Dimensiones del problema: seguridad física, protección de datos y viabilidad operativa
La decisión de implementar un sistema de control de acceso en un establecimiento involucra tres dimensiones que con frecuencia son analizadas de forma independiente, cuando en realidad son interdependientes: la dimensión de seguridad física (¿qué tan difícil es burlar el sistema?), la dimensión de protección de datos (¿qué obligaciones legales genera la recopilación de datos de acceso?) y la dimensión operativa (¿qué carga administrativa y técnica impone el sistema sobre la organización?).
La elección entre tecnología biométrica y tecnología RFID no es únicamente una decisión técnica sobre la resistencia del sistema a la falsificación. Es también una decisión sobre el tipo de dato personal que la organización está dispuesta a recopilar y gestionar conforme a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), sobre la tolerancia de la organización a los factores humanos de fallo (pérdida de tarjetas, olvido de PIN), y sobre el nivel de integración que requiere el sistema con otras plataformas operativas (control de asistencia, nómina, seguridad física integral).
Tecnología RFID: fundamentos técnicos y espectro de seguridad
La tecnología RFID (Radio Frequency Identification) para control de acceso opera mediante la comunicación inalámbrica entre un transponder (la credencial o tarjeta) y un lector fijo instalado en el punto de acceso. El lector emite un campo electromagnético que energiza el transponder (en el caso de tarjetas pasivas, que no tienen batería propia), el cual responde con un identificador único, y el sistema de gestión verifica si ese identificador tiene autorización para el punto de acceso solicitado.
Clasificación por frecuencia de operación y nivel de seguridad
Baja frecuencia (LF, 125 kHz) — tecnologías EM4100, HID Prox, AWID:
Estas tecnologías transmiten el identificador del transponder en texto claro, sin cifrado ni autenticación mutua. El identificador puede ser capturado y clonado en segundos con dispositivos de lectura portátiles disponibles en el mercado de electrónica. Esta vulnerabilidad es inherente al estándar del protocolo y no puede mitigarse sin cambiar la tecnología de la tarjeta. A pesar de esta limitación conocida, las tarjetas LF siguen siendo las más comunes en el parque instalado de sistemas de control de acceso en México, particularmente en instalaciones implementadas antes de 2015.
Alta frecuencia (HF, 13.56 MHz) — tecnologías MIFARE, DESFire, iCLASS:
La familia MIFARE Classic (ISO/IEC 14443-A), ampliamente usada en los años 2000, fue vulnerada criptográficamente en 2008 mediante la publicación del ataque Crypto-1, que permite la extracción de las claves de sector con bajo equipo computacional. Los estándares sucesores —MIFARE DESFire EV2 y EV3 (cifrado AES-128 con diversificación de claves), así como iCLASS SE y Seos de HID Global— implementan cifrado robusto, autenticación mutua entre tarjeta y lector, y protección contra ataques de replay. Estos estándares son la referencia actual para nuevas implementaciones corporativas.
Ultra-alta frecuencia (UHF, 860–960 MHz):
Principalmente utilizada para control de acceso vehicular, con rangos de lectura de 3 a 10 metros que permiten la apertura automática de plumas y portones sin que el conductor deba detener el vehículo. No es adecuada para control de acceso peatonal por el mismo motivo: el rango extendido reduce la precisión en la identificación del individuo que solicita acceso.
Vulnerabilidades residuales de los sistemas RFID avanzados
Incluso con tecnología de alta frecuencia con cifrado AES, los sistemas RFID presentan vulnerabilidades que la tecnología biométrica no comparte:
La credencial es transferible: una tarjeta de acceso puede prestarse, robarse o encontrarse. El sistema no tiene capacidad de verificar que quien presenta la credencial es el titular autorizado. Esta vulnerabilidad es gestionable mediante procedimientos administrativos (política de no préstamo de credenciales, comunicación inmediata de pérdida), pero no puede eliminarse tecnológicamente en un sistema RFID puro.
La credencial puede perderse u olvidarse: el coste operativo de reposición de credenciales perdidas y la gestión de usuarios temporalmente sin acceso es un factor de carga administrativa que debe considerarse en el modelo de costos total.
Tecnología biométrica: modalidades, parámetros de rendimiento y consideraciones legales
Los sistemas de control de acceso biométrico utilizan características fisiológicas o de comportamiento inherentes a cada individuo para verificar su identidad. A diferencia de los sistemas basados en credenciales, la característica biométrica no puede perderse, olvidarse ni transferirse (con la excepción significativa del fraude por presentación de artefactos físicos, abordada en la sección de liveness detection).
Modalidades biométricas para control de acceso físico
Huella dactilar (fingerprint): la modalidad de mayor penetración en el mercado de control de acceso corporativo, con tiempos de respuesta de 0.5 a 1 segundo, costos de lector competitivos y bases de datos de referencia que pueden almacenar entre 1,000 y 10,000 plantillas en el propio dispositivo. Las limitaciones operativas incluyen la degradación de la calidad de captura por condiciones de las yemas (trabajos manuales, piel seca, cortes o quemaduras), el rendimiento reducido en ambientes con suciedad industrial sobre los dedos, y la necesidad de contacto físico con el sensor que puede ser objetada en entornos con protocolos de higiene estrictos.
Reconocimiento facial (face recognition): modalidad de crecimiento más rápido en el segmento corporativo tras la maduración de los algoritmos de deep learning. Los sistemas actuales con procesamiento en dispositivo alcanzan tiempos de respuesta inferiores a 0.5 segundos y operan en condiciones de iluminación variable con tasas de reconocimiento superiores al 99.9% para usuarios enrolados. La introducción del requisito de liveness detection (detección de presentación de imagen fotográfica o máscara en lugar de una persona real) es fundamental para cualquier implementación con requerimientos de seguridad: los sistemas sin liveness detection son vulnerables a ataques de presentación triviales.
Geometría de mano (hand geometry): tecnología madura con décadas de implementación en entornos industriales y hospitalarios donde la huella dactilar o el reconocimiento facial no son prácticos. Mide múltiples dimensiones geométricas de la mano en tres dimensiones. Rendimiento estable ante condiciones ambientales adversas (manos sucias, guantes de nitrilo delgados). FAR comparable a sistemas de huella dactilar de gama media.
Reconocimiento de iris: la modalidad con menor FAR disponible comercialmente (sistemas certificados alcanzan FAR de 0.0001% o inferior). La captura sin contacto y a distancia (hasta 30 cm en sistemas convencionales, hasta 3 metros en sistemas de largo alcance) la hace adecuada para entornos con flujo elevado de personas. El costo de los lectores es el más elevado entre las modalidades analizadas, lo que limita su adopción a instalaciones con requerimientos de máxima seguridad.
Parámetros de rendimiento biométrico: FAR, FRR y EER
La evaluación técnica de un sistema biométrico debe basarse en tres indicadores cuantitativos que el proveedor debe documentar con datos de prueba independientes:
FAR (False Acceptance Rate): probabilidad de que el sistema acepte a un individuo no autorizado. Para control de acceso físico en zonas de seguridad media, el umbral máximo aceptable es FAR ≤ 0.001%. Para zonas de alta seguridad (servidores, cuartos de valores, áreas clasificadas), FAR ≤ 0.0001%.
FRR (False Rejection Rate): probabilidad de que el sistema rechace a un usuario autorizado. Un FRR elevado genera fricciones operativas: personal retenido en accesos, colas en horas pico, pérdida de productividad. La curva FAR-FRR tiene una relación inversa: reducir la FAR aumenta la FRR y viceversa. El punto de cruce de ambas curvas es el EER (Equal Error Rate), que proporciona una medida unificada del rendimiento del sistema.
EER (Equal Error Rate): los sistemas biométricos de huella dactilar de gama corporativa alcanzan típicamente un EER de 0.5–2%. Los sistemas de reconocimiento de iris alcanzan EER de 0.1% o inferior en condiciones controladas.
Implicaciones de la LFPDPPP en el tratamiento de datos de control de acceso
La distinción legal relevante es la siguiente: los sistemas RFID registran el identificador único de una credencial, que está vinculado a una persona física pero no es en sí mismo una característica corporal de esa persona. Los sistemas biométricos registran directamente características físicas del cuerpo humano. Esta distinción determina el régimen de protección de datos aplicable.
Datos de acceso RFID: son datos personales conforme al artículo 3, fracción V de la LFPDPPP (información que identifica o hace identificable a una persona física), pero no son datos sensibles. Requieren aviso de privacidad y consentimiento, pero el consentimiento tácito (obtenible mediante el aviso informativo en el proceso de enrolamiento sin que el titular objete) es suficiente en muchos escenarios.
Datos biométricos: son datos personales sensibles conforme al artículo 3, fracción VI en relación con el artículo 9 de la LFPDPPP. Requieren consentimiento expreso y por escrito (o mecanismo equivalente documentado), no pueden tratarse sin este consentimiento salvo las excepciones taxativas del artículo 10, y su tratamiento debe estar sujeto a medidas de seguridad reforzadas tanto técnicas (cifrado de las plantillas biométricas en reposo y en tránsito, control de acceso al sistema de gestión) como administrativas (políticas de uso, restricción de acceso al personal autorizado, procedimientos de respuesta ante incidentes).
El INAI ha emitido criterios interpretativos que establecen que la finalidad del tratamiento de datos biométricos debe ser específica y proporcional: recopilar huellas dactilares para control de asistencia en una empresa de bajo riesgo, cuando un sistema de tarjeta RFID con fotografía cumpliría igualmente la finalidad, puede ser considerado desproporcionado y, por lo tanto, no conforme con el principio de minimización de datos del artículo 6, fracción IV de la LFPDPPP.
Modelo de decisión: criterios de selección por perfil de instalación
La selección entre RFID avanzado y biometría no debe resolverse en términos absolutos sino en función del perfil de riesgo, el volumen de usuarios y las restricciones legales y operativas de cada instalación:
Las instalaciones con zonas de acceso diferenciadas por nivel de confidencialidad o valor de activos se benefician de una arquitectura mixta: RFID avanzado (DESFire EV3 o equivalente) para el acceso general a las instalaciones, y biometría (huella dactilar o reconocimiento facial) para el acceso a zonas de alta seguridad. Esta arquitectura concentra la carga de cumplimiento de la LFPDPPP en el subconjunto de usuarios que acceden a zonas críticas, reduce el volumen de datos biométricos gestionados y mantiene la conveniencia operativa para el acceso cotidiano de la mayor parte del personal.
Las instalaciones con altos requerimientos de higiene (industria alimentaria, farmacéutica, hospitalaria) deben considerar el reconocimiento facial o de iris como alternativa a la huella dactilar, que requiere contacto físico con el sensor. Los sistemas de reconocimiento facial sin contacto, con liveness detection integrada y tiempo de respuesta inferior a 1 segundo, son técnicamente maduros y operativamente viables para estas aplicaciones.
Las instalaciones con alta rotación de personal o con acceso frecuente de visitantes y contratistas se benefician de la flexibilidad de los sistemas RFID, que permiten la emisión, activación y desactivación de credenciales sin el proceso de enrolamiento biométrico y sus requisitos de consentimiento documentado.