Diz-me como andas e eu autentico quem és: biometria comportamental

A aplicação de um banco recebe um pedido de acesso de um cliente. A pessoa em questão tem o acesso biométrico ativado (impressão digital, por exemplo) e utiliza-o com a impressão digital que registou no momento. Mas o sistema desconfia e recusa o acesso, ao mesmo tempo que ativa todos os alarmes para avisar de um possível caso de fraude. E ainda bem, porque o utilizador que tentava iniciar sessão tinha a impressão digital adequada (roubada) e a chave de assinatura (também obtida ilegalmente) do cliente que tentava fazer-se passar por ele, mas não é esse cliente. Numa questão de segundos, o cibercriminoso teria esvaziado a conta corrente, mas as capacidades de verificação biométrica comportamental, por vezes conhecidas como biometria comportamental, actuaram a tempo.

Este sistema de verificação avançado evoluiu os mais utilizados até à data para um novo nível. E a melhor forma de o compreender é fazer uma breve revisão dos métodos de autenticação mais comuns até à data para casos como, por exemplo, o onboarding digital numa instituição financeira (para abrir uma conta à ordem, por exemplo), ou o acesso, como no exemplo, à área privada através de uma experiência de utilizador segura e sem problemas. Os factores clássicos são:

• Algo que tens: ou seja, que o utilizador pode transportar. Por exemplo, um telemóvel com um OTP ou mesmo o famoso e ainda em uso, por algumas entidades, cartão de coordenadas.
• Algo que tu és: biometria pura. Impressão digital, reconhecimento facial, scanner de retina…
• Algo que sabes: o que a pessoa tem na memória (ou escrito, embora esta não seja uma boa opção). Uma palavra-passe ou um PIN, por exemplo.

A biometria comportamental está em rápido e contínuo desenvolvimento e, por isso, nem sempre é definida ou agrupada da mesma forma, mas uma maneira de a fazer é: Algo que fazes (como, onde e quando o fazes). Um pensamento que surge rapidamente é “deixa ver, isto envolve muitas coisas”. E essa é a chave, muitas coisas que, combinadas e por vezes isoladas, são praticamente impossíveis de falsificar. Um sistema que tenha em conta os comportamentos dos utilizadores (e o acesso à sua análise, com os consequentes consentimentos) criará uma base de dados com detalhes como a velocidade de digitação da pessoa, a pressão sobre o ecrã, a inclinação com que habitualmente utiliza o seu dispositivo móvel, a dinâmica da sua assinatura (não apenas a assinatura em si, mas como assina, quanto tempo demora, como começa e termina…), a sua mão dominante, o ritmo a que caminha quando acede em movimento, e muito mais. As possibilidades não são infinitas, mas são muito numerosas. E às anteriores podemos acrescentar outras mais fáceis de imitar, mas que são sempre úteis para uma autenticação completa, como o local a partir do qual acedes à aplicação (algumas pessoas só acedem a partir de casa e do trabalho), os horários habituais, o endereço IP a partir do qual te ligas…

A recolha de dados pode durar todo o ciclo de vida do cliente. E, por conseguinte, também a extensão do padrão de comportamento da pessoa. Quanto mais complexo, mais seguro, pois será mais fácil para o sistema detetar anomalias no seu comportamento durante o acesso ou durante a utilização da sessão (verificação contínua). E estas anomalias, quando se tornam suspeitas mínimas, levam à ativação das medidas de segurança necessárias. Antes de concluir, acabámos de discutir o conceito de “padrão de comportamento de uma pessoa”. Os cibercriminosos também são pessoas. E, por vezes, é possível obter padrões de comportamento a partir delas. Ou seja, esta tecnologia é uma via de dois sentidos: se tiveres uma análise de fraude e o ladrão tentar fazer-se passar por uma identidade diferente, então a biometria comportamental verificará que a pessoa é quem é: um criminoso conhecido.E vai impedir as suas tentativas para sempre.

Uma última reflexão, mas como sempre se diz, não menos importante, sobretudo quando estamos a falar de situações tão potencialmente graves como as causadas pelo roubo de identidade. As soluções de biometria comportamental são muito úteis para serem utilizadas ou analisadas em todas as interações com os utilizadores. Esta conclusão é tirada de vários prismas. Um deles é particular. Porque não aproveitar estes benefícios e lançar uma análise comportamental (ou como dissemos, fazê-la continuamente) sempre que o utilizador realiza uma interação relevante? E ainda mais quando estas verificações de segurança não causam fricção aos clientes enquanto navegam nas suas áreas privadas na banca, seguros ou outros sectores. Um sistema baseado na biometria comportamental pode analisar e monitorizar silenciosamente, manifestando-se apenas quando algo chama a sua atenção e, assim, desperta suspeitas.

. Esta capacidad para actuar en segundo plano ofrece evidentes ventajas en seguridad, en las posibilidades de las compañías para ofrecer experiencias de usuario atractivas y también para vencer situaciones de exclusión digital o reducir la brecha de ciertos perfiles que se sentem menos à vontade com a tecnologia. O conceito chave aqui é acompanhar de forma invisível sem que o utilizador tenha de fazer nada de especial. Basta sentires-te seguro.