Un pasaporte biométrico es un pasaporte de papel tradicional incrustado con un chip de microprocesador y una antena que contiene información biométrica que se utiliza para identificar al titular. La combinación de microprocesador y antena suele ser un chip de identificación por radiofrecuencia (RFID) y utiliza ondas de radio para intercambiar información con un lector. El chip RFID en un pasaporte biométrico generalmente contiene toda la información impresa en el documento físico, así como una imagen facial digital. Se cree que este tipo de pasaporte evita la falsificación y hace que sea más rápido y seguro para los viajeros moverse entre países, pero algunos argumentan que el uso de chips RFID infringe las libertades civiles.
El desarrollo y la implementación de pasaportes biométricos comenzaron aproximadamente en 2003. Ese año, la Organización de Aviación Civil Internacional adoptó un plan para implementar pasaportes legibles por máquina con chips RFID. Las 188 naciones miembros, incluido Estados Unidos, estaban obligadas por el plan. El primer pasaporte biométrico estadounidense se emitió en 2005.
Es difícil y costoso a partir de 2011 falsificar el chip integrado en un pasaporte biométrico porque la Infraestructura de clave pública es el sistema de autenticación de datos en uso. Además de una imagen facial digital, los chips RFID también pueden contener información de huellas dactilares e iris. Estas imágenes almacenadas en el chip se comparan con las características de la persona que dice ser el titular durante los procedimientos de identificación en las fronteras o en la aduana.
Debido a las preocupaciones sobre la falsificación, toda la información que contiene el chip RFID de un pasaporte biométrico no es pública. Generalmente, el chip incluye un número de identificación impreso en su superficie y una firma digital. Estos dos números se almacenan en una base de datos y se asocian con la información personal del titular del pasaporte. La información almacenada en el chip RFID no se puede cambiar; si los datos del titular cambian, necesitará un nuevo pasaporte y es posible que deba pagar una tarifa de procesamiento.
El chip en un pasaporte biométrico está equipado con ciertas protecciones para disuadir la falsificación. A algunos chips se les asignan identificadores de chips aleatorios para evitar el rastreo. El control de acceso básico requiere que el lector proporcione una clave antes de que se pueda acceder a los datos del chip, mientras que la autenticación pasiva evita que se modifiquen los datos. La clonación del chip se evita con la autenticación activa. Si el chip incluye datos de huellas dactilares e iris, se utilizará el Control de acceso extendido (EAC) para su cifrado sólido; EAC se convirtió en obligatorio en la Unión Europea en junio de 2009.
A pesar de estas protecciones, se han demostrado varias vulnerabilidades en los chips de pasaporte biométricos. Marc Witteman reveló en 2005 que algunos números de documentos de pasaporte son predecibles, lo que simplifica la adivinación de la clave de cifrado del chip. EAC, autenticación pasiva y autenticación activa también han sido el objetivo de ataques exitosos en Gran Bretaña y otras naciones.
Algunas organizaciones afirman que cualquier persona con el equipo adecuado puede leer los chips de forma inalámbrica desde la distancia. Tales vulnerabilidades han llevado a los activistas de la privacidad a argumentar que deberían emitirse tarjetas de contacto en lugar de pasaportes biométricos. Una tarjeta de contacto se lee deslizándola a través de un lector como una tarjeta de crédito, eliminando así la posibilidad de que alguien lea la información del chip desde lejos. Otras naciones han adoptado la tecnología de tarjetas inteligentes sin contacto en lugar del chip RFID.
Un pasaporte biométrico emitido en la Unión Europea tiene información de imágenes digitales y escaneo de huellas dactilares en el chip a partir de 2011, con algunas excepciones para los estados miembros individuales. Muchas otras naciones ahora emiten pasaportes biométricos, incluidos Canadá, Suiza y Singapur. Las naciones sin la infraestructura y la capacidad tecnológica necesarias retrasarán necesariamente la implementación.