¿Es una huella dactilar o un escaneo facial un ejemplo de «algo que sabes»?
Respuesta breve
No. Las tres categorías de factores de autenticación son algo que sabes (contraseña/PIN), algo que tienes (token/teléfono) y algo que eres (biometría). Una huella dactilar o un escaneo facial es «algo que eres», un rasgo físico medido. La trampa: la biometría no es un secreto y no puede rotarse — si la plantilla de tu huella se filtra, no puedes cambiar tu huella. Por eso la biometría funciona mejor como un factor, que a menudo desbloquea una clave local, y no como sustituto autónomo de la contraseña.
La trampa está en una lógica seductora: «mi huella es parte de mí, así que la sé». Ese razonamiento se derrumba en cuanto miras cómo se definen realmente las tres categorías de factores de autenticación.
Las tres categorías de factores
Los factores de autenticación se agrupan según qué tipo de cosa prueba tu identidad:
- Algo que sabes — un secreto en tu cabeza: una contraseña, un PIN, la respuesta a una pregunta de seguridad.
- Algo que tienes — una posesión física: un token de hardware, un smartphone con una app de autenticación, una tarjeta inteligente.
- Algo que eres — un rasgo físico o de comportamiento inherente: una huella, la geometría del rostro, el patrón del iris, una huella vocal.
Una huella o un escaneo facial lo mide un sensor, no se recuerda de memoria. Pertenece de lleno a algo que eres. Llamarlo «conocimiento almacenado en tu cuerpo» es un error de categoría.
Por qué importa la distinción
La categoría no es un detalle trivial — cambia las propiedades de seguridad. Una contraseña es un secreto que puedes rotar: si se filtra, la cambias. Una biometría es un rasgo que no puedes rotar. Si una plantilla de huella se roba de una base de datos, no puedes emitirte una huella nueva. Esa permanencia es precisamente por lo que una biometría es un mal secreto autónomo.
Por eso también los sistemas bien diseñados no transmiten tu huella en bruto por la red. En un teléfono, la biometría se compara localmente y sirve para desbloquear una clave criptográfica guardada en hardware seguro; es la clave, no tu huella, la que te autentica. La biometría es una puerta cómoda, no el secreto en sí.
Usar bien la biometría
Trata una biometría como un factor entre varios, idealmente combinado con algo que tienes (el dispositivo) y algo que sabes (un PIN de respaldo). Una MFA real exige factores de categorías distintas — apilar una huella y un escaneo facial sigue siendo «algo que eres». Usada así, la biometría aporta una garantía fuerte y cómoda sin pretender ser un secreto rotable.
Posibles preguntas de seguimiento
- ¿Por qué «no se puede rotar una biometría filtrada» es una propiedad tan importante?
- ¿Cómo protege el desbloqueo por huella de un teléfono una clave local en vez de transmitir tu huella?
- ¿Cuándo combinar una biometría con un PIN sigue contando como un solo factor?