Inicio Noticias La Biometría se vuelve la única forma segura de realizar transferencias en...

La Biometría se vuelve la única forma segura de realizar transferencias en los bancos

Compartir

Actualmente los clientes de bancos ya no pueden operar a través de canales remotos con un 100% de seguridad, debido a que una serie de malwares están afectando a usuarios de todo el mundo, tendiendo trampas para que éstos entreguen sus claves de accesos, o claves de transferencia, ya sean estáticas o dinámicas.  

Si quieres saber más información sobre estos ataques te invitamos a leer los siguientes artículos publicados por Ebanking News:

En los artículos se muestran los distintos tipos de ataques y como evolucionan día a día. Lamentablemente los métodos disponibles hoy en día para autenticar a clientes no son infalibles. Estos  son:

  • Claves estáticas (de acceso o transferencias): cualquier malware con capacidad de guardar lo que se registra en el teclado (keyloggers) puede obtener sus claves y transmitirlas a un delincuente. ¿Su banco utiliza teclado virtual?, bueno, para los troyanos esto no es un problema, ya que pueden obtener imágenes o videos de todo lo que pasa en la pantalla.
  • Tarjetas de coordenadas: Este set de un número fijo de claves también es vulnerable, puede ser fotografiadas, escaneado, o con paciencia capturado número por número. Los troyanos detectan que el cliente se encuentra en el sitio de un banco y les pide todas las coordenadas, varios usuarios caen en este engaño.
  • Tokens: Diversos malware logran interrumpir la navegación de un cliente solicitando el número aleatorio que entregan los tokens. Una vez que el estafador tiene esa información, tiene unos segundos para hacer una transferencia fraudulenta. Los troyanos más avanzados ni siquiera necesitan capturar esta clave ya que son capaces de cambiar en línea los datos del destinatario, mientras éste cree haber enviado una transferencia a su contacto, el dinero se fue a otro lado y él nunca se enteró.
  • Métodos de monitoreo de transacciones para generación de alertas tempranas: Si bien son un paso adelante y las lógicas empleadas permitirán identificar con un mayor grado de certeza una transacción fraudulenta, nunca serán infalibles y muchas veces avisan ex-post – la transferencia ya fue realizada y el banco o el cliente deben actuar rápidamente para intentar recuperar los fondos comprometidos.

Los bancos han desarrollado una serie de funcionalidades para incrementar la seguridad de las transacciones como preguntas secretas, captcha, o terceros factores de autenticación, pero la mayoría son vulnerables con los mismos métodos anteriormente descritos. Por ejemplo, una transacción sospechosa solicita una tercera clave, enviada al correo del cliente, pero el malware también tiene la clave del correo, por lo que no se agrega seguridad adicional. Otro ejemplo: el banco envía una clave por SMS al celular del cliente, el cliente recibe esta clave y la ingresa en el sitio web, el troyano cambia por atrás los datos de todas formas, por lo que no se agrega seguridad adicional.

Entonces, ¿Cómo lograr transacciones seguras?

Las experiecias internacionales nos indican principalmente dos caminos:

  • Confirmar la transacción en un canal distinto al que se realiza la transacción: además la confirmación debe contener los datos de la transacción y estos ya deben estar en el banco y no deben ser modificables en el futuro. Por ejemplo: el banco envía un SMS con la información de la transacción al cliente y la confirma utilizando su móvil. Si el computador del cliente está infectado y cambia los datos de la transferencia, el cliente los revisa en el SMS. Sólo el cliente utiliza su móvil por lo que la confirmación se realiza de manera segura por otro canal.
  • Utilizar biometría: algo que todavía se encuentra en pañales en la banca es la autenticación biométrica. Esta es la única que nos garantiza que el cliente es quien dice ser, en todos los otros métodos asumimos que el cliente es quien dice ser ya que nos da una clave, pero en realidad esa clave la puede conocer o poseer un tercero, en la biometría sólo el cliente puede realizar la transferencia, aunque de todas formas se recomienda usarla en conjunto con la recomendación anterior (confirmación por otro canal) ya que el malware podría cambiar los datos de la transferencia. Las ventajas de la autenticación biométrica son claras: no se pierde, no se olvida, no es transferible…

Experiencias de biometría en la banca

Ya hay varios países de Sudamérica y el sudeste asiático que han tomado el toro por las astas y están introduciendo sistemas biométricos en sus medios de pago. Un ejemplo es el Senshu Bank de Osaka (Japón), que comenzó a emitir tarjetas de crédito que llevan asociados patrones de las palmas de las manos e información de la huella dactilar del cliente. Sugura Bank, otra entidad japonesa, también puso en marcha una red de cajeros con identificación biométrica en las que el cliente sólo tiene que poner la mano para ser identificado. Colombia es otro de los países donde la huella dactilar le sirve a uno para conseguir dinero en metálico. El Banco BanCafé, el quinto del país, ya en el  2004 desplegó 500 cajeros equipados con un lector de huellas que acaba con la necesidad de llevar plástico en la cartera. En Chile Banco Falabella también permite realizar giros de dinero utilizando la huella digital.

CITIBANK Singapur ha lanzado una tarjeta de crédito biométrica para sus clientes VIP. Identificando su huella dactilar y tecleando un código, los clientes pueden pagar sus compras en tiendas de informática y música, restaurantes, clubes y cines. CITIBANK espera aumentar progresivamente el número de servicios y el perfil de los clientes que tengan acceso a esta tarjeta biométrica. También en el sector de Banca, pero en este caso en Japón, recientemente se han introducido cajeros que utilizan un sistema de identificación basado en el mapa de las venas de la palma de la mano del cliente. Por su parte, ABN-AMRO, un Banco Holandés, ha implantado recientemente un sistema biométrico de identificación de voz para sus clientes de banca telefónica.

Voice Commerce Group, reveló un sistema que permitirá lafirma biométrica basada en la voz que podrá ser utilizada para pagos en general y servicios financieros. Nick Ogden, CEO del grupo, dice que es el primero en integrar firmas a través de voz para los estándares actuales como ISO 19029, Visa y Mastercard Nivel 1 PCI. Además asegura, que puede ser integrable a todos los bancos actuales.

NCR está utilizando la tecnología de voz para un programa piloto en el Medio Oriente que permitirá que las personas utilicen los ATMs sin una tarjeta. En vez de pasar la tarjeta por el cajero, las personas escribirán en su teléfono celular, obtendrán una llamada mientras estén en el ATM, y su firma de voz autorizará la transacción.

Red Gillen, Analista en Actividades Bancarias del Grupo Celent, plantea la cuestión de la privacidad personal v/s la seguridad, es decir, ¿los clientes aceptarán la biométrica de voz, sabiendo que su voz será almacenada en alguna base de datos corporativa?, ¿acaso la biométrica de voz cuenta con la misma connotación que las huellas digitales, que hasta la fecha ha sido relacionada con comportamientos criminales?. No reemplacen el PIN, advierte, “las personas aún no estan preparadas para ello” Michael Sisk.

Otros mercados muy prometedores para la biometría están representados por países como Malawi, Ruanda, Burundi, Ghana, Nigeria, Irak y Rusia. Además de usarla para identificar a sus clientes, la biometría también se utiliza dentro de los bancos para aumentar la seguridad en los procesos de manejo del efectivo. En este último caso, un buen ejemplo es Alemania, donde la Ley del Reglamento de Seguridad del operador obliga a los bancos a contar con dos operadores para efectuar transacciones. Gracias al uso de tecnologías biométricas, las entidades financieras pueden cumplir con esta ley sin necesidad de tener continuamente dos operadores en el puesto de caja, ya que el segundo operador puede estar en otro sitio adecuadamente identificado utilizando la biometría.

En Charlotte (Carolina del Norte), EEUU los establecimientos independientes que cambian cheques están utilizando tecnología biométrica para efectuar las transacciones financieras.Hay más de 160 empresas de Carolina del Norte y Carolina del Sur que utilizan nuestra tecnología“, dice Donita Prakash, de la empresa BioPay, que ideó el método biométrico. Mediante este sistema, los usuarios de las tiendas que cambian cheques se inscriben en el plan colocando los dos dedos índices en un escáner, y las huellas digitales pasan a un archivo digital. “Esas huellas se convierten en un número grande de 40 dígitos, que queda en la memoria de las computadoras“, explicó Prakash. El registro se completa con la información personal del usuario, que debe presentar un documento de identidad que incluya una fotografía, que también se archiva digitalmente. Después del registro, cada vez que un usuario desee cambiar un cheque sólo tiene que colocar uno de los dos índices en un aparato lector de huellas digitales. “El sistema es ideal para las personas que no tienen cuenta de banco o seguro social y no tengan posibilidades de cambiar sus cheques del trabajo“.

Un potencial freno podría venir en particular de las limitaciones legales del uso de estas tecnologías. En efecto, en los países económicamente maduros y con democracias consolidadas, el derecho constitucional protege los datos privados de cada persona, impidiendo el uso de datos biométricos sin el consentimiento del individuo. Por consiguiente, el avance de la implementación de tales sistemas de seguridad se podría ver limitado en algunos países. En el caso de Japón, para facilitar la obtención de este consentimiento, se eligió premiar a los
clientes que aceptan utilizar cajeros automáticos funcionando con sistemas biométricos. Así, a cambio de su consentimiento, estos últimos reciben beneficios especiales como la posibilidad de realizar más tipos de transacciones, retirada de efectivo de mayores importes o la eliminación de comisiones.

Una cosa es segura: la biometría tiene mucho futuro en nuestra sociedad, ya está empezando a revolucionar el sector bancario y su masificación será la única forma de frenar los ataques por usurpación de identidad que hoy están causando muchos dólores de cabeza a las entidades financieras. Pero el fraude siempre avanza, por lo que desde ya tenemos que preguntarnos: ¿Cuándo tengamos biometría, cuál será el eslabón más débil por donde los delincuentes nos estafarán en el futuro?