El 1 de diciembre entró en vigencia una regulación en China que exige a las personas a tener su rostro escaneado al momento de adquirir una nueva línea de teléfono móvil. Si no estaba al tanto de esta regulación, es probable que su reacción inicial sea -al igual que fue la mía- pensar que se trata de una infracción a los derechos de privacidad. Después de todo, ¿por qué algún gobierno necesitaría capturar mi rostro si deseo tener un teléfono móvil?
Según un artículo publicado por BBC, el gobierno chino ha declarado que quiere "proteger los derechos e intereses legítimos de los ciudadanos en el ciberespacio". Cuando se combina la posibilidad de rastrear la ubicación de una persona a través de un dispositivo móvil con el ahora escaneo y reconocimiento facial, los defensores de la privacidad puede que tengan un punto.
Pero detengámonos por un momento. El mundo está asumiendo que los datos obtenidos del escaneo facial se utilizarán de manera inapropiada, y tal vez tengan razón. Sin embargo, debemos recordar que no es la tecnología la que causa problemas de privacidad, es la forma en que se utiliza la tecnología lo que puede ser motivo de preocupación.
¿Qué problemas resolvería el escaneo/reconocimiento facial vinculado a la línea de un teléfono móvil en mi mundo como consumidor? ¿Eso haría que la incursión en mi privacidad sea aceptable siempre que se utilice correctamente?
Teléfonos como autenticadores
Los smartphones se han transformado en una herramienta para la autenticación de identidad. Piense por un momento en todas las aplicaciones y servicios que hacen uso del envío de un código vía SMS o a través de una aplicación para validar que usted es la persona que dice ser. Ingrese a un banco y solicite un aumento en el límite de extracción para el cajero automático y le enviarán un código a su teléfono móvil para validar que usted es realmente la persona que dice ser y que está habilitada para estar llevando adelante esa solicitud. Este escenario plantea la interrogante de si es potencialmente necesaria una autenticación fuerte al momento de suscribirse a un servicio de telefonía móvil para garantizar que el autenticador pertenezca a la persona real.
En la suscripción inicial del servicio, el problema puede no ser tan evidente, pero ¿qué pasa con el mantenimiento o los cambios en la suscripción? O lo que es más importante, ¿qué sucede cuando alguien intenta tomar el control de su servicio telefónico a través de un intercambio de SIM y luego puede controlar, en parte, su identidad?
El FBI emitió recientemente dos alertas independientes sobre el secuestro de SIM (también conocido como SIM swapping); una relacionada con el robo de criptomonedas y la otra dirigida a la industria. En términos básicos, un cibercriminal ingresará a una tienda que vende teléfonos con una identificación falsa (o simplemente llamará a la empresa de telefonía) y hará que el agente del servicio de atención al cliente active una nueva tarjeta SIM para el número de teléfono que necesitan controlar. Incluso pueden hacerlo sin una identificación y utilizar la ingeniería social al conocer la dirección de su casa y alguna otra información básica del suscriptor a la cual se puede acceder libremente a través de las redes sociales u otros sitios web públicos.
Una vez que se emite y activa la nueva SIM, el criminal puede recibir mensajes de texto de autenticación o cargar aplicaciones y comenzar a hacerse pasar por la víctima. Prácticamente todos los servicios (correo electrónico, bancos, redes sociales y muchos otros) utilizan el teléfono como un dispositivo de autenticación para el restablecimiento de contraseña, lo que hace que las opciones para el criminal sean infinitas.
Mientras tanto, la víctima se quedará preguntando por qué su teléfono dejó de funcionar y gracias a esas horas cruciales que desperdicia la persona afectada esperando que cobre vida nuevamente, el criminal habrá conseguido el tiempo suficiente para monetizar su crimen.
Recientemente, en un intento de averiguar qué tan sencillo puede ser obtener una SIM de reemplazo para un actor malintencionado, entré en un local de la compañía que me brinda el servicio de telefónica y solicité una nueva SIM debido a la pérdida de un teléfono. Mostré mi documento de identificación, el cual permaneció en mi billetera y estaba en parte tapado, y todo lo que el asistente realmente vio fue mi nombre, fecha de nacimiento y el número de mi documento; el cual perfectamente podría haber sido falso debido a la falta de inspección o retiro de la billetera. Minutos después: recibí mi nueva tarjeta SIM. Fue sorprendentemente simple. Si mi intención hubiera sido maliciosa, habría tenido el control del mismo dispositivo utilizado para validar la identidad del suscriptor.
Ahora, volvamos a la regulación sobre el escaneo de rostros en China. Si la tecnología se utiliza para proteger a los usuarios contra el SIM swapping y el robo de identidad, asegurando que el teléfono inteligente o, como se discutió anteriormente, el autenticador de identidad, solo pertenece al verdadero suscriptor, entonces parece ser un uso muy positivo de la tecnología en pos de proteger al consumidor. ¿Me suscribiría y permitiría este nivel de protección? Sí.