LA ILUSIÓN DE LA EXCLUSIVIDAD BIOMÉTRICA:

Iván Díaz ( Enero 2026), México

    Nos han vendido la idea que el uso de los biométricos como factor de autenticación es muy seguro, debido a que es un mecanismo de identificación que nos pertenece exclusivamente a nosotros y sin nosotros no se puede utilizar, aunque ya hemos visto casos en los cuales a través de cámaras virtuales se pueden suplantar las identidades de pruebas de vida o de evaluación biométrica de reconocimiento facial, lo cual deja al descubierto que no es infalible en términos de la tecnología, sino que depende al igual que una contraseña o un token, del cuidado del usuario y de los controles que el usuario realice para evitar compartirlo o ponerlo en riesgo.

    Los factores de autenticación son elementos de una identidad de una persona que están basados en un identificador único generado y los elementos de autenticación en el contexto del sistema como parte de un acuerdo entre la persona y sistema(mismo que es administrado por una persona), para aclarar esta conceptualización, vamos a poner el ejemplo en el contexto de un banco, de primera instancia el banco no conoce a Ivan Díaz González en el contexto del sistema y para ello se genera un identificador único que la institución denominara número de cliente que para el ejemplo será 0000001, a ese número de cuenta se le asigna un producto denominado número de cuenta que para el ejemplo será 0000011, para aclarar que tanto el número de cuenta como el número de cliente se encuentran como parte de un acuerdo se firma un contrato de prestación de servicios o términos y condiciones, en el cual se establece la relación de la identidad de Ivan Díaz González con la institución financiera estableciendo estos dos números como reconocidos por ambas partes para la individualización de las operaciones entre ambos. Es importante mencionar que solo es un ejemplo y no es para sobresimplificar el contrato, ya que además se deberían de realizar operaciones de “Conocimiento del Cliente”, factores de riesgo y otros elementos.

    Una vez que se tiene el identificador único reconocido por ambas partes (Institución y Titular), se tiene que pactar entre ambos cual es el mecanismo para autenticar que este identificador único es utilizado únicamente por el titular para realizar las transacciones, si recordamos años atrás, se tenia registros de las firmas de los cheques para autenticar que una operación por cheque era valida, que en términos generales la firma autógrafa, en mi opinión es un factor de autenticación de conocimiento, ya que lo que se requiere es conocer el conjunto de trazos, ya que los rasgos de la misma suelen cambiar de firma en firma, aunque los grafólogos podrán debatir este tema no es el interés de este artículo confrontar su postura. También el planchado de la tarjeta era un proceso de autenticación en este caso de posesión más de conocimiento, ya que se debía presentar la tarjeta como factor de autenticación de posesión y la firma como factor de autenticación de conocimiento. Por lo anterior, se puede deducir que desde los años 80s o más ya se tenían múltiples factores de autenticación.

    Ahora en medios electrónicos, estos factores de autenticación se han transformado en elementos electrónicos o mensajes de datos que de igual forma son pactados entre la institución y el titular para poder validar las operaciones en este sentido la contraseña hace a la firma como la tarjeta permanece como factor de autenticación, solo que en lugar de dejar una representación en papel, se mantiene un registro electrónico de la información integrada en el chip y que se resguarda en una base de datos en lugar de en un archivero.

    Conforme han avanzado las tecnologías, se ha buscado la facilidad para los usuarios, en este sentido cada vez el pacto entre la institución y el titular se vuelve menos protocolario y más simple, hasta llegar a las aplicaciones móviles en donde simplemente se requiere la descarga de una aplicación en el dispositivo móvil y con un conjunto de datos como el numero de cliente, una contraseña, número de teléfono y en algunos casos una fotografía, con ello se realiza la aceptación de un contrato de forma voluntaria y consentida para que se establezcan un canal de instrucción (como si fuera un cheque o un planchado de tarjeta), para llevar a cabo las operaciones de forma individualizada que instruye el titular a la institución mediante la identificación del usuario a través del numero de cuenta con la contraseña y el token (software integrado en la aplicación móvil).

    El tema del token por medio del software es un hito, ya que se genera de forma automática por cada transacción y en muchas de las aplicaciones móviles de instituciones financieras no requieren al usuario para que realice una interacción y se genera como parte del proceso únicamente como parte del ciclo de operación de la aplicación y esto se debe a que mayoritariamente se hace referencia en los términos y condiciones de las aplicaciones que el dispositivo en el cual se instala la aplicación es de uso personal y se prevé por lo tanto que el dispositivo solo es accesible por el titular y es de su propiedad, por lo tanto, su número de teléfono registrado como el dispositivo refiere a un elemento conformante del factor de autenticación de posesión para la ejecución del programa de cómputo que genera las claves del Token.

    Debido a lo explicado en los párrafos anteriores, se puede deducir que en caso de que una persona instale la aplicación móvil de un banco en un dispositivo que es utilizado por más de una persona y que además de ello guarda las contraseñas para escritura automática o las guarda en un archivo accesible para todos los usuarios, por defecto está distribuyendo su identidad y por lo tanto sus factores de autenticación de forma consiente y voluntaria y por lo tanto, jurídicamente esta poniendo en riesgo su dinero y por lo tanto la seguridad de la aplicación, es como si una persona le diera su tarjeta a otra persona de forma voluntaria y consentida y que también le diera el NIP para pagar en la tienda en lo que va al baño.

    Pero empecé hablando de la biometría y no ha abundado en el tema y es que, así como está la condición de los factores de autenticación mas conocidos como contraseña y token también tenemos una situación similar con los biométricos. Para ello seguiré con el ejemplo, ya el usuario Ivan con numero de cliente y número de cuenta asignado, baja la aplicación móvil de su Institución Financiera contratada, pero previamente tiene en su teléfono registrada su huella digital y la de dos personas mas para tener acceso a su dispositivo y además tiene el reconocimiento facial de él y las mismas dos personas, por lo tanto, hay 3 personas que pueden acceder al dispositivo por medio de biométricos.

    En esas condiciones, Ivan instala la aplicación de banca móvil captura todos los datos para su uso y activa el servicio de banca móvil, leyendo los términos y condiciones, así como los avisos de privacidad y todos los legales que aparecen en el proceso de alta, mismos que acepta sin ninguna restricción, durante el proceso su dispositivo muestra una sección en donde le dice que puede guardar la contraseña en el baúl de llaves del dispositivo que se encuentra seguro, pero decide no utilizar esta opción. Al término del proceso y en la primera autenticación, la aplicación móvil le muestra una sección que hace referencia a utilizar la huella o biométricos para acceder a su banca electrónica, Ivan al haber escuchado que los biométricos son más seguros, ve esto como una buena opción y en este caso le pide que teclee la contraseña y al estar activada la casilla de biométricos le pide firmar unos términos y condiciones del uso de biometría y le pide que autentique su biometría para validar en el dispositivo. Con estos simples pasos Ivan ya puede entrar a su aplicación de banca electrónica con sus biométricos y puede realizar transacciones con sus biométricos “seguros”.

    Meses después, Ivan olvida su teléfono en casa en lo que se va a jugar un partido, por lo que, estará fuera de casa 4 horas, una de las personas que tiene acceso al teléfono le iba a pedir a Ivan que realizará una transferencia a un proveedor, pero se da cuenta que el teléfono se encuentra en casa, entre la desesperación, entra al teléfono por que ya sabe que tiene huella para acceder, y se va a la banca electrónica para validar si está abierta la cuenta, pero le pide huella digital para acceder, esta persona decide validar si su huella es aceptada y sucede lo impensado, su huella sirve para acceder y ya está la cuenta abierta para realizar operaciones, al ser de confianza y ser un proveedor que de cualquier forma se iba a pagar, se lleva a cabo la operación, llega la notificación al teléfono y la abre para reenviarla como prueba al proveedor. Cuando llega Ivan abre su teléfono y no hay registros visibles del acceso ni de las notificaciones porque ya fueron abiertas.

    Esta es una narración de un caso ficticio pero que está basado en un hechos muy reales que he tenido que evaluar y estudiar, los factores de autenticación biométrica de algunas de las plataformas tecnológicas de instituciones de diversos sectores, utilizan los registros biométricos que se encuentran en el dispositivo y en los casos en los que el dispositivo tengan biometrías de otras personas se crean vínculos por que el concepto de un dispositivo móvil es para uso personal y por ende no tiene una restricción para la evaluación de diferenciación de la biometría entre diferentes personas y por lo tanto, los términos y condiciones de las aplicaciones están adaptados a este tipo de operación sin abundar en los detalles de las múltiples identidades que se encuentran en un dispositivo.

    Este es un tema que es de gran relevancia en la actualidad para la prevención de fraudes y suplantación de la identidad a través de aplicaciones móviles, por lo tanto, dejo a su consideración las siguientes recomendaciones para comprender que el uso de biometría no exime de responsabilidad y que la "voluntad" se manifiesta en la configuración del dispositivo.

1. Principio de Uso Personal y Propiedad del Dispositivo: Asegúrese de que el dispositivo móvil no sea compartido. Jurídicamente, la aceptación de términos y condiciones presupone que el dispositivo es de uso exclusivo del titular. Compartirlo puede interpretarse como una transferencia voluntaria de sus factores de autenticación.

2. Depuración de Registros Biométricos: Antes de vincular una aplicación, elimine cualquier huella o rostro de terceros registrados en el sistema operativo del teléfono. La aplicación suele confiar en el "almacén de biométricos" del dispositivo sin distinguir a quién pertenecen.

3. No delegar la Identidad Digital: Evite registrar huellas de familiares o colaboradores "por emergencia". En el ámbito legal, esto equivale a entregar una tarjeta bancaria firmada y el NIP a un tercero, diluyendo la responsabilidad de la institución financiera ante cargos no reconocidos.

4. Gestión de Notificaciones y Trazabilidad: Mantenga activas las notificaciones push de transacciones y no permita que otros tengan acceso a ellas. La apertura de una notificación por un tercero puede ocultar rastros de un acceso no autorizado.

5. Revisión Crítica de Términos y Condiciones (TyC): Los abogados deben analizar que el consentimiento para usar biometría suele incluir cláusulas donde el usuario acepta que el dispositivo es seguro. Una mala configuración del hardware invalida cualquier reclamo posterior de "suplantación".

6. Cuidado con el Autocompletado: No guarde contraseñas en archivos de texto o notas accesibles. La existencia de estos archivos demuestra una falta de diligencia debida en la custodia de los factores de conocimiento.

7. Diferenciación de Factores: Entienda que el token digital suele estar ligado a la posesión del dispositivo. Si el dispositivo se compromete por un acceso biométrico compartido, el factor de posesión (token) y el de biometría caen simultáneamente.

8. Necesidad de la Pericial Informática: Ante un litigio por operaciones no reconocidas, es imperativo realizar una pericial informática. Solo un experto puede determinar si la aplicación bancaria discriminó correctamente la biometría o si existían múltiples identidades vinculadas al hardware en el momento de la transacción.