Ladrones, pastillas y tatuajes: otra faceta de la autenticación de pagos móviles
14 May, 2015
category: Huellas digitales
*Sirpa Nordlund, directora ejecutiva,
Mobey Forum*
Durante años la autenticación ha sido un tema peliagudo para las instituciones bancarias y financieras, particularmente en el mundo de los servicios móviles. Hasta ahora esas organizaciones se han enfocado en crear las tres fuentes primarias de datos de autenticación en sus productos y servicios, a saber, “algo que conoces”, como es una contraseña; y “algo que tienes,” como una tarjeta de pago. El deseo de incrementar el nivel de conveniencia del usuario para la autenticación móvil impulsa ahora a los bancos a explorar la tercera fuente, o sea “algo que eres”, en forma de soluciones biométricas.
Consumidores en todo el mundo utilizan ya sus huellas digitales, voces y rostros para acceder a sus dispositivos y autenticarse para una amplia variedad de servicios móviles con valor agregado. La fiabilidad, familiaridad y facilidad en el uso están promoviendo la confianza del consumidor y la adopción de esos modelos de autenticación.
Esta es una buena noticia. Las sospechas populistas que se han movido en torno de la seguridad biométrica son en gran medida infundadas, y su integración con los dispositivos móviles acaba finalmente con esas preocupaciones.
Pero con todo lo convenientes que parecen, hay un punto neurálgico: las formas populares de la autenticación biométrica, tales como las huellas digitales y el reconocimiento del patrón venoso, aún requieren una participación activa del usuario, por ejemplo, colocar el dedo pulgar sobre un sensor. Es decir, que no carecen de “fricción” y como resultado, interfieren con la experiencia intuitiva del usuario, que fue la intención original respecto a la biometría en los móviles.
Biometría combinada para la autenticación
Pero este es solo el comienzo, la biometría no tiene que estar limitada a la fisiología. La identificación conductual, que analiza los rasgos únicos de cada usuario de dispositivo, tiene el potencial de eliminar completamente la fricción en el proceso de autenticación.
Los patrones de pulsación del teclado, movimientos del mouse y otra serie de identificadores, están siendo estudiados, tanto para la identificación como para la prevención del fraude, y algunos de ellos han arrojado una precisión del 97% en los ensayos. Incluso en esos casos, un 3% de margen de error no es aceptable para la implementación masiva de servicios financieros móviles.
El futuro está en combinar formas de biometría. Una solución en capas debe impulsar la adopción a largo plazo, ya que entrega la combinación adecuada de conveniencia y seguridad. Es fácil avizorar un mundo de banca y pagos móviles, en que una métrica conductual puede autorizar el acceso, por ejemplo, a un estado de cuenta, pero una validación fisiológica, como una huella digital, se requiere para autenticar un pago o permitir un mayor acceso a la información de la cuenta.
Agujas, pastillas y tatuajes – un ardid de relaciones públicas de PayPal
Un anuncio reciente de PayPal armó todo un revuelo. El gigante de los pagos sugirió una cifra de posibles sustituciones futuras para la contraseña, incluyendo tecnología ingerible y tatuajes de chip de computadora.
El sentimiento es noble, es notorio que las contraseñas son inseguras y para muchas industrias son una espina clavada en el costado. Pero esas soluciones tan drásticas requieren tanto el consenso popular como la estandarización industrial antes de que sean tomadas en serio. ¿Quién va a querer tragarse pastillas, tolerar inyecciones todas las mañanas o tener embebidos en el brazo tatuajes de chips? Esos métodos radicales puede que encuentren espacio, por ejemplo, en instalaciones de alta seguridad, pero realmente aún no en el mercado de pagos.
¡Samsung hackeado!
En titulares reciente salió la noticia de que una falla en el Galaxy S5 había propiciado que unos hackers clonaran huellas digitales. Al igual que las PC y laptops han sido propensas a ataques mediante registro de pulsación del teclado, en este caso se monitorearon y replicaron en tiempo real datos recogidos por el sensor del S5.
No obstante, resulta alentador que las credenciales guardadas en Samsung KNOX, el entorno de ejecución de confianza de Samsung, se mantuvieron fuera del alcance, lo que destaca la necesidad de proteger componentes de entrada y salida de los dispositivos con tecnología TEE, además de hacerlo con las credenciales seguras de usuario.
Las opciones para ello podrían incluir una interfaz de usuario de confianza como parte del TEE, de modo que la información mostrada a los consumidores junto con su método de entrada de datos – en este caso, sensor de huellas digitales — estén protegidos, lo que significa que la información capturada y transferida no puede ser hackeada.
Cuando se trata de datos financieros y biométricos es absolutamente esencial cubrir todos los puntos potenciales de fallo. No tiene sentido construir una puerta impenetrable de hierro si para protegerla se le coloca una cerradura de plástico.