Verano. Aeropuertos y estaciones llenas. Festivales y conciertos al aire libre, también. Pronto llegará la hora de abarrotar los estadios de fútbol. Una tecnología está al quite para asistir en la gestión de multitudes. El reconocimiento facial
La revista digital The Conversation ha publicado dos artículos que alertan del riesgo del uso entusiasta del reconocimiento biométrico generalizado tanto si está en manos de agentes privados como de la policía. Los resumimos.
Cinco riesgos a tener en cuenta
“En un mundo en el que las contraseñas se han convertido en un engorro (¿quién recuerda el centenar que debería usar todos los días?) y, al mismo tiempo, en un problema de seguridad (porque se dejan en blanco, se reutilizan, se comparten, se adivinan), el reconocimiento facial parece la solución ideal.
Sin embargo, no todo es perfecto cuando usamos este sistema. Utilizar un atributo biométrico, como puede ser nuestra cara, para realizar procesos de verificación de identidad, implica riesgos. El primero tiene que ver con la naturaleza de los datos que se procesan para realizar la verificación de identidad.
Como ya se ha mencionado, se trata de datos biométricos muy sensibles que pueden identificarnos, es decir, permitir que un tercero averigüe nuestra identidad real (algo sencillo hoy en día a partir de una cara con un simple buscador de internet). También permiten ligar nuestra cara a nuestras actividades, y asociar, además, metadatos tan críticos como la geolocalización, una dirección IP, las características únicas de un dispositivo determinado (nuestro móvil, por ejemplo). Es posible también que no permitan que neguemos haber realizado una actividad o haber estado en un sitio concreto a una hora concreta.
El segundo riesgo tiene que ver con el desequilibrio de poder. Normalmente, quien realiza el proceso de verificación de identidad (una aerolínea, un banco, un operador de telecomunicaciones) no ofrece otras alternativas para realizarlo: o es mediante reconocimiento facial o no es. Y esto hace que el consentimiento que proporciona el sujeto no sea libre, quiere coger su vuelo a tiempo, necesita abrirse esa cuenta bancaria. Y, en muchos casos, ni siquiera es informado, ya que no se comprende bien ni qué datos se procesan exactamente ni para qué. ¿Se quedan guardados? ¿Cuánto tiempo? ¿Se usan para algo más? ¿Se comparten con otros?
El tercer riesgo tiene que ver con el uso de bases de datos centralizadas. Casi todos estos procesos de verificación de identidad se basan en almacenar, en un repositorio único, identidades de sujetos y los datos de sus caras, para poder realizar las comprobaciones oportunas, las verificaciones. ¿Y si esta base de datos no se protege adecuadamente? ¿Quién puede acceder a ella? ¿Con qué permisos? ¿Y si un atacante la roba?
El cuarto riesgo tiene que ver con la colaboración de una gran cantidad de entidades diferentes en estos procesos. Normalmente, quien opera el sistema (la aerolínea, el banco) confía en proveedores especializados para realizar la captura de los datos, para preprocesarlos, para realizar el reconocimiento facial, para almacenar esas bases de datos centralizadas con toda la información. Cada una de estas entidades tiene sus propias políticas de seguridad y privacidad, está afectada por una normativa o legislación diferente, etc. ¿Quién asume cada responsabilidad? ¿Todos saben qué se espera de ellos y cómo tienen que proteger los datos?
Y el quinto y último riesgo tiene que ver con el rendimiento de estos procesos. ¿Qué ocurre con un falso positivo? Que alguien puede suplantar a otra persona, tiene permiso para hacer lo que ha solicitado en su nombre porque el sistema reconoce su cara como la asociada a una identidad que no es la suya realmente. Y ¿con un falso negativo? ¿Qué ocurre si por usar gafas o maquillaje o por nuestros rasgos o por una cicatriz el sistema no nos reconoce? Se nos deniega el permiso para hacer aquello que necesitamos. Lo que, cómo mínimo, implicará un retraso, una cola, o molestias adicionales. Esto último suele pasar, en mayor medida, con mujeres o con personas cuya raza es diferente a la caucásica porque los sistemas suelen entrenarse mayoritariamente para reconocer las caras de hombres blancos”.
Marta Beltrán, profesor de Ciberseguridad en la Universidad Rey Juan Carlos. Artículo completo
¿Qué se puede hacer?
“Los equipos encargados de hacer cumplir la ley podrían realizar dos pasos preliminares antes de recurrir al reconocimiento facial: reconocimiento de actividad o detección de acciones. Este enfoque puede ayudar a minimizar las posibles violaciones de la privacidad así como la generación de falsos positivos.
El reconocimiento de actividad se refiere al proceso de identificación y categorización de actividades o acciones humanas basadas en la información que proporcionan circuitos cerrados de televisión (CCTV) u otros sensores. Su objetivo es comprender y reconocer las actividades de individuos o grupos, que pueden incluir actividades normales como correr, sentarse o comer.
Por otro lado, la detección de acciones se enfoca a identificar sucesos específicos de interés dentro de un contexto. Las acciones pueden variar desde actos simples como un automóvil que pasa o una persona que entra a una habitación hasta sucesos más complejos como accidentes, peleas o comportamientos inusuales. Los algoritmos de detección de acciones generalmente analizan cámaras y otros sensores.
Por lo tanto, el reconocimiento de actividad o la detección de acciones debe ser el primer paso antes de aplicar el reconocimiento facial a la transmisión de una cámara de vigilancia.
Garantizar que los datos de las cámaras permanezcan anónimos también puede permitir que la policía estudie las actividades de las personas en la multitud mientras preserva su privacidad. La realización de auditorías y revisiones periódicas puede garantizar que los datos recopilados se manejen de manera responsable y de conformidad con las normas de privacidad.
Esto también puede ayudar a abordar algunas de las preocupaciones relacionadas con la transparencia y la precisión. Al utilizar el reconocimiento de actividad o la detección de acciones como primer paso, es posible que las personas tengan más claro, por ejemplo, a través de la señalización, lo que hace la vigilancia policial en un lugar público.
Es responsabilidad del estado garantizar la privacidad y seguridad de sus ciudadanos para fomentar una sociedad saludable. Pero si el reconocimiento facial se implementa de manera que una proporción significativa de ciudadanos sienta que infringe sus derechos, podría generarse una cultura de sospecha y una sociedad en la que pocas personas se sientan seguras expresándose públicamente”.
