En los últimos años hemos visto cómo países en vías de desarrollo o con economías emergentes incorporaban a su administración pública sofisticados sistemas de identificación biométrica. Su objetivo es paliar la tradicional falta de un censo completo y actualizado de la población o de un sistema que permita acreditar la identidad personal.

Con este tipo de soluciones se pretende lidiar con la suplantación de identidad o las identidades “fantasma”. Permite evitar fraudes electorales o en el acceso a ayudas sociales, por mencionar solo un par de ejemplos. Además, puede facilitar el cobro de salarios o prestaciones, la escolarización obligatoria de menores o la apertura de negocios de manera ágil.

Todas estas ventajas son fácilmente comprensibles –aunque discutibles– cuando estos sistemas se hallan en manos de gobiernos democráticos y en periodos de paz. Pero pasan a un segundo plano cuando se piensa en los riesgos que se asumen si estos gobiernos se convierten en autoritarios o en periodos de conflicto bélico. Especialmente porque en casi todos los casos en estos países no existe legislación relativa a la protección de datos que garantice unos derechos básicos a sus ciudadanos. Un claro ejemplo es lo que está ocurriendo en estos momentos en Afganistán.

¿Para qué se usaba la biometría en Afganistán?

El Gobierno afgano había creado diversas bases de datos en los últimos años desde diferentes ministerios. Todas ellas incorporaban datos biométricos y multitud de información muy detallada sobre millones de sus ciudadanos.

La mayor parte de estos sistemas se habían construido con subvenciones estadounidenses y de los países aliados. Tenían como objetivo mejorar la Administración pública y los servicios que se prestaban (educación, sanidad, gestión tributaria) así como facilitar la creación de un ejército y de un servicio de policía propios. Todo ello evitando en lo posible los fraudes de identidad antes mencionados y con el foco en la seguridad, intentando evitar que se infiltraran en el Gobierno o en otras instituciones potenciales terroristas.

Soldado de Kirguistán dispara desde un sistema portátil de defensa aérea durante los ejercicios militares conjuntos en el campo de entrenamiento de Edelweiss, a unos 180 kilómetros (113 millas) al sureste de Bishkek, Kirguistán, jueves, 9 de septiembre de 2021. Ejercicios militares conjuntos de la seguridad colectiva. Los países de la Organización del Tratado (CSTO), incluida la Rusia, Kirguistán y otros, se encuentran en la gama Edelweiss en Kirguistán en medio de la situación en Afganistán. Foto AP / Vladimir Voronin | Foto: Copyright 2021 The Associated Press. All rights reserved

Uno de los problemas principales de todas estas bases de datos es que se construyeron sin respetar ninguno de los principios de privacidad desde el diseño: minimizar, separar, abstraer y esconder. Es decir, se recogían datos de más que no eran necesarios para los objetivos de los sistemas (por si acaso), se optaba por infraestructuras completamente centralizadas, no se anonimizaba ni se usaban pseudónimos al almacenar la información, no se empleaban mecanismos de cifrado de manera adecuada, etc.

Ninguno de esos aspectos se cuidó desde el diseño, probablemente por ignorancia, dejadez, limitaciones presupuestarias o de tiempo. Y también porque no existía obligación de cumplimiento, ninguna regulación obligaba al Gobierno afgano ni a sus contratistas a tomar todas estas precauciones porque no existía un marco regulatorio para la protección de datos ni regional, ni nacional ni supranacional.

¿Qué riesgos plantea el control talibán?

Se ha hablado mucho en los medios de la apresurada retirada de las tropas estadounidenses de Afganistán el pasado mes de agosto. Durante esta retirada, los talibanes se han hecho con diferentes sistemas y equipos que estas tropas han tenido que dejar atrás.

Obviamente, las alarmas se dispararon al ver las primeras imágenes de talibanes en posesión de diferentes vehículos, medios de transporte o sistemas de armamento estadounidenses. Pero también se han hecho con tecnología muy sofisticada en relación con la recogida de datos biométricos. Los dispositivos HIIDE (de Handheld Interagency Identity Detection Equipment) permiten obtener con facilidad el escáner de iris, la huella dactilar o la imagen de la cara de multitud de personas en muy poco tiempo.

El Ejército estadounidense utilizaba este tipo de dispositivos para identificar a potenciales terroristas y recoger inteligencia. Han afirmado a través de diferentes portavoces que las bases de datos en las que se almacena información recopilada a través de estos dispositivos no se han visto comprometidas. Pero han tenido que reconocer que muchos de estos dispositivos sí están en manos de los talibanes.

Combatientes talibanes patrullan en un vehículo blindado en el aeropuerto de Kabul el 13 de septiembre de 2021. (Foto de Karim SAHIB / AFP) / | Foto: AFP or licensors

Si tiene disponible este tipo de tecnología y además han tomado el control de todas las bases de datos gubernamentales antes mencionadas, con lo que pueden con mucha facilidad y en poco tiempo localizar a personas que hayan trabajado para el Gobierno anterior, que hayan cobrado del Ejército estadounidense o que hayan abierto cierto tipo de negocios.

También pueden cruzarlos con datos abiertos que pueden obtenerse directamente de las redes sociales, en las que los ciudadanos afganos han disfrutado de libertad en los últimos años. Por este motivo, organizaciones como Human Rights First se han apresurado a publicar guías para que la población afgana pueda borrar su huella digital en un intento de evitar represalias por expresar cierto tipo de opiniones en el pasado.

Evitar malos usos, presentes y futuros

Los ciudadanos afganos solo pueden esperar. Ninguno de los derechos de los que disfrutamos los europeos en relación con nuestros datos estaban a su alcance antes, ni mucho menos lo están ahora. No pueden acceder a las bases de datos existentes para saber qué datos se almacenan sobre ellos, tampoco pueden modificar o eliminar esta información.

Todo esto debería hacernos reflexionar: nuestros atributos biométricos no cambian; las circunstancias sociales, económicas o políticas de un país sí. La tecnología no suele ser buena o mala en sí misma, lo son los usos que le damos. Y siempre debe diseñarse intentando evitar los malos usos, en el presente pero también en el futuro.

La decisión de construir una base de datos que contenga atributos biométricos de las personas no debe hacerse a la ligera en ningún caso. Si se decide que los beneficios compensan los riesgos, el diseño debe incorporar las estrategias de privacidad adecuadas para proteger sus derechos. Y debe se auditado por expertos y organizaciones independientes que señalen todas las potenciales amenazas para que se resuelvan antes de poner los sistemas en producción.

Ahora son los ciudadanos afganos los que van a sufrir las consecuencias de las malas decisiones tomadas en el pasado a este respecto. Pero por desgracia, no es el primer ni último ejemplo de los impactos que puede llegar a tener la identificación biométrica en la población.

Por: Marta Beltrán

Profesora y coordinadora del Grado en Ingeniería de la Ciberseguridad, Universidad Rey Juan Carlos

Publicado originalmente en The Conversation