Si bien la autenticación biométrica existe desde hace bastantes años con la huella digital del dedo pulgar, el estado actual de madurez de la tecnología biométrica con más elementos, combinado con las condiciones de uso de la tecnología por parte de los usuarios actuales, abre amplias posibilidades de incrementar su aplicación.
Iniciemos caracterizando a nuestros usuarios. La mayoría de la población que consume servicios cuenta con un teléfono portátil móvil (celular); un porcentaje apreciable y creciente de ellos es “inteligente” (smartphone con cámara de foto/video y gran capacidad de procesamiento local) y aplicaciones e interfaces que pueden reconocer la voz del usuario, su rostro, huella digital e, inclusive, podrían adaptarse algún otro sensor-detector, habilitando una autenticación alternativa o adicional al método tradicional de manejo de user ID’s y passwords.
El avance tecnológico en reconocimiento de voz, rostro y palma de la mano de manera fácil, confiable y económicamente más accesible convierten a la autenticación biométrica en una candidata ideal para su aplicación masiva. Dar el siguiente paso a nuestros tradicionales métodos actuales de autenticación denominados KBA (Knowledge Base Authentication), en los cuales los usuarios cada vez se sienten menos confortables de autenticarse únicamente con claves o contestando con datos personales a preguntas realizadas en acceso a aplicaciones financieras u otras, como el expediente médico o las aerolíneas, es de suma importancia dados los crecientes riesgos de ingeniería social de ataques de robo de cuenta (Account TakeOver o suplantación de identidad).
Dependiendo del tipo de servicio, podríamos determinar el nivel de autenticación adecuado. Una buena práctica sería clasificarlos de acuerdo al impacto de suplantación de identidad que tienen. Así pues, el tipo de autenticación lo podríamos clasificar en niveles:
1. Validez de identidad
La herramienta de autenticación proporciona alguna seguridad de que es la misma persona la que está accediendo a transacciones o datos protegidos. Incluye el uso de una identificación de usuario y contraseña.
2. Una identidad mejor verificada
En este caso, la herramienta de autenticación puede ser de factor único, incluida información adicional de prueba de identidad. Considera el uso de preguntas de identidad más formales (KBA) e implica la verificación de elementos de identidad adicionales a un nombre de usuario y clave.
3. Máxima seguridad disponible de autenticación
Los procedimientos de prueba de identidad requieren la verificación de más elementos de información de identificación, idealmente en línea. Las herramientas consideran el uso de infraestructura de firma digital, biometría y elementos de identidad multifactor.
El siguiente paso lógico sería hacer una clasificación de servicios/aplicaciones gubernamentales, así como del nivel de autenticación adecuado. Sin embargo, considerando la economía de escala (alto volumen de usuarios) y alcance (muchos diferentes servicios) que tienen los servicios públicos, podemos tener una oportunidad interesante de aplicación masiva de una autenticación de nivel 3 de tipo multifactor, con una apreciable reducción de tiempo y aumento de confiabilidad en el proceso de verificación de identidad que puede tener un alto impacto en la eficacia y eficiencia de los servicios.
En este sentido, es importante considerar el constante aumento en el nivel de exigencia por parte de los usuarios (en calidad de interacción/atención), sin importar el canal de comunicación (en persona, vía web/app o hablando a un call center), lo cual, traducido a elementos de negocio, implica el óptimo balance de Eficiencia Operativa, mejor Experiencia del Usuario y reducción de riesgo de fraudes y suplantación de identidad.
Por lo tanto, la autenticación biométrica contribuye a una autenticación multifactor, la cual considera el uso de dos o más de los siguientes factores:
- Password o PIN (algo que la persona sabe)
- Llave, token u otro (algo que la persona tiene)
- Huella digital, rostro, palma de la mano, voz o iris (algo que la persona es)
La robustez de la autenticación multifactor radica en la diversidad de uso de distintos elementos. Usar claves, elementos como certificados y firmas digitales de manera aislada asegura que el propietario cuenta con la información, pero no asegura estrictamente la identidad. Por el contrario, incluir la verificación biométrica constituye un método de autenticación muy superior.
Casos interesantes de uso de autenticación biométrica touchless (con esto del virus) en aeropuertos (que, además, muestran un atractivo balance de eficiencia operativa, experiencia del usuario y riesgo de suplantación) son, por ejemplo, el reconocimiento facial para aspectos de inmigración como SmartGate en el Aeropuerto Internacional de Dubai, la Terminal Biométrica de Delta Airlines en Atlanta o la Terminal FAST en el Aeropuerto de Singapur.
Por otro lado, un caso de política pública de alto volumen y a largo plazo es la iniciativa Fundación, en hindi, consistente en una tarjeta personal que integra huellas dactilares, escaneo de iris, nombre y un número de identidad de 12 dígitos. Cada usuario recibe una tarjeta y aplica para programas sociales (como los de becas en México).
De leyes y reglas
Entre otros aspectos adicionales que debemos considerar en la aplicación de autenticación biométrica, es importante tener en cuenta:
- Regulaciones en sectores específicos (gobierno, financiero, salud, entre otros)
- Protección de datos personales en posesión de particulares o entidades públicas
Como referencia internacional, podemos citar la regulación GDPR (General Data Protection Regulation), que establece los tipos de datos que tienen protección adicional debido a la importancia de identificar a un titular, entre ellos, los datos biométricos. La institución define los biométricos como datos personales obtenidos de un procesamiento técnico específico, relacionado con las características físicas, fisiológicas o de comportamiento de una persona física que permiten o confirman la identificación única de la persona. En otros apartados de dicha regulación se consideran, además, las medidas de uso y la protección de este tipo sensible de datos.
La legislación, regulaciones y su observancia son fundamentales, dada la sensibilidad de estos datos. No podríamos esperar, pues, que la autorregulación permita adecuadamente pasar a una siguiente etapa de capacidades y madurez.
En el futuro, el gobierno y la industria podrán aprovechar cada vez más la tecnología de autenticación e información biométrica y las personas deberán contar con los mecanismos de seguridad requeridos y confiar en que los datos de verificación que utilizan para autenticarse estarán seguros.