Ver Suplemento Temático...


Seguridad de la Información y Protección de Datos.
Nuevas Tecnologías Aplicadas a la Seguridad.

 

 Expertos

Phillipe Reynaud


Gerente de Consultoría de Banca y Seguros de Atos Origin

Uso de la biometría en entidades financieras


Los servicios financieros online se ofrecen en nuestro país desde hace aproximadamente una década, y la acogida que han tenido por parte de los usuarios ha permitido a Internet convertirse en el canal de distribución de mayor crecimiento para la banca española.

Sin embargo, cuando los primeros visionarios empezaron a diseñar dichos servicios, era ya de conocimiento público que la mayor amenaza para el éxito de este canal la constituía la inseguridad de los sistemas de identificación de usuarios.

Y esto tanto por las pérdidas tangibles que pueden suponer para las entidades financieras como por los problemas derivados de la desconfianza de cierto colectivo de usuarios por estos nuevos medios.

¿Por qué no se ha hecho aparentemente nada —o poco— en este campo? ¿De qué recursos disponemos a medio plazo para superar estas dificultades?

Por regla general, la presencia de las entidades financieras en Internet consta de dos zonas: una pública —que no requiere identificación alguna—, donde se publican informaciones acerca de los servicios ofrecidos y datos corporativos, y una privada, a la que sólo entran los clientes acreditados.

En casi todos los casos podemos constatar que estos clientes acceden a la zona privada mediante la introducción de su identificador (nombre de usuario, número de cuenta/tarjeta, DNI) y de un código secreto (contraseña, PIN, etc.).

Demasiados códigos
Posteriormente, a la hora de realizar una transacción financiera, la entidad suele pedir firmar la operación (acto que generalmente no es equiparable a una firma electrónica que realizáramos con un certificado digital) mediante nueva introducción de otro código secreto.

Estos métodos de identificación o firma, aparentemente atractivos por su simplicidad y su bajo coste de implantación, llevan asociados riesgos cada vez más preocupantes tanto para los clientes como para la propia entidad:

  • Pérdida u olvido de la contraseña, que implica la no operatividad del servicio ofrecido o, peor todavía, su bloqueo.
  • Transmisión, consciente o no, de la contraseña a un tercero, que podrá suplantar la identidad del usuario, por ejemplo mediante ataques de phishing o keylogging.

Las entidades financieras, expertas en la gestión de riesgos de varios tipos, reaccionaron adoptando diferentes medidas y aportando distintas soluciones técnicas: teclados virtuales (permiten introducir la contraseña con el ratón a escondidas de miradas indiscretas), tarjetas de coordenadas (consisten en pedir —al azar— uno de los múltiples códigos impresos en una tarjeta), etc.
Debemos reconocer que estas medidas de mitigación han sido vencidas con una velocidad asombrosa, puesto que ya han aparecido nuevos tipos de ataques específicos para cualquier método: troyanos capaces de leer un teclado virtual, phishing de tarjetas de coordenadas, etc.

¿Qué ha pasado? En vez de atacar el problema desde la raíz, se han adoptado soluciones parciales y provisionales. Debemos recordar que un secreto compartido siempre se podrá olvidar, comunicar de forma inapropiada (phishing), adivinar (por métodos llamado de fuerza bruta), etc.

Me suena tu cara
En la vida normal no solemos exigir una contraseña antes de saludar a un conocido sino que, a partir de su fisonomía, le identificamos rápidamente, sin necesidad de más protocolo.

Las tecnologías biométricas consisten en aplicar al mundo virtual estos métodos de identificación que parecen tan naturales. Cualquiera entiende enseguida las grandes ventajas de la identificación biométrica: no se pierde, no se olvida, no es transferible…

En el mundo de la banca ha habido experiencias de utilización de varias características físicas, como pueden ser las venas de la mano o las propiedades del iris (para cajeros automáticos), así como el reconocimiento facial (en oficinas), pero dichos métodos no se han mostrado muy fiables y además suponen un coste de propiedad elevado.

La biometría de huella dactilar representa en cambio una tecnología más madura, mejor aceptada por parte de los usuarios y cada vez más asequible. Su uso se va extendiendo por el público en general. Algunos de los mayores fabricantes de ordenadores han decidido, por ejemplo, incorporar sensores de huellas en sus portátiles.

Dentro de las múltiples aplicaciones de la identificación biométrica para el sector financiero, podemos citar dos casos que se encuentran en los dos extremos de la tipología de clientes: los clientes de banca privada por un lado y los usuarios de servicios financieros en países de economías emergentes por otro.

Inversión razonable
En el primer caso, la preocupación por ofrecer un servicio amigable, que transmita confianza y que sea realmente seguro, es fundamental. La aplicación del reconocimiento de huella da un claro valor diferencial a los servicios online de la banca privada y, por otra parte, la inversión que supone la provisión de un sensor biométrico a cada cliente puede ser plenamente justificable.

En el caso de las economías emergentes, se pretende resolver una problemática muy distinta: una parte importante de la población puede ser indocumentada, es decir, que estas personas no podrán presentar un pasaporte o algo similar a un DNI para acreditar su identidad en una oficina bancaria, lo que dificulta enormemente el ofrecimiento de cualquier servicio financiero.

Gracias a la identificación biométrica, basta con registrar la huella del cliente a la hora de formalizar un contrato para poder posteriormente identificarle de forma inequívoca cuando se vuelva a presentar en la oficina bancaria.

Se puede mencionar, entre otras, una entidad mejicana, especializada en servicios financieros para poblaciones indígenas de zonas pobres, que utiliza con éxito un sistema basado en este principio desde hace varios años, con más de un millón de clientes registrados.

Suplemento Temático: Biometría

 


Fuente: www.baquia.com
Fecha: 07/02/07

   Mas artículos de Phillipe Reynaud        Otros Expertos   

Este experto ha sido visto por 1624 personas.