Introducción
La biometría comprende un conjunto de técnicas destinadas a medir y analizar características físicas, fisiológicas o conductuales de una persona para reconocerla, verificar su identidad o vincularla con un registro determinado.
A diferencia de una contraseña, que es algo que la persona sabe, o de una tarjeta, que es algo que la persona posee, la biometría utiliza algo que la persona es o una forma característica en la que actúa. Entre sus manifestaciones más conocidas se encuentran las huellas dactilares, el rostro, el iris, la voz, la geometría de la mano, la forma de caminar, la firma y el ritmo de escritura en un teclado.
Estas tecnologías se utilizan en teléfonos móviles, controles de acceso, sistemas bancarios, documentos de identidad, pasos fronterizos, aplicaciones gubernamentales, investigación criminal, dispositivos conectados a Internet y sistemas empresariales. Su utilización plantea, sin embargo, problemas jurídicos especialmente relevantes: privacidad, consentimiento, vigilancia, discriminación algorítmica, seguridad de las bases de datos y responsabilidad por identificaciones erróneas.
1. Concepto de biometría
La palabra biometría procede de las expresiones griegas bios, vida, y metron, medida. En sentido técnico, consiste en medir características humanas suficientemente distintivas como para comparar a una persona con un patrón previamente registrado.
Definición jurídica en Uruguay
La Ley N.º 18.331 considera datos biométricos a los datos personales obtenidos mediante un tratamiento técnico específico, relativos a características físicas, fisiológicas o conductuales de una persona física, que permitan o confirmen su identificación única.
No toda fotografía, grabación de voz o filmación constituye automáticamente un dato biométrico. Adquiere esa naturaleza cuando se somete a un tratamiento técnico destinado a extraer características que permitan identificar o autenticar a una persona.
- Una fotografía familiar almacenada en un teléfono es una imagen personal.
- La misma fotografía procesada para calcular un vector facial integra un tratamiento biométrico.
- Una grabación de conversación es un dato personal acústico.
- La extracción de características de la voz para reconocer al hablante constituye biometría de voz.
La biometría no trabaja normalmente mediante una mera apreciación visual humana, sino mediante procedimientos matemáticos y computacionales.
2. Identificación y verificación biométrica
Verificación
La persona afirma previamente quién es y el sistema comprueba esa afirmación comparando la muestra con una plantilla concreta.
Pregunta técnica: “¿Esta muestra pertenece a la persona que dice ser?”
Ejemplo: desbloqueo de un teléfono mediante la huella registrada de su titular.
Identificación
El sistema compara una muestra con muchas plantillas de una base de datos para determinar a quién podría pertenecer.
Pregunta técnica: “¿A cuál de las personas registradas pertenece esta muestra?”
Ejemplo: búsqueda de una huella dentro de una base de datos criminalística.
3. Tipos de biometría
3.1. Biometría fisiológica
Se basa en características corporales o anatómicas.
Huella dactilar
Analiza crestas, valles, bifurcaciones y terminaciones presentes en los dedos. Los algoritmos tradicionales extraen puntos característicos denominados minucias, cuya posición, dirección y clase conforman una plantilla.
Los sensores pueden ser ópticos, capacitivos, ultrasónicos, térmicos, multiespectrales o sin contacto.
Reconocimiento facial
Los sistemas modernos utilizan redes neuronales para producir una representación matemática denominada embedding o vector facial. El algoritmo intenta mantener la identidad pese a variaciones de iluminación, expresión, edad, orientación o calidad.
Iris
Analiza los patrones de la zona coloreada del ojo. El proceso suele incluir localización, segmentación, normalización, extracción de textura, generación de un código y comparación. Los métodos clásicos han utilizado filtros y ondas de Gabor.
Retina, mano, venas y ADN
La biometría también puede analizar patrones vasculares de la retina, geometría de la mano, venas del dedo o la palma y perfiles genéticos. El ADN posee una enorme capacidad identificatoria, aunque no suele emplearse para autenticación instantánea y puede revelar información adicional sobre salud, parentesco o ascendencia.
3.2. Biometría conductual
Se basa en formas características de actuar.
- Voz: timbre, frecuencia, ritmo, formantes y características espectrales.
- Firma dinámica: presión, velocidad, aceleración, orden y duración de los trazos.
- Dinámica de teclado: tiempo de pulsación e intervalos entre teclas.
- Marcha: pasos, movimientos corporales y balanceo de brazos.
- Comportamiento digital: movimientos del ratón, presión táctil y uso habitual del dispositivo.
3.3. Sistemas multimodales
Combinan varias características, como rostro y voz, huella y rostro, iris y documento o biometría y una clave criptográfica. Pueden reducir ciertos errores y dificultar suplantaciones, pero aumentan la cantidad de datos tratados y el impacto de una filtración.
4. Cómo funciona un sistema biométrico
Captura de la muestra
↓
Control de calidad
↓
Detección de presencia real
↓
Preprocesamiento
↓
Extracción de características
↓
Generación de plantilla biométrica
↓
Comparación
↓
Puntuación de similitud
↓
Aplicación de un umbral
↓
Aceptar, rechazar o remitir a revisión
4.1. Captura y control de calidad
Un sensor obtiene una muestra mediante una cámara, lector de huellas, micrófono, escáner de iris, sensor infrarrojo o superficie táctil. Luego se comprueba nitidez, iluminación, ruido, resolución, orientación, integridad y presencia de oclusiones.
4.2. Preprocesamiento
Se normaliza la muestra mediante reducción de ruido, corrección de iluminación, recorte, rotación, segmentación, aumento de contraste o transformación al dominio de frecuencias.
4.3. Extracción y plantilla
El sistema extrae rasgos matemáticos relevantes: minucias, vectores faciales, códigos de iris, coeficientes de voz o patrones temporales. La plantilla no es idéntica a la imagen original, pero sigue siendo un activo extremadamente sensible.
4.4. Comparación y decisión
Puntuación obtenida: 0,87
Umbral de aceptación: 0,82
Resultado técnico: coincidencia aceptada
Un umbral bajo facilita la aceptación, pero puede aumentar falsas coincidencias. Un umbral alto reduce aceptaciones indebidas, aunque puede rechazar a usuarios legítimos.
5. Principales usos de la biometría
Dispositivos móviles
Desbloqueo, pagos, acceso a contraseñas y autorización de operaciones.
Banca y finanzas
Alta remota, prueba de vida, acceso, transferencias y prevención de fraude.
Control de acceso
Edificios, oficinas, centros de datos, hoteles y áreas restringidas.
Identidad civil
Documentos, pasaportes, prestaciones, registros y eliminación de duplicados.
Fronteras
Puertas automáticas, comparación con pasaportes y listas de observación.
Investigación forense
Huellas, rostro, voz, imágenes, identificación de cadáveres y ADN.
Salud
Identificación de pacientes y control de acceso a historias clínicas.
Internet de las cosas
Cerraduras, automóviles, wearables, hogares y terminales industriales.
6. Lenguajes de programación utilizados
No existe un único “lenguaje de biometría”. La elección depende de la etapa del sistema: sensores, algoritmos, inteligencia artificial, aplicación móvil, backend, base de datos o dispositivo embebido.
Python
OpenCV, NumPy, SciPy, scikit-learn, TensorFlow, PyTorch y herramientas de audio.
Ventajas: rapidez de desarrollo y enorme ecosistema científico.
Limitaciones: menor rendimiento puro y menor adecuación al tiempo real estricto.
C y C++
Drivers, SDK de sensores, procesamiento de imágenes, inferencia y sistemas embebidos.
Ventajas: velocidad, baja latencia y control del hardware.
Limitaciones: complejidad y mayor riesgo de errores de memoria.
Java y Kotlin
Aplicaciones Android, servidores, integración con SDK comerciales y sistemas de identidad.
Swift y Objective-C
Integración con Face ID y Touch ID mediante APIs administradas por el sistema.
C# y .NET
Aplicaciones de escritorio, terminales, servicios web e integración con Windows Hello.
JavaScript y TypeScript
Interfaces, Node.js, WebAuthn, paneles de administración y modelos en navegador.
Dart y Flutter
Aplicaciones para Android, iOS, Windows, Linux y web, usando complementos nativos.
Go y Rust
APIs, microservicios, concurrencia, criptografía y componentes de infraestructura.
SQL y bases de datos
SQL se utiliza para administrar identidades, referencias a plantillas, eventos, autorizaciones, auditorías y períodos de conservación. Las plantillas no deben guardarse como simples archivos sin cifrado, segregación de funciones y trazabilidad.
7. Sistemas y plataformas biométricas
- AFIS: sistema automatizado de identificación de huellas.
- ABIS: sistema automatizado multimodal con huellas, rostro, iris y datos biográficos.
- Android: autenticación mediante APIs del sistema como BiometricPrompt.
- Apple: autenticación local con LocalAuthentication, Face ID y Touch ID.
- Windows Hello: rostro, huella o PIN vinculados a claves criptográficas.
- Linux: servidores biométricos, cámaras inteligentes y sistemas embebidos.
- RTOS: FreeRTOS, Zephyr y otros sistemas para dispositivos de recursos limitados.
- FIDO2 y WebAuthn: autenticación local más firma criptográfica, sin enviar la plantilla al sitio web.
8. Precisión y métricas
- FAR: probabilidad de que un impostor sea aceptado.
- FRR: probabilidad de que un usuario legítimo sea rechazado.
- EER: punto en que las tasas de falsa aceptación y falso rechazo son equivalentes.
- Fallo de adquisición: el sensor no obtiene una muestra utilizable.
- Fallo de enrolamiento: la persona no puede ser registrada correctamente.
La precisión varía según sensor, iluminación, ruido, edad, lesiones, humedad, posición, tamaño de la base, población analizada, datos de entrenamiento y umbral seleccionado.
9. Ataques y medidas de seguridad
9.1. Ataques de presentación
Intentan engañar al sensor mediante huellas artificiales, fotografías, vídeos, máscaras, reproducciones de voz, prótesis, pantallas o imágenes impresas.
9.2. Ataques digitales
Se dirigen contra la comunicación, la base de plantillas, las APIs, el servidor, el software del sensor, el enrolamiento o los registros de auditoría.
9.3. Detección de vida
La liveness detection intenta verificar que la muestra proviene de una persona presente. Puede ser activa —pidiendo parpadear o girar la cabeza— o pasiva, analizando textura, profundidad, reflejos y micro movimientos.
9.4. Protección de plantillas
- cifrado en tránsito y en reposo;
- almacenamiento local cuando sea posible;
- separación entre datos biográficos y biométricos;
- módulos seguros de hardware;
- control de acceso por funciones;
- registro y auditoría de operaciones;
- detección de vida;
- autenticación multifactor;
- eliminación segura y conservación limitada.
10. Marco jurídico uruguayo
10.1. Ley N.º 18.331
La Ley de Protección de Datos Personales y Acción de Habeas Data constituye la norma central. Su artículo 4 contiene la definición de datos biométricos y su artículo 18 bis exige realizar previamente una evaluación de impacto en la protección de datos personales.
Deben respetarse los principios de legalidad, finalidad, veracidad, consentimiento informado cuando corresponda, seguridad, confidencialidad, responsabilidad, necesidad y proporcionalidad.
10.2. Evaluación de impacto
La Resolución N.º 30/020 de la Unidad Reguladora y de Control de Datos Personales dispone la evaluación de impacto para tratamientos de datos biométricos. Debe analizar finalidad, necesidad, arquitectura, riesgos, seguridad, conservación, proveedores, transferencias, errores e incidentes.
10.3. Consentimiento y otras bases jurídicas
Cuando el consentimiento sea la base utilizada, debe ser previo, libre, informado, específico e inequívoco. En relaciones laborales, educativas o de dependencia debe examinarse especialmente si la negativa puede ejercerse sin consecuencias.
10.4. Finalidad y minimización
Los datos deben ser adecuados y limitados a la finalidad. Una biometría obtenida para permitir el ingreso a un edificio no debería reutilizarse automáticamente para vigilancia, productividad, marketing o disciplina.
10.5. Transparencia
La persona debe conocer, entre otros extremos:
- quién es el responsable;
- qué se captura y qué plantilla se genera;
- con qué finalidad y fundamento jurídico;
- dónde se almacena y por cuánto tiempo;
- si existen proveedores o transferencias internacionales;
- cómo ejercer sus derechos;
- qué alternativa existe si no puede usar la biometría.
10.6. Proveedores, nube y transferencias
La contratación de un proveedor no elimina la responsabilidad del responsable del tratamiento. Deben evaluarse servidores, subcontratistas, cifrado, acceso, eliminación, incidentes, auditorías, jurisdicción y transferencias internacionales.
10.7. Derechos y decisiones erróneas
Los titulares pueden ejercer derechos de información, acceso, rectificación, actualización, inclusión, supresión, impugnación y habeas data. Los sistemas de alto impacto deben prever revisión humana, reclamación, segundo factor y procedimiento alternativo.
11. Criterios para una implementación responsable
- Definir el problema concreto que se pretende resolver.
- Justificar por qué la biometría es necesaria.
- Examinar alternativas menos invasivas.
- Determinar si se realizará verificación 1:1 o identificación 1:N.
- Precisar qué muestra y qué plantilla serán almacenadas.
- Elegir procesamiento local, en el borde o en la nube.
- Realizar la evaluación de impacto antes del despliegue.
- Definir la base jurídica y la información al titular.
- Evaluar proveedor, alojamiento y transferencias internacionales.
- Incorporar detección de vida y autenticación multifactor cuando corresponda.
- Medir sesgos, falsos positivos y falsos negativos.
- Establecer plazos de conservación y eliminación segura.
- Prever una alternativa para quien no pueda utilizar la biometría.
- Asignar responsabilidades frente a errores, incidentes y filtraciones.
Conclusión
La biometría combina sensores, procesamiento de señales, algoritmos de extracción, plantillas, motores de comparación, bases de datos y mecanismos de decisión. Python resulta especialmente útil para investigación e inteligencia artificial; C y C++ para sensores y alto rendimiento; Java, Kotlin, Swift y C# para aplicaciones nativas; JavaScript, TypeScript y Flutter para interfaces y soluciones multiplataforma; Go y Rust para servicios e infraestructura segura.
La cuestión decisiva no es solamente qué lenguaje se utiliza. Importa cómo se diseña la arquitectura, dónde se procesa la información, qué se conserva, quién accede y qué consecuencias genera una coincidencia o un error.
Desde el derecho uruguayo, el tratamiento biométrico exige finalidad legítima, base jurídica adecuada, transparencia, medidas reforzadas de seguridad y evaluación de impacto previa. La biometría puede mejorar la seguridad, pero también puede convertirse en un instrumento de vigilancia, exclusión o suplantación si se implementa sin garantías.
Fuentes y referencias
- Ley N.º 18.331 — Protección de Datos Personales y Acción de Habeas Data.
- URCDP — Resolución N.º 30/020 sobre evaluación de impacto en tratamientos biométricos.
- URCDP — Dictamen N.º 30/023 sobre reconocimiento facial y fe de vida.
- Android Developers — BiometricPrompt.
- Apple Developer — LocalAuthentication.
- Microsoft Learn — Windows Hello for Business.
- FIDO Alliance — FIDO2 y WebAuthn.
- Material técnico aportado: introducciones a tecnologías biométricas, reconocimiento de huellas, anti-spoofing, biometría en IoT y guías de tratamiento responsable de datos biométricos.