Easy Solutions, la compañía de la Protección Total contra Fraude®, brinda una alerta a los usuarios ante el anuncio de la Oficina de Administración de Personal de los Estados Unidos (OPM, por sus siglas en inglés) y el más reciente ataque cibernético en el que resultaron afectados numerosos empleados federales estadounidenses.
Como parte del ataque, cerca de 5.6 millones de huellas fueron robadas. Si bien no es claro si estas huellas pueden ser aprovechadas por los estafadores para secuestrar cuentas, se sabe con certeza que los cibercriminales irán por todo lo que pueda ser valioso. Este incidente es definitivamente un recordatorio en el que se debe limitar la exposición de los datos biométricos privados, especialmente si deben usar como medio de autenticación.
Casi todos los principales bancos soportan reconocimiento de huellas digitales por TouchID. La buena noticia es que algunos de ellos han desplegado el reconocimiento de huellas con otros factores fuertes de seguridad como token móvil, PKI y mensajería cifrada. Con seguridad multinivel, los datos de huellas digitales por sí solos no serán suficientes para que los estafadores obtengan acceso a sus cuentas de banca móvil. La mala noticia es que las huellas digitales ya no son una medida de autenticación infalible ya que cuando algo es adoptado masivamente, inevitablemente hay un mayor número de ataques contra esa tecnología.
“Apple Pay y EMV son ejemplos recientes. Vimos un gran número de ataques dirigidos a Apple Pay y veremos más y más ataques afectando la tecnología de chips de EMV a medida que se adopta cada vez más. La autenticación por huellas ha mostrado una rápida adopción porque es el más cómodo de todos los factores biométricos, pero aún tiene algunos problemas. A diferencia de los nombres de usuario y contraseñas, las huellas no pueden remplazarse”, afirmó Damien Hugoo- Director Product Management de Easy Solutions.
Además, cuando las huellas se asocian a dispositivos personales, como TouchID, los estafadores pueden informar remotamente al software que la huella del usuario ha sido ingresada con éxito. Otros mecanismos de autenticación biométrica como reconocimiento de voz, rostro o iris, si bien no son tan altamente adoptados como las huellas, pueden usarse como alternativas biométricas viables. Sin embargo, estas también presentan algunos retos. El reconocimiento facial brinda una rápida experiencia al usuario, pero es susceptible a expresiones, luz, lentes y posición. La voz tiene algunas ventajas, especialmente en el canal IVR. Adicionalmente, una impresión de voz puede revocarse fácilmente en caso de una brecha, pero podría crear una experiencia extraña en un teléfono móvil y un tiempo más largo para procesar.
“Los métodos biométricos deberían desplegarse y ofrecerse dependiendo del caso y situación. Por ejemplo, el reconocimiento facial podría realizarse mejor en un lugar público en lugar de la voz, mientras que la voz es aceptable en lugares privados”, agregó Damien Hugoo.
La industria aún está buscando alternativas a las contraseñas y la biometría sigue siendo una buena opción. La brecha de OPM y sus consecuencias refuerzan la necesidad de seguridad por niveles; bancos, gobiernos y negocios no pueden confiar en autenticación de un solo factor. Múltiples factores no deberían ser contraseña tras contraseña, como contraseñas de un solo uso por SMS, los cuales pueden ser comprometidos. Un enfoque efectivo es validar el dispositivo y la identidad, además los innovadores de la seguridad, ya están usando la biometría en conjunto con códigos de tokens y detección de anomalías, lo cual es un correcto enfoque para desplegar métodos biométricos de autenticación.