Biometría en el móvil: ¿son realmente fiables la huella dactilar y Face ID?

Biometría en el móvil: ¿son realmente fiables la huella dactilar y Face ID?

La biometría en el teléfono inteligente ya es habitual: el teléfono se desbloquea con la huella dactilar, el rostro confirma pagos y la aplicación bancaria no solicita la contraseña cada vez. La comodidad es evidente, pero la fiabilidad depende no de la palabra biometría en sí, sino de la implementación concreta. Face ID en iPhone, Touch ID, el escáner ultrasónico de huellas en un Android y el reconocimiento facial simple con la cámara frontal son distintos niveles de protección.

La biometría no reemplaza la contraseña o el PIN. Funciona como una forma rápida de probar al teléfono que ante él está el propietario. Pero después de un reinicio, varios intentos fallidos, una pausa prolongada sin desbloquear o cambios en la configuración, el dispositivo seguirá pidiendo la contraseña. Por eso un PIN débil como 1234 compromete todo el esquema, incluso si el sensor de huellas o Face ID funcionan bien por sí mismos.

Qué guarda realmente el teléfono

El teléfono no debería almacenar una fotografía del rostro ni una imagen de la huella como un archivo ordinario. Al configurar la biometría, el sistema crea una plantilla biométrica: un conjunto de datos con el que luego compara los intentos de acceso. En los dispositivos Apple, los datos de Face ID y Touch ID se procesan en el dispositivo y se protegen mediante un componente independiente, Secure Enclave. Esto se describe en la guía de seguridad de Apple.

En Android no hay cifras únicas para todos los teléfonos: los sensores, procesadores, cámaras, firmwares y capas varían mucho. La documentación oficial de Android divide la biometría en tres clases: Class 3, Class 2 y Class 1. Class 3 es el nivel más estricto (antes llamado Strong). Class 1 está más orientado a un desbloqueo cómodo de pantalla y no es adecuado para operaciones sensibles en aplicaciones. Por eso no basta con mirar el método de entrada, hay que considerar la clase de biometría en el dispositivo concreto.

Face ID y Touch ID: qué cifras proporciona Apple

Apple publica estimaciones de la probabilidad de coincidencia accidental. Para Face ID, la probabilidad de que una persona al azar desbloquee un iPhone o un iPad Pro es inferior a 1 entre 1 000 000 con una sola cara registrada. Para Touch ID, la probabilidad de coincidencia accidental es inferior a 1 entre 50 000. Estos datos aparecen en la ayuda de Apple y en la guía de protección de la plataforma.

Estas cifras no significan que cualquier entrada por rostro sea siempre más segura que cualquier huella. Se refieren a tecnologías concretas de Apple. Face ID utiliza el sistema TrueDepth: una cámara infrarroja, un proyector de puntos y sensores de profundidad. El reconocimiento facial simple en algunos Android puede funcionar de manera distinta y ser notablemente menos robusto.

Método Dónde es fuerte Dónde hay riesgo
Face ID Bien protegido frente a fotos y vídeos comunes, tiene en cuenta el relieve del rostro, es cómodo para pagos y acceso a aplicaciones Riesgo mayor para gemelos, parientes muy parecidos y niños menores de 13 años
Touch ID y escáner de huellas Acceso rápido, comodidad en la oscuridad, no depende de mascarillas, gafas o la posición del rostro El dedo puede estar húmedo, dañado o sucio; las huellas quedan en superficies
Reconocimiento facial en Android Puede ser cómodo y rápido; en modelos concretos alcanza una clase de biometría fuerte En algunos teléfonos es una verificación menos estricta por cámara, que protege peor frente a suplantaciones

La huella dactilar: cómoda, pero no secreta

El lector de huellas suele proteger bien frente al acceso casual. A un extraño le resulta difícil encontrar un dedo que coincida con la plantilla registrada. Pero la huella no es un secreto: dejamos rastros en vasos, pomos, pantallas, la carcasa del teléfono y superficies de trabajo.

Para el usuario corriente esto rara vez se convierte en una amenaza real. Para usar una huella ajena, el atacante necesita acceso físico, materiales adecuados, tiempo y conocimiento del sensor concreto. Pero en un ataque dirigido, en un conflicto familiar o con acceso a un dispositivo corporativo, ese riesgo ya no se puede ignorar.

Los escáneres también son distintos. El sensor capacitivo lee propiedades eléctricas de la piel, el óptico bajo pantalla obtiene una imagen del patrón de la huella y el ultrasónico crea un mapa más complejo de la superficie. La fiabilidad depende no solo del tipo de sensor, sino de la detección de vivacidad, la protección de la plantilla, las limitaciones en el número de intentos y la calidad del firmware.

Face ID: biometría fuerte, pero no sin excepciones

Face ID es más resistente a intentos cotidianos de engaño que una cámara normal. Una fotografía en otro teléfono, una impresión o un vídeo no deberían pasar la verificación, porque el sistema no solo mira una imagen plana. Tras cinco intentos fallidos, Face ID exige la contraseña o el código.

Face ID tiene ajustes que afectan a la seguridad. En iPhone están en Ajustes > Face ID y código. Ahí se puede elegir dónde usar Face ID, configurar Face ID con mascarilla, añadir una Apariencia alternativa y restablecer datos mediante Restablecer Face ID. Apple describe este proceso en la ayuda sobre Face ID.

La opción «Exigir atención para Face ID» es mejor dejarla activada. Así el iPhone comprueba que los ojos estén abiertos y la mirada dirigida al dispositivo. Esto reduce el riesgo de desbloqueo cuando la persona duerme, no controla la situación o no quiere abrir el teléfono.

Android: por qué no se puede generalizar

En Android el mismo término puede ocultar tecnologías distintas. En un teléfono el reconocimiento facial sirve solo para desbloquear la pantalla; en otro puede pertenecer a una clase biométrica más fuerte y emplearse en aplicaciones. La huella también depende del sensor y de la implementación del fabricante.

Por eso no conviene evaluar un Android con la fórmula «tiene cara = seguro» o «tiene huella = seguro». Es mejor comprobar si la app bancaria, el servicio de pagos y el gestor de contraseñas aceptan la biometría. Si una aplicación no permite confirmar un pago o acceso con la cara y exige huella o código, significa que considera ese método insuficientemente seguro para operaciones sensibles.

Los nombres exactos de las opciones en Android varían. En distintos modelos los apartados pueden llamarse «Biometría y seguridad», «Seguridad y privacidad», «Bloqueo de pantalla», «Huella dactilar», «Reconocimiento facial» o «Desbloqueo por rostro». Si el fabricante advierte que el reconocimiento facial es menos seguro, conviene tomar esa advertencia al pie de la letra.

Cuándo la biometría pierde frente a la contraseña

  • Con un código débil. La biometría se apoya en la contraseña o el PIN. Si el código es corto y evidente, el dispositivo sigue siendo vulnerable.
  • Con coacción física. Pueden intentar colocar el dedo en el sensor o mostrar el rostro a la cámara. En situaciones conflictivas es mejor desactivar la biometría con un bloqueo temporal.
  • Con reconocimiento facial débil. La verificación simple por cámara frontal protege peor frente a fotos, vídeos o personas parecidas.
  • Con demasiados datos biométricos. Cuantos más dedos, rostros y apariencias alternativas se registren, mayor es la superficie de riesgo.
  • Con firmware antiguo. La biometría depende de la seguridad del sistema, los controladores de los sensores, el almacenamiento de claves y las correcciones de seguridad.

Cómo configurar el iPhone de forma más segura

  1. Abra Ajustes > Face ID y código o Touch ID y código.
  2. Compruebe que hay un código configurado. Apple indica el camino a través de Activar código en la ayuda sobre el código.
  3. Pulse Opciones de código y elija no un código de cuatro dígitos, sino uno largo numérico o alfanumérico.
  4. Deje activada la opción Exigir atención para Face ID.
  5. No añada una Apariencia alternativa para otra persona.
  6. Revise la lista de funciones en Usar Face ID para o Usar Touch ID para y desactive las que no sean necesarias.
  7. En un teléfono con datos sensibles, active Borrar datos tras diez intentos fallidos, si está dispuesto al riesgo de perder información sin copia de seguridad.

Cómo configurar Android de forma más segura

  1. Abra los ajustes de seguridad. El nombre del apartado depende del fabricante: son frecuentes «Seguridad y privacidad», «Biometría y seguridad» o «Bloqueo de pantalla».
  2. Establezca un PIN largo, una contraseña o un patrón robusto. No use fechas de nacimiento, cifras repetidas ni secuencias simples.
  3. Añada la huella dactilar si el sensor funciona de forma estable. No registre los dedos de otras personas.
  4. Si activa el reconocimiento facial, lea la advertencia del fabricante. Si el sistema indica que el método es menos seguro, no lo use para datos importantes.
  5. Compruebe qué aplicaciones aceptan la cara y cuáles exigen huella o código. Para aplicaciones bancarias y gestores de contraseñas es un buen indicador práctico.
  6. Active las actualizaciones automáticas del sistema y los parches de seguridad.

La biometría se puede desactivar temporalmente sin borrar huellas ni rostros. En iPhone se puede invocar la pantalla de llamada de emergencia o apagado, tras lo cual el dispositivo pedirá el código. En Android, muchos fabricantes ofrecen un modo de bloqueo temporal, pero el nombre y la disponibilidad varían.

Esta medida es útil antes de un registro, una reparación, al entregar el teléfono a otra persona, en una reunión conflictiva o cuando existe riesgo de coacción física. La biometría es buena para la comodidad diaria, pero en situaciones disputadas la contraseña ofrece más control.

¿Se puede confiar en la biometría?

Sí, si no se confunde fiabilidad con invulnerabilidad. Face ID, Touch ID y un buen escáner de huellas son mejores que no tener bloqueo o que un PIN corto. Protegen frente al acceso casual, la pérdida del teléfono, conocidos curiosos y la mayoría de intentos domésticos de abrir el dispositivo.

Para datos sensibles la estrategia debe ser más estricta: código largo, actualizaciones al día, el mínimo de datos biométricos registrados, la verificación de atención activada en iPhone y prudencia con el reconocimiento facial en Android. La biometría facilita el acceso, pero la contraseña sigue siendo la última línea de defensa.

FAQ: breves respuestas sobre biometría en el teléfono

¿Face ID es más fiable que la huella dactilar?

En dispositivos Apple la probabilidad declarada de coincidencia accidental de Face ID es menor que la de Touch ID. En Android no existe una comparación general: la fiabilidad depende de la clase biométrica y del dispositivo concreto.

¿Se puede engañar a Face ID con una fotografía?

Una foto común o un vídeo no deberían pasar Face ID porque el sistema emplea sensores de profundidad y comprobación infrarroja. El reconocimiento facial simple por cámara en algunos Android puede ser más débil.

¿Qué es más seguro: la huella o el PIN?

Un PIN largo o una contraseña son más seguros como última barrera. La huella es más cómoda para el acceso diario, pero debe complementar un código fuerte, no sustituirlo.

¿Conviene desactivar la biometría?

Para el uso habitual no suele ser necesario. Pero ante una situación de riesgo conviene bloquear temporalmente la biometría para que el teléfono pida el código.

¿Hay que añadir varios dedos?

Se pueden añadir dos o tres propios para mayor comodidad, pero no registre dedos ajenos. Cuantos más métodos biométricos haya, mayor es la probabilidad de un acceso no deseado.

Alt text