Banca sin contraseñas: una mirada más profunda a la autenticación biométrica y la detección de movimiento

Samuel Bakken, 28 de Enero de 2020

Detesto las contraseñas. Quiero acceder a más servicios en línea o móviles sin tener que preocuparme por ingresar combinaciones de varias letras, caracteres y números. Las contraseñas son incómodas y más riesgosas que otras opciones de autenticación disponibles actualmente, ya que pueden adivinarse, robarse o descifrarse. Por ese motivo, he estado siguiendo de cerca los avances en la autenticación biométrica como un factor de autenticación más sólido y seguro.

En un informe de Gartner de octubre de 2019, “Perspectiva tecnológica para la autenticación biométrica”, se afirma que la autenticación biométrica suele adoptarse para “[…] lograr la autenticación sin contraseñas, lo que mejora la UX/CX (experiencia de usuario/experiencia de cliente) y, potencialmente, eleva el nivel de confianza y fiabilidad”. Suena como una fórmula ganadora, además de una gran ventaja para las organizaciones de servicios financieros que compiten por clientes.

El informe de Gartner llama a la banca móvil una “killer app” para la autenticación biométrica: pronto será imprescindible. Creemos que ha llegado el momento de que las instituciones financieras implementen la autenticación biométrica para casos de uso de banca móvil, a fin de aumentar el nivel de confianza y fiabilidad, y también para mejorar la experiencia del cliente. Todos estos son componentes clave para aumentar los ingresos de las instituciones financieras.

¿Los consumidores están listos para la biometría en el comercio y la banca?

Una encuesta reciente de Visa realizada a 1000 consumidores estadounidenses dice que sí. La mayoría de los participantes prefirió la autenticación biométrica a la autenticación con contraseñas:

  • los encuestados afirmaron que la biometría es más fácil (70 %) y más rápida (61 %) que las contraseñas.
  • El 52 % afirmó que cambiaría de banco si el suyo no ofrece autenticación biométrica en el futuro.
  • Los beneficios más mencionados de la autenticación biométrica entre los encuestados fueron los siguientes:
    • No tener que recordar varias contraseñas/PIN (50 %)
    • Mayor seguridad que una contraseña/PIN (46 %)
    • No olvidar/perder un método de autenticación (33 %)

Al medir la calidad de la experiencia del cliente, los índices de abandono de transacciones son una métrica importante. Casi el 50 % de quienes participaron en la encuesta de Visa afirmaron haber abandonado una compra en línea porque no podían recordar su contraseña. 

“Los beneficios de la autenticación biométrica para la CX han impulsado un aumento en las aplicaciones de banca móvil durante los últimos años”, indica el informe de Gartner. En su evaluación de las soluciones de autenticación biométrica, las instituciones financieras deben tener en cuenta las diferencias entre métodos de autenticación biométrica nativos de dispositivos y de terceros. Un beneficio de los métodos biométricos de terceros, que consiste en incorporar un SDK en una aplicación móvil (como el que ofrece OneSpan), es que los bancos pueden prestar servicios a una mayor parte de su base de clientes. No todos los usuarios móviles tienen dispositivos que incluyen hardware y software nativos para biometría. Sin embargo, prácticamente todos los dispositivos móviles incluyen una cámara, que puede usarse a fin de capturar el rostro de un usuario para su autenticación biométrica.

¿La autenticación biométrica es más confiable que otros métodos de autenticación?

Opino que sí. La autenticación biométrica es claramente más segura que otros métodos de autenticación. La clave de un sistema de autenticación biométrica confiable es la capacidad de detectar o prevenir la falsificación de los rasgos biométricos de una persona viva. Una huella digital, una "huella facial" o cualquier otra modalidad biométrica elegida no es simplemente una forma de contraseña o token.

Sin un análisis adicional, realmente no existe manera de saber quién está ingresando una contraseña. Solo se sabe que se introdujo la contraseña y que esa contraseña coincide con la almacenada en el back-end. Por el contrario, un sistema de autenticación biométrico confiable con detección de movimiento y mitigaciones efectivas contra la suplantación de identidad ofrece un indicador adicional de confianza que valida al sujeto/persona que ofrece la muestra biométrica para su validación. La huella digital, el rostro o [inserte aquí su modalidad biométrica preferida] se presenta en vivo y conectada al usuario de carne y hueso.

Conceptos erróneos sobre la autenticación biométrica y cómo acabar con ellos

Según Gartner, "la autenticación biométrica no puede y no debe depender de la reserva de los rasgos biométricos, sino de la dificultad de suplantar a la persona de carne y hueso que presenta los rasgos ante un dispositivo de captura (sensor). Este último aspecto no es muy conocido y produce ciertos conceptos erróneos bastante comunesreforzados por una detección de ataques de presentación (PAD) limitada en los dispositivos de consumidores y la publicidad contra Apple Touch ID, los sensores de deslizamiento de Samsung, el reconocimiento facial de Android, etc.”.

Es posible que haya escuchado la crítica de que "no se puede cambiar la huella digital ni el rostro en caso de que se hayan puesto en peligro". Es cierto: los rasgos biométricos no se pueden cambiar como si fueran una contraseña. Sin embargo, el concepto de que un delincuente que roba sus datos biométricos podrá superar la autenticación correspondiente en el punto de captura biométrica es erróneo.

1. No se puede robar el rostro/huella digital/etc. de una persona1. Más allá de lo que podamos ver en películas de terror, en el mundo real los cibercriminales no intentan extraer (es decir, “robar”) el rostro o la huella digital de una persona. Los sistemas biométricos bien diseñados no "roban" el rostro o la huella digital de una persona. Lo que hacen es almacenar una representación matemática de la muestra biométrica registrada en el sistema (lo que se denomina plantilla). La representación matemática por sí sola no tiene valor en el punto de captura (observe el punto número uno resaltado en la siguiente imagen).

De ISO/IEC 30107-1:2016(E)
De ISO/IEC 30107-1:2016(E)
 

2. La representación en vivo del rasgo biométrico es la clave. Como señala el informe de Gartner: “Con un método de huellas digitales sólido, no debería importar si un atacante puede presentar el facsímil de las huellas digitales de una persona; cualquier otra cosa que no sea el dedo real de la persona (unido a su cuerpo vivo) no debería funcionar”. El ataque de presentación consiste en un adversario que presenta una reproducción de un rasgo biométrico (una suplantación) parecida a la referencia almacenada de un usuario legítimo (por ejemplo, modelos impresos en 3D, máscaras, imágenes, videos, etc.). La detección de movimiento identifica si el rasgo biométrico presentado pertenece a un ser humano vivo o es una representación fabricada (como lo dijimos antes, una suplantación). La detección de ataque de presentación (PAD) es una combinación de mecanismos contra la suplantación de identidad y de detección de movimiento. En algunos casos, el PAD en sistemas biométricos de dispositivos nativos para consumidores puede ser menos efectivo que una tecnología de autenticación biométrica de terceros. La norma ISO/IEC 30107 detalla una metodología sobre la cual puede medirse la eficacia de la PAD de una solución biométrica.

Por supuesto, la seguridad de extremo a extremo de un sistema de autenticación biométrica no se detiene en los ataques de presentación en el sensor donde se capturan los datos biométricos. Los ataques de reproducción son un ejemplo de otro riesgo; sin embargo, en muchos casos, la tecnología que garantiza la integridad de la aplicación, como la protección en la aplicación y el blindaje de aplicaciones/RASP, ayuda a mitigar estos riesgos. No obstante, las instituciones financieras deben ser cuidadosas con el diseño, la implementación, el uso y la configuración de la solución de autenticación biométrica.

Descargar el informe "Perspectiva tecnológica para la autenticación biométrica" de Gartner

Las instituciones financieras que intentan ofrecer una experiencia de usuario de mayor calidad y aumentar la confianza del consumidor en sus procesos de autenticación deben mirar hacia el futuro y considerar la implementación de la autenticación biométrica. Creemos que esta perspectiva ofrece un gran marco de referencia a fin de preparar a las IF para evaluar y seleccionar la mejor solución según sus necesidades gracias al tratamiento de temas clave como:

  • Casos de uso de la autenticación biométrica que permitirán obtener el mayor provecho (por ejemplo, banca móvil y verificación de identidad)
  • Problemas de privacidad y confianza de los consumidores
  • Mitigación de los riesgos relacionados con la seguridad de la plataforma completa de autenticación biométrica, incluidos los ataques de presentación y mucho más
  • Selección entre métodos nativos de los dispositivos y de terceros
  • Proveedores representativos, entre los que se encuentra OneSpan, que admiten una serie de casos de uso y modos biométricos

Descargue el informe Perspectiva tecnológica para la autenticación biométrica de Gartner ahora mismo para contar con una guía en su evaluación de la tecnología de autenticación biométrica.

Gartner no auspicia a ningún proveedor, producto o servicio incluido en sus publicaciones de investigación, ni recomienda a los usuarios de tecnología que seleccionen a los proveedores de mayor clasificación o con otro tipo de designación. Las publicaciones de investigación de Gartner consisten en las opiniones de la organización investigativa de Gartner, y no deben interpretarse como realidades de hecho. Gartner niega todas las garantías, expresas o implícitas, con respecto a esta investigación, incluidas las garantías de comerciabilidad o idoneidad para un propósito particular.

Fuentes:
Gartner, Perspectiva tecnológica para la autenticación biométrica, Ant Allan, 16 de octubre de 2019

1. Es cierto que existen casos de coerción, como forzar a una persona para que desbloquee su teléfono a punta de pistola, pero el mismo vector existe para las contraseñas o el PIN. También se puede señalar el ejemplo de una persona que desbloquea el teléfono de su cónyuge con su huella digital mientras duerme: una tecnología de reconocimiento facial que incluye detección de movimiento efectiva y una tecnología contra la suplantación de identidad mitigan este riesgo.

 

Sam es Director de Marketing de Producto responsable de la cartera de seguridad de aplicaciones móviles de OneSpan y tiene casi 10 años de experiencia en seguridad de la información.