Las claves alfanuméricas son cada vez más vulnerables a los hackers y las empresas empiezan a apoyarse en datos biométricos como el pulso y las expresiones
Foto: El reconocimiento facial puede convertirse en un nuevo método de autenticación. Crédito: MIT Technology Review en español.
Hacerte un selfie puede convertirse en algo más que un recuerdo a la moda. Puede ser tu próxima contraseña. Los avances en reconocimiento facial por parte de máquinas están permitiendo que hacerse una foto con el móvil pueda ser una opción más segura que las contraseñas o la autenticación con huella digital. Mastercard ya ha comenzado a probar un servicio de autenticación facial para realizar pagos con el móvil y si el sistema tiene éxito podría implantarlo a nivel mundial.
Y es que sustituir a las contraseñas puede ser una buena idea en lo que a seguridad se refiere. Un estudio de Kaspersky revela que sólo el 22% de los usuarios tiene contraseñas diferentes para cada cuenta que utiliza y que el 18% las comparte con familiares y amigos. Estas vulnerabilidades se traducen en que el 9% de los españoles sufriera el hackeo de alguna de sus cuentas en 2014 por culpa de contraseñas inseguras.
Poner la cara por delante puede ser una forma de verificar que la persona que usa el servicio es quien dice ser. "Es como antes de internet, cuando el cliente iba al banco y el empleado comprobaba el documento de identidad y la cara", afirma el director de Marketing para Europa, Oriente Medio y África de la empresa de servicios de autenticación Jumio, David Pope. Esta compañía desarrolla software de reconocimiento visual capaz de contrastar si la cara registrada en una cámara web o un smartphone coincide con el documento de identidad con el que abrió una cuenta.
Para comprobar que la cara se corresponde a la del cliente y que no se está utilizando una fotografía para engañar al software "se toman 100 imágenes en 5 segundos para detectar el movimiento de los ojos", explica Pope. De esta manera, el sistema comprueba que quien está frente a la cámara es una persona real.
Pero, ¿qué pasa si alguien se deja barba o engorda o adelgaza tanto que el software no reconoce el cambio en su cara? "Esto puede suceder y entonces el sistema bloquea la transacción y el cliente debería volver a identificarse", lamenta Pope.
A pesar del reconocimiento de este error, Pope cree que los sistemas de autenticación biométricos irán sustituyendo a las contraseñas tradicionales en los próximos años: "Es cuestión de tiempo, de dinero para mejorar los sistemas y de que los clientes lo acepten". Sin embargo, estos sistemas de autenticación no están libres de ser hackeados. Pope cree que los delincuentes siempre encontrarán formas de burlar la seguridad. "Se trata de hacerlo lo más seguro posible", concluye.
Identificación por costumbre
La autenticación biométrica no se restringe a la cara o a los ojos. Algunos móviles ya permiten pagar con la huella dactilar (ver Samsung te permite pagar con el dedo), en lugar de necesitar una contraseña. "El sistema biométrico más seguro es la voz", afirma el CEO de VU Security y ganador de los premios Innovadores menores de 35 Argentina y Uruguay 2013 MIT Technology Review en español, Sebastián Stranieri. El timbre y el tono de la voz de cada persona es tan único como la huella dactilar y, al no convertirse en imagen como sí sucede con la huella o las fotos, es más difícil de hackear.
Aunque reconoce que "la autenticación biométrica es cada vez más fiable", él confía más en las costumbres de los usuarios y cree que se pueden convertir en una forma de identificar al usuario. "Gracias a los smartwatches el banco podrá saber si quien está haciendo la operación es realmente su usuario", indica Stranieri que ya trabaja en procesos para que los hábitos se conviertan en contraseñas.
Los relojes inteligentes pueden medir el pulso del usuario y son capaces de conocer si están andando, corriendo o durmiendo. Además, registran los movimientos y las costumbres del usuario. "Si alguien intenta realizar una transferencia anómala desde la cuenta del usuario y el smartwatch detecta que está durmiendo o en otra ciudad, la puede bloquear".
Para Stranieri, esta nueva forma de identificar al usuario puede convertirse en una solución para evitar el fraude. "Sin embargo, las contraseñas alfanuméricas siempre serán un sistema de emergencia", explica. En casos en los que ningún otro sistema de identificación funcione, la clásica contraseña puede servir para recuperar el servicio.
A pesar de todas las precauciones que se tomen, "no existe, no ha existido y no existirá un sistema de autenticación 100% seguro", afirma con contundencia el director de Educación de ESET España, Fernando de la Cuadra que utiliza un símil para asegurar que las contraseñas sean eficaces: "Son como la ropa interior: no se comparte y se deben cambiar cada cierto tiempo" (ver Ni las mayúsculas ni los números hacen más seguras a las contraseñas digitales).
Puede que la moda de los selfies se contagie a las contraseñas o que las costumbres recogidas por el smartwatch se conviertan en una nueva forma de identificar al usuario. Mientras tanto lo más seguro es tener contraseñas robustas que impidan a los delincuentes acceder a nuestras cuentas.