FT Weekend
La seriedad de esta amenaza quedó de manifiesto cuando en febrero ciberdelincuentes cometieron uno de los mayores robos de bancos en la historia en un audaz ataque al banco central de Bangladesh. Los ladrones se apoderaron de US$81 millones que estaban depositados en la Reserva Federal de EEUU.
Por Martin Arnold y Hugo Greenhalgh.
Cualquiera que haya tenido dificultades para recordar la contraseña requerida para su aplicación de operaciones bancarias o manipulado torpemente un dispositivo de lectura de tarjetas puede apreciar la enorme alegría de utilizar su huella digital, la voz o el rostro para acceder a su cuenta bancaria de forma rápida mediante su teléfono inteligente.
La mayoría de los grandes prestamistas ahora utilizan la última tecnología biométrica para ofrecerles a los clientes una forma más cómoda de comprobar el saldo de sus cuentas o realizar pagos. Sin embargo, una gran pregunta sigue sin respuesta: ¿es seguro?
Un experto en seguridad cibernética de la consultoría NCC visitó recientemente el Financial Times para dar una demostración de cómo hackear el software de autenticación biométrica de un teléfono inteligente.
Matt Lewis, director de investigación de NCC, mostró cómo hacer una copia de su propia huella digital utilizando pegamento para madera, cera de vela y una placa de circuito impreso que le permitió a este corresponsal acceder al teléfono inteligente del Sr. Lewis.
También engañó al software de reconocimiento de voz reproduciendo grabaciones de su propia voz y produjo una máscara impresa en 3D de su rostro basándose en fotografías propias, que luego fue usada por este corresponsal para acceder al teléfono del Sr. Lewis.
Aunque una persona no puede olvidar su propia voz o rostro — lo cual los convierte en una sencilla manera de comprobar la identidad — son también mucho más difíciles de cambiar que la contraseña si los ciberdelincuentes consiguen falsificarlos. Esto significa que si la biometría se convierte en la forma dominante de autenticación es probablemente mucho más perjudicial si los sistemas son hackeados.
Conforme más proveedores de servicios financieros lanzan nuevos planes de comprobación de identidad biométrica — como el servicio llamado «selfie pay» de MasterCard que les permite a las personas hacer pagos móviles tomándose una foto, el sistema de escaneado de las venas del ojo de Wells Fargo, o el identificador de voz de HSBC — los expertos dicen que la seguridad se convertirá en un asunto más urgente.
«La biometría no es lo mismo que las contraseñas; no es secreta», dice el Sr. Lewis, ex especialista en tecnología de GCHQ, la agencia de inteligencia electrónica del gobierno. «Se necesitan otros elementos para evitar el fraude. Si una base de datos de huellas dactilares es pirateada, se podría agravar el problema».
La ciberseguridad ya se ha vuelto una prioridad para los bancos, particularmente después de que 76 millones de clientes de JPMorgan Chase, el mayor banco estadounidense, se sorprendieron al descubrir que algunos de sus datos personales habían sido robados hace dos años.
La seriedad de esta amenaza quedó de manifiesto cuando en febrero ciberdelincuentes cometieron uno de los mayores robos de bancos en la historia en un audaz ataque al banco central de Bangladesh. Los ladrones se apoderaron de US$81 millones que estaban depositados en la Reserva Federal de EEUU.
David Ferbrache, director técnico de KPMG y ex jefe de ciberseguridad y seguridad espacial del ministerio de defensa del Reino Unido, considera que los grupos de la delincuencia organizada están obteniendo tanto dinero de piratear los tradicionales sistemas bancarios basados en contraseñas, que por el momento no tendrán prisa alguna por enfocarse en el desafío de hackear los controles biométricos. «Pero con el tiempo van a emplear más tiempo analizando la identidad biométrica».
La mayoría de los bancos británicos ya les permiten a los clientes conectarse a sus cuentas usando el lector de huellas digitales de sus teléfonos inteligentes. Esto tiene la ventaja de que mantiene los datos biométricos en el teléfono, en lugar de que el banco los almacene en una base de datos central que podría convertirse en un blanco para los piratas informáticos.
Varias grandes instituciones financieras se están enfocando ahora en los sistemas de reconocimiento de voz para identificar a sus clientes. A diferencia de los escáneres de huellas dactilares de los teléfonos, estos sistemas suelen utilizar una «impresión vocal» del cliente que se almacena en un banco y se utiliza para comprobar su identidad cuando llama.
Algunos bancos, como Capital One, están utilizando la tecnología de voz para mejorar sus servicios: sus clientes ahora pueden consultar saldos y pagar sus cuentas de tarjetas de crédito hablando con Alexa, asistente de voz de Amazon, que se encuentra en dispositivos con comando de voz como Echo.
Pero el teléfono también es un medio popular para los defraudadores. Según Financial Fraud Action del Reino Unido, los consumidores británicos y las instituciones financieras perdieron más de £750 millones en el transcurso del año pasado, un alza del 26 por ciento desde 2014. El fraude bancario telefónico casi se duplicó durante el mismo período, con un aumento del 92 por ciento alcanzando £32.3 millones.
Una de cada 2,500 llamadas a los centros de llamadas administrados por bancos y otras empresas de servicios financieros es fraudulenta, según revelan recientes datos de Infiniti Research.
La tecnología ha mejorado mucho en los últimos años. Se acabaron las frustraciones de tener que decir varias veces «sí» o «no» a un sistema automatizado que no puede entender tu acento. Los programas de hoy pueden determinar quién está hablando, así como entender lo que se está diciendo.
No obstante, existen diversos enfoques técnicos. Lloyds ha llegado a un acuerdo con Pindrop, una compañía de prevención de fraudes y autenticación por voz, para ofrecer lo que la compañía tecnológica denomina «phoneprinting» a sus 30 millones de clientes a principios de diciembre.
Técnicamente no es biometría, pero funciona de manera similar. El cliente realiza una llamada y el programa analiza 147 diferentes características de la llamada que van desde el tipo de teléfono que se está utilizando hasta el tipo de ruido de fondo.
La función principal es impedir el fraude telefónico y mejorar la seguridad del cliente resaltando cualquier actividad inusual. Lloyds pretende dar un paso más e introducir la biometría completa de voz durante el verano de 2017.
HSBC ha optado por una tecnología que verifica 100 características únicas de la voz de una persona — incluyendo la velocidad del habla, la cadencia natural o la pronunciación — así como ciertos aspectos físicos que los oyentes no pueden discernir, como la forma de la laringe del cliente o sus conductos nasales.
Se trata de un desarrollo que será bien recibido por aquellas personas agobiadas con muchas cuentas en línea y un sinnúmero de contraseñas. Pero se han planteado inquietudes sobre si los clientes se sentirán cómodos divulgando esta información. ¿Van a ser realmente felices sabiendo que sus bancos conocerán la forma de sus laringes?
En última instancia, lograr que la banca móvil sea verdaderamente conveniente y reconfortantemente segura probablemente dependerá de sistemas más sofisticados que utilizan cientos de puntos de datos diferentes — desde cuán rápidamente escribe la persona hasta en qué lugar se encuentra — para crear un perfil único que puede utilizarse para reconocer automáticamente a la persona siempre que utilice su teléfono.
Varios bancos ya están sometiendo estos sistemas biométricos conductuales a pruebas piloto. Dos sistemas tienen la ventaja de ser mucho más difíciles de falsificar, además de que no se pueden utilizar en varias cuentas de la misma persona. «Si adelantamos el reloj cinco años, veremos una combinación de biometría conductual, análisis muy sofisticado y calificación de riesgo de cada transacción», le dijo el Sr. Ferbrache a KPMG.
Si pueden resolver el problema de la seguridad de una vez por todas, el potencial de ahorro por parte de los bancos y otros proveedores de servicios financieros es enorme. Por ejemplo, MasterCard, la compañía procesadora de pagos, ha invertido US$1,000 millones en seguridad sólo en los últimos tres años. «Más de 50 por ciento del fraude global en nuestro negocio de comercio electrónico es digital», explica Ajay Bhalia, presidente de seguridad y riesgo global empresarial de MasterCard.
Con más de 2,000 millones de tarjetahabientes, MasterCard está aumentando sus defensas contra posibles fraudes, invirtiendo en tecnología de voz, pero también considerando medidas de seguridad basadas en huellas dactilares, reconocimiento facial, tecnología de reconocimiento de latidos del corazón, de las venas oculares y del iris. Está ejecutando un proyecto piloto con ABN Amro en los Países Bajos y ahora está intentando desplegarlo en 12 mercados europeos, incluyendo el Reino Unido, para principios de 2017.
Sin embargo, al fortalecer las barreras contra el fraude, los bancos y proveedores de tarjetas están realizando un trueque tácito entre eficiencia y seguridad. Los clientes se sienten frustrados cuando tardan demasiado en pasar el proceso de autenticación; los bancos entonces pierden clientes pues las personas simplemente cuelgan el teléfono.
No obstante, dado lo engorrosas que parecen ser la mayoría de las técnicas de pirateo biométrico — como copiar la huella dactilar de alguien o hacer una máscara a partir de sus fotos — algunos expertos creen que es probable que sólo valdría la pena implementarlas para ataques dirigidos contra las personas adineradas.
La mayoría de los bancos e instituciones financieras conservarán varios obstáculos que sus clientes ricos deberán sortear antes de permitirles el acceso a sus cuentas. Puede ser más complicado, pero una vez más, si se trata de garantizar que los defraudadores no tengan acceso al dinero, es un precio que muchos estarán dispuestos a pagar.
¿Qué sucede si mi voz cambia? ¿O si tengo un fuerte acento regional?
Siri, un asistente personal de reconocimiento automático de voz introducido por Apple en su iPhone 4S en 2011, al principio tuvo problemas con los acentos regionales. Pero los servicios de reconocimiento de voz — y de hecho Siri — han mejorado enormemente. La biometría abarca ahora mucho más que la palabra hablada; ahonda más en cómo se articulan estas palabras.
«También ha habido preocupaciones históricas de que la biometría de voz puede verse afectada por factores tales como los acentos regionales, el ruido de fondo o las personas con resfriados», dice Anthony Duffy, director británico de la banca minorista de Fujitsu. «Sin embargo, las últimas iteraciones de ese software hacen que semejantes preocupaciones sean redundantes».
De hecho, la mayoría de ellos miden factores tales como la forma de la laringe y el tracto respiratorio; analizan la inflexión y la entonación; y toman en cuenta el acento.
Esto significa que tendrán en cuenta acentos regionales, y aprenderán a reconocer la forma de hablar. Si la persona está sufriendo de un fuerte resfriado, puede compensar esos factores, utilizando otras variables más allá de la entonación, por ejemplo.
De hecho, aún se están realizando investigaciones sobre si todo lo anterior se puede cumplir para otro grupo: aquellos que se están sometiendo — o que ya han completado — el proceso de transición de femenino a masculino o viceversa.
