Introducción
La app de un banco recibe una petición de acceso por parte de un cliente. La persona en cuestión tiene habilitado el acceso mediante biometría (dactilar, por ejemplo) y hace uso de él con la huella que en su día registró. Pero el sistema sospecha y le niega el paso, al mismo tiempo que activa todas las alarmas para alertar de un posible caso de fraude. Y menos mal, porque el usuario que intentaba entrar disponía de la huella dactilar adecuada (robada) y de la clave de firma (también obtenida de manera ilegal) del cliente al que intentaba suplantar, pero no es el cliente. En cuestión de segundos el ciberdelincuente habría vaciado esa cuenta corriente, pero las capacidades de verificación mediante biometría del comportamiento, a veces conocidas como biometría conductual, han actuado a tiempo.
La importancia de los prestadores de servicios electrónicos de confianza cualificados
Este sistema de verificación avanzado ha evolucionado los más utilizados hasta la fecha a un nuevo nivel. Y lo mejor para comprenderlo es repasar brevemente los modos de autenticación más habituales hasta la fecha para casos como, por ejemplo, realizar un onboarding digital en una entidad financiera (para abrir una cuenta corriente, por ejemplo), o acceder, como en el ejemplo, a la zona privada a través de una experiencia de usuario fluida y segura.
Los factores clásicos son:
- Algo que tienes: es decir, que el usuario puede llevar encima. Como un móvil al que lleva una OTP o incluso la famosa y todavía en uso, por algunas entidades, tarjeta de coordenadas.
- Algo que eres: biometría pura. Huella dactilar, reconocimiento facial, escáner de retina…
- Algo que sabes: lo que la persona lleva en su memoria (o apuntado, aunque esto no es buena opción). Una contraseña o un PIN, por ejemplo.
Biometría conductual o del comportamiento
La biometría del comportamiento está en un desarrollo rápido y continuo, y por lo tanto no siempre se define o agrupa de la misma manera, pero una forma de hacerlo es: Algo que haces (cómo, dónde y cuándo lo haces). Un pensamiento que aparece rápidamente es “a ver, que esto implica muchas cosas”. Y esa es la clave, muchas que, en combinación y a veces por sí mismas, son prácticamente imposibles de falsificar.
Un sistema que tenga en cuenta los comportamientos del usuario (y el acceso a analizarlos, con los consiguientes consentimientos) creará una base de datos con detalles como la velocidad de escritura de la persona, la presión sobre la pantalla, la inclinación con la que suele usar su dispositivo móvil, su dinámica de firma (no solo la firma en sí, sino cómo la hace, lo que tarda, cómo la empieza y la acaba…), su mano dominante, el paso al que anda cuando accede en movimiento y muchas más.
Las posibilidades no son infinitas, pero sí muy numerosas. Y a las anteriores podemos unir otras más fáciles de imitar, pero que siempre son útiles para una autenticación completa, como por ejemplo la ubicación desde la que accede a la app (algunas personas lo hacen solo desde casa y el trabajo), los horarios habituales, la IP desde la que se conecta…
La clave, el patrón conductual
La recogida de datos puede durar todo el ciclo de vida del cliente. Y por tanto, la ampliación del patrón conductual de la persona, también. Cuanto más complejo, más seguro, pues al sistema le será más fácil detectar anomalías en su comportamiento al acceder o mientras está en uso la sesión (verificación continua). Y estas anomalías, cuando se conviertan en mínimas sospechas, llevan a activar las medidas de seguridad necesarias.
Antes de finalizar, acabamos de hablar del concepto “patrón conductual de la persona”. Los ciberdelincuentes también son personas. Y en ocasiones se puede obtener de ellos patrones conductuales. Es decir, esta tecnología es de doble dirección: si cuentan con análisis de casos de fraude y el ladrón intenta suplantar una identidad diferente, entonces la biometría del comportamiento verificará que la persona es quien es: un delincuente reconocido. Y frustrará para siempre sus intentos.
Siempre y en segundo plano
Una reflexión final, pero como siempre se dice, no por ello menos importante, menos aun cuando hablamos de situaciones tan potencialmente graves como son las provocadas por las suplantaciones de identidad. Las soluciones de biometría del comportamiento o conductual son muy útiles para su uso o análisis en cada interacción del usuario.
Esta conclusión se alcanza desde varios prismas. Uno es particular. Este tiempo de medidas pueden garantizar hasta el extremo la seguridad y la idea de que la persona-es-quien-dice-ser en cada momento y de forma invisible. ¿Por qué no aprovechar estos beneficios y lanzar un análisis conductual (o cómo decíamos, hacerlo de manera continua) cada vez que el usuario lleva a cabo una interacción relevante? Y más aún cuando estos controles de seguridad se realizan sin fricciones para los clientes mientras navegan por sus zonas privadas de banca, seguros u otros sectores.
Un sistema basado en biometría del comportamiento puede analizar y vigilar en silencio, manifestándose únicamente cuando algo llama su atención y, por tanto, levanta sospechas. Esta capacidad para actuar en segundo plano ofrece evidentes ventajas en seguridad, en las posibilidades de las compañías para ofrecer experiencias de usuario atractivas y también para vencer situaciones de exclusión digital o reducir la brecha de ciertos perfiles que se sienten menos cómodos en lo tecnológico. Aquí la clave es el concepto clave es acompañar de manera invisible sin necesidad de que el usuario haga nada especial. Solo sentirse seguro.