en inglés/in English

Las industrias de las tarjetas inteligentes y la biometría intentan mostrarles a los legisladores cómo estas tecnologías pueden mejorar la privacidad en lugar de invadirla

Por Zack Martin, Editor

RFID. Es difícil imaginar cómo cuatro pequeñas letras pueden hacer que muchos imaginen tan grandes maldades. Con sólo mencionar RFID (Identificación por Radiofrecuencia), las personas se imaginan el Gran Hermano de George Orwell, o cualquier otro tipo de espectro omnipresente, que vigila cada paso que dan. La biometría evoca un temor similar entre la gente.

Es difícil señalar el momento exacto en que comenzó esta controversia sobre la tecnología de la identificación. Algunos sitios en Internet indican que la Biblia presagió la alta tecnología de la identificación y la biometría, e incluso la conectan con “La Marca de la Bestia”.

Entonces llegó United Colors of Benetton. En 2003 la compañía vendedora de ropa al por menor comenzó a poner chips de identificación por radiofrecuencia en sus artículos para administrar la cadena de abastecimiento. Este cambio le provocó preocupaciones a muchos, pues pensaban que la United Colors rastrearía a los clientes después que abandonaran las tiendas.

Un momento crítico fue en el 2005, cuando una escuela en el área de Silicon Valley le puso etiquetas de identificación por radiofrecuencia a las credenciales de sus estudiantes. Se suponía que la tecnología automatizara la asistencia, en cambio, creó toda una polémica sobre los derechos de privacidad, y actualmente se usa como ejemplo de lo que no se debe hacer cuando se implementa una tecnología.

Joe Simitian, senador del estado de California y legislador democrático del área donde se encuentra la escuela, aun tiene una legislación pendiente que podría restringir, sino prohibir, el uso del RFID y la tecnología sin contacto para muchas aplicaciones (ver la columna de legislaciones).

California

Identity Information Protection Act of 2007 (CA S 30)
Promulga la Ley de Protección de la Información de Identidad de 2007. Requiere documentos de identificación que son creados, mandados, comprados, o emitidos por varias entidades públicas que utilizan las ondas radiales para transmitir los datos, o permitir que los datos puedan leerse remotamente, y así cumplir con requisitos específicos. Requiere que las entidades públicas y las terceras partes autorizadas protejan esos sistemas y datos transmitidos remotamente por los documentos de identificación de cualquier acceso no autorizado. Limita la divulgación de los mismos.

Documentos de Identificación (CA S 31)
Relacionado con la Ley de Prácticas de la Información de 1977. Contempla que la persona o entidad que intencionalmente lea o intente leer de manera remota un documento de identificación de otra persona, utilizando ondas radiales, sin el conocimiento o consentimiento previo de la misma, será castigado con prisión en la cárcel del condado, una multa, o ambas. Contempla que una persona que divulga, o causa la divulgación, de las claves específicas de un sistema operativo será castigada con prisión, una multa, o ambas.

Departamento de Vehículos Motorizados: Información Personal (CA S 28)
Le prohíbe al Departamento de Vehículos Motorizados emitir, renovar, duplicar o reemplazar una licencia de conducir o tarjeta de identificación, si la licencia o tarjeta utiliza ondas radiales para transmitir la información personal de manera remota o para permitir que la información personal de la licencia o tarjeta sea leída de manera remota.

Asistencia de Estudiantes: Control electrónico (CA S 29)
Le prohíbe a una escuela pública, distrito escolar, y oficina de educación del condado entregar cualquier dispositivo a un estudiante que use ondas radiales para trasmitir información personal o para permitir que la información personal sea vista de manera remota con el propósito de registrar la asistencia de un estudiante a la escuela, estableciendo o rastreando la ubicación de un estudiante en el área escolar, o ambos.

Michigan

Dispositivos de Identificación por Radiofrecuencia (MI H 5091)
Prohíbe la inclusión de dispositivos de identificación por radiofrecuencia (RFID), o dispositivos similares, en licencias de conducir u otros tipos de licencias.

Organización Internacional de Aviación Civil (MI HCR 42)
Hace un llamado oficial al Congreso para que no se utilicen los estándares para pasaportes de la Organización Internacional de Aviación Civil de las Naciones Unidas en la creación de cualquier “iniciativa de licencia de conducir con doble propósito” en Estados Unidos, específicamente si esto significa la incorporación de chips de identificación por radiofrecuencia en una licencia de conducir del estado.

Identification Security Enhancement Act (MI HR 98)
Hace un llamado oficial al Congreso para que revoque el Título II de la Ley de Identificación Real de 2005 y apoyar el retorno a las negociaciones de las normativas con los estados, la Ley de Mejoramiento de Seguridad de la Información de 2006.

New Hampshire

Dispositivos de rastreo (NH H 686)
Regula el uso de dispositivos de rastreo en productos de consumo exigiendo etiquetas visibles a los consumidores. Esta ley también limita las circunstancias bajo las cuales un estado puede utilizar los dispositivos electrónicos de rastreo, y prohíbe que un ciudadano privado rastree electrónicamente a otra persona sin su consentimiento.

Rhode Island

Asuntos de Estado y Gobierno (RI H 8027)
Limita el uso de los dispositivos de identificación por radiofrecuencia con el propósito de rastrear los movimientos o la identidad de un empleado, estudiante o cliente como condición para obtener el beneficio o servicio de dicha agencia.

La legislación de Simitian ha provocado un grito de guerra en la industria de la identificación. Antes de que se propusieran leyes para prohibirla, muchos vendedores ni siquiera habían pensado en la importancia de hacer que los legisladores comprendan lo que hace la tecnología o cómo trabaja. Ahora muchos vendedores de la tecnología tienen cabilderos que rastrean las diversas leyes e intentan combatir las que son restrictivas.

Los vendedores se interesan ahora por los legisladores estatales, lo cual toma mucho tiempo y dinero, explica un cabildero que trabaja para la industria de las tarjetas inteligentes. La biometría también ha sufrido ataques por parte de legisladores estatales. En 2007 se aprobó una ley en Illinois prohibiendo el uso de la biometría en las escuelas sin el consentimiento de los padres. Una ley similar se aprobó en Iowa y en Arizona se propuso otra.

La industria dice que existen dos obstáculos que los vendedores tienen que rebasar para que las personas acepten estas nuevas tecnologías. Primero, está la falsa concepción del uso real que tienen estas tecnologías, lo cual se debe a cómo se han reflejado y definido en las películas y los principales medios de comunicación. Segundo, y posiblemente la más importante, los vendedores necesitan asegurarse de que la tecnología se use apropiadamente, y que garantice la privacidad en lugar de ponerla en peligro.

Introducción a la tecnología

El término más manejado, especialmente por los principales medios de comunicación, es RFID. Los legisladores y los medios utilizan este término para cualquier tipo de tecnología que use las ondas de radiofrecuencia para transmitir datos y que la información pueda leerse de manera remota, ya sea a 30 pies o a 30 centímetros. “Es difícil desafiar algunas de las afirmaciones ya que dicen ‘lo leí en el Washington Post’,” explica Kathleen Carroll, directora de relaciones gubernamentales de HID Global, un vendedor de identificación con sede en Irvine, California.

El trabajo de Carrol es mantenerse informada sobre todas las legislaciones relativas al RFID y conversar con los legisladores en las áreas donde hay leyes pendientes. Ella afirma que educar a los legisladores y a la prensa es un problema, y que la industria necesita transmitir un solo mensaje. “Sí, estas tecnologías se comunican a través de ondas radiales pero igual lo hacen los teléfonos celulares y los radios de autos”, aclara. “Necesitan que se les enseñe las diferencias entre ellas. Si miras las diferentes leyes te das cuenta que es lo mismo; estos legisladores realmente creen que invade la privacidad”.

La industria de las tarjetas inteligentes sostiene que su tecnología no debe ser considerada como RFID, sino que debe ser denominada tarjetas inteligentes sin contacto. Estos microprocesadores son utilizados en pasaportes electrónicos y en muchas de las tecnologías de pagos sin contacto que usan los bancos. La información almacenada en un chip de tarjeta inteligente sin contacto sólo puede ser leída a corta distancia y está casi siempre codificada.

Por otro lado, el RFID transmite información normalmente desde una distancia mucho mayor, midiendo en pies en lugar de pulgadas. Además, las etiquetas RFID tienen poca capacidad de memoria. El dato enviado suele ser un número de serie que corresponde con la información almacenada en la base de datos. El RFID tiene sus raíces en la administración de la cadena de abastecimiento y el rastreo de pallets y suministros, aunque los minoristas quieren usar la tecnología en algún momento para rastrear artículos y mercancía, y así sustituir los códigos de barra.

Pero no todo el mundo está de acuerdo en que la tecnología de lectura a larga distancia es solamente para etiquetar productos. El Pass Card, emitido por el Departamento de Estado de Estados Unidos, y las Licencias de Conducir Mejoradas, emitidas por el Estado de Washington y que están siendo consideradas por otros estados, utilizan el RFID de largo alcance. Estos nuevos documentos pueden usarse en lugar del pasaporte tradicional en los cruces de frontera terrestre entre Estados Unidos, Canadá y México. La tarjeta transmite un número de identificación ¬único que se enlaza con la información del titular almacenada en una base de datos a la que accede el personal de control fronterizo.

Cuando la persona se está acercando al cruce fronterizo, pone la tarjeta en el panel del auto y la misma es leída mientras el titular se acerca al punto de control. Cuando el carro llega al lado del oficial fronterizo, ya éste habrá revisado la información y falta muy poco por hacer antes de que el pasajero pueda seguir su camino.

La tecnología RFID también ha sido utilizada en el área de la educación. Una escuela suburbana de Chicago está usando la tecnología para dejar que los estudiantes salgan del campus a almorzar. La University of Washington en Seattle está experimentando con RFID para rastrear a profesores, estudiantes, personal y suministros en la Facultad de Ciencias Informáticas.

La industria de las tarjetas inteligentes insiste en que usar chips RFID en proyectos individuales de identificación compromete la seguridad. Afirma que la tecnología de tarjetas inteligentes sin contacto debería ser excluida de la legislación propuesta porque ayuda a proteger la seguridad. Asimismo, asociar la tecnología sin contacto con la de RFID puede ser complicado si los que implementan esta última enfrentan problemas de privacidad. “Si hay un fallo con un proyecto RFID, eso afectará todos los proyectos futuros”, expresa un cabildero de la industria.

Los promotores del RFID dicen que la tecnología es segura porque no puede ser usada para rastrear individuos fuera de una red. Por ejemplo, si un comerciante minorista utiliza RFID en ropas para rastrear los suministros, es muy poco probable que esa etiqueta pueda ser leída fuera de la tienda, explica Carroll. “La infraestructura para leer la etiqueta fuera de la tienda no existe”, añade.

La tecnología de la identificación es dañada por “Minority Report”

La tergiversación de la tecnología en los medios es una cuestión, y otra es como se refleja en el cine o la televisión. La industria de la biometría en particular siente que ha sido mal representada, dice Walter Hamilton, presidente de la Asociación Internacional de la Industria Biométrica (IBIA, por sus siglas en inglés). Películas como “Minority Report” (en español “El Informe de la Minoría”) y programas televisivos como “Alias” se enfocan en el uso de la biometría para rastrear individuos o para robar sus datos y hacerse pasar por el mismo. “Hollywood ha sembrado mucho miedo y desconfianza”, declara Hamilton.

En “Minority Report”, los patrones del iris de los personajes eran leídos por cámaras de video, dando como resultado anuncios dirigidos específicamente a ellos. Cuando el personaje de Tom Cruise estaba huyendo, tuvo que hacerse un trasplante de iris para poder evadir a las autoridades. En varios de los episodios de “Alias” el personaje de Jennifer Garner se apoderaba de la información biométrica de alguien y la usaba para acceder a lugares protegidos o archivos de computadora. La probabilidad de que esto suceda en la vida real es mínima, pero las películas han afectado lo que piensa la gente de esta tecnología, dice Hamilton.

Innumerables películas y programas de televisión también han representado la copia de las huellas digitales para acceder a determinados lugares. Esto ha provocado la creencia de que las imágenes de las huellas digitales se pueden copiar fácilmente y usarse para actividades ilegales.

Esta forma de pensar ha sido también reforzada por una acción reciente de hackers que están en contra del uso de la biometría. En Abril, el Chaos Computer Club, un grupo de hackers alemanes, publicaron las huellas digitales del Secretario del Interior de Alemania, Wolfgang Schäuble. Planifican publicar más huellas digitales, incluyendo las de la canciller alemana Angela Merker. El grupo publicó la huella como muestra de oposición a la creciente presión de Alemania para usar la biometría en los pasaportes. Las huellas de Schäuble fueron tomadas de un vaso en el que bebió en un panel de discusión.

El club publicó 4,000 copias de su revista “Die Datenschleuder”, incluyendo una lámina plástica que reproduce la huella del ministro – lista para pegarla en el dedo de cualquier persona. El club tiene además una página en su sitio web explicando al detalle cómo falsificar huellas digitales. Un vocero del ministro aludió a posibles acciones legales en contra del club.

Los grupos de derechos humanos británicos No2ID y Privacy International están copiando a los alemanes. Los grupos ofrecen $2,000 por las huellas digitales del Primer Ministro Gordon Brown y de la Ministra del Interior Jacqui Smith, ambos del Reino Unido.

El Sr. Hamilton de IBIA le resta importancia a estas acciones. Incluso si alguien adquiere la información biométrica de otra persona, ¿qué van a hacer con eso? Es un hecho que las personas dejan su información biométrica y ya deja de ser un gran secreto. “Hay una lógica equivocada en todo esto”, afirma. “La gente cree que la información biométrica es un secreto y no es así”.

La posibilidad de que alguien robe los datos biométricos de otro, cree copias y las use, es ínfima, aclara Hamilton. Mucho se ha hecho para evitar la posibilidad de engañar a un escáner biométrico. En el pasado, los sensores de huellas digitales han sido engañados creando moldes de gelatina de un dedo, y los escáneres de iris presentándoles una foto grande y detallada del iris de uno de sus usuarios. La industria sabe que estos engaños son un problema y tienen que tomar medidas para evitarlos.

“La mayoría de los escáneres biométricos no sólo miden el patrón, sino que lo revisan para ver si la muestra tiene características de tejido vivo”, explica. “Tenemos sensores de huellas digitales que revisan la frecuencia eléctrica de la piel y escáneres de iris que detectan el movimiento incidental”.

Mejorando la privacidad, no entorpeciéndola

El argumento más común en contra del uso de la biometría en las escuelas públicas es la preocupación por la privacidad. Hamilton afirma que cuando se usa correctamente, la biometría es una tecnología que facilita la privacidad. El uso de las huellas digitales para los programas de almuerzo en las escuelas es una de las aplicaciones biométricas más exitosas, que está siendo utilizado quizás en miles de escuelas, dice Hamilton.

Las ventajas del programa biométrico de almuerzo escolar superan las desventajas, asegura. Con un programa de huellas digitales, los estudiantes no tienen que recordar un código, presentar su identificación o usar dinero. También ofrece anonimato para aquellos estudiantes que reciben almuerzo subsidiado. “Los niños no tienen que mostrar una tarjeta especial y así no son ridiculizados por los otros estudiantes”, agrega. “Tiene además grandes ventajas en cuanto a conveniencia pues los niños tienen su información biométrica con ellos todo el tiempo”.

Hamilton está de acuerdo en que las escuelas necesitan proteger los datos biométricos. La IBIA tiene un grupo de principios que las compañías deben cumplir cuando implementan sistemas biométricos, incluyendo la codificación de los datos y asegurarse de que no caiga en las manos equivocadas. “La información biométrica tiene que ser protegida, no debe ser compartida o revelada sin el conocimiento o consentimiento del dueño”, afirma Hamilton.

Pero incluso si estos datos caen en manos de una tercera persona, es probable que cause menos daño que la pérdida del número de Seguro Social o la tarjeta de crédito, argumenta. “Ser capaz de piratear la contraseña de alguien, o averiguar su PIN, es muy sencillo”, sostiene. “Sin embargo, es muy difícil, sino improbable, tomar los datos biométricos de otra persona y usarlos para suplantar su identidad y acceder a información confidencial”.

“Se supone que la tecnología protege la privacidad, no le pone obstáculos. Me dan gracia los que le tienen miedo a la tecnología. Si pierdo mi tarjeta de crédito mañana y el emisor está usando la biometría para autenticar las compras, no podría importarme menos la pérdida.

Hamilton admite que hay muchas aplicaciones de la biometría que son preocupantes, por ejemplo, cuando la tecnología se utiliza para rastrear individuos. Esta es una aplicación que preocupó a muchos después de los ataques terroristas del 11 de Septiembre. Algunos vendedores exageraron el uso de la tecnología, diciendo que podría identificar a un terrorista entre la multitud en un evento deportivo o en un aeropuerto. “La tecnología no es tan poderosa”, asegura Hamilton.

Al final, todo se reduce a cómo se implementan las diferentes tecnologías de identificación. “La tecnología puede ser implementada en una variedad de maneras diferentes”, dice Hamilton. “Está diseñada para que no afecte la privacidad pero es la aplicación la que determina si tendrá implicaciones que la afecten.”