para garantizar la robustez a largo plazo, el sistema emplea algoritmos que forman parte de los candidatos a finalistas en el proceso de estandarización de criptografía post-cuántica del NIST, lo que lo hace teóricamente resistente incluso en un escenario futuro con computación cuántica.
  • Adicionalmente, la solución cumple con todos los requisitos establecidos por la norma ISO 24745, que guía la protección de la información biométrica.

 

 

Almacenamiento seguro y cifrado homomórfico

Los vectores biométricos se almacenan cifrados utilizando criptografía homomórfica para garantizar la seguridad y privacidad de los datos.

La criptografía o cifrado homomórfico permite realizar operaciones biométricas directamente sobre vectores cifrados, sin necesidad de descifrarlos. Esto garantiza que nunca se trabaje con la información original del vector biométrico, asegurando la seguridad del proceso.

De esa forma, los vectores siempre estarán cifrados en la base de datos y cada cliente tendrá asignada una clave de cifrado almacenada de manera segura y separada de los datos, en un gestor de secretos. La estructura espacial de los vectores se mantiene, permitiendo realizar operaciones biométricas sin necesidad de descifrar los datos, lo que garantiza la seguridad del proceso.

El cifrado homomórfico es el complemento perfecto para las RBRs, ya que si la RBR es ya de por sí irreversible e irrevocable, al añadir cifrado homomórfico, la comparación se realiza de forma opaca:

  • En un esquema tradicional, la RBR o la plantilla se descifraría en memoria para compararse con la captura en tiempo real → esto abre una ventana de vulnerabilidad.
  • Con la criptografía homomórfica, tanto la plantilla almacenada como la muestra en vivo pueden permanecer cifradas durante todo el proceso.
  • El motor biométrico realiza la comparación encriptada y obtiene un puntaje de similitud. Solo el resultado final (match/no match) se descifra.

Esto significa que, incluso si un atacante accediera al sistema durante la verificación, no tendría acceso a los datos biométricos originales.

 

Protección y privacidad de los datos personales con la tecnología de Mobbeel

La privacidad es una cuestión central en nuestra filosofía de desarrollo. Para garantizarla, utilizamos algoritmos de modelado biométrico de última generación basados en redes neuronales profundas, que cumplen con los principios establecidos en la norma ISO 24745 sobre protección de información biométrica (no reversibilidad, no interoperabilidad, revocabilidad).

Para ello, cumplimos con la filosofía de Referencias Biométricas Renovables (RBR), enfoque avalado por el Centro Criptológico Nacional (CCN). Las RBR permiten implementar sistemas de autenticación robustos al aportar el factor de inherencia necesario para corroborar la identidad de un usuario en entornos físicos o remotos.

Para reforzar aún más la seguridad, integramos cifrado homomórfico en el almacenamiento y procesamiento de vectores biométricos. Esta tecnología permite realizar cálculos directamente sobre los datos cifrados sin necesidad de descifrarlos en ningún momento, garantizando así la privacidad de la información incluso durante su procesamiento.

Además, dentro de nuestro compromiso con la ciberseguridad y la norma ISO 27001, implementamos mecanismos avanzados de control de acceso, asegurando que solo personal autorizado pueda acceder a los sistemas críticos.

Contacta con nuestro equipo si quieres establecer mecanismos robustos de verificación de identidad en tu organización..

GUÍA

Identifica a tus usuarios mediante su cara

En esta dualidad analógico-digital, uno de los procesos que sigue siendo crucial para garantizar la seguridad es la verificación de identidad a través del reconocimiento facial. La cara, siendo el espejo del alma, proporciona una defensa única contra el fraude, aportando fiabilidad al proceso de identificación.

Descargar

GUIDE

Identify your users through their face

In this analogue-digital duality, one of the processes that remains essential for ensuring security is identity verification through facial recognition. The face, being the mirror of the soul, provides a unique defence against fraud, adding reliability to the identification process.

Download
Cifrado homomórfico en biometría

Cifrado homomórfico en biometría

Cuando un sistema te reconoce por tu cara o tu voz, no estás simplemente mostrándole algo. Estás entregando un dato personal. Un dato que no puedes...

No data found.
mobbeel
Resumen de privacidad

Utilizamos cookies propias y de terceros para garantizar el funcionamiento de la web y analizar el uso que hacen los usuarios del sitio web a fin de mejorar nuestros servicios.

Rechazar cookies

¿Qué es una cookie?

Las cookies son archivos enviados desde un servidor web que obtienen información de los dispositivos de los usuarios, por ejemplo, sobre sus preferencias y pautas de navegación.

Las cookies son esenciales para el funcionamiento de internet, ya que ofrecen soluciones técnicas que permiten al usuario navegar por los distintos sitios web; no pueden dañar el equipo/dispositivo del usuario y pueden usarse para identificar y resolver posibles errores de funcionamiento del Sitio Web. También pueden ser utilizadas con finalidades publicitarias o analíticas.

Uso de cookies por Mobbeel

Concretamente, MOBBEEL utiliza cookies propias generadas directamente por este dominio y cookies de terceros generadas desde otros sitios web ajenos a MOBBEEL, pertenecientes a terceras empresas, para las finalidades concretas que a continuación se exponen. Si en un futuro MOBBEEL utilizase otras cookies con el propósito de otorgar más y mejores servicios, se informará al usuario de ello.