Tutorial

Seguridad de Datos Biométricos en Tránsito: Cifrado, Firmas y Cumplimiento

Cómo proteger datos biométricos de asistencia desde el dispositivo hasta tu aplicación — con TLS, firmas HMAC y arquitectura lista para cumplimiento normativo.

PunchConnect Team·Mar 28, 2026·5 min read

Introduction

Una plantilla de huella digital se filtra. A diferencia de una contraseña, no puedes restablecerla. Los datos biométricos de tus empleados son irrevocables — y protegerlos no es negociable.

Los datos de asistencia biométrica incluyen plantillas de huellas, vectores de reconocimiento facial, IDs de empleados y marcas de tiempo. En la mayoría de jurisdicciones, esto califica como datos personales sensibles. La NOM-035 (México), la Ley 1581 (Colombia), el RGPD (UE) — todos exigen cifrado en tránsito, controles de acceso y trazabilidad.

Esta guía cubre la cadena de seguridad completa: del dispositivo al cloud, del cloud a tu aplicación, y todo lo intermedio.

El Modelo de Amenazas

Capa 1: Cifrado Dispositivo-Cloud (TLS 1.3)

Toda comunicación entre los dispositivos biométricos y PunchConnect se cifra con TLS 1.3:

- Ningún dato en texto plano sale nunca del dispositivo por la red
- El certificate pinning previene ataques man-in-the-middle
- El forward secrecy garantiza que las sesiones pasadas permanecen cifradas

No necesitas configurar nada. Al registrar un dispositivo en el panel de PunchConnect, la conexión cifrada se establece automáticamente.

Capa 2: Verificación de Firma Webhook (HMAC-SHA256)

Cuando PunchConnect entrega datos de fichaje a tu aplicación vía webhook, ¿cómo sabes que realmente viene de PunchConnect? Un atacante que descubra tu endpoint webhook podría enviar eventos falsos.

Python: Verificar Firma del Webhook

python

import hmac
import hashlib
from flask import Flask, request, jsonify

app = Flask(__name__)
SECRETO_WEBHOOK = "whsec_tu_secreto_de_firma"

def verificar_firma(payload: bytes, firma: str) -> bool:
    """Verificar firma webhook de PunchConnect."""
    esperada = hmac.new(
        SECRETO_WEBHOOK.encode(),
        payload,
        hashlib.sha256
    ).hexdigest()
    return hmac.compare_digest(esperada, firma)

@app.route("/webhooks/fichaje", methods=["POST"])
def manejar_fichaje():
    firma = request.headers.get("X-PunchConnect-Signature", "")
    
    if not verificar_firma(request.data, firma):
        app.logger.warning(
            f"Firma webhook inválida desde {request.remote_addr}"
        )
        return jsonify({"error": "Firma inválida"}), 401
    
    evento = request.json
    empleado_id = evento["data"]["employee_id"]
    marca_tiempo = evento["data"]["timestamp"]
    
    print(f"Fichaje verificado: {empleado_id} a las {marca_tiempo}")
    
    return jsonify({"recibido": True}), 200

Node.js: Verificar Firma del Webhook

Crítico: Usa siempre hmac.compare_digest (Python) o crypto.timingSafeEqual (Node.js). La comparación simple de strings es vulnerable a ataques de temporización.

javascript

const crypto = require('crypto');
const express = require('express');
const app = express();

app.use(express.json({ verify: (req, res, buf) => { req.rawBody = buf; } }));

const WEBHOOK_SECRET = process.env.PUNCHCONNECT_WEBHOOK_SECRET;

function verificarFirma(payload, firma) {
  const esperada = crypto
    .createHmac('sha256', WEBHOOK_SECRET)
    .update(payload)
    .digest('hex');
  return crypto.timingSafeEqual(
    Buffer.from(esperada),
    Buffer.from(firma)
  );
}

app.post('/webhooks/fichaje', (req, res) => {
  const firma = req.headers['x-punchconnect-signature'];

  if (!firma || !verificarFirma(req.rawBody, firma)) {
    console.warn(`⚠️ Firma inválida desde ${req.ip}`);
    return res.status(401).json({ error: 'Firma inválida' });
  }

  const { data } = req.body;
  console.log(`✅ Verificado: ${data.employee_id} a las ${data.timestamp}`);

  res.status(200).json({ recibido: true });
});

app.listen(3000, () => console.log('Listener webhook seguro en :3000'));

Capa 3: Datos en Reposo (AES-256)

Todos los datos almacenados en la infraestructura de PunchConnect se cifran con AES-256: registros de asistencia, plantillas biométricas, configuraciones de dispositivos, logs de webhooks y backups de base de datos.

Cumplimiento Normativo por Región

En México, esta solución cumple con la NOM-035-STPS para registro de asistencia y la Ley Federal de Protección de Datos Personales en Posesión de los Particulares. En Colombia, el Artículo 161 del CST exige control de jornada laboral, y la Ley 1581 de 2012 protege los datos biométricos como datos sensibles.

| Requisito | NOM-035 (MX) | Ley 1581 (CO) | RGPD (UE) | PunchConnect |
|-----------|-------------|---------------|-----------|--------------|
| Cifrado en tránsito | Requerido | Requerido | Requerido | ✅ TLS 1.3 |
| Cifrado en reposo | Requerido | Requerido | Requerido | ✅ AES-256 |
| Controles de acceso | Requerido | Requerido | Requerido | ✅ API keys + RBAC |
| Pista de auditoría | Requerido | Requerido | Requerido | ✅ Logs webhook |
| Minimización de datos | Recomendado | Requerido | Requerido | ✅ Solo plantillas |
| Derecho de supresión | — | Artículo 17 | Artículo 17 | ✅ DELETE /employees/{id} |

Eliminar Datos de Empleado

bash

# Derecho de supresión — Ley 1581 / RGPD Artículo 17
curl -X DELETE https://api.punchconnect.com/v1/employees/EMP001 \
  -H "Authorization: Bearer TU_API_KEY"

Prevención de Ataques de Replay

Incluso con firmas válidas, un atacante podría capturar un webhook legítimo y reenviarlo. Protégete con validación de timestamp y verificación de idempotencia:

python

from datetime import datetime, timezone, timedelta

EDAD_MAXIMA_WEBHOOK = timedelta(minutes=5)

@app.route("/webhooks/fichaje", methods=["POST"])
def manejar_fichaje():
    if not verificar_firma(request.data, request.headers.get("X-PunchConnect-Signature", "")):
        return jsonify({"error": "Firma inválida"}), 401
    
    evento = request.json
    
    # Verificar frescura del timestamp
    hora_evento = datetime.fromisoformat(evento["timestamp"])
    edad = datetime.now(timezone.utc) - hora_evento
    if edad > EDAD_MAXIMA_WEBHOOK:
        return jsonify({"error": "Webhook demasiado antiguo"}), 400
    
    # Idempotencia — rechazar IDs de evento duplicados
    event_id = evento["event_id"]
    if redis_client.exists(f"webhook:{event_id}"):
        return jsonify({"status": "ya_procesado"}), 200
    
    redis_client.setex(f"webhook:{event_id}", 86400, "1")
    procesar_fichaje(evento["data"])
    
    return jsonify({"recibido": True}), 200

FAQ

¿PunchConnect almacena imágenes de huellas digitales?

No. PunchConnect solo almacena plantillas de huellas — representaciones matemáticas de las características, no imágenes reales. Las plantillas no se pueden revertir a imágenes. Distinción crítica para cumplimiento normativo.

¿Qué versión de TLS usa PunchConnect?

Todas las conexiones usan TLS 1.3. TLS 1.0 y 1.1 no están soportados. TLS 1.2 se acepta como respaldo para dispositivos antiguos.

¿Puedo restringir el acceso API a direcciones IP específicas?

Sí. En el panel de PunchConnect puedes configurar listas blancas de IP para tus claves API.

¿Cómo verifico que mi endpoint webhook es seguro?

PunchConnect ofrece una herramienta de prueba webhook en el panel. Envía un evento de prueba y verifica: (1) tu servidor lo recibe por HTTPS, (2) la verificación de firma pasa, y (3) puedes rechazar eventos con firmas manipuladas.

¿Qué pasa con los datos si cancelo mi cuenta?

Todos los datos se eliminan en 30 días tras la cancelación. Puedes exportar tus datos vía API antes de cancelar.

---

La seguridad de datos biométricos no es opcional — es un requisito legal en la mayoría de mercados. PunchConnect se encarga de lo pesado: TLS 1.3 para tránsito, AES-256 para almacenamiento, HMAC-SHA256 para integridad webhook. Tu trabajo: verificar firmas webhook y almacenar claves API de forma segura.

Prueba gratis por 7 días — seguridad de nivel empresarial desde el día uno, sin tarjeta de crédito.