Imagen: Biometría vía Shutterstock © Fotomay y fotografía de Tony Larks © ThreatMetrix. Imagen tomada de: DiarioTI |
Recientemente, un evangelista jefe de PayPal dio una entrevista bastante controvertida con el Wall Street Journal. En la entrevista, parecía sugerir una alternativa radical a los sistemas de autenticación basados en contraseñas: biometría generada por dispositivos ingeridos o incrustados debajo de la piel del usuario. En primer lugar, es cierto que las contraseñas no deben ser utilizadas por cualquier proveedor en línea que se tome en serio la seguridad. Y siempre es interesante escuchar nuevos enfoques sobre el tema de la autenticación de usuarios.
Sin embargo, las organizaciones necesitan una respuesta, aquí y ahora, al creciente problema del fraude en línea. La respuesta debe ser rápida, asequible, carente de fricción y precisa. Y bajo esos criterios, la biometría simplemente no está a la altura.
En el papel, la perspectiva de la biometría, concebida como chips inalámbricos embebidos transmitiendo lecturas de electrocardiogramas, o cápsulas ingeribles capaces de detectar los niveles de glucosa, suena como una idea decente. Después de todo, las lecturas que transmiten deben ser únicas para esa persona – superando los problemas de falsos positivos y falsos negativos. LeBlanc incluso sugirió que las baterías para tales sistemas podrían ser alimentadas por el ácido estomacal. Por fin, un sistema no susceptible de hacking, basado en “identificación natural del cuerpo humano” que permitiría a los usuarios “asumir el control de su propia seguridad”. ¿Verdad?
El principal problema que muchas personas tienen con la biometría es que se basan en algo que debería quedar fuera del alcance de los hackers; es decir, ser imposible de simular o crackear. Pero ¿qué ocurre si los ciberdelincuentes encuentran la forma de hacerlo? – y es innegable que estamos frente a un grupo que hasta ahora ha probado su ingenio. Usted puede ser capaz de restablecer la contraseña con bastante facilidad después de un ataque de phishing, pero ¿qué pasa con su ritmo cardíaco? ¿O sus niveles de glucosa?
El siguiente obstáculo importante son los propios usuarios. La seguridad frente a la usabilidad constituye un equilibrio difícil, incluso en la mejor de las situaciones. ¿Cuánto más difícil va a ser para vender este tipo de sistemas de autenticación invasivos si el usuario básicamente está satisfecho con el nivel de seguridad que le proporciona un escáner de huellas digitales corriente o un sistema de código de acceso telefónico único?
No estoy descartando el trabajo de PayPal, u otros, destinado a mejorar la verificación basada en contraseña. Pero demasiados interrogantes sobre la biometría persisten – incluso en los sistemas que están más cerca de la realidad que los escenarios hipotéticos esbozados por LeBlanc. Si su negocio está en el comercio electrónico, las redes sociales, banca, seguros u otro sector – en realidad necesita de autenticación de dos factores rápida, fiable y libre de fricciones.
La clave para las organizaciones de cara al futuro es encontrar sistemas que puedan trabajar en segundo plano, completamente invisibles para el usuario, comprobando cosas como la identidad del dispositivo, malware, y el uso de términos de referencia u otros métodos de ofuscación preferidos por los ciberdelincuentes. Estos sistemas deben tener la capacidad de hacer comprobaciones contrastando una serie de atributos únicos asociados con los hábitos de cada usuario individual, como por ejemplo lugares típicos, ID de usuario, direcciones de correo electrónico, números de teléfono, información de envío, etc, marcando transacciones sospechosas, incluso si la persona está utilizando credenciales válidas (pero robadas).
La biometría futurista siempre atrae los titulares. Pero el dinero inteligente ya está siendo gastado en la autenticación basada en el contexto, para reducir el fraude y mantener a los clientes contentos.
Por Tony Larks, Director, Communications, EMEA, ThreatMetrix
Tomado de: Diario TI
Esta reflexión tiene mucho sentido, la biometría no es el futuro ya que la experiencia ha demostrado que a medida que se incrementan o se mejoran los controles, se encuentran formas de vulnerarlos y para el caso de la biometría su vulneración se convierte en algo muy crítico ya que por ejemplo: si mi contraseña se ve afectada simplemente la cambio, pero si un dato biométrico único para cada persona como el ritmo cardiaco o la glucosa se ve comprometido o vulnerado, no voy a poder cambiarlo.
ResponderBorrar