Será necesario utilizar varios factores de autenticación.
El camino hacia una verificación de seguridad «invisible» en los servicios bancarios continúa mejorando con nuevas técnicas de análisis y mayores opciones de biométricos, un proceso que supone facilitar la experiencia del usuario sin comprometer su seguridad, este año entrará en vigor la autenticación de múltiples factores que convertirá en norma la directiva PSD2 en Europa.
«Estamos entrando en una nueva fase en la que los datos biométricos se pueden utilizar para autenticar a los usuarios, el uso de huellas dactilares ya es habitual, pero ahora están surgiendo otras técnicas como el reconocimiento facial, el escaneo del iris, la lectura de las venas debajo de la piel o, incluso, el análisis de la forma de caminar o escribir», explicó Xavier Larduinat, gerente de Innovación de Banca y Pagos de Gemalto.
Los datos biométricos son «únicos» son parte intrínseca de cada persona, no es como recordar una contraseña, sino información detallada de lo que es cada usuario y que sirve para autenticar actividades bancarias con mayor seguridad, al tiempo que contribuye a una experiencia del cliente aún más fluida.
«Los desarrollos en tecnología nos han acercado a mecanismos de seguridad invisibles para los servicios bancarios, es decir, verificaciones de software que no requieren ninguna acción del usuario final, sino más bien verificar el contexto de una transacción determinada para evaluar su riesgo», explicó el experto.
Sin embargo, la batalla contra el delito cibernético es enorme pues los atacantes continuamente desarrollan sofisticados métodos para hackear o estafar clientes bancarios, por lo que resulta insuficiente solo agregar datos biométricos a la lista de posibles factores de autenticación.
En ese sentido, añadió, es necesario que los bancos migren de un único factor de autenticación a por lo menos dos; en Europa, la próxima Directiva revisada de Servicios de Pago (PSD2) obligará a los bancos y a otras instituciones financieras a hacerlo.
En opinión del especialista, con la nueva generación de tecnología biométrica, una vez aplicada una evaluación de riesgos avanzada y con el aprendizaje automático, se puede apoyar a los bancos a tomar decisiones dinámicas sobre cuándo y cuánta autenticación se necesita, incluso en cada transacción bancaria.
La mayoría de los usuarios repite las mismas sesiones típicas una y otra vez, y al analizar elementos como el tiempo, la ubicación, el tipo de dispositivo y comportamientos biométricos como el ritmo de escritura del usuario, se puede asignar un puntaje o definir cuántos factores de autenticación requiere una transacción determinada.
«Si el sistema reconoce una transacción normal de bajo valor (una taza de café comprada todas las mañanas camino al trabajo), el pago sin contacto podría estar bien. Sin embargo, si detecta un 30 por ciento de probabilidad de fraude (realiza un pago mayor que el habitual a un nuevo proveedor, en un lugar nuevo), podría iniciar una verificación adicional de huellas dactilares».
Aún más, si el sistema valora que hay 60 por ciento de probabilidad de fraude, podría exigir la autenticación con datos biométricos más un PIN, y si advierte que el nivel es de 90 por ciento, podría bloquear la tarjeta y establecer una llamada telefónica a la línea de ayuda contra el fraude.
Xavier Larduinat anticipa que los consumidores disfrutarán de una experiencia bancaria aún más fluida, pero la industria debe extremar precauciones al trabajar en esta área, pues los datos biométricos son lo más personales y privados que cualquier persona tiene, a diferencia de una contraseña o PIN, no puede cambiarlos y comprometer su privacidad sería un gran error de las instituciones financieras.
«Si los datos biométricos personales se ven comprometidos o se pierden, el impacto en la confianza del consumidor en la tecnología podría ser catastrófica. Un estudio reciente mostró que 44 por ciento de los consumidores abandonaría su banco en caso de una violación a la seguridad, y 38 por ciento, cambiaría a un competidor que ofreciera un mejor servicio».
C$T-EVP