La doble promesa de la biometría
La biometría, que antes solo existía en la ciencia ficción, tiene ahora un alcance global. Los usuarios no solo la han adoptado de forma reactiva, sino que la esperan. En un estudio reciente de Visa, más de la mitad (53 %) de los usuarios afirmaron que incluso cambiarían de banco si no se les ofrecieran opciones de autenticación biométrica cómodas. Lo que más valoran de la biometría es no tener que recordar contraseñas, que hay mayor seguridad comparado con estas, y la tranquilidad de no preocuparse por olvidar o perder un método de autenticación.
Así, los consumidores han demostrado que están deseando usar tecnologías biométricas que les proporcionen una mayor seguridad y comodidad, y que confían en la privacidad y seguridad de estas herramientas. La biometría les aporta tranquilidad, ya que no puede ser interceptada como un código de un solo uso (OTP) ni manipulada mediante ingeniería social como una contraseña. No se puede compartir ni robar, y no se pierde cuando necesitan volver a autenticarse en un nuevo dispositivo.
En este artículo exploraremos cómo la biometría ayuda a las organizaciones a equilibrar los retos de seguridad y experiencia de usuario (UX) para ofrecer una autenticación biométrica que sea segura y sin fricciones. También analizaremos las nuevas tecnologías que pueden ayudar a combinar seguridad y facilidad de uso en las implementaciones biométricas.
¿Cuáles son las principales preocupaciones sobre la autenticación biométrica?
Biometría frente a la autenticación basada en “algo que sabes”
Antes de analizar las preocupaciones sobre la biometría, vale la pena contextualizar los métodos de autenticación. Aunque las contraseñas y los códigos de un solo uso (OTP) son los métodos más comunes hoy, también presentan vulnerabilidades que la autenticación biométrica ha sido explícitamente diseñada para evitar. Una contraseña, por ejemplo, puede ser adivinada, robada, obtenida mediante phishing, manipulada socialmente, compartida u olvidada. Esto hace que su seguridad dependa únicamente de la persona que la posee.
Los OTP también son vulnerables. Los códigos enviados por SMS pueden ser interceptados mediante duplicados de SIM o ataques de tipo “man-in-the-middle”, y los OTP enviados por correo electrónico se pueden recuperar si se compromete la bandeja de entrada o un dispositivo con acceso a ella. Ambos métodos también son un objetivo fácil para técnicas de ingeniería social, ya que los atacantes pueden engañar a los usuarios para que se los faciliten mediante llamadas telefónicas o intentos de phishing.
Además, estos métodos suelen ser muy incómodos para los usuarios. Las reglas de las contraseñas exigen una combinación de numerosos caracteres, símbolos, números y mayúsculas; si bien esto evita la reutilización de contraseñas, también las hace difíciles o imposibles de recordar. Por su parte, los OTP son vistos por muchos usuarios como un incómodo paso adicional que ralentiza innecesariamente el inicio de sesión.
Preocupaciones respecto a la seguridad de la biometría
Aunque la biometría no es vulnerable a ataques como el phishing o la ingeniería social, sí existen algunas áreas en las que la seguridad biométrica puede verse comprometida.
Una preocupación es la proliferación de ataques de suplantación o de presentación. Por ejemplo, mediante el uso de elementos físicos como fotografías de alta resolución, huellas dactilares sintéticas, máscaras de silicona, un dispositivo que reproduzca un vídeo frente a la cámara o incluso cabezas impresas en 3D, los atacantes pueden intentar eludir los sistemas biométricos. Esto resulta especialmente eficaz contra sistemas menos sofisticados o aquellos que usan coincidencias parciales.
La suplantación física no es el único riesgo. En los ataques de inyección se introducen datos biométricos falsos en la entrada del sistema, eludiendo por completo el hardware de autenticación. El sistema cree que está recibiendo datos en tiempo real, aunque en realidad se le han “inyectado” datos falsificados. Puedes leer más en nuestro artículo sobre ataques de inyección biométrica.
Otro factor clave es almacenar de forma segura los datos biométricos, ya que no existe una forma de mitigar por completo una filtración de esta información confidencial: los identificadores biométricos, a diferencia de las contraseñas, no se pueden restablecer. Sin embargo, la amenaza se reduce gracias a la naturaleza de las plantillas biométricas. Se trata de plantillas matemáticas construidas a partir de la extracción de características clave y de la distancia entre ellas (por ejemplo, puntos específicos en un rostro o las crestas de una huella dactilar). Son unidireccionales, es decir, no reversibles, y no pueden usarse para reconstruir un rostro o una huella que pueda ser suplantada. Además, suelen ser específicas de cada proveedor, lo que limita aún más su utilidad entre distintos sistemas.
¿Y la experiencia del usuario?
La reticencia a implementar biometría suele deberse a que las organizaciones asocian el hecho de tener varios pasos de autenticación con pérdidas de usuarios debido a la fricción. Era el caso de enfoques más antiguos, como las verificaciones de prueba de vida activas, en las que el usuario debía parpadear, girar la cabeza o seguir otras indicaciones. Los enfoques actuales son pasivos, sin que el usuario tenga que hacer ningún esfuerzo ni ser consciente de lo que está ocurriendo para verificar su identidad. Los procesos de autenticación biométrica hoy en día no introducen fricciones en el flujo de comportamiento del usuario.
Otra preocupación es el sesgo algorítmico. Muchos sistemas se han entrenado principalmente con rostros de hombres blancos, y pueden tener dificultades para reconocer con precisión a mujeres y/o personas de color. Esto puede afectar significativamente tanto su utilidad como la confianza que generan, incluso fuera de la población afectada.
Reducir la fricción con la detección de vida pasiva
La detección de vida pasiva, a diferencia de la activa, funciona en segundo plano y no requiere ningún esfuerzo ni interacción adicional por parte del usuario. Los sistemas pasivos están entrenados para identificar multitud de elementos, como la iluminación, las sombras, la profundidad facial y los micro movimientos. El proceso es fluido y, a menudo, imperceptible.
En un caso reciente de una entidad financiera, el cambio de la detección activa a pasiva se transformó en un aumento en las tasas de finalización: pasaron de alrededor del 60 % a más del 95 %, sin incrementar los errores en la detección de suplantaciones. Los clientes sentían que simplemente se estaban haciendo un selfie, en lugar de verse obligados a realizar movimientos forzados que podían percibirse como una inspección excesiva.
Cómo la detección de vida mejora la seguridad biométrica
La detección de liveness, o prueba de vida, es la principal defensa frente a los ataques de presentación e inyección biométrica.
Detección activa vs. pasiva
La detección de vida activa es un mecanismo explícito de desafío-respuesta. Requiere que el usuario realice una acción específica, como parpadear, girar la cabeza o sonreír. Este proceso puede detectar suplantaciones simples, como una impresión de alta calidad, pero introduce fricción en el proceso y puede ser burlado por deepfakes de gran calidad, tanto digitales como físicos.
Por el contrario, la detección pasiva funciona sin necesidad de participación explícita del usuario. Analiza miles de señales sutiles, que pueden incluir reflejos, profundidad tridimensional de los rasgos faciales, irregularidades en la iluminación y otros indicadores. Esta tecnología es más sólida gracias a sus múltiples capas de análisis y a su capacidad para funcionar de manera consistente en distintos dispositivos.
Ataques de presentación e inyección
La detección de vida puede prevenir suplantaciones físicas —como fotos impresas o máscaras 3D—, así como inyecciones digitales que eluden los sensores biométricos e introducen datos falsos en el sistema. Dicho esto, algunos ataques de inyección pueden evitar la detección si esta se ejecuta en un dispositivo comprometido. Al combinarla con una verificación biométrica basada en la nube, esta amenaza se mitiga, ya que la comprobación se realiza fuera del dispositivo.
Defensa en profundidad
Una solución biométrica eficaz y completa combina la detección de vida con algoritmos de coincidencia, tecnología de verificación documental y análisis y puntuación basados en el riesgo. La detección pasiva filtra los intentos de suplantación, y la coincidencia garantiza que el rostro o la huella capturados pertenezcan a la persona correcta. A continuación, el análisis del comportamiento supervisa la interacción global en busca de anomalías.
Procesamiento biométrico en la nube frente al de dispositivo
El punto de vista de la seguridad
Los dispositivos son vulnerables. Los teléfonos y los portátiles pueden ser robados, comprometidos, por ejemplo, hackeados o infectados con malware, perderse o dañarse. Por ello, la autenticación basada en la nube es una opción cada vez más popular, ya que elimina estos riesgos de la ecuación. Además, cuando la autenticación se procesa en la nube, los proveedores pueden aplicar actualizaciones en tiempo real a toda la red, lo que facilita y acelera la adaptación a nuevos patrones de fraude. Asimismo, los sistemas en la nube se benefician de la inteligencia multi plataforma, con la que el aprendizaje automático permite que cada intento de ataque mejore los algoritmos de detección para todos los usuarios, no solo para uno. Estos sistemas cuentan con detección avanzada de suplantaciones e inyecciones impulsada por inteligencia artificial.
En cambio, la biometría en el dispositivo almacena las plantillas localmente, lo que permite que la autenticación funcione sin conexión. La contrapartida es que estos sistemas son menos adaptables a nuevos patrones de fraude, ya que dependen del dispositivo y/o del propio usuario para aplicar las actualizaciones de software y controladores.
UX y escalabilidad
La autenticación biométrica basada en la nube puede mejorar la experiencia del usuario al permitir una autenticación sencilla en aplicaciones, dispositivos y ubicaciones diferentes. El dispositivo en el que se registran inicialmente probablemente no sea el único que poseen, y esperan poder acceder sin problemas desde su portátil, móvil o tablet, estén donde estén.
El procesamiento en la nube también facilita la recuperación de identidad si el dispositivo en el que el usuario se registró es reemplazado, perdido, robado o dañado. Como la plantilla biométrica se almacena en la nube, puede utilizarse para recuperar la cuenta.
El procesamiento local, por su parte, suele tener la ventaja de funcionar algo más rápido, ya que los datos no se transmiten, aunque normalmente la diferencia se mide en microsegundos. Además, puede operar sin conexión y en cualquier lugar, lo que resulta útil, por ejemplo, si alguien lleva su portátil de trabajo a un entorno remoto o de alta seguridad. La gran desventaja es que, si se pierde el dispositivo, también se pierde la información biométrica almacenada en él.
¿Qué opción es la adecuada para ti?
No existe un enfoque único que sirva para todos en la autenticación biométrica. Las organizaciones deben evaluar su riesgo de fraude, el comportamiento y la demografía de los usuarios, el entorno regulatorio en el que operan y los canales de acceso que soportan.
Por ejemplo, para las organizaciones que procesan transacciones de alto riesgo y cuentan con bases de usuarios globales, la detección y verificación de vida en la nube ofrece una seguridad altamente adaptable y flexible entre dispositivos. Por otro lado, para quienes operan en entornos sensibles a la privacidad o clasificados, o realizan trabajo offline en ubicaciones remotas, el almacenamiento en el dispositivo minimiza la exposición de datos y permite la autenticación sin necesidad de conexión a la red.
La seguridad y una UX fluida generan más confianza
Los usuarios esperan que el proceso de verificación de identidad sea seguro y sin complicaciones, especialmente cuando se utiliza autenticación biométrica. De hecho, en un estudio reciente de Visa, se valoraba más la biometría por la comodidad que por la seguridad.
Para generar confianza en el proceso, las instituciones pueden seguir varios pasos:
• Combinar detección pasiva de vida e inteligencia en la nube con buenas prácticas de UX. La detección pasiva garantiza que el proceso siga siendo fluido y sin esfuerzo para el usuario, mientras presenta sólidas defensas contra la suplantación. La monitorización centralizada de amenazas en la nube mantiene las defensas siempre actualizadas. Ambos elementos contribuyen a un flujo de usuario optimizado.
• Proporcionar transparencia sobre el uso de los datos. Aliviar cualquier preocupación que los consumidores puedan tener sobre cómo se recopilan, almacenan y eliminan sus datos. Una política de uso de datos totalmente transparente, que incluya disposiciones sobre cómo un usuario puede solicitar la eliminación de su información, refuerza la confianza.
• Garantizar la inclusión y la equidad. Para abordar el sesgo y asegurar una precisión consistente para todos los clientes, elige un proveedor que haya realizado pruebas de rendimiento en múltiples demografías y siga estándares, como la Certificación de Verificación Facial de FIDO, que ayuda a garantizar un rendimiento uniforme para todos los tonos de piel, edades y géneros.
Cuando seguridad significa simplicidad
La adopción de la biometría está acelerando, y por una buena razón. Las soluciones biométricas actuales ofrecen ahora la rara combinación de sólida seguridad y fácil experiencia de usuario.
Los avances más significativos provienen de la detección pasiva de vida y la inteligencia en la nube. La detección pasiva elimina gestos incómodos y aumenta las tasas de finalización, mientras que los sistemas basados en la nube permiten una monitorización de amenazas adaptativa en tiempo real y una autenticación fluida entre dispositivos.
En conjunto, muestran que un enfoque por capas en biometría puede lograr lo que antes parecía imposible: seguridad, privacidad, inclusividad y simplicidad, todo a la vez.
Las organizaciones que adoptan este equilibrio no solo reducen el fraude y mantienen el cumplimiento normativo; también eliminan la frustración del cliente y se ganan su confianza durante el proceso.
¿Listo para dar el siguiente paso? Descubre cómo las soluciones de detección de vida y biometría de Mitek protegen a tus clientes mientras aseguran que cada interacción sea fluida.
About Becky Kiichle-Gross
Becky Kiichle-Gross is Principal Software Product Manager at Mitek, where she leads the development of the company’s image capture and multimodal biometric authentication solutions. Becky has a deep understanding in product development and has managed several product launches across markets including retail, healthcare, aerospace, and banking. With extensive expertise and a passion for solving customer problems, Becky is instrumental in driving innovations that help clients combat fraud and bolster trust.