Start-ups

Parece biometría, pero no lo es

Los ataques impulsados por el cibercrimen marcarán una de las principales amenazas a lo largo del año.

España se posicionó en 2022 como el tercer país a nivel mundial en materia de ciberataques, con más de 375.500 delitos informáticos, de los que cerca del 90% fueron fraudes o estafas, en lo que se consideraba la mayor ola cibercriminal del país hasta el momento, según datos del Ministerio de Interior. Datos preocupantes, agravados por las tendencias, donde “hoy, uno de cada cinco delitos en España se comete en la red», en palabras del ministro Grande-Marlaska.

Aunque la ciberdelincuencia y sus consecuencias no generan todavía el necesario impacto social, los ataques impulsados por el cibercrimen marcarán una de las principales amenazas a lo largo del año. Y es que nuestra vida está más conectada cada día a las nuevas tecnologías. A resguardo de ello, las soluciones que prometen acabar con esta ola de amenazas cada vez proliferan con fuerza en el mercado, algunas basadas en biometría. Que podamos desbloquear el teléfono móvil o acceder a determinadas instancias utilizando los rasgos personales (huella, rostro o iris) ya no sorprende a nadie, incluso sorprende que determinados dispositivos de media-alta gama no ofrezcan estas facilidades.

Actualmente se le está llamando biometría a todas las soluciones que se lanzan al mercado con intervención de rasgos personales. Pero una cosa es desbloquear el móvil con la biometría personal y otra la autenticación biométrica como una vía segura para acceder a determinados sistemas y servicios. Según el informe Gartner’s 2022 Innovation Insight for Biometric Authentication report, aunque la biometría se puede usar sola, en la mayoría de servicios ésta se integra con algún otro tipo de token, es decir, el usuario accede al servicio con una contraseña, y después asocia a esa contraseña un patrón biométrico como su huella dactilar o su cara que almacena en su smartphone. Esto facilita la usabilidad, ya que en la práctica el usuario utilizará su patrón biométrico para acceder al servicio, pero en realidad no se trata de un sistema biométrico de autenticación.

En estos casos, lo que se estará activando es la contraseña almacenada para acceder al servicio. Cuando se utiliza una contraseña asociada al patrón biométrico, cualquier persona que tenga acceso a esa combinación de letras, números y otros caracteres ya puede asociar su propio patrón biométrico en cualquier otro dispositivo, acceder al servicio y hacerse con los datos del usuario. En otras palabras, esta tecnología agrega capas de seguridad a las contraseñas, pero no demuestra que el usuario es quien dice ser.

Por poner un ejemplo, Airbnb utiliza un protocolo de identificación de dos pasos. Independientemente de si es un anfitrión o un huésped, la persona debe proporcionar información confidencial, como fotos de su documento de identificación o su dirección, firma, etc. Luego, la plataforma almacena su información de forma encriptada, protegida por bases de datos de terceros. Tras analizar más de 127.000 quejas de Airbnb, el bloguero e investigador de viajes Sher Fergusson descubrió que el 20,7% de las quejas pertenecían a clientes cuya cuenta había sido hackeada.

Este es solo un caso, de lo que cientos de compañías siguen utilizando en España. De hecho, nacen nuevas empresas y su forma de comunicar con nuevos clientes (en particular las SaaS) sigue siendo a través de usuario y contraseña, porque es “lo que hemos hecho toda la vida”, y ¿para qué cambiarlo? Por no hablar de la doble autenticación, tal como está implementada, con mensajes SMSs, solo entorpece la experiencia de usuario para acceder a nuestros servicios y a nuestros datos, y no detiene a los que obtienen acceso de manera ilícita.

En B-FY percibimos que los propios usuarios lo reclaman así, pues aseguran que las contraseñas y MFA (autenticación multifactor) son tediosos. Una encuesta de Thirdpartytrust.com revela que el 36% de los usuarios, si tuvieran la opción, preferiría el reconocimiento facial a escribir una contraseña. Para ellos, la autenticación biométrica es fluida, rápida, fácil de usar y, lo que es más importante, son los únicos que tienen el control de sus datos porque están almacenados en sus teléfonos inteligentes y no compartidos o almacenados en servidores externos.

Parece que el horizonte está cada vez más claro: la premisa para cualquier empresa que desee implementar servicios basados en biometría es evitar el uso de contraseñas o credenciales de posesión o conocimiento de ningún tipo, no compartir los datos biométricos personales y poner en cuarentena los sistemas de doble autenticación mediante SMS. Si bien la identificación biométrica es un gran apoyo para mejorar la seguridad de nuestra información, solo lo será si se utiliza como primer factor de autenticación.

*Miguel Abreu, CEO de B-FY.