La biometría es una gran aliada para luchar contra el fraude financiero. En el siguiente artículo podrá conocer en profundidad cómo funciona esta tecnología, sus principales clasificaciones, así como su utilidad a la hora de mejorar la experiencia del cliente, por ejemplo, a la hora de abrir una cuenta de forma remota.

Biometría

¿Qué son los datos biométricos?

Los datos biométricos los conforman características físicas o de comportamiento que son únicas para cada persona y se utilizan para autenticar a un individuo y que este tenga acceso a aplicaciones y otros recursos en red. Ejemplos de identificadores biométricos son las huellas dactilares, los patrones faciales, los patrones de desbloqueo, la dinámica de escritura o la voz. La autenticación biométrica es un componente popular de la autenticación multifactor porque combina un robusto sistema de autenticación con una experiencia de usuario de baja fricción.

Según la Wikipedia, “los identificadores biométricos se suelen clasificar en características fisiológicas y características de comportamiento. Las características fisiológicas están relacionadas con la forma del cuerpo. No estando limitadas a la huella dactilar, algunos ejemplos pueden ser, entre otros, las venas de la palma de la mano, el reconocimiento facial, el ADN, la impresión de la palma, la geometría de la mano, el reconocimiento del iris, la retina y el olor». La biometría de comportamiento está relacionada con un patrón de comportamiento, como el ritmo de escritura de una persona o la forma en que sostiene el teléfono o desliza el dedo por la pantalla.

Según la Wikipedia, “los identificadores biométricos se suelen clasificar en características fisiológicas y características de comportamiento. Las características fisiológicas están relacionadas con la forma del cuerpo. No estando limitadas a la huella dactilar, algunos ejemplos pueden ser, entre otros, las venas de la palma de la mano, el reconocimiento facial, el ADN, la impresión de la palma, la geometría de la mano, el reconocimiento del iris, la retina y el olor». La biometría de comportamiento está relacionada con un patrón de comportamiento, como el ritmo de escritura de una persona o la forma en que sostiene el teléfono o desliza el dedo por la pantalla.

La biometría se utiliza cada vez más en aplicaciones de banca móvil, lo que ayuda a los clientes a iniciar sesión fácilmente y agrega otra capa de seguridad. Los sistemas biométricos no dependen de que la información biométrica, como una imagen de su rostro, sea un secreto. A diferencia de las contraseñas y los PIN, los datos biométricos no se pueden olvidar ni compartir y son más difíciles de copiar o robar.

¿Cómo funciona la biometría?

Un sistema biométrico tiene tres componentes diferentes. Debe haber un sensor para registrar y leer su información biométrica, como una huella digital. Cuando utiliza su información biométrica para acceder a su teléfono móvil, también tiene que existir un ordenador que almacene de forma segura la información biométrica para compararla. El tercer componente es un software para conectar el hardware del ordenador al sensor.

Biometría estática y biometría de comportamiento: ¿cuál es la diferencia?

Biometría estática

La biometría estática utiliza características físicas, como el escaneo de huellas dactilares o el reconocimiento facial, para desbloquear teléfonos móviles, iniciar sesión en cuentas bancarias o realizar transacciones.

Estos son los principales tipos de datos biométricos estáticos que se utilizan para verificar su identidad:

  • El software de reconocimiento facial analiza la distancia entre sus ojos y la distancia entre su barbilla y su nariz para crear un modelo digital encriptado de su rostro. Al autenticarse, el software de reconocimiento facial escaneará su rostro en tiempo real y lo comparará con el modelo digital almacenado de forma segura en el sistema. Los sistemas de reconocimiento facial con «detección activa de vida» requieren que mueva la cabeza, parpadee o realice otros movimientos. La detección de vida también puede ser pasiva. En un segundo plano se utilizan algoritmos con el objetivo de analizar muestras biométricas en busca de señales que demuestren que no se trata de una persona viva, permitiendo detectar papel, pantallas digitales o recortes en una máscara impresa en 3D. Una detección de vida sólida asegura que sea el cliente real el que presente su muestra biométrica al sistema, y no un atacante que intenta hacerse pasar por el cliente. En este último caso se trataría de un ataque de suplantación de identidad.
  • El reconocimiento de huellas dactilares es una de las formas más populares, si no la más popular, de autenticación biométrica utilizada en dispositivos móviles. Originalmente fue popularizado por Touch ID de Apple. Un lector de huellas dactilares analiza las crestas y patrones de su huella dactilar y las compara con el modelo digital almacenado de su dedo durante la autenticación. El reconocimiento de huellas dactilares puede cambiar si su dedo está mojado o sucio. Supone una gran dificultad para un atacante replicar la huella dactilar de un individuo cuando un sistema de reconocimiento de huellas dactilares tiene una sólida detección de vida para ayudar a prevenir ataques de suplantación de identidad, que podrían usar un modelo 3D o una imagen falsa.
  • Reconocimiento de iris: existen dos métodos de escaneo ocular para autenticar la identidad de una persona. En una exploración de retina, una luz brilla brevemente en el ojo para mostrar el patrón único de vasos sanguíneos en el ojo. Al mapear este patrón, la herramienta de reconocimiento de ojos puede comparar los ojos de un usuario con los del original. En un escaneo del iris, se escanean los anillos de colores que se encuentran en el iris. En algunos usos, el reconocimiento ocular puede ser tan rápido y preciso como el reconocimiento facial, pero también puede ser difícil obtener una muestra para compararla a la luz del sol cuando las pupilas se contraen. El reconocimiento del iris también puede ser menos confiable cuando un cliente usa gafas.
  • El reconocimiento de voz analiza el sonido único de la voz de una persona, que está determinado por la longitud de su tracto vocal y la forma de su nariz, boca y laringe. Analizar la voz de una persona es un método sólido de autenticación, pero un resfriado, una bronquitis, otras enfermedades o el ruido de fondo pueden distorsionar la voz e interrumpir la autenticación.
  • El reconocimiento dela geometría del dedo utiliza la geometría 3D del dedo para verificar la identidad.

En general, la biometría estática se considera una forma segura de autenticar a los clientes y debe incluir una detección de vida para combatir las huellas dactilares o fotos falsas en un ataque de suplantación de identidad.

Biometría de comportamiento

La biometría de comportamiento analiza sus hábitos y movimientos únicos para crear un patrón de comportamiento que pueda reconocerse por la forma en que escribe o por el modo en que sostiene su teléfono. Al igual que la biometría estática, la biometría de comportamiento agrega otra capa de seguridad para verificar su identidad. FinancialIT.net dice: “Esta tecnología de vanguardia utiliza sensores de movimiento e inteligencia artificial para identificar gestos únicos, como la forma en que se sostiene un teléfono. En general, se considera que es la última frontera en materia de seguridad».

Estos son los principales tipos de biometría de comportamiento:

  • La dinámica de escrituraanaliza la forma y la velocidad de la escritura para determinar patrones distintivos. La cantidad de presión del dedo que se usa cuando se escribe también se puede establecer en un patrón reconocible.
  • La forma en que sostiene su teléfonoanaliza el ángulo en el que sostiene su teléfono y la mano dominante que usa cuando usa su teléfono. La biometría de comportamiento también incluye cómo desliza el dedo en su teléfono y con qué mano.
  • Su paso, o cómo camina, también es un rasgo de comportamiento que se puede estudiar para determinar un patrón. Además, su hora y ubicación habituales para los inicios de sesión y las transacciones también se pueden establecer en un patrón de comportamiento.

La biometría de comportamiento es una experiencia segura para los clientes, pero desafiante para los estafadores, ya que cada individuo tiene un perfil específico de sus hábitos y movimientos. Con la biometría de comportamiento se monitoriza continuamente la sesión de un usuario, de modo que, si en algún momento se interrumpe o es secuestrada, el sistema puede reconocerla y tomar las medidas adecuadas para prevenir el fraude antes de que se produzca.

Cómo protege la biometría contra el fraude financiero

Las instituciones financieras utilizan la biometría para los siguientes propósitos:

  1. Para la verificación de identidad digital cuando un cliente abre una nueva cuenta de forma remota
  2. Para la autenticación del cliente (al iniciar sesión o para la autenticación continua durante la sesión bancaria)
  3. Para la autenticación de transacciones (para garantizar que el propietario legítimo de la cuenta sea, de hecho, la persona que inicia la transacción)

Los consumidores se sienten cada vez más cómodos con la biometría y muchos eligen utilizar una huella digital o el reconocimiento facial, por ejemplo, como medio de autenticación y verificación de identidad con su institución financiera. La biometría agrega otra capa de seguridad y ayuda a elevar el nivel de confianza que los clientes tienen en su institución financiera. Touch ID de Apple, introducido en 2013, ha contribuido al aumento de la biometría en la banca móvil porque proporciona a las instituciones financieras una tecnología basada en dispositivos que pueden utilizar para proteger su plataforma de banca móvil.

Del mismo modo, Android Fingerprint ID permite a los usuarios verificar su identidad con una huella digital en algunos dispositivos Android. Javelin dice que los consumidores exigen opciones de autenticación. Para más de un tercio de los usuarios, los tres métodos de autenticación que más desean que respalden sus instituciones financieras son todos modalidades biométricas. Javelin también señala que, si bien se esperaría que los consumidores que desean una opción biométrica se concentren normalmente entre los clientes más jóvenes, alrededor del 40% eran mayores de 55 años.

Cómo proporciona la biometría una autenticación reforzada del cliente

La biometría es parte de un proceso de autenticación multifactor, donde se pueden usar múltiples tecnologías para autenticar la identidad de alguien cuando se loguea en una sesión bancaria o realiza una transacción financiera. Para lograr la autenticación de múltiples factores, se deben utilizar al menos dos factores de autenticación diferentes. Los factores de autenticación incluyen:

Algo que sabe

Suele ser una contraseña, PIN, frase de contraseña o preguntas con sus correspondientes respuestas.

Algo que tiene

Esto puede ser un PIN de un solo uso, o una aplicación de autenticación instalada en su teléfono inteligente, que genere un código de acceso de un solo uso en segundo plano.

Algo que es

Pueden ser varias cosas, desde huellas dactilares, escaneos de retina, reconocimiento facial, reconocimiento de voz o el comportamiento de un cliente (como de fuerte o rápido escribe o desliza el dedo por una pantalla), que se pueden usar para verificar a un cliente único.

Por lo tanto, usar un PIN con reconocimiento facial es autenticación multifactor porque combina algo que usted sabe y algo que es, mientras que usar un PIN con una contraseña no se consideraría autenticación multifactor porque son simplemente dos cosas que usted sabe.

Cómo ayuda la biometría a protegerse contra el fraude financiero

El uso de datos biométricos como parte de la autenticación reforzada de clientes o la autenticación multifactor pueden ayudar a mitigar diferentes tipos de ataques de fraude. Cuando los estafadores entran digitalmente en una cuenta bancaria para controlarla, a menudo utilizan tácticas como el phishing para persuadir a las personas de que revelen sin darse cuenta sus credenciales de inicio de sesión. El resultado es la toma de control de la cuenta, que es una de las principales amenazas para las instituciones financieras y sus clientes debido a las pérdidas financieras y los esfuerzos de mitigación que suponen. La biometría puede ayudar a detener a los atacantes en el punto de acceso (inicio de sesión), solicitando un escaneo de huellas dactilares o un escaneo facial. El atacante no podrá autenticarse correctamente y tampoco acceder a la cuenta de otra persona. Además, una robusta detección de vida y la detección de falsificaciones se lo ponen más difícil a los atacantes. El atacante no será capaz de imitar los datos biométricos de un cliente legítimo ni acceder a la cuenta.

Cómo ayuda la biometría a prevenir el fraude durante la apertura de una cuenta de forma remota

La biometría también juega un papel a la hora de ayudar a prevenir el fraude de identidad durante el proceso de apertura de una cuenta de forma remota. Hoy en día, debido a la covid-19, muchos consumidores están evitando visitas innecesarias a la sucursal bancaria. Incluso cuando un nuevo solicitante no se encuentra cara a cara con un representante del banco, el banco debe verificar que el solicitante en remoto sea de hecho el propietario legítimo de un documento de identidad, como un pasaporte o un carné de conducir. Esto es esencial en la lucha contra el fraude en aplicaciones.

La biometría es parte de este proceso. Por ejemplo, la comparación facial se utiliza para verificar la identidad, para garantizar que el solicitante en remoto sea quien dice ser. Una vez que se verifica la autenticidad del carné de conducir, el pasaporte u otra identificación emitida por el gobierno del solicitante, se le pide que se saque un selfi con su dispositivo móvil. Cuando se utiliza un selfi para el reconocimiento facial, se puede aplicar la detección de vida para demostrar una presencia humana legítima.

Hay dos tipos de detección de vida para identificar si un rasgo biométrico es de una persona real o es una representación digital o fabricada. La detección de vida activa requiere que una persona parpadee o gire la cabeza, y la detección de vida pasiva se ejecuta entre bastidores y utiliza algoritmos para detectar signos de una posible suplantación de identidad. Las tecnologías de comparación facial utilizan algoritmos avanzados para observar datos biométricos de las características de una persona. Por ejemplo, la posición y el tamaño de los ojos de una persona en relación con otra se pueden usar para determinar si el selfi y la identificación emitida por el gobierno representan a la misma persona.

Cómo mejora la biometría la experiencia del cliente

El uso de la biometría hace que sea más rápido y más fácil para los clientes interactuar con su institución financiera. La biometría es un medio de autenticación más seguro que las contraseñas, que a menudo se roban u olvidan. La biometría puede aumentar la confianza de los clientes en su institución financiera porque es mucho más difícil para los estafadores tener éxito con el uso de una huella digital o un selfi falso. Las experiencias positivas con la biometría para la verificación de identidad durante la apertura de una cuenta remota y la autenticación del cliente durante el inicio de sesión también pueden incrementar la lealtad y la confianza de los clientes en su institución financiera.
Vale la pena señalar que los modelos biométricos pueden aprender con el tiempo para que los cambios en las características de una persona debido al envejecimiento se tengan en cuenta y no invaliden la coincidencia. Cuando un usuario se autentica con regularidad, los pequeños cambios en la apariencia no serán lo suficientemente importantes como para invalidar la coincidencia. En su lugar, el modelo matemático de una persona se actualizará a medida que se reconozcan los cambios en su aspecto físico.

Lo que dicen los analistas sobre la biometría

Según Gartner, «la autenticación biométrica no puede y no depende del secreto de los rasgos biométricos, sino que se basa en la dificultad de hacerse pasar por una persona real ante los dispositivos de captura de imagen («sensor»), en otras palabras, un ataque de suplantación de identidad». Gartner añade que este aspecto no es ampliamente conocido, lo que ha llevado a algunos conceptos erróneos, reforzados por la detección de contados casos de ataques de suplantación de identidad en dispositivos de consumo y la publicidad sobre ataques exitosos contra Apple Touch ID, sensores de deslizamiento de Samsung, reconocimiento facial de Android, etc. Los beneficios para el cliente de la autenticación biométrica, dice Gartner, han provocado un incremento de las aplicaciones de banca móvil en los últimos años.

Juniper Research ha estimado que el hardware de reconocimiento facial, como Face ID en los últimos iPhones, será la forma de hardware biométrico de smartphones de más rápido crecimiento. Se espera que alcance más de 800 millones en 2024, en comparación con un estimado de 96 millones en 2019. Sin embargo, la nueva investigación, Autenticación de pago móvil: biometría, regulación y predicciones 2019-2024, señala que la mayoría del reconocimiento facial en smartphones estará basado en software, con más de 1,3 billones de dispositivos con esa capacidad para 2024.

MarketResearch.com señala que la lucha contra el fraude bancario en el mundo digital necesita tecnologías más infalibles. “La biometría es un arma poderosa para combatir la creciente amenaza de fraudes financieros. Por lo tanto, la tecnología está acaparando el protagonismo, respaldada por beneficios como la autenticación sencilla e infalible basada en caracteres físicos únicos que son difíciles de replicar o duplicar, es decir, reconocimiento de voz, escaneo de iris, huellas dactilares y reconocimiento facial; eliminación de la necesidad de recordar contraseñas y administrar contraseñas de un solo uso (OTP); seguridad mejorada inmune a los ciberataques; comodidad incomparable; riesgo significativamente reducido de robo de identidad; experiencia de usuario de mayor calidad; mínima o ninguna intervención del usuario; ahorro de tiempo y reducción de las cargas de trabajo de autenticación de back office, entre otros”. MarketResearch.com dice que se prevé que el mercado global de biometría para servicios bancaros y financieros alcance los 10,8 billones de dólares en 2025.

Javelin afirma que almacenar plantillas biométricas localmente en el dispositivo de una persona reduce los riesgos asociados a que los datos se vean comprometidos, ya sea en tránsito o por el ataque contra almacenes centralizados de datos biométricos. «Cuando se combina con estándares de autenticación, como los desarrollados por la FIDO Alliance, es casi imposible realizar phishing o hacer un mal uso de los datos interceptados en la autenticación biométrica local». Javelin también señala que, “si un individuo malintencionado es capaz de registrar con éxito sus propias características en un autenticador biométrico, incluso el método de autenticación más sofisticado le permitirá superar los desafíos de seguridad. En consecuencia, muchos proveedores ofrecen herramientas de evaluación de riesgos adicionales integradas en su plataforma, como la toma de huellas dactilares y la geolocalización de dispositivos. Otras herramientas, como el escaneo de documentos, ofrecen complementos naturales al escaneo biométrico, lo que permite un grado de comparación entre la entrada biométrica capturada por el usuario y la imagen en un documento de identificación».

Cumplimiento normativo y biométrico

La biometría ayuda a las organizaciones a cumplir con los requisitos de Autenticación Reforzada de Clientes (ARC) de la Segunda directiva de servicios de pago (PSD2) de la Unión Europea, que son regulaciones para los servicios de pagos electrónicos. Según los requisitos de la ARC, la autenticación debe basarse en dos o más de los siguientes factores: conocimiento (como contraseñas o PIN), posesión (como tokens o dispositivos móviles) o inherencia (biometría).

Según el Reglamento general de protección de datos (GDPR) de la UE, se requiere autenticación de dos factores para el cumplimiento. Eso significa que una combinación simple de nombre de usuario y contraseña ya no proporciona suficiente seguridad para la protección de datos, ya que las contraseñas se pueden robar, compartir o vulnerar fácilmente. En cambio, la autenticación de dos factores se usa para identificar a una persona cuando dos de los tres posibles factores de autenticación se combinan para otorgar acceso a un sitio web o aplicación: algo que la persona sabe, algo que la persona tiene o algo que la persona es, que implica el uso de datos biométricos como una huella dactilar o un escaneo facial.

En EE. UU., el regulador estatal más grande, el Departamento de Servicios Financieros de Nueva York, emitió un reglamento titulado Requisitos de ciberseguridad para empresas de servicios financieros. Este exige el uso de una autenticación multifactor, que incluye datos biométricos, «para proteger contra el acceso no autorizado a información o sistemas de información no públicos». La información no pública es la información privada del individuo.