Biometría

¿Qué es la biometría?

Los datos biométricos son características físicas o de comportamiento que son únicas para cada persona y se utilizan para autenticar a un individuo para que tenga acceso a las aplicaciones y otros recursos de la red. Algunos ejemplos de identificadores biométricos son las huellas dactilares, los patrones faciales, los patrones de deslizamiento, los ritmos de tecleo o la voz. La autenticación biométrica es un componente popular de la autenticación multifactorial (MFA) porque combina un fuerte desafío de autenticación con una experiencia de usuario de baja fricción.

Según la Wikipedia, "los identificadores biométricos suelen clasificarse en características fisiológicas y de comportamiento. Las características fisiológicas están relacionadas con la forma del cuerpo. Los ejemplos incluyen, entre otros, las huellas dactilares, las venas de la palma de la mano, el reconocimiento facial, el ADN, la huella de la palma de la mano, la geometría de la mano, el reconocimiento del iris, la retina y el olor o el olor" La biometría del comportamiento está relacionada con un patrón de conducta, como el ritmo de tecleo de una persona, o la forma en que sostiene o desliza su teléfono.

La biometría se utiliza cada vez más en las aplicaciones de banca móvil, ayudando a los clientes a iniciar la sesión fácilmente y añadiendo otra capa de seguridad. Los sistemas biométricos no dependen de que la información biométrica, como la imagen de su cara, sea un secreto. A diferencia de las contraseñas y los PIN, los datos biométricos no se pueden olvidar ni compartir y son más difíciles de copiar o robar.  

¿Cómo funciona la biometría?

Un sistema biométrico tiene tres componentes diferentes. Debe haber un sensor que registre y lea su información biométrica, como la huella dactilar. Cuando se utiliza la información biométrica para acceder al teléfono móvil, debe haber un ordenador que almacene de forma segura la información biométrica para su comparación. El tercer componente es el software para conectar el hardware del ordenador con el sensor

Biometría estática y biometría del comportamiento: ¿cuál es la diferencia?

Biometría estática

La biometría estática utiliza rasgos físicos, como el escaneo de la huella dactilar o el reconocimiento facial, para desbloquear teléfonos móviles, iniciar sesión en cuentas bancarias o realizar transacciones.  

Estos son los principales tipos de datos biométricos estáticos utilizados para verificar su identidad:

  • El software dereconocimiento facial analiza la distancia entre los ojos y la distancia entre la barbilla y la nariz para crear un modelo digital encriptado de su cara. Al autentificarle, el software de reconocimiento facial escaneará su rostro en tiempo real y lo comparará con el modelo digital almacenado de forma segura en el sistema. Los sistemas de reconocimiento facial con "detección activa de vida" requieren que usted mueva la cabeza, parpadee o realice otros movimientos. La detección de la vitalidad también puede ser pasiva, trabajando entre bastidores mediante algoritmos que analizan las muestras biométricas en busca de signos que indiquen que no son de una persona viva, como la detección de papel, pantallas digitales o recortes en una máscara impresa en 3D. Una fuerte detección de la vitalidad asegura que es el cliente real el que presenta su muestra biométrica al sistema, y no un atacante que intenta hacerse pasar por el individuo en lo que se llama un ataque de presentación.
  • El reconocimiento de huellas dactilares es una de las formas más populares, si no la más popular, de autenticación biométrica utilizada en los dispositivos móviles. Fue popularizado originalmente por el Touch ID de Apple. Un lector de huellas dactilares analiza las crestas y los patrones de su huella dactilar y los compara con el modelo digital almacenado de su dedo durante la autenticación. El reconocimiento de las huellas dactilares puede cambiar si el dedo está húmedo o sucio. Es un reto para un atacante replicar la huella dactilar de un individuo cuando un sistema de reconocimiento de huellas dactilares tiene una fuerte detección de vida para ayudar a prevenir los ataques de presentación, que podrían utilizar un modelo 3D o una imagen falsa.
  • Reconocimiento del iris: Existen dos métodos de escaneo ocular para autentificar la identidad de una persona. En una exploración de la retina, una luz ilumina brevemente el ojo para mostrar el patrón único de los vasos sanguíneos en el ojo. Al trazar este patrón, la herramienta de reconocimiento de ojos puede comparar los ojos de un usuario con un original. En un escaneo del iris, se escanean los anillos de color que se encuentran en el iris. En algunos usos, el reconocimiento ocular puede ser tan rápido y preciso como el reconocimiento facial, pero puede ser difícil obtener una muestra para comparar a la luz del sol cuando las pupilas se contraen. El reconocimiento del iris también puede ser menos fiable cuando el cliente lleva gafas.  
  • Elreconocimiento de voz analiza el sonido único de la voz de una persona, que viene determinado por la longitud de su tracto vocal y la forma de su nariz, boca y laringe. El análisis de la voz de una persona es un método sólido de autentificación, pero un resfriado, una bronquitis, otras enfermedades y el ruido de fondo pueden distorsionar la voz y perturbar la autentificación.
  • Elreconocimiento de la geometría del dedo utiliza la geometría 3D del dedo para la verificación de la identidad

En general, la biometría estática se considera una forma segura de autenticar a los clientes y debe incluir la detección de la vitalidad para luchar contra las huellas dactilares o las fotos falsas en un ataque de presentación

Cover of Gartner guide

Gartner Market Guide for In-App Protection

Download the full Gartner Market Guide for In-App Protection to learn about the application security capabilities necessary to protect your mobile apps as well the major providers in the security space today.

Download Now

Biometría conductual

La biometría del comportamiento analiza tus hábitos y movimientos únicos para crear un patrón de comportamiento que pueda reconocerse cuando escribes o cómo sostienes el teléfono. Al igual que la biometría estática, la biometría del comportamiento añade otra capa de seguridad para verificar su identidad. FinancialIT.net dice: "Esta tecnología de vanguardia utiliza sensores de movimiento e inteligencia artificial para identificar gestos únicos, como la forma en que se sostiene el teléfono. Se considera la última frontera de la seguridad"

Estos son los principales tipos de biometría del comportamiento:

  • Elritmo de pulsación de las teclas analiza la forma y la velocidad de su escritura para determinar patrones distintivos. La cantidad de presión de los dedos que se utiliza al teclear también se puede poner en un patrón reconocible.
  • Laforma de sujetar el teléfono analiza el ángulo en el que se sostiene el teléfono y la mano dominante que se utiliza cuando se usa el teléfono. La biometría del comportamiento también incluye la forma de pasar el teléfono y con qué mano.    
  • Su forma de andar, o de caminar, también es un rasgo de comportamiento que puede estudiarse para encontrar un patrón. Además, su hora y lugar habituales de inicio de sesión y de transacciones también pueden ser objeto de un patrón de comportamiento.  

La biometría del comportamiento es una experiencia perfecta para los clientes, pero un reto para los defraudadores, ya que cada individuo tiene un perfil específico de sus hábitos y movimientos. Con la biometría del comportamiento, la sesión de un usuario se supervisa continuamente, de modo que si en algún momento se interrumpe o es potencialmente secuestrada, el sistema puede reconocerla y tomar las medidas adecuadas para evitar el fraude antes de que se produzca.

Cómo la biometría protege contra el fraude financiero

Las instituciones financieras utilizan la biometría para los siguientes fines

  1. Para la verificación de la identidad digital cuando un cliente abre una nueva cuenta a distancia
  2. Para la autentificación del cliente (al iniciar la sesión o para la autentificación continua durante toda la sesión bancaria)
  3. Para la autentificación de las transacciones (para garantizar que el propietario legítimo de la cuenta es realmente la persona que inicia la transacción)

Los consumidores se sienten cada vez más cómodos con la biometría y muchos optan por utilizar la huella dactilar o el reconocimiento facial, por ejemplo, como medio de autenticación y verificación de la identidad con su entidad financiera. La biometría añade otra capa de seguridad y contribuye a aumentar el nivel de confianza de los clientes en su entidad financiera. El Touch ID de Apple, introducido en 2013, ha contribuido al aumento de la biometría en la banca móvil porque proporciona a las instituciones financieras una tecnología basada en el dispositivo que pueden utilizar para asegurar su plataforma de banca móvil.  

Del mismo modo, Android Fingerprint ID permite a los usuarios verificar su identidad con una huella dactilar en algunos dispositivos Android. Javelin afirma que los consumidores exigen opciones de autenticación. Para más de un tercio de los usuarios, los tres métodos de autenticación que más desean que admitan sus entidades financieras son todas las modalidades biométricas. Javelin también señala que, aunque normalmente se esperaría que los consumidores que desean una opción biométrica se concentraran entre los clientes más jóvenes, alrededor del 40% eran mayores de 55 años

Cómo la biometría proporciona una sólida autentificación del cliente

La biometría forma parte de un proceso de autenticación multifactorial (MFA), en el que se pueden utilizar múltiples tecnologías para autenticar la identidad de alguien cuando inicia una sesión bancaria o realiza una transacción financiera. Para lograr la autenticación multifactorial (MFA), deben utilizarse al menos dos factores diferentes de autenticación. Los factores de autenticación incluyen:

Algo que sabes

Suele tratarse de una contraseña, un PIN, una frase de paso o preguntas con sus correspondientes respuestas.  

Algo que tienes

Esto puede ser como un PIN de una sola vez, o su teléfono inteligente con una aplicación de autenticación como el dispositivo que genera un código de acceso de una sola vez detrás de las escenas.

Algo que eres

Se trata de cualquier cosa, desde huellas dactilares, escáneres de retina, reconocimiento facial, reconocimiento de voz o el comportamiento de un cliente (como la fuerza o la rapidez con la que teclea o desliza el dedo por una pantalla) que puede utilizarse para verificar a un cliente único.

En consecuencia, el uso de un PIN con reconocimiento facial es una autenticación multifactor porque combina algo que sabes y algo que eres, mientras que el uso de un PIN con una contraseña no se consideraría una autenticación multifactor porque son simplemente dos cosas que sabes.

Cómo la biometría ayuda a proteger contra el fraude financiero

El uso de la biometría como parte de la Autenticación Fuerte de Clientes (SCA) o MFA puede ayudar a mitigar diferentes tipos de ataques de fraude. Cuando los estafadores irrumpen digitalmente en una cuenta bancaria para hacerse con el control de la misma, suelen utilizar tácticas como el phishing para persuadir a las personas de que revelen inadvertidamente sus credenciales de acceso. El resultado es la toma de cuentas, que es una de las principales amenazas para las instituciones financieras y sus clientes debido a las pérdidas financieras y los esfuerzos de mitigación que conlleva. La biometría puede ayudar a detener a los atacantes en el punto de acceso (login) solicitando un escaneo de huellas dactilares o facial. El atacante no podrá autenticarse con éxito y se le impedirá entrar en la cuenta de otra persona. Además, la robusta detección de liveness y la detección de spoof hacen que sea aún más difícil para los atacantes. El atacante no podrá imitar los datos biométricos de un cliente legítimo y no podrá acceder a la cuenta.  

Cómo la biometría ayuda a prevenir el fraude durante la apertura de cuentas a distancia

La biometría también contribuye a evitar el fraude de identidad durante el proceso de apertura de cuentas a distancia. Hoy en día, gracias a COVID-19, muchos consumidores están evitando visitas innecesarias a la sucursal bancaria. Incluso cuando un nuevo solicitante no se encuentra cara a cara con un representante bancario, el banco debe verificar que el solicitante remoto es de hecho el legítimo propietario de un documento de identidad, como un pasaporte o un permiso de conducir. Esto es esencial en la lucha contra el fraude en las solicitudes.    

La biometría forma parte de este proceso. Por ejemplo, la comparación facial se utiliza para la verificación de la identidad, para garantizar que el solicitante remoto es quien dice ser. Una vez verificada la autenticidad del carnet de conducir, el pasaporte o cualquier otro documento de identidad emitido por el gobierno, se pide al solicitante que se haga un selfie con su dispositivo móvil. Cuando se utiliza un selfie para el reconocimiento facial, se puede aplicar la detección de vitalidad para demostrar la presencia humana genuina.  

Existen dos tipos de detección de vitalidad para identificar si un rasgo biométrico es de una persona real o es una representación digital o fabricada. La detección activa de la vitalidad requiere que la persona parpadee o gire la cabeza, mientras que la detección pasiva de la vitalidad se ejecuta entre bastidores y utiliza algoritmos para detectar indicios de una posible suplantación de identidad. Las tecnologías de comparación facial utilizan algoritmos avanzados para examinar los datos biométricos de los rasgos de una persona. Por ejemplo, la posición y el tamaño de los ojos de una persona con respecto a la otra pueden utilizarse para determinar si el selfie y el documento de identidad emitido por el gobierno son de la misma persona

Cómo la biometría mejora la experiencia del cliente

El uso de la biometría está agilizando y facilitando la interacción de los clientes con su entidad financiera. La biometría es un medio de autenticación más seguro que las contraseñas, que suelen ser robadas u olvidadas. La biometría puede aumentar la confianza de los clientes en su institución financiera, ya que es mucho más difícil para los estafadores tener éxito con el uso de una huella dactilar falsa o un selfie. Las experiencias positivas con la biometría para la verificación de la identidad durante la apertura de una cuenta a distancia y para la autenticación del cliente durante el inicio de sesión también pueden aumentar la lealtad y la confianza de los clientes en su institución financiera.   

Cabe destacar que los modelos biométricos pueden aprender con el tiempo, de modo que los cambios en los rasgos de una persona debidos al envejecimiento se tienen en cuenta y no invalidan una coincidencia. Cuando un usuario se autentifica con regularidad, los pequeños cambios de apariencia no serán lo suficientemente significativos como para invalidar la coincidencia. En cambio, el modelo matemático de una persona se actualizará a medida que se reconozcan los cambios de apariencia.

Javelin Scorecard book open
Analyst Report

Javelin | Mobile Biometrics Platform Scorecard

To help financial institutions evaluate mobile biometric solutions, Javelin ranked 12 vendors using the advisory firm's Functional, Innovative, and Tailored (FIT) model. Discover which vendors lead the pack in key areas like ease of integration, long-term value, and flexibility in adapting to business needs and use cases.

Download Now

Lo que dicen los analistas sobre la biometría

Según Gartner, "la autenticación biométrica no puede depender ni depende del secreto de los rasgos biométricos, sino que se basa en la dificultad de suplantar a la persona viva que presenta el rasgo a un dispositivo de captura ("sensor"), es decir, en un ataque de presentación". Según Gartner, las ventajas de la autenticación biométrica para el cliente han provocado un aumento de las aplicaciones bancarias móviles en los últimos años.

Juniper Research ha estimado que el hardware de reconocimiento facial, como el Face ID de los últimos iPhones, será la forma de hardware biométrico para smartphones que más rápido crecerá. Se espera que llegue a más de 800 millones en 2024, frente a los 96 millones estimados en 2019. Sin embargo, la nueva investigación, Mobile Payment Authentication: Biometrics, Regulation & Forecasts 2019-2024, señala que la mayor parte del reconocimiento facial de los smartphones estará basado en el software, con más de 1.300 millones de dispositivos con esa capacidad para 2024

MarketResearch.com señala que la lucha contra el fraude bancario en el mundo digital necesita más tecnologías infalibles. "La biometría es un arma poderosa para combatir la creciente amenaza de los fraudes financieros. La tecnología está acaparando el protagonismo gracias a ventajas como la autenticación fácil e infalible basada en caracteres físicos únicos que son difíciles de replicar o duplicar, es decir, el reconocimiento de voz, el escaneo del iris, la huella dactilar y el reconocimiento facial; la eliminación de la necesidad de recordar contraseñas y gestionar contraseñas de un solo uso (OTP); la mejora de la seguridad inmune a las estrategias de piratería informática; la comodidad inigualable; la reducción significativa del riesgo de robo de identidad; una experiencia de usuario de mayor calidad; una interfaz de usuario mínima o nula; el ahorro de tiempo y la reducción de la carga de trabajo de autenticación en el back office, entre otras" MarketResearch.com afirma que se prevé que el mercado mundial de la biometría para los servicios bancarios y financieros alcance los 10.800 millones de dólares en 2025.

Javelin afirma que el almacenamiento de las plantillas biométricas localmente en el dispositivo de una persona reduce los riesgos asociados con el compromiso de los datos, ya sea en tránsito o a través de actores maliciosos que atacan un almacén centralizado de datos biométricos. "Cuando se combina con los estándares de autenticación, como los desarrollados por la Alianza FIDO, la autenticación biométrica local es casi imposible de suplantar o de hacer un uso indebido de los datos interceptados". Javelin también señala que "si un individuo malintencionado es capaz de inscribir con éxito sus propias características en un autenticador biométrico, entonces incluso el método de autenticación más sofisticado le permitirá pasar los desafíos de seguridad". Por ello, muchos proveedores ofrecen herramientas adicionales de evaluación de riesgos integradas en su plataforma, como la huella digital del dispositivo y la geolocalización. Otras herramientas, como el escaneo de documentos, ofrecen complementos naturales al escaneo biométrico, que permite cierto grado de comparación entre la entrada biométrica capturada por el usuario y la imagen de un documento de identificación"

Biometría y cumplimiento de la normativa

La biometría ayuda a las organizaciones a cumplir los requisitos de autenticación fuerte de clientes (SCA) de la Segunda Directiva de Servicios de Pago (PSD2) de la Unión Europea, que son normas para los servicios de pagos electrónicos. Según los requisitos de la SCA, la autenticación debe basarse en dos o más de los siguientes factores: conocimiento (como contraseñas o PIN), posesión (como tokens o dispositivos móviles) o inherencia (biometría).

De acuerdo con el Reglamento General de Protección de Datos (RGPD) de la UE, la autenticación de dos factores es necesaria para su cumplimiento. Esto significa que una simple combinación de nombre de usuario y contraseña ya no proporciona suficiente seguridad para la protección de los datos, ya que las contraseñas pueden ser fácilmente robadas, compartidas o explotadas. En cambio, la autenticación de dos factores, o 2FA, se utiliza para identificar a una persona cuando se combinan dos de los tres factores posibles de autenticación para conceder el acceso a un sitio web o una aplicación: algo que la persona sabe, algo que la persona tiene o algo que la persona es, lo que implica el uso de datos biométricos como una huella dactilar o un escáner facial.

En los Estados Unidos, el mayor regulador estatal, el Departamento de Servicios Financieros de Nueva York, emitió una normativa titulada Requisitos de ciberseguridad para las empresas de servicios financieros. Exige el uso de la autenticación multifactorial, que incluye la biometría, "para proteger contra el acceso no autorizado a la información no pública o a los sistemas de información" La información no pública es la información privada del individuo

Póngase en contacto con nosotros

Póngase en contacto con uno de nuestros expertos en seguridad para saber más sobre cómo nuestras soluciones pueden ayudarle con sus necesidades de seguridad digital