La autenticación biométrica es una forma común de asegurar la seguridad en sistemas electrónicos y de autorizar transacciones. Existen dos tipos de métodos de autenticación biométrica: los que están incorporados en los dispositivos y los que son proporcionados por proveedores externos. La biometría del móvil es la integración de tecnologías biométricas como el reconocimiento facial o la huella dactilar directamente en el dispositivo.
La biometría incorporada en el dispositivo móvil se ha vuelto cada vez más popular como una forma de autenticación en la era digital. Sin embargo, existen preocupaciones de seguridad en torno a este hecho, lo que lleva a cuestionar su validez como método de autenticación reforzada. En este artículo, exploraremos las razones por las que la biometría del dispositivo no debe considerarse un elemento válido de autenticación reforzada y expondremos el pronunciamiento de la Autoridad Bancaria Europea (EBA) al respecto.
¿Qué son los métodos de autenticación biométrica incorporados en los dispositivos móviles?
La mayoría de los dispositivos modernos, como teléfonos móviles, tabletas y portátiles, vienen equipados con algún tipo de autenticación biométrica incorporada. Los métodos más comunes son la huella dactilar y el reconocimiento facial.
El reconocimiento facial utiliza la cámara frontal para escanear el rostro del usuario y compararlo con los datos almacenados en el dispositivo. Si se produce una coincidencia, se desbloquea el dispositivo. La huella dactilar funciona de manera similar, escaneando la huella dactilar del usuario y comparándola con los datos almacenados en el dispositivo.
Estos mecanismos han sido utilizados también hasta ahora como métodos de autenticación reforzada de clientes (Strong Customer Authentication o SCA) considerando la Directiva sobre Servicios Pagos (PSD2).
Autenticación reforzada de clientes en pagos online (PSD2)
La normativa PSD2 supuso una revolución para la banca y promovió el desarrollo de un sistema de pagos online a través de dispositivos móviles.
Las entidades bancarias implementaron medidas de autenticación reforzada de clientes para adaptarse a la normativa y permitir que los usuarios pudieran formalizar pagos online mediante un proceso cómodo y seguro.
Entre estas medidas se encontraba la obligación de utilizar al menos dos factores de autenticación de los tres grupos que existen.
¿Cuáles son estos grupos de autenticación?
Los grupos de autenticación hacen referencia a:
- Conocimiento: algo que solo conoce el usuario como un pin o contraseña.
- Posesión: algo que tiene como una tarjeta de crédito o un token.
- Inherencia: algo que es inherente al usuario y que engloba su biometría.
¿Cuándo aplicar la autenticación reforzada?
Con base en el artículo 71 de la directiva, los proveedores de servicios de pagos deben aplicar la autenticación reforzada cuando el pagador:
- Acceda a su cuenta de pago en línea.
- Inicie una transacción de pago electrónico.
- Realice cualquier acción en un canal remoto con riesgo de fraude.
Pero la PSD2 no se conforma con exigir a las entidades financieras la implantación de una autenticación severa, sino que además exige una prueba de la autenticación y ejecución de los pagos para aquellos casos en los que el usuario niegue haber autorizado la transacción.
La prueba obliga, por tanto, a que los servicios de pagos refuercen sus métodos de autenticación. La biometría parece ser el mecanismo idóneo para garantizar una autenticación segura del usuario y para reducir el riesgo de fraude en pagos.
Sin embargo, ¿qué biometría conviene utilizar la del dispositivo o la de un proveedor externo? La EBA responde.
La postura de la EBA en cuanto al uso de la biometría del dispositivo móvil
La EBA publicó hace unos meses nuevas directrices para la implementación de soluciones de onboarding digital en entidades financieras con el fin de ayudar a este tipo de instituciones a contar con procesos de incorporación remota de clientes fiables y seguros.
La Autoridad Bancaria Europea ha vuelto a pronunciarse, pero esta vez para aclarar la aplicación de requisitos a la autenticación de clientes a las billeteras digitales y sentar nuevas bases sobre la biometría móvil.
En este sentido, emitió un comunicado el pasado 31 de enero respondiendo a seis preguntas relacionadas con la Directiva (UE) 2015/2366 sobre PSD2 y el Reglamento (UE) 2018/389 sobre autenticación reforzada de clientes que complementa a la directiva.
La clave está en la Q&A 6145
La Q&A 6145 es la que hace referencia a la aplicación de la SCA y a la biometría móvil.
La pregunta planteada por el remitente fue: «¿Cuenta la autenticación para desbloquear el dispositivo móvil como uno de los elementos de la autenticación reforzada del cliente cuando un usuario de un servicio de pago tokeniza una tarjeta en una solución de billetera electrónica como Apple Pay?»
La EBA respondió que los proveedores de servicios de pagos (PSP) deben adoptar medidas para minimizar el riesgo de que los factores de autenticación inherentes puedan ser descubiertos por personas no autorizadas. Por tanto, los PSP deben garantizar que existe una probabilidad muy baja de que personas no autorizadas se autentiquen como si del pagador se tratase.
En este sentido, añadió que «el desbloqueo del móvil con biometría no puede considerarse un factor SCA válido para agregar una tarjeta de pago a una billetera digital, si el mecanismo de bloqueo de pantalla del dispositivo móvil no está bajo el control del emisor o si el pagador no ha sido asociado previamente a través de una SCA con la credencial utilizada para desbloquear el teléfono».
Esto confirma que la tecnología biométrica de los dispositivos móviles no funciona como método de autenticación preciso y seguro para los casos anteriormente mencionados.
Ventajas de la biometría de Mobbeel respecto a la biometría del dispositivo móvil
Los proveedores externos de soluciones de autenticación biométrica ofrecen un nivel adicional de seguridad y personalización que los métodos incorporados en los dispositivos no pueden igualar. Este es el caso de Mobbeel.
Dentro de este nivel de seguridad se encuentra un proceso de verificación previo a la autenticación y autorización de cualquier transacción que permite verificar la identidad del usuario. Esto no es requerido en procesos de autenticación que emplean la biometría del dispositivo. De tal manera que, un dispositivo puede registrar varios patrones biométricos de diferentes usuarios y cualquiera de esos usuarios puede realizar operaciones en el dispositivo, ya que la biometría en el dispositivo móvil no está asociada a la identidad del cliente. Lo anterior no garantiza, por tanto, el control del proceso.
Nuestras soluciones garantizan transacciones digitales transparentes y seguras al vincular la biometría con la identidad de una persona y al asegurar que solo la persona que previamente haya sido registrada en tu plataforma mediante una plantilla biométrica pueda realizar transacciones online.
Con nuestra tecnología, el usuario puede realizar el proceso de autenticación o autorización desde cualquier dispositivo, ya que el patrón biométrico no se registra localmente en el propio dispositivo sino en una base centralizada de usuarios.
Además, nuestra tecnología biométrica de reconocimiento facial y de voz ofrece:
- Mayor precisión y fiabilidad en la autenticación debido a que nuestra tecnología se apoya en la inteligencia artificial y en los avances en el campo del aprendizaje automático.
- Mejor capacidad de protección contra el fraude, al contar con sistemas de detección de ataques de presentación y medidas de seguridad más robustas contra el uso fraudulento de la biometría.
- Mayor interoperabilidad y facilidad de integración con otros sistemas de autenticación, lo que reduce los costos y la complejidad de su implementación.
Escríbemos si quieres contar con métodos de autenticación biométricos válidos y seguros adaptados a las recomendaciones de la EBA.
Soy una mente inquieta con conocimientos en derecho, marketing y empresas. Una alquimista de la palabra, enamorada del neuromarketing y del copywriting, que ayuda a Mobbeel a seguir creciendo.
