La biometría asegura la próxima generación de la banca móvil
10 July, 2015
category: Biometría, Finanzas, Identificación digital
Cuando USAA anunció que la biometría pronto se utilizaría para los inicios de sesión móviles, la compañía afirmó que era la primera institución financiera de Estados Unidos que ofrecía reconocimiento facial y de voz para la autenticación en una aplicación móvil.
Esa compañía de servicios bancarios y seguros que sirve a los militares y sus familias, tiene 10,6 millones de clientes. Se espera que todos tengan acceso a las capacidades de login biométrico en 2015 en el iOS de la compañía y en aplicaciones Android.
“El problema de apoderarse de las cuentas es muy común a causa del robo de identidad, y la identificación de usuario más contraseña es simplemente un obstáculo en el entorno actual en el que abundan sofisticadas amenazas”, expresa Gary McAlum, ejecutivo principal de seguridad de USA. “La biometría eleva significativamente el nivel de seguridad más allá de una identificación de usuario y una contraseña, pero no necesariamente hace más lento el proceso para los clientes. El proceso de login es más o menos el mismo, si no más rápido”.
La biometría facial y de voz se captura durante la inscripción utilizando el dispositivo móvil propio del cliente. Para el reconocimiento facial, los usuarios miran hacia la pantalla y pestañean cuando se les pide. Para el reconocimiento de voz, los usuarios leen una frase corta. La adición de biometría amplía las opciones de autenticación multifactor, todas las cuales funcionan en conjunción con un código de seguridad generado por la aplicación para cada login. Los usuarios que prueban el login biométrico y no les gusta, pueden tener sus datos eliminados del sistema en el transcurso de 30 días.
“Nos enfrentamos al mismo problema que todas las organizaciones basadas en Internet están tratando de resolver ahora mismo, que es cómo proteger esa primera línea de defensa cuando tienes que autenticar al que llega a tu puerta”, dice McAlum. “Si realmente tenemos una gran confianza en que podemos autenticarte mediante tus datos biométricos – puede que quieras transferir dinero a una cuenta externo o realizar una transacción cablegráfica – podemos ejecutar esa autenticación mejorada en línea, de modo que no te retrasemos el proceso”.
Los clientes de USAA no estaban ansiosos por adoptar la autenticación de dos factores. “Nada que les haga más lento los procesos les resulta atractivo, aunque resulte más seguro que un nombre de usuario y una contraseña”, señala McAlum. “De modo que aceptamos el desafío y nos preguntamos cómo podemos aprovechar las nuevas tecnologías para elevar el nivel de seguridad y al mismo tiempo acelerar el proceso? Para nosotros, la puesta en práctica de la tecnología biométrica logra precisamente eso”, explica.
Los miembros de USAA que han aceptado hasta ahora la biometría, están prefiriendo el reconocimiento facial por encima del de voz. La compañía también piensa ofrecer más adelante en este propio año una opción de huella pulgar. “En el entorno actual de riesgos, no vemos que la contraseña común sea viable a largo plazo”, añade McAlum.
Tangerine revoluciona la banca en Canadá
Ya en el año 2000 Tangerine (entonces ING Direct) estaba tratando de desarrollar un mouse que contuviera un escáner de huellas digitales. Esto funcionó, pero era una experiencia molesta para el usuario, explica el director de información de Tangerine, Charaka Kithulegoda. “En dependencia del sistema operativo y de otros factores, su instalación y puesta en funcionamiento no era fácil”, señala. El pasado otoño ese proveedor canadiense de servicios financieros adicionó la biometría de huellas digitales a su aplicación de banca móvil, que complementa nombre de usuario y contraseña para logins. Los casi 2 millones de clientes del banco tienen ahora la opción de usar el escáner de huellas digitales de los iPhones que tienen Touch ID como un factor adicional de autenticación. Trabajando con Nuance Communications, proveedor de software con sede en Massachusetts, Tangerine también se convirtió en el primer banco en Canadá en brindar una aplicación móvil controlada por voz, y se espera que a esto le siga la autenticación mediante la voz. Los clientes que tienen dispositivos con iOS 6 en adelante, ahora pueden manejar su información de cuenta mediante la voz. Los usuarios pueden chequear los saldos de las cuentas, hacer preguntas complejas sobre los gastos, y enviar instrucciones para transferir dinero o pagar una factura. “Siempre hemos pensado que la biometría es un poderoso mecanismo de autenticación y verificación”, dice Kithulegoda. La compañía explica que no eliminará completamente los nombres de usuario y contraseñas hasta que los usuarios no se sientan cómodos con la nueva tecnología.
US Bank expresa con ‘voz’ su apoyo a la biometría
US Bank ha estado probando diferentes métodos de autenticación durante un par de años, dice Beth Gallagher Dumke, vicepresidente de innovación en los servicios de pagos de esa institución. El pasado marzo, en la conferencia Connect ID, ella explicó con detalle los planes del banco respecto a la biometría. Hacer que los consumidores ingresaran largas contraseñas, había creado muchos problemas, y algunas otras tecnologías no eran fáciles de usar. “La mejor tecnología disponible no es buena si los clientes se niegan a usarla”, manifestó Dumke. Por el momento, la compañía ha escogido la biometría de voz para el login en la aplicación móvil, señala. Las pruebas internas han arrojado resultados positivos. El dos por ciento de las sesiones totales fueron rechazos falsos y no hubo ningún caso de aceptación falsa. Un 88% de las sesiones fueron autenticadas en el primer o segundo intento. Las plantillas de voz para el sistema están almacenados en la nube en lugar de en un dispositivo de usuario. Aunque el US Bank primeramente está implementando la biometría de voz, no se va a detener ahí. La institución también está considerando el reconocimiento facial y de huellas digitales como posibilidades para el acceso, señala Dumke.
Wells Fargo pasa a multi-modal
La tecnología biométrica no es nueva para Wells Fargo, dice Andy Foote, vicepresidente y estratega de investigación, innovación y desarrollo en la institución financiera. Desde el 2007 el banco ha estado utilizando en alguna forma la biometría, comenzando con el reconocimiento de voz para el restablecimiento de contraseña. Aunque el reconocimiento de voz funcionó, no resultaba ideal con tasas de falsos rechazos del 10% al 15%, expuso Foote en la conferencia Connect ID. “Puede que usted registrara un teléfono en buenas condiciones, y sin embargo el teléfono al que llamaba estuviera en una situación diferente”, señala.
En 2014 Wells Fargo inició una prueba piloto interna con biometría móvil multimodal, explica Foote. Aunque los teléfonos a menudo estan equipados con lectores de huellas digitales, esa es una modalidad que probablemente la institución no va a utilizar. Los sistemas biométricos tradicionales devuelven una puntuación que muestra la posibilidad de una coincidencia, y en dependencia del margen de un sistema en particular, se concede o no. “El problema con los escáneres de huellas digitales en dispositivos móviles es que solo dan un sí o no como respuesta, pero no dan una calificación”, explica. Por esa razón es que Wells Fargo escogió el sistema de reconocimiento de rostro y voz, que también detecta si hay vida.
Con el fin de obtener acceso, los clientes utilizarán su dispositivo móvil para hacer coincidir su rostro, y pronunciarán una frase dinámica de seguridad, añade Foote. El sistema también captura el movimiento del cliente y, como la frase de seguridad cambia en cada ocasión, esto asegura que no se esté presentando una foto o que la voz no se haya registrado. La prueba piloto interna tiene una tasa de rechazo menor del 1%, afirma Foote. A los participantes en la prueba les gusta el aspecto de reconocimiento facial de la aplicación – aunque tomó un tiempo darse cuenta de la distancia a la que había que sostener el dispositivo. Wells Fargo por ahora está guardando en la nube las plantillas para el sistema, pero la intención futura es situarlas de forma segura en el dispositivo del cliente.
Convirtiéndose en algo generalizado
En un sentido más amplio, una pequeña aplicación le está abriendo el mundo de la biometría potencialmente a cientos de millones de usuarios. Apple Pay, que se lanzó el otoño pasado, está disponible en los modelos más recientes de iPhone, iPad y el reloj Apple Watch. Con Apple Pay los usuarios añaden información de tarjetas de débito o crédito a sus iPhones, y las tarjetas deben pertenecer a bancos o uniones crediticias participantes. En las tiendas participantes pueden pagar por las compras sosteniendo su dispositivo cerca del escáner manteniendo un dedo sobre el sensor biométrico TouchID del teléfono.
El tránsito hacia el uso generalizado de la biometría para logins móviles seguros puede que no esté muy lejano. Se realizan esfuerzos tanto en el plano doméstico como internacional en función de los logins biométricos, y las compañías suelen citar como catalizador para el cambio, la inefectividad de las contraseñas. “El uso creciente de dispositivos móviles con sus teclados demasiado pequeños ha empeorado el valor de las contraseñas en cuanto a seguridad, ya que los usuarios de teléfonos inteligentes y tabletas tienen un 25% más de posibilidades que el consumidor promedio de reutilizar las contraseñas para múltiples logins”, plantea Al Pascual, director de seguridad y fraude en Javelin Strategy & Research.
La usabilidad es otro tema en cuanto a las contraseñas, puede ser incómodo escribirlas en un dispositivo móvil. Pascual dice que las soluciones biométricas, como huellas digitales y voz, han demostrado ser más cómodas para el usuario. Pero la seguridad es lo que está en el centro de la tendencia hacia la biometría. “Uno de los mayores impedimentos para la adopción de la banca móvil ha sido la preocupación de los consumidores respecto a la seguridad”, señala Pascual. “La biometría proporciona una clara solución que puede fortalecer la imagen de seguridad de la banca móvil, y ayudar a incrementar la adopción por parte de los consumidores de este canal de bajo costo para las instituciones financieras”.
La biometría no es nada nuevo en la industria financiera en el exterior. “Durante casi 20 años las instituciones financieras han estado ensayando la biometría de voz para su empleo a través del canal telefónico, aunque esto solo despegó en los últimos años”, señala Pascual. “El escaneo de las venas de las palmas de las manos ha tenido éxito en otros países para su uso en cajeros automáticos, incluyendo Japón y Europa Oriental, y hay la posibilidad de que se aplique también aquí en alguna medida”. Pascual señala que la privacidad es la mayor preocupación de los consumidores estadounidenses en relación con el uso de la biometría, pero no cree que haya mucha diferencia respecto a los europeos, que también consideran la privacidad como un asunto central. “Las instituciones financieras de Estados Unidos están más que conscientes con respecto a las directrices trazadas por el Consejo Federal de Certificación de Instituciones Financieras (FFIEC), que para bien o para mal aún tiene que pronunciarse específicamente sobre el canal móvil”, explica Pascual. “Afortunadamente, se han trazado algunos lineamientos respecto al uso de la biometría – todos ellos relativamente positivos – pero como los banqueros tienen a ser un grupo conservador, esto aún ha sido un cierto impedimento”. Pese a los desafíos, Pascual considera que los logins biométricos móviles para aplicaciones financieras serán relativamente comunes en los próximos dos a tres años, y otras aplicaciones les seguirán en breve.
Pascual está convencido de que las contraseñas seguirán utilizándose por lo menos durante unos cuantos años. “Las contraseñas han sido empleadas durante miles de años, desde el imperio romano”, señala. “Dada su ubicuidad y favorables costos, es posible que a corto plazo la industria financiera lo que haga sea complementarlas, y en los próximos cinco a diez años se les reemplace en gran medida en los canales móviles y en línea”.