¿Qué necesitan los bancos para aplicar a gran escala los sistemas de seguridad biométricos?


Que los sistemas biométricos son el futuro es una afirmación que llevamos escuchando desde hace ya algunos años. Especialmente después de sufrir ataques de phishing o skimming se pone en relevancia la necesidad de una mayor seguridad en el sector bancario. Aspectos como la comodidad y los costes desempeñan, a su vez, un papel importante. Si bien es cierto que los sistemas biométricos pueden cumplir con los exigentes requisitos de seguridad, también lo es que siempre han de formar parte de una solución global. Para saber si la biometría debería formar parte del sistema de seguridad de los bancos y cómo y de qué manera hacerlo, lo primero que se necesita es experiencia. Y son muy pocas las entidades financieras que cuentan con ella.

A pesar del gran entusiasmo por las posibilidades técnicas y los diferentes ámbitos de aplicación, aún no se ha hecho patente una aplicación generalizada para la biometría aplicada al sector financiero. Han sido muchos los obstáculos y muy poca la urgencia en relación con el esfuerzo estimado. Pero la situación podría cambiar gracias a los nuevos desarrollos en el ámbito de los pagos móviles y de la banca móvil. Desde hace unos meses también se está discutiendo el tema en otros entornos. GFT_Poster_101012.indd

La autenticación biométrica: recomendada ahora por el BCE

El Foro europeo sobre la seguridad en los pagos (SecuRe Pay Forum), resultado de una cooperación de los organismos encargados de supervisar las transacciones financieras y los proveedores de servicios financieros, ofreció una serie de recomendaciones para la seguridad de los pagos realizados por Internet y a través del móvil. Entre ellas, las características biométricas se nombran por primera vez como uno de los tres criterios de autenticación válidos. El Banco Central Europeo publicó estas recomendaciones a comienzos de 2014, las cuales deberían aplicarse hasta el 1 de febrero de 2015.

Desde finales de 2013, la Asociación Europea para la Biometría (eab), de la que también es socio GFT como única compañía consultora independiente, se esfuerza en investigar el modo de implementar los sistemas biométricos en las operaciones bancarias. No obstante, esto no se limita a un uso puntual de la biometría, tal y como se puede encontrar hoy en día, sino en cómo poder implementarla satisfactoriamente de manera generalizada, es decir, para una aplicación en masa en el mercado.

Desde los cajeros automáticos a los pagos a través del móvil; diversos ámbitos de aplicación para la biometría

La necesidad por parte del sector financiero de una aplicación biométrica segura es grande y las posibilidades de implementación son diversas. De modo online o a través del smartphone, en cajeros automáticos o con terminales POS; estos son algunas de las áreas de aplicación.

Con el creciente desarrollo de los pagos a través del móvil, también podría aumentar la importancia del reconocimiento y la biometría por medio de la voz. Las ventajas de estos procedimientos biométricos son: unos costes de implementación relativamente bajos y la utilización de infraestructuras (redes de comunicación) y dispositivos finales (smartphones como portadores de la tecnología) ya establecidos. A ello se suma el hecho de que con la creciente necesidad y conciencia de la seguridad de los usuarios también aumenta la aceptación de nuevas tecnologías de seguridad como los procedimientos biométricos. Pero con la condición de que todo se efectúe cumpliendo con las normativas regulatorias en materia de la protección de datos y del consumidor.

Para probar si la biometría podría ser aceptada en los cajeros, en 2009 y 2010 una asociación bancaria junto con empresas consultoras realizó un experimento piloto en Alemania. Se probaron huellas dactilares y escáneres de las venas de las manos en los cajeros. El resultado fue que la biometría, que en este caso sustituía la introducción del código PIN, resultó ser muy cómoda para una gran mayoría de los usuarios que participaron en la prueba.

Para la aplicación a gran escala de la biometría aún se debe cumplir con requisitos importantes

¿Qué se ha estado haciendo  en el sector financiero desde este estudio piloto? Mucho, pero no lo suficiente. Las soluciones surgen a menudo en  los laboratorios de pruebas, y se cuestiona que si, a la hora de aplicarlas, serían igualmente válidas. Por ello, las soluciones exigentes a nivel tecnológico solo podrán ser firmes a nivel técnico cuando hayan demostrado su eficacia en la práctica. Y aunque el grado de madurez de cada una de las tecnologías ha aumentado considerablemente, los requisitos importantes para la aplicación a gran escala de los procedimientos biométricos todavía no se han cumplido.

  • Faltan estándares técnicos definidos de manera conjunta, que permitan la interoperabilidad. Al igual que con la certificación de transacciones empleada hoy en día mediante PIN, las entidades financieras deben consensuar unas normas claras. Una retirada del PIN o TAN presenta una ruptura en el sistema, que viene acompañada en primer lugar de costes y riesgos para los bancos. Sin embargo, sin una armonización en cuanto a la interoperabilidad no será posible.
  • El registro y proceso de los rasgos biométricos es todo un reto organizativo en el que se debe de tener muy en cuenta la protección de datos y del consumidor, especialmente en esta época de crecientes normativas regulatorias que suponen un esfuerzo adicional.
  • Incluso si un número cada vez mayor de usuarios acepta el nuevo sistema, la solución debe ser segura, cómoda y fácil de utilizar. Se requiere una relación conveniente de costes y beneficios.
  • La certificación insuficiente de muchos proveedores dificulta a los bancos la aplicación de los sistemas biométricos adecuados.
  • A las instituciones financieras y a los proveedores de sistemas todavía les falta experiencia en cuanto a los procedimientos biométricos aplicados de manera generalizada con lo que a clientes se refiere.

¿Qué opinión tiene el cliente sobre la solución biométrica? ¿Cómo se puede garantizar que los datos guardados se van a procesar de manera segura? ¿Cómo se puede garantizar la seguridad a largo plazo? Para el uso a gran escala de los sistemas biométricos, los bancos necesitan respuestas a estas preguntas.