Customer Comms BlogArtículos de InterésBanca sin contraseña: una visión más amplia de la autenticación biométrica y detección de vida

Banca sin contraseña: una visión más amplia de la autenticación biométrica y detección de vida



No nos gustan las contraseñas. Queremos acceder a más servicios online o móviles sin tener que utilizar combinaciones de letras, caracteres y números. Las contraseñas son un inconveniente y son más peligrosas que otras opciones de autenticación disponibles hoy en día, porque se pueden adivinar, robar o descifrar. Por esa razón, hemos estado revisado los avances en la autenticación biométrica como un factor de autenticación más robusto y seguro.

Un informe de octubre de 2019 de Gartner, «Technology Insight for Biometric Authentication», afirma que la autenticación biométrica generalmente se adopta para «…lograr la autenticación sin contraseña, mejorando así el UX/CX (experiencia del usuario/experiencia del cliente) y mejorar potencialmente la confianza y la responsabilidad». Esto suena a éxito asegurado y a una gran ventaja para las organizaciones de servicios financieros a la hora de competir por los clientes.

El informe de Gartner llama a la banca móvil la «killer app» (es decir, que pronto será indispensable en los casos de uso de la banca móvil) para la autenticación biométrica. Creemos que ahora es el momento para que las instituciones financieras adopten la autenticación biométrica para los casos de uso de la banca móvil, y así aumentar la confianza y la responsabilidad y mejorar la experiencia del cliente, componentes clave para aumentar los ingresos de las instituciones financieras.

¿Están listos los consumidores para la biometría en el comercio y la banca?

Una encuesta reciente de Visa a 1.000 consumidores estadounidenses, por ejemplo, dice que sí. La mayoría de los encuestados prefirió la autenticación biométrica a la autenticación basada en contraseña:

  • Los encuestados dijeron que la biometría es más fácil (70%) y más rápida (61%) que las contraseñas.
  • El 52% afirmó que cambiaría de banco si este no ofrecía autenticación biométrica en el futuro.
  • Los beneficios más comúnmente citados de la autenticación biométrica entre los encuestados fueron:
    • No tener que recordar múltiples contraseñas / PINs (50%)
    • Mejor seguridad que las contraseñas / PINs (46%)
    • No olvidar/perder un método de autenticación (33%)

A la hora de medir la calidad de la experiencia del cliente, las tasas de abandono en transacciones son una métrica importante. Casi el 50% de los encuestados que respondieron a Visa confirmaron haber abandonado una compra online porque no podían recordar su contraseña.

«Los beneficios en CX (Customer Experience) de la autenticación biométrica han impulsado un aumento en las aplicaciones de banca móvil en los últimos años», afirma el informe de Gartner. A medida que evalúan las soluciones de autenticación biométrica, las instituciones financieras deben tener en cuenta las diferencias entre los métodos de autenticación biométrica nativos del dispositivo y los de terceros. Una ventaja de los métodos biométricos de terceros, que consisten en incorporar un SDK en una aplicación móvil (como la que ofrece OneSpan), es que los bancos pueden atender a más clientes. No todos los usuarios poseen dispositivos que incluyan hardware y software nativo para dispositivos biométricos. Sin embargo, casi todos los dispositivos móviles incluyen una cámara, que se puede utilizar para capturar la cara de un usuario para la autenticación biométrica.

¿La autenticación biométrica es más confiable que otros métodos de autenticación?

Se puede sostener que sí, la autenticación biométrica es de hecho más segura que otros métodos de autenticación. La clave para un sistema de autenticación biométrica confiable es la capacidad de detectar o prevenir la suplantación del rasgo biométrico de una persona viva. Una huella dactilar, «huella facial» o cualquier modalidad biométrica que elija no es simplemente otra forma de contraseña o token.

Sin un análisis adicional, realmente no hay forma de saber quién está proporcionando una contraseña. Solo se sabe que se introdujo la contraseña y que coincide con la clave registrada en la base de datos. Por otro lado, un sistema confiable de autenticación biométrica con detección efectiva de vida y mitigaciones de suplantación de identidad proporciona un indicador adicional de confianza, ya que valida al sujeto/persona que está ofreciendo la muestra biométrica para su verificación. Porque la huella digital, la cara o [inserte aquí su modalidad biométrica favorita] se presenta en vivo y se relaciona con el usuario en persona.

Disipar un concepto erróneo de autenticación biométrica

Según Gartner, «la autenticación biométrica no puede y no depende del secreto de los rasgos biométricos, sino que se basa en la dificultad de hacerse pasar por la persona viva que presenta el rasgo en un dispositivo de captura (sensor). Este último punto no se conoce ampliamente, lo que lleva a algunos conceptos erróneos comunesreforzados por la detección de los escasos ataques de presentación (PAD o presentation attack detection) detectados en dispositivos de consumo y publicidad sobre ataques perpetrados contra Apple Touch ID, sensores de deslizamiento de Samsung, reconocimiento facial de Android, etc.».

Probablemente hayas escuchado la crítica de que «no puedes cambiar tu huella dactilar o tu cara si alguna vez estas se ven comprometidas». Es cierto: no puedes cambiar tus rasgos biométricos como si fueran una contraseña. Sin embargo, la idea de que si un cibercriminal roba tus datos biométricos, pasará con éxito el desafío de autenticación correspondiente en el punto de captura biométrica es errónea.

  1. No puedes robar literalmente la cara/huella dactilar de alguien/etc.1– Dejando de lado las películas de terror, en realidad los ciberdelincuentes generalmente no buscan eliminar (es decir, «robar») la cara o la huella digital de alguien de su cuerpo. Los sistemas biométricos bien diseñados no «almacenan» literalmente la cara o la huella digital de un usuario. En su lugar, almacenan una representación matemática de la muestra biométrica inscrita en el sistema (denominada plantilla). La representación matemática por sí sola no tiene valor en el punto de captura (ver el punto número uno resaltado en la imagen a continuación).

  1. La presentación en vivo del rasgo biométrico es el eje – Como sostiene el informe de Gartner, «en un método robusto de huellas dactilares, no debería importar que un atacante pueda presentar una copia exacta de la huella dactilar de una persona; cualquier otra cosa que no sea el dedo real de la persona (aún unido a su cuerpo vivo) no debería funcionar». Un ataque de presentación consiste en que un enemigo presenta una reproducción de un rasgo biométrico (una «suplantación») que se asemeja a una referencia almacenada para un usuario legítimo (por ejemplo, modelos impresos en 3D, máscaras, imágenes, video, etc.). La detección de vida identifica si el rasgo biométrico presentado es de un humano vivo o es una representación digital o fabricada (o de nuevo, una suplantación). La detección de ataque de presentación (PAD) es una combinación de mecanismos de detección de falsificación y detección de vida. En algunos casos, el sistema PAD nativo de los consumidores puede requerir ser complementado por sistemas biométricos de un tercero. El estándar ISO / IEC 30107 establece una metodología a través de la que se puede medir la eficacia PAD de una solución biométrica.

Por supuesto, la seguridad end-to-end de un sistema de autenticación biométrica no se detiene en los ataques de presentación en el sensor donde se capturan los datos biométricos. Los ataques de repetición son un ejemplo de otro riesgo, pero en muchos casos, la tecnología que garantiza la integridad de la aplicación, como la protección en la aplicación y el blindaje de la aplicación /RASP, ayuda a mitigar estos riesgos. Pero, las instituciones financieras deben tener cuidado en el diseño, implementación, distribución y configuración de la solución de autenticación biométrica.

Descarga el informe de Gartner Technology Insight for Biometric Authentication

Las instituciones financieras que buscan proporcionar una experiencia de usuario de mayor calidad y aumentar la confianza del consumidor en sus procesos de autenticación, deben mirar hacia el futuro y considerar implementar la autenticación biométrica. Creemos que este informe proporciona un gran marco para preparar a las instituciones financieras a la hora de evaluar y elegir la mejor solución, con el fin de valorar tus necesidades para cubrir temas clave como:

  • Casos de uso de autenticación biométrica que devolverán el mayor valor (por ejemplo, banca móvilpruebas de identidad).
  • Cuestiones sobre privacidad y confianza del consumidor.
  • Mitigar los riesgos de seguridad asociados con la seguridad de la plataforma de autenticación biométrica completa, incluidos los ataques de presentación y otros.
  • Elegir entre métodos nativos del dispositivo y de terceros.
  • Proveedores representativos, incluido OneSpan, que admiten una variedad de modos biométricos y casos de uso.

 

Descargar el informe de Gartner Technology Insight for Biometric Authentication ahora puede ayudarte a guiarte en tu evaluación de la tecnología de autenticación biométrica.

Informe analítico de Gartner de 2019

Aproximación tecnológica para la autenticación biométrica

Descarga Technology Insight for Biometric Authentication para saber dónde se implementa mejor esta tecnología y cómo se puede aprovechar para mejorar la experiencia de usuario y aumentar la confianza.

Gartner no respalda a ningún proveedor, producto o servicio representado en sus publicaciones de investigación, y no aconseja a los usuarios de tecnología que seleccionen solo aquellos proveedores con las calificaciones más altas u otra designación. Las publicaciones de investigación de Gartner consisten en las opiniones de la organización de investigación de Gartner y no deben interpretarse como declaraciones de hechos. Gartner niega todas las garantías, expresas o implícitas, con respecto a esta investigación, incluidas las garantías de comerciabilidad o idoneidad para un propósito particular.

Fuentes:
Gartner, Technology Insight for Biometric Authentication, Ant Allan, 16 de octubre de 2019

  1. Es cierto que existen casos de coerción, como obligar a una persona a desbloquear un teléfono a punta de pistola, pero es también aplicable a contraseñas o PINs. También hay ejemplos de alguien que desbloquea el teléfono de su cónyuge dormido con una huella dactilar. La tecnología de reconocimiento facial que incluye una detección efectiva de la vida y la tecnología antisuplantación mitiga este riesgo.

Contenido extraído de OneSpan.