¿Cuáles son las peores consecuencias que puede implicar ser víctima de una suplantación de identidad?
P. G.: Son muchas las consecuencias derivadas de una suplantación de identidad digital. Tenemos la suplantación de identidad de individuos, y también la llevada a cabo a entidades. Lo que es evidente es que, en ambos casos, los diferentes usuarios se pueden ver perjudicados.
El primer daño y el más conocido en una suplantación de identidad digital es el robo de datos bancarios o identidad bancaria, que trae como consecuencia el robo del dinero de la cuenta, ya sea por compras online o por la duplicación de una tarjeta. Pero este no es lo único que puede suceder.
Es posible suplantar una identidad con el objetivo de acceder a una cuenta, está claro, pero no solo de entidades financieras. También existe la posibilidad de que quieran entrar en una cuenta online activa en ese momento o, incluso, llegar a crear otras nuevas con ciertos datos personales haciéndose pasar por un individuo en concreto. De esta manera, otra de las principales consecuencias es la creación de cuentas falsas, con el fin de lanzar injurias o acciones vejatorias utilizando la identidad de otra persona o envíos de correos falsos desde una cuenta inventada.
Por lo tanto, las consecuencias pueden ser no solo daños económicos (compras online, robo de documentación o clonación de tarjetas) sino también provocar un deterioro personal (vejaciones o humillaciones en redes sociales, perjuicio a la reputación e incluso generar problemas psicológicos).
¿Qué soluciones biométricas existen?
P. G.: Para evitar el robo de identidad, la biometría se posiciona como una solución clave. Es posible agrupar las biometrías en dos grandes grupos:
- Rasgos físicos: primero están todas aquellas biometrías que definen a las personas como individuos únicos, atendiendo a los rasgos físicos. Dentro de ellos se encuentra la huella digital, que identifica mediante lo que se denominan minucias (bordes donde las huellas terminan o se bifurcan) y el reconocimiento facial, que reconoce mediante las proporciones de un rostro o de las expresiones. Estas soluciones biométricas necesitan más hardware o equipamiento específico y, por lo tanto, son más complejas o caras de implementar (lectura de las venas de una mano, el iris de nuestro ojo o incluso el ADN). Aun así, no dejan de ser biometrías por su capacidad para identificar a los individuos.
- Rasgos de comportamiento: el otro grupo de biometrías atiende al comportamiento, que hace única a cada persona en la interacción con un entorno determinado. Una de ellas es la firma biométrica manuscrita, que es comportamental, puesto que será única atendiendo no solo al grafo de la misma, sino a parámetros distintivos como la presión, la aceleración o la velocidad de escritura. En esta categoría también podemos hallar la dinámica de tecleo, que identifica la manera de escribir a través de un teclado o como se interactúa a través de un smartphone.
- Rasgos de voz: por último, también existe la biometría de voz, que puede pertenecer a cualquiera de los dos grandes grupos nombrados con anterioridad. Contiene parámetros fisiológicos (valores que se extraen de la frecuencia y el tracto vocal) y también puede haber otros rasgos comportamentales como el idioma o el acento.
¿Para qué son más adecuadas cada una de ellas?
P. G.: Para responder correctamente a esta pregunta se debe estudiar cada caso de uso y a su vez en cada uno analizar ciertos parámetros que indicaran cuál es la más aconsejable. Para ello, es imprescindible que las empresas trabajen mano a mano con las compañías de biometría y así saber cuál es la más indicada para cubrir sus necesidades.
A grandes rasgos, dichos parámetros pueden ser el objeto único para el que se requiere implementar una solución de biometría. Es decir, hay que tener presente el fin para el que se quiere identificar a los usuarios o empleados, así como los canales para los que se va a requerir dicha autenticación (canal web, telefónico, app móvil, el acceso a un edificio o zona restringida…). También va a ser primordial valorar el nivel de seguridad que se quiere aplicar al proceso para saber cuáles son más adecuadas. Incluso se puede llegar a aplicar un doble factor de autenticación, con varios tipos de biometría en el mismo proceso a cubrir.
Por otro lado, para contestar a esta pregunta es imprescindible conocer el coste que se quiere asumir para llevarla a cabo. Saber si se necesita un hardware o no, la usabilidad del proceso… Existen biometrías más fáciles de utilizar que van a requerir diferentes niveles de interacción por parte del usuario, por lo que se debe analizar el caso de uso con el objetivo de no implementar una poco usable y que provoque su rechazo.
Por último, hay que valorar la integración con los sistemas propios del negocio y cómo de complejos son. Así con todos estos parámetros se puede definir la biometría que más se ajusta a nuestro proceso.
Por ejemplo, el acceso a edificios se suele llevar a cabo a través de la huella biométrica, mientras que para entrar en zonas de mayor restricción se utilizan sistemas con un nivel más alto de seguridad, como las huellas de una vena o la biometría del iris.
En cambio, si se habla de una gestión telefónica, lo lógico es cubrir esa necesidad con una biometría vocal. Si el caso en cuestión es autenticar a un usuario de manera remota en una web propia se aplicará el reconocimiento facial. Y, por último, en el caso de la firma de un documento de forma electrónica, se puede aplicar o bien una firma biométrica manuscrita o bien la firma biométrica de voz.
Cada vez se está haciendo más famoso el reconocimiento facial biométrico, ¿cuáles son sus principales beneficios para las empresas? ¿Y para los usuarios?
P. G.: Lo más importante a la hora de saber cuáles son los beneficios del reconocimiento facial es analizar sus principales procesos. En primer lugar, hay que estudiar el proceso de captación o enrolamiento, que es el momento en el que se va a identificar al usuario y registrar sus datos, incluidos los biométricos. Indiferentemente de la biometría que sea.
El segundo proceso es el de identificación/autenticación, que es cuándo se compara la información de los datos biométricos recién capturados con una sola muestra almacenada en la base de datos, esto se hace así porque previamente se cuenta con datos sobre la persona en cuestión como, por ejemplo, su DNI, que permite realizar una comparación uno a uno. Esa identificación se llevará a cabo cuando se compara la muestra recogida contra todo el espectro de muestras total o parcial de una base de datos.
Analizando los dos procesos vemos que para que el segundo sea fiable, es sumamente relevante realizar el proceso de enrolamiento de la forma más segura posible. Hay que comprobar que se está identificando al usuario de una manera fehaciente, antes de extraer su biometría. Si este paso no se realiza de modo fidedigno, se puede contar con muestras de individuos que no son quienes dicen ser, pero que en el proceso de identificación/autenticación serán dados como coincidentes. Y es en este punto donde se extrae la gran ventaja de la biometría facial en cuestión.
Mientras que con todas las biometrías fisiológicas y la mayoría de las comportamentales no se tiene información contra la que cotejar en el proceso de enrolamiento, en el reconocimiento facial podemos comparar el video que se está capturando con una imagen estática, como la del DNI. Este enrolamiento remoto será 100% seguro, sin necesidad de personación física, para identificar al individuo.
Por lo tanto, el principal beneficio para las empresas y usuarios de la biometría facial es poder colaborar y comunicarse en entornos 100% remotos desde el proceso de enrolamiento hasta el de identificación/autenticación, sin personación física, utilizando un mecanismo de autenticación robusto, fiable y confiable.
En cuanto a la biometría de voz, ¿cuál es su fiabilidad? ¿En qué funciones empresariales es más indicada?
P. G.: La biometría de voz es una de las más fiables y seguras, muy difícil de vulnerar y con unos valores de comparación y resultados que rondan el 99,5% de precisión. Asimismo, los mecanismos de anti- spoofing e inteligencia artificial ayudan a la hora de detectar posibles suplantaciones de identidad que utilizan grabaciones de voz, voces sintetizadas, etc.
Para entender en qué funciones es más indicado su uso hay que ver las ventajas que aporta a sus usuarios:
- Tiene bajo coste y es muy rápida, ya que en 3 segundos puede identificar al cliente.
- No es intrusiva, se realiza el proceso de verificación sin que el usuario tenga que efectuar ninguna acción a mayores.
- Si, adicionalmente, a la biometría de voz le sumamos que lo que el individuo tiene que decir es, por ejemplo, una contraseña, estamos realizando un proceso de doble factor de autenticación. El primer factor es lo que tengo (mi biometría) y otro es lo que sé (mi contraseña) con una sola acción. Así este proceso será mucho más robusto y seguro.
Incluso si se quisiera firmar un documento acreditando todo el proceso, se podría realizar la firma con la voz de forma totalmente segura, aunado las ventajas de la firma electrónica, cumpliendo a la vez con los requerimientos regulados a nivel europeo de esta y con las ventajas que nos aporta la identificación del usuario firmante con el uso de la biometría.
¿Implicará el metaverso algún tipo de evolución en este ámbito?
Aún no lo sabemos, lo que sí estamos viendo es que el futuro de Internet como lo conocemos está cambiando, los nuevos entornos digitales o realidades digitales están teniendo la necesidad de conectar varios aspectos del mundo físico: personas, objetivos y lugares.
Estas realidades digitales sólo podrán funcionar si estamos seguros de que los usuarios con quienes nos comunicamos son personas reales detrás y, además, también si esas personas se presentan de forma verdadera, es decir, no mintiendo acerca de su edad o género. Claramente, el metaverso no podrá evolucionar de forma segura sin alguna tecnología de autenticación e identificación continua, y ahí, un gran aliado puede ser la biometría.
