Reconocimiento Facial
Tecnología biométrica que identifica o verifica la identidad de una persona mediante el análisis automatizado de sus rasgos faciales, comparando patrones geométricos del rostro contra una base de datos o una imagen de referencia.
El AI Act europeo (Reglamento 2024/1689) prohíbe expresamente el reconocimiento facial biométrico en tiempo real en espacios públicos, con excepciones limitadas a seguridad nacional. En España, la AEPD ya ha impuesto 10 millones de euros en multas a Aena por implementar esta tecnología en aeropuertos sin cumplir los requisitos del RGPD. Mientras tanto, el NIST Face Recognition Vendor Test (FRVT) de 2024 documenta que los mejores algoritmos comerciales alcanzan tasas de error inferiores al 0.08% en verificación 1:1, pero las tasas de falso positivo para mujeres de piel oscura son hasta 34 veces superiores a las de hombres de piel clara. Esta tecnología, que ya utilizan más de 100 millones de personas diariamente para desbloquear su móvil, se ha convertido en el campo de batalla central entre seguridad, privacidad y derechos fundamentales en la era digital.
Cómo funciona el reconocimiento facial
El reconocimiento facial es un proceso de múltiples etapas que transforma una imagen o vídeo del rostro humano en una representación matemática que permite la comparación automatizada.
Detección facial (face detection): El sistema localiza uno o más rostros dentro de una imagen o fotograma de vídeo. Algoritmos como Haar Cascades, HOG (Histogram of Oriented Gradients) o redes neuronales CNN detectan patrones que corresponden a un rostro humano. Esta fase no identifica a nadie; solo detecta la presencia de caras.
Alineación y normalización: El rostro detectado se alinea geométricamente (rotación, escala, recorte) para que los ojos, nariz y boca queden en posiciones estándar. Esto compensa variaciones de ángulo, distancia a la cámara e inclinación de la cabeza. Se normaliza también la iluminación para reducir el impacto de sombras y reflejos.
Extracción de características (feature extraction): Se extraen los landmarks faciales: puntos clave como las comisuras de los ojos, punta de la nariz, contorno de la mandíbula (entre 68 y 468 puntos según el modelo). Las redes neuronales profundas (ArcFace, FaceNet, DeepFace) procesan estos puntos para generar un embedding facial: un vector numérico de 128 a 512 dimensiones que codifica las características únicas del rostro.
Comparación (matching): El embedding se compara contra una o más plantillas almacenadas. Se calcula la distancia entre vectores (distancia euclidiana o coseno). Si la distancia es inferior a un umbral definido, se considera que hay coincidencia. El umbral determina el equilibrio entre falsos positivos y falsos negativos.
Decisión: El sistema emite un resultado: coincidencia o no coincidencia (verificación 1:1), o la identidad más probable con un grado de confianza (identificación 1:N).
Pipeline técnico simplificado
Imagen/Vídeo
│
▼
[Detección facial] → Localizar rostro(s) en la escena
│
▼
[Alineación] → Normalizar posición, escala, iluminación
│
▼
[Extracción landmarks] → 68-468 puntos faciales
│
▼
[Red neuronal (CNN)] → Embedding: vector [128-512 dims]
│
▼
[Comparación] → Distancia euclidiana/coseno vs umbral
│
▼
[Decisión] → Match / No match / Identidad + confianza %Verificación 1:1 vs Identificación 1:N
Esta distinción es fundamental tanto técnicamente como legalmente, porque determina el nivel de riesgo y las obligaciones regulatorias.
| Característica | Verificación 1:1 | Identificación 1:N |
|---|---|---|
| Pregunta que responde | ”¿Es esta persona quien dice ser?" | "¿Quién es esta persona?” |
| Comparación | Rostro vs 1 plantilla de referencia | Rostro vs base de datos de N personas |
| Cooperación del sujeto | Sí (presenta su cara voluntariamente) | No necesariamente (puede ser vigilancia) |
| Ejemplo | Desbloqueo Face ID, control acceso edificio | Videovigilancia aeropuerto, búsqueda policial |
| Complejidad computacional | Baja (1 comparación) | Alta (N comparaciones) |
| Tasa de error típica | FAR: 0.001-0.1% | FAR: 0.1-3% (crece con N) |
| Riesgo RGPD | Alto (dato biométrico art. 9) | Muy alto (vigilancia masiva + art. 9) |
| AI Act | Alto riesgo (Anexo III) | Prohibido en tiempo real en espacios públicos |
FAR y FRR: las dos métricas clave
FAR (False Acceptance Rate): Porcentaje de veces que el sistema acepta incorrectamente a un impostor como persona autorizada. Un FAR alto compromete la seguridad. FRR (False Rejection Rate): Porcentaje de veces que el sistema rechaza incorrectamente a la persona autorizada. Un FRR alto genera frustración y pérdida de confianza. Ambas métricas están inversamente relacionadas: reducir una aumenta la otra. El punto de equilibrio se llama EER (Equal Error Rate).
Aplicaciones del reconocimiento facial
Seguridad y vigilancia
| Aplicación | Modo | Estado regulatorio España |
|---|---|---|
| Videovigilancia policial en tiempo real | 1:N | Prohibido por AI Act (excepciones tasadas) |
| Identificación de sospechosos en grabaciones | 1:N diferido | Permitido con autorización judicial |
| Control fronterizo (EES/ETIAS) | 1:1 y 1:N | Regulado por Reglamento UE 2017/2226 |
| Acceso a instalaciones críticas | 1:1 | Permitido con DPIA y base legal |
Sector privado
| Aplicación | Modo | Estado regulatorio España |
|---|---|---|
| Desbloqueo de dispositivo (Face ID) | 1:1 local | Fuera de RGPD (tratamiento local) |
| Proctoring exámenes online | 1:1 | Sancionado por AEPD (VIU 650K€) |
| Pago biométrico | 1:1 | Permitido con consentimiento explícito |
| Control de acceso laboral | 1:1 | Requiere alternativa no biométrica |
| Marketing personalizado (age/gender detection) | Detección | Requiere base legal y proporcionalidad |
Forense y judicial
| Aplicación | Descripción |
|---|---|
| Identificación de sospechosos en CCTV | Comparación de fotogramas con bases de datos policiales |
| Verificación de identidad en documentos | Comparar foto DNI/pasaporte con persona real |
| Detección de deepfakes | Verificar si un vídeo es auténtico o generado por IA |
| Identificación de víctimas | Catástrofes, personas desaparecidas, trata de personas |
Sesgos algorítmicos: el problema de la discriminación
Evidencia del NIST FRVT
El Face Recognition Vendor Test (FRVT) del NIST es el benchmark más riguroso y reconocido del mundo para evaluar algoritmos de reconocimiento facial. Sus hallazgos de 2019-2024 demuestran sesgos sistemáticos:
| Grupo demográfico | Factor de error vs hombre caucásico | Implicación |
|---|---|---|
| Mujer africana/afroamericana | Hasta 34x mayor FAR | Mayor riesgo de identificación errónea |
| Mujer del sudeste asiático | Hasta 20x mayor FAR | Falsas acusaciones más probables |
| Hombre africano/afroamericano | Hasta 10x mayor FAR | Detenciones injustificadas documentadas |
| Persona mayor de 65 años | Hasta 5x mayor FRR | Exclusión de servicios |
| Niños y adolescentes | Hasta 8x mayor FRR | Fallo en verificación de edad |
Causas técnicas del sesgo
- Datos de entrenamiento desbalanceados: Los datasets históricos contienen proporcionalmente más imágenes de hombres caucásicos jóvenes
- Iluminación y contraste: Algoritmos entrenados en condiciones de iluminación estándar rinden peor con tonos de piel oscuros
- Geometría facial: Variaciones anatómicas entre grupos étnicos que los modelos no capturan con igual precisión
- Envejecimiento: Los modelos pierden precisión con cambios faciales asociados a la edad
Implicaciones forenses y judiciales
Un perito informático que analiza evidencia de reconocimiento facial debe evaluar obligatoriamente los sesgos del sistema utilizado. Si el sistema tiene tasas de error significativamente distintas según el grupo demográfico del sospechoso, la fiabilidad de la identificación puede ser cuestionable en juicio. El informe pericial debe documentar las tasas de error específicas para el perfil demográfico de la persona identificada.
Casos documentados de error por sesgo
- Robert Williams (Detroit, 2020): Hombre afroamericano detenido erróneamente por robo basándose en una coincidencia de reconocimiento facial incorrecta. Pasó 30 horas detenido. El algoritmo confundió dos personas de raza negra con rasgos similares.
- Nijeer Parks (New Jersey, 2019): Arrestado por hurto y agresión basándose exclusivamente en reconocimiento facial erróneo. El sistema comparó su foto de licencia de conducir con una imagen de vigilancia borrosa.
- Randal Reid (Louisiana, 2022): Detenido en Georgia por un robo cometido en Louisiana, lugar donde nunca había estado. La única evidencia era una coincidencia de reconocimiento facial incorrecta.
Regulación del reconocimiento facial
RGPD (Artículo 9)
El reconocimiento facial trata datos biométricos de categoría especial. El artículo 9 del RGPD prohíbe su tratamiento salvo excepciones tasadas:
| Base legal | Válida para reconocimiento facial | Condiciones |
|---|---|---|
| Consentimiento explícito (9.2.a) | Sí, con limitaciones | Debe ser libre, específico, informado. Con alternativa real |
| Obligación laboral (9.2.b) | Muy restrictiva | Requiere ley o convenio colectivo específico |
| Interés vital (9.2.c) | Casos extremos | Persona incapaz de consentir, riesgo vital |
| Interés público esencial (9.2.g) | Control fronterizo, seguridad | Proporcional, con base legal UE o nacional |
| Investigación científica (9.2.j) | Con garantías | Pseudonimización, minimización, DPIA |
AI Act (Reglamento UE 2024/1689)
El AI Act introduce una clasificación por riesgo específica para reconocimiento facial:
| Categoría | Descripción | Régimen |
|---|---|---|
| Prohibido | Identificación biométrica remota en tiempo real en espacios públicos | Excepciones: búsqueda de víctimas, prevención amenaza terrorista, localización de sospechosos de delitos graves |
| Alto riesgo | Identificación biométrica remota diferida | Requiere: evaluación conformidad, registro en base de datos UE, supervisión humana, documentación técnica |
| Alto riesgo | Verificación 1:1 en controles de acceso | Requiere: DPIA, proporcionalidad demostrada, alternativas evaluadas |
Criterios de la AEPD (España)
La AEPD publicó en noviembre 2023 su guía sobre tratamientos biométricos, endureciendo significativamente los criterios:
- Ya no acepta el interés legítimo (art. 6.1.f RGPD) como base legal para reconocimiento facial
- Exige DPIA siempre antes de implementar reconocimiento facial
- Requiere alternativa no biométrica equivalente si se basa en consentimiento
- Aplica principio de minimización estricto: Si se puede lograr el objetivo sin biometría, no se justifica
Deepfakes como amenaza al reconocimiento facial
Los deepfakes y técnicas de face swap representan una amenaza directa a los sistemas de reconocimiento facial:
Ataques de presentación (Presentation Attacks)
| Tipo de ataque | Descripción | Eficacia contra sistemas sin liveness |
|---|---|---|
| Foto impresa | Presentar foto de la víctima ante la cámara | Alta contra sistemas 2D básicos |
| Foto en pantalla | Mostrar foto en tablet/móvil | Alta contra sistemas 2D básicos |
| Vídeo replay | Reproducir vídeo del rostro legítimo | Media-Alta contra sistemas sin análisis temporal |
| Máscara 3D | Máscara de silicona o resina del rostro | Media contra sistemas 3D (según calidad) |
| Deepfake en tiempo real | Generar rostro sintético en vídeo en vivo | Alta contra sistemas sin liveness avanzado |
| Morphing | Imagen que combina dos rostros para pasar como ambos | Alta contra controles documentales |
Contramedidas de liveness detection
| Técnica | Qué detecta | Limitaciones |
|---|---|---|
| Challenge-response | Pide al usuario girar cabeza, parpadear, sonreír | Deepfakes en tiempo real pueden replicar |
| Análisis de textura | Diferencia piel real de foto/pantalla/máscara | Requiere cámara de alta resolución |
| Infrarrojo | Emisión térmica del rostro (foto no emite calor) | Requiere sensor IR (no todos los dispositivos) |
| 3D depth sensing | Profundidad facial (foto es plana) | Máscaras 3D pueden engañarlo |
| Análisis de pulso (rPPG) | Detecta pulso sanguíneo visible en piel | No funciona con maquillaje pesado |
Análisis forense de sistemas de reconocimiento facial
Qué evalúa un perito informático
Evaluación de fiabilidad técnica: Analizar las tasas de error del sistema (FAR, FRR, EER) documentadas por el fabricante y verificarlas contra benchmarks independientes como NIST FRVT. Determinar si las condiciones de captura (iluminación, ángulo, resolución) fueron adecuadas para la precisión reclamada.
Análisis de sesgos: Verificar si las tasas de error son uniformes entre grupos demográficos. Si el sistema identificó a una persona de un grupo con mayor tasa de error, documentar esta circunstancia para el tribunal.
Auditoría de cumplimiento RGPD: Verificar base legal del tratamiento, existencia y calidad de la DPIA, información proporcionada a los interesados, medidas de seguridad, y política de retención de plantillas biométricas.
Evaluación de seguridad del sistema: Analizar si el sistema es vulnerable a ataques de presentación (deepfakes, fotos, máscaras). Verificar la implementación de liveness detection. Evaluar la seguridad del almacenamiento de plantillas (cifrado, acceso, transmisión).
Cadena de custodia de la evidencia: Si el reconocimiento facial se usa como prueba, verificar que las imágenes originales (CCTV, fotografía) mantienen cadena de custodia intacta, sin manipulación posterior.
Informe pericial: Documentar todos los hallazgos con rigor técnico, incluyendo limitaciones del análisis, nivel de confianza de las conclusiones, y recomendaciones.
Caso práctico: empresa usando reconocimiento facial sin DPIA
Nota: El siguiente caso está basado en patrones reales de procedimientos y resoluciones de la AEPD durante 2023-2025. Los datos han sido anonimizados preservando los aspectos técnicos y legales relevantes para fines educativos.
Empresa: Centro comercial, 45.000 visitantes/día, 120 cámaras CCTV.
Situación: El centro comercial actualiza su sistema de videovigilancia e incluye un módulo de reconocimiento facial que: (1) identifica a personas incluidas en una lista de “clientes conflictivos” previamente expulsados, y (2) genera analítica de afluencia por edad y género.
Timeline del incidente:
Septiembre 2024:
- Activación del módulo de reconocimiento facial
- Sin DPIA, sin consulta al DPO externo
- Cartelería CCTV genérica sin mención a biometría
- Base de datos: 200 "clientes conflictivos" con foto
Noviembre 2024:
- Cliente detectado erróneamente como "conflictivo" (falso positivo)
- Seguridad le impide acceso. Cliente graba la escena
- Presenta reclamación ante la AEPD
Enero 2025:
- AEPD abre actuaciones previas
- Requiere información: base legal, DPIA, sistema, carteles
Marzo 2025:
- Centro comercial contrata perito informático para auditoríaHallazgos de la auditoría forense:
| Deficiencia | Detalle técnico |
|---|---|
| Sin DPIA | No se realizó evaluación de impacto antes de activar el módulo |
| Base legal inexistente | No hay consentimiento (espacio público), ni ley habilitante, ni interés legítimo válido post-2023 |
| Información insuficiente | Carteles CCTV no mencionan reconocimiento facial ni tratamiento biométrico |
| Sin análisis de proporcionalidad | No se evaluó si medidas menos intrusivas (guardia de seguridad con fotos) serían suficientes |
| Sesgos no evaluados | Sistema con FAR 3x mayor para personas de piel oscura (no documentado por proveedor) |
| Retención excesiva | Plantillas biométricas de visitantes (analítica) almacenadas 90 días sin justificación |
| Sin liveness detection | Sistema vulnerable a ataques con foto impresa |
| Acceso no controlado | Personal de seguridad con acceso completo a base de datos biométrica sin log de auditoría |
Resolución: La AEPD propuso sanción de 1.500.000 euros por infracción del artículo 9 RGPD (tratamiento de datos biométricos sin base legal), artículo 35 (ausencia de DPIA), y artículo 13 (información insuficiente). El informe pericial fue clave para documentar las deficiencias técnicas y proponer medidas correctoras que redujeron la sanción en un 20% por colaboración.
Herramientas y frameworks de reconocimiento facial
Open source
| Herramienta | Desarrollador | Uso principal |
|---|---|---|
| OpenCV | Open Source | Detección facial, procesamiento imagen |
| dlib | Davis King | Landmarks faciales, embeddings |
| InsightFace | Imperial College | ArcFace embeddings (estado del arte) |
| DeepFace | Serengil | Wrapper multi-modelo (VGG, Facenet, ArcFace) |
| MediaPipe | Detección y landmarks en tiempo real (468 puntos) |
Comerciales
| Proveedor | Ranking NIST FRVT | Uso principal |
|---|---|---|
| NEC NeoFace | Top 3 | Fronteras, policía, aeropuertos |
| Cognitec FaceVACS | Top 5 | Documentos identidad, vigilancia |
| Idemia | Top 5 | Pasaportes, fronteras UE |
| Amazon Rekognition | Top 10 | Cloud, empresas, analítica |
| Microsoft Azure Face | Top 10 | Cloud, empresas, accesibilidad |
FAQ
P: ¿Face ID de Apple envía mi cara a sus servidores? R: No. Face ID de Apple procesa todo localmente en el dispositivo, en un chip dedicado llamado Secure Enclave. La plantilla biométrica nunca sale del dispositivo, no se incluye en copias de seguridad de iCloud, y Apple no tiene acceso a ella. Por esta razón, Face ID no está sujeto al RGPD (no hay responsable de tratamiento externo).
P: ¿Puede la policía usar reconocimiento facial para identificar manifestantes? R: El AI Act prohíbe la identificación biométrica remota en tiempo real en espacios públicos, lo que incluiría manifestaciones. La identificación diferida (posterior, analizando grabaciones) sí está permitida, pero solo con autorización judicial previa y para delitos graves. En cualquier caso, la jurisprudencia del TEDH protege el derecho de reunión y manifestación (art. 11 CEDH), y el uso de reconocimiento facial con efecto disuasorio podría vulnerar este derecho.
P: ¿Qué precisión tiene el reconocimiento facial con mascarilla? R: Según el NIST FRVT 2024, los mejores algoritmos alcanzan un FRR del 2-5% con mascarilla quirúrgica (frente al 0.3% sin mascarilla). La mascarilla oculta entre el 50% y el 70% de los landmarks faciales inferiores, forzando al algoritmo a depender exclusivamente de la región periocular (ojos, cejas, frente). Esto reduce significativamente la precisión y aumenta los sesgos demográficos.
Conceptos relacionados
- Datos biométricos - Categoría legal de los datos que procesa el reconocimiento facial
- Deepfake y detección - Amenaza directa a la fiabilidad del reconocimiento facial
- Face swap - Técnica de suplantación facial mediante IA
- DPIA (Evaluación de Impacto) - Evaluación obligatoria antes de implementar reconocimiento facial
- AEPD Compliance - Marco regulatorio de protección de datos en España
- Clonación de voz - Otra modalidad biométrica vulnerable a ataques de IA
Referencias y fuentes
- NIST. (2024). “Face Recognition Vendor Test (FRVT) 1:1 Verification”. nist.gov - Benchmark de referencia mundial para algoritmos de reconocimiento facial
- NIST. (2019). “Face Recognition Vendor Test Part 3: Demographic Effects”. nist.gov - Estudio de sesgos demográficos en algoritmos comerciales
- AEPD. (2023). “Guía sobre tratamientos de control de presencia mediante sistemas biométricos”. aepd.es
- AEPD. Resolución PS/00098/2021 (Aena, 10M€). aepd.es - Sanción por reconocimiento facial en aeropuertos
- AEPD. Resolución PS/00120/2022 (VIU, 650K€). aepd.es - Sanción por proctoring biométrico
- AI Act (Reglamento UE 2024/1689): Artículos 5.1.d (prohibición), 6 y Anexo III (alto riesgo). eur-lex.europa.eu
- RGPD (Reglamento UE 2016/679): Artículos 4.14, 9, 25, 35. eur-lex.europa.eu
- ACLU. (2020). “Robert Williams wrongful arrest: Detroit face recognition”. aclu.org
- Buolamwini, J. & Gebru, T.. (2018). “Gender Shades: Intersectional Accuracy Disparities in Commercial Gender Classification”. MIT Media Lab. proceedings.mlr.press
- CEPD. (2023). “Directrices 05/2022 sobre reconocimiento facial en fuerzas del orden”. edpb.europa.eu
- NIST FRVT. (2024). “Face Mask Effects”. nist.gov - Impacto de mascarillas en precisión
¿Necesitas un análisis forense de un sistema de reconocimiento facial o un informe pericial sobre su fiabilidad? Contacta con Digital Perito para evaluación técnica independiente y cumplimiento RGPD.
Última actualización: febrero 2026 Categoría: Técnico Código: TEC-025
Preguntas Frecuentes
¿Cuál es la diferencia entre verificación facial 1:1 e identificación 1:N?
La verificación 1:1 compara el rostro captado con una sola imagen de referencia para confirmar si es la misma persona (usado en desbloqueo de móvil o control acceso). La identificación 1:N compara contra una base de datos de múltiples personas para identificar quién es (usado en videovigilancia o búsqueda de sospechosos). Ambos procesan datos biométricos bajo art. 9 RGPD.
¿Es legal el reconocimiento facial en España?
Depende del contexto. La AEPD ha establecido que requiere base legal específica y proporcionalidad. Multó con 10M€ a Aena por usarlo en aeropuertos y con 650K€ a la VIU por proctoring. El AI Act europeo clasifica el reconocimiento facial en tiempo real en espacios públicos como práctica prohibida salvo excepciones de seguridad nacional.
¿Puede un perito informático analizar la fiabilidad de un sistema de reconocimiento facial?
Sí. Un perito puede evaluar tasas de falsos positivos/negativos, sesgos algorítmicos (raciales, de género, de edad), cumplimiento RGPD del almacenamiento de plantillas biométricas, y emitir informe pericial sobre la fiabilidad técnica del sistema para procedimientos judiciales o administrativos.
Términos Relacionados
Datos Biométricos
Datos personales de categoría especial obtenidos del tratamiento técnico de características físicas, fisiológicas o conductuales de una persona que permiten su identificación unívoca, como huellas dactilares, reconocimiento facial, patrones de iris o voz.
Face Swap
Técnica de deepfake que utiliza inteligencia artificial para superponer el rostro de una persona sobre el cuerpo de otra en videos o imágenes, creando contenido sintético convincente. Es la forma más común de deepfake y requiere análisis forense especializado para su detección.
¿Necesitas un peritaje forense?
Si necesitas ayuda profesional con análisis forense digital, estoy aquí para ayudarte.
Solicitar Consulta Gratuita