Huellas, ID y anonimato en Internet

Esta semana se presentaron los nuevos teléfonos inteligentes de Apple, entre cuyas novedades hay una que me parece especialmente interesante: el Touch ID.

Se trata de un dispositivo avanzado de lectura de huella dactilar, que puede ser utilizado, según nos dicen, con total seguridad en la identificación del usuario al leer, incluso, las marcas inadvertibles subcutáneas.

Copyright © Apple, Inc. 2013, vía AppleInsider.com

Copyright © Apple, Inc. 2013, vía AppleInsider.com

Con independencia del funcionamiento final de esta nueva tecnología y de su posible margen de error en el reconocimiento de huellas (siempre lo habrá, en mayor o menor grado), lo que me ha llamado la atención son varios puntos:

  1. El ya comentado reconocimiento avanzado de la huella dactilar, con lectura y procesamiento de su relieve en 3D y subcutáneo.
  2. El uso de esta tecnología como sustitutiva de las siempre incómodas e inseguras contraseñas y, ni más ni menos, que en un proceso tan delicado como el pago (inicialmente limitado a las compras realizadas en la App Store de Apple).
  3. El almacenamiento de estos datos exclusivamente en el dispositivo (de hecho, en una parte del propio nuevo procesador A7) sin que, en ningún caso, pueda ser accedido por Apple o por terceros y sin, ni siquiera, incluirse en copias de seguridad o ser subido a la “nube” de Internet. (¿Ni PRISM?)

Obviando el primer punto, pues el tiempo dirá lo revolucionario y/o exacto o no de esta tecnología, me permitiré un par de reflexiones sobre los dos restantes.

Respecto al punto 2, desde hace muchos años se ha buscado la “piedra filosofal” de la plena identificación de usuarios en Internet. Los sistemas actuales, además de inseguros, nos resultan complejos y poco fiables. A nivel jurídico, el único medio plenamente reconocido es la firma electrónica, especialmente la basada en tecnología criptográfica asimétrica y emitida según estrictos requisitos legales y de seguridad.

Sin embargo, hasta para utilizar esta última, es necesario recordar un “PIN” o contraseña (por no hablar de los asociados a tarjetas de pago). Es aquí donde la biometría se nos ha presentado como la “gran esperanza” para una plena seguridad en las transacciones: lectura de huella dactilar, de iris ocular o reconocimiento facial suponen un medio cómodo, aunque presenta importantes interrogantes en cuanto a la fiabilidad de la tecnología de reconocimiento actual y, en su caso, la mayor o menor facilidad de poder engañarla o “suplantar” una identidad con su ayuda.

Legalmente, se hace necesario un sistema seguro que garantice la validez de la prestación del consentimiento en las transacciones online, mediante la identificación del usuario, sin sacrificar su usabilidad y sencillez y, así, lograr su amplia implantación.

Sin embargo, no debemos olvidar que todo sistema de reconocimiento e identificación de sujetos en Internet debe ser controlado por el propio usuario, salvo autorización expresa o dispensa legal. Todos tenemos el derecho a ser “anónimos” en la Red, mientras no queramos identificarnos (o nos veamos impelidos a ello en virtud de obligación o excepción legal, cumpliendo tanto los requisitos como el procedimiento oportuno).

En base a ello, se hace especialmente interesante lo contemplado en el punto 3, al garantizarse, según se nos dice, que los datos identificativos de nuestro reconocimiento dactilar quedarán siempre bajo nuestro exclusivo control, sin salir en ningún caso del hardware de nuestro dispositivo. Esto se hace especialmente importante en una era donde la privacidad de los dispositivos móviles está en entredicho ante los recientes casos de PRISM y la NSA.

Quedan aún muchos interrogantes pendientes, que se irán aclarando al observar el funcionamiento y realidad final de la tecnología. De todos modos, será interesante ver su evolución así como su posible vinculación, mediante API, a nuestra actual tecnología de firma electrónica y de DNIe. La seguridad jurídica en las transacciones daría un salto cualitativo.

Como siempre, el tiempo lo dirá.