El registrador nacional del Estado Civil, Alexander Vega anunció, en medio de la Convención Bancaria que se realizó en Cartagena en su versión número 57, la nueva implementación de biometría facial. Las entidades financieras tienen vía libre para integrar este método de autenticación de identidad en los servicios de los usuarios.  El plan piloto inició el pasado 16 de junio con Tuya, compañía de financiamiento, posteriormente se extenderá a otras 10 entidades.

Esta nueva autenticación digital hace parte de la necesidad de digitalizar con seguridad las identidades de los colombianos. La identificación mediante la biometría facial se une a otros proyectos similares como la cédula de ciudadanía digital. Este documento es “el elemento más seguro que tendrá el sector financiero para validar la identidad de los ciudadanos” según la Registraduría Nacional.

Te puede interesar: Lulo Bank anuncia ‘Bolsillos Lulo’ con rentabilidad del 10%, ¿cómo funcionan?

La biometría facial fue elegida como el nuevo método de reconocimiento debido a que los rasgos faciales (biométricots) de una persona son únicos. “Los rasgos faciales son incambiables incluso si hay intervenciones quirúrgicas. Hay 172 puntos característicos que nos hacen únicos. La biometría facial es la tecnología más segura que existe hoy en el mundo”, precisó el registrador nacional, Alexander Vega Rocha.

Tal y como explicaron desde la Registraduría, los datos biométricos recolectados por las entidades bancarias serán validados ante las bases de datos de la Registraduría Nacional. Esto le brindará más seguridad a los ciudadanos, pues evita la suplantación de identidad en transacciones bancarias y otro tipo de operaciones. Por otro lado, la autenticación biométrica facial ayudará a disminuir los tiempos en los procesos bancarios, pues evitará que los ciudadanos se trasladen a puntos físicos.

Por último, el Registrador Nacional explicó que a la fecha más de 2 millones de colombianos han tramitado la cédula digital. Desde la entidad esperan que al finalizar el año más de 10 millones de ciudadanos migren de su cédula física al documento digital.

Imagen: George Dolgikh vía Pexels

Preocuparse por la seguridad de la información en línea es cada vez más común, y necesario. A los usuarios les inquieta que alguien pueda acceder a sus datos y alterarlos, o incluso que puedan robarse su identidad. En vista de eso, muchas empresas se han dedicado a ofrecer alternativas de autenticación que den a los usuarios mayor seguridad y control sobre su información, especialmente a la hora de realizar transacciones bancarias por medios digitales. Es por que las entidades financieras han hecho uso de la biometría dactilar y las empresas tecnológicas han incorporado el reconocimiento de iris y el reconocimiento facial.  

Ahora, a la lista se añade una nueva forma de autenticación que podría convertirse en un plus de seguridad difícil de vulnerar. Se trata de la biometría del comportamiento, es decir, qué hace una persona y cómo lo hace. Un estudio realizado por Gemalto, compañía experta en seguridad digital, señala que a través del comportamiento digital y de la forma en que los individuos interactúan con sus dispositivos es posible definir un patrón de uso. Este mismo permitiría incrementar la seguridad en las transacciones digitales.

Entonces, la biometría comportamental puede llegar a conocer características como el peso exacto del dedo a la hora de poner la huella en el celular o el tiempo promedio que tarda cada persona en oprimir las teclas de su computador, así como los hábitos de navegación, frecuencias y horas habituales de uso. Si en algún momento estos hábitos se alteran, es entonces cuando se solicitará al usuario otra verificación con alguna forma tradicional, que puede ser la huella dactilar o el reconocimiento facial.

La importancia de la autenticación para proteger la identidad

Gemalto señala que es vital que la identificación y la clave de autenticación se mantengan separados. Históricamente, los criminales han intentado robar contraseñas y cualquier tipo de información, sin embargo, gracias a la biometría y a la autenticación de múltiples factores, esto se ha vuelto más difícil. Así que, puede que los delincuentes ya no estén tratando de entrar en tu cuenta existente, sino que quieran usar tu identidad para crea una nueva.

Biometría comportamental: retos y camino por recorrer

Es ahí donde se encuentra el gran reto de la biometría comportamental, aumentar la seguridad en un canal no tradicional, que permita a sus clientes seguir haciendo sus transacciones habituales de manera segura y confiable, protegiendo toda la información delicada de sus transacciones. De acuerdo con Gustavo Paissan, ejecutivo de Gemalto, “combinar los factores tradicionales con la biometría comportamental, aquella que requiere una interacción con un dispositivo electrónico o físico para proveer una seguridad adicional, parece ser mucho más efectiva y menos vulnerable”.

Por último, las empresas, ya sean grandes o pequeñas, deben considerar contratar sistemas de seguridad que realmente les ayuden a preservar la valiosa información que sus usuarios les confían.

Imagen: Pixabay, Pixabay.

Facebook está probando una función que permite recuperar el acceso a una cuenta usando reconocimiento facial.

Si por algún motivo no puedes entrar a tu cuenta de Facebook, la compañía quiere usar biometría facial como forma de autenticación. Esto sería especialmente útil si no puedes recibir una verificación de dos pasos a través de mensajes SMS, por ejemplo, si estás viajando o si no tienes acceso a la cuenta de correo electrónico, según informó TechCrunch.

El investigador de redes sociales Devesh Logendran (un pseudónimo) envío una captura de pantalla de esta función al periodista Matt Navarra, de The Next Web.

TechCrunch recibió una confirmación de Facebook. La compañía dice que esta es una forma para que las personas puedan acceder fácilmente y verificar su identidad si pierden sus cuentas. Además, sólo estará disponible en dispositivos en los que ya se ha entrado a la cuenta anteriormente.

Si la función resulta efectiva y confiable, y a prueba de hackers, Facebook la podría desplegar a todos los usuarios, dice el medio.

NEW! Facebook working on a facial recognition feature to help secure your account

h/t Devesh Logendran pic.twitter.com/demol4dKj1

— Matt Navarra ⭐️ (@MattNavarra) 29 de septiembre de 2017

La forma más segura de recuperar cuentas

Facebook ha intentado numerosas formas de ayudar a los usuarios a recuperar sus cuentas bloqueadas. En algunos casos pide que identifiques fotos de tus amigos. O también ha probado designar ‘amigos confiables’ que reciben un código que puedes usar para desbloquear tu cuenta.

Aunque Facebook usará los datos faciales únicamente para el fin para el que fue creado, algunas personas se preocupan por la privacidad de los mismos. La tecnología solo está programada para la verificación de identidad, y según el medio, parece que la mayoría de usuarios estarían conformes con su uso.

Imagen: Pixabay.

Un supermercado en Londres está probando un sistema de pagos con biometría que verifica el patrón único de venas en los dedos para pagar por los alimentos.

Este novedoso sistema funciona con un lector electrónico que lee las venas de los dedos de los usuarios, y genera una llave única por persona. Durante el registro, los usuarios afilian su patrón del dedo a su tarjeta crédito o débito y luego pueden pagar sus alimentos sin necesidad de llevar sus tarjetas o efectivo, según informó BBC.

La tecnología la desarrolló la empresa Hitachi, en alianza con la licencia de pagos biométricos Sthaler. El director ejecutivo de Sthaler, Nick Dryden, dice que este sistema resulta atractivo para las personas jóvenes, ya que ellos esperan alta eficiencia, facilidad y seguridad en la forma en que pagan.

El establecimiento, llamado Costcutter, dice que considerará expandir Fingopay si las pruebas en la Universidad Brunel son exitosas.

Todas las posibilidades en la punta del dedo

El banco Barclays presentó esta misma tecnología, también desarrollada por Hitachi, en 2014, para verificar la identidad de sus clientes.

También, Fingopay se probó por un tiempo en un bar en Camden hace unos meses. Ahí se registraron 2.000 pesos.

Sthaler dice que este método es la forma de biométrica más seguridad hasta el momento, ya que no hay posibles trucos para violarla. Sin embargo, un consultor de seguridad de Inglaterra, Graham Cluley, en el pasado ya se ha visto que estos sistemas se burlen fácilmente.

Cluley explicó al medio que el problema con las autenticaciones biométricas es que no las puedes cambiar. Entonces, “si alguien roba tu información y la reproduce ¿qué se puede hacer? No puedes cambiar tu dedo”, opina el experto. Según el consultor este tipo de sistemas no ofrece ningún beneficio extra en comparación con las formas tradicionales, como las contraseñas o las huellas dáctilares.

En contraparte, Alan Woodward, un científico de computación de la Universidad de Surrey dice que este sistema basado en patrones de venas es más seguro que otros biométricos. Con este sistema, la sangre debe estar fluyendo a través de las venas para probar que es una persona real y viva usando el sistema. Por eso es más seguro, opina el científico.

Imagen: Pixabay y Fingopay. 

Por Sergio Andrés Figueroa Santos*

El escenario es familiar y frecuente. Un amigo posa de manera improvisada para una foto, suena una canción y quiero averiguar el nombre, o necesito la información de contacto de una persona para seguir el hilo de una conversación. En cualquiera de los casos, necesito acceder a las funcionalidades de mi teléfono con la máxima inmediatez. Entre más tiempo pierda desbloqueando el equipo, menos útil resulta utilizarlo.

Pero, por otra parte, tengo claro que mi teléfono guarda información personal y laboral que no me interesa que todo el mundo conozca. Es necesario implementar algún mecanismo de control. La elección de ese mecanismo puede ser un dolor de cabeza. En iOS, por defecto, existe como opción principal un PIN tan irrisorio que, probablemente, dé lo mismo no tenerlo. Como alternativa más fuerte, está la de definir una contraseña. Escoja la que escoja, si se trata de una contraseña segura, introducirla va a eliminar cualquier posibilidad de utilizar el teléfono a tiempo.

Android tiene un repertorio de controles mucho mayor, pero la historia es muy similar. El patrón (la figura que se forma uniendo los puntos, que resulta la opción preferida en este sistema operativo) normalmente se ve a leguas, o es extremadamente sencillo, precisamente para favorecer la velocidad con la que se accede a las funcionalidades del dispositivo. El reconocimiento facial parecía una alternativa interesante, pero su efectividad varía dependiendo de las condiciones de luz. Eso sin contar que un amigo logró en una ocasión burlarlo con un video mío, ni que sigue tratándose de un mecanismo más lento de lo deseable.

Tenía el problema más o menos cubierto en Android gracias a la aplicación AppLock, que permite definir un patrón o PIN por aplicación (de manera que sólo lo pida cuando voy a usar, por ejemplo, Gmail, pero no cuando voy a usar la cámara). Debo confesar que, aún así, me causaba cierta intranquilidad depositar en un tercero la responsabilidad sobre el control de acceso de mi teléfono. Además, dejar ciertas aplicaciones (aún una aparentemente inofensiva, como la cámara -sin acceso a las fotos tomadas-) sin protección puede llegar a ser desaconsejable.

Por eso esperaba desde hace tiempo que alguien implementara el control de acceso por huella dactilar, por lo menos para revolver el mercado en ese sentido. No esperaba que fuera Apple, pero era cuestión de tiempo que alguien lo implementara (como algunos comentaristas apuntaron en otras entradas, no fue Apple el primero en probarlo, pero ciertamente sí resulta el que más revuelo ha causado).

Intentaré en lo sucesivo ignorar las teorías de conspiración asociadas al manejo de huellas dactilares. Al respecto sólo diré que expertos en seguridad han reconocido oportunamente la fortaleza de las implementaciones de Apple en aspectos de confidencialidad (en particular, de iMessage), y que no existe una razón de peso para pensar que en este caso la situación sea diferente.

Volviendo al punto: es claro que el reconocimiento de huella dactilar es un sistema de autenticación débil, hasta el punto de que en la historia reciente de Colombia circulan casos de suplantación de identidad e inculpación mediante el uso fraudulento de huellas dactilares. Al final de cuentas, es como si dejáramos una copia de nuestra contraseña en cada superficie que tocamos. Eso sin contar que, si identificamos que nos robaron la contraseña, no tenemos forma de cambiarla.

Como todos los sistemas biométricos (reconocimiento facial, palma de la mano, muestra de fluidos corporales, etc.), la fiabilidad de la lectura de huella dactilar está sujeta a muchos factores: la fiabilidad del escáner, las características de la huella que son analizadas, la precisión al poner el dedo (difícilmente una persona pondrá el dedo sobre el lector de manera idéntica en más de una ocasión), entre otros factores. Por esta razón, es necesario para la validación definir un nivel de tolerancia que no impida que un usuario legítimo resulte bloqueado por no cumplir requisitos demasiado exigentes. Un margen flexible implica que no sólo mi huella tendrá acceso. También lo tendrán las personas cuya huella sea razonablemente similar a la mía.

Esto quiere decir que no es un mecanismo recomendable para proteger secretos de estado, o para identificar personas en trámites legales. Pero, por otra parte, podría ser suficiente para prevenir que un ladrón acceda a mis contactos y correos el tiempo suficiente para borrarlos.

Queda todavía por ver qué tan veloz es el procedimiento. Si es posible desbloquear el teléfono de manera razonablemente segura, sin que se note que hay un control de seguridad implementado, tendremos un avance con respecto a lo que se tiene en la actualidad. La mayoría de smartphones no tienen control de acceso habilitado, y una buena parte de los que lo tienen, utilizan PINs débiles (1111, 1234, etc.), contraseñas predecibles (contraseña, iloveyou, entre otras) o patrones simples (habitualmente, alguna letra, que suele coincidir con la inicial del propietario). En este ambiente, la implementación de la validación de huella dactilar resulta interesante, e incluso recomendable. Es claro que no se trata de un sistema invulnerable (resulta ingenuo el que espere algo así), pero puede resultar más rápido y confiable que lo que tiene la mayoría de usuarios de dispositivos móviles actuales.

______

*Ingeniero de Sistemas y Computación y Especialista en Seguridad de la Información de la Universidad de los Andes. Consultor en seguridad de la información para el sector financiero, militar y otros sectores críticos desde hace dos años.