¿Quién no ha utilizado un usuario y un password en la última semana, por no decir en las últimas horas? Este tipo de autenticación es una de las más populares en el entorno digital. La utilizamos para acceder al correo, a nuestra cuenta bancaria, redes sociales... Sin embargo, se trata de la relación más débil en ciberseguridad: la combinación de un usuario y un password.
El password como método de autenticación es inherentemente inseguro por diferentes motivos: se basa en información que otra persona puede conocer, suponer o inferir (como nuestra fecha de cumpleaños o el nome de nuestra mascota), y como usuarios somos descuidados (creamos passwords fáciles, los anotamos en entornos poco o nada seguros e incluso los compartimos). Además, las herramientas para acceder a contraseñas cada vez son más sofisticadas, un ciberatacante solo necesita unos minutos para conseguir cientos de datos personales.
Por otra parte, los datos del 2017 Data Breach Investigation Report muestran que el 73% de violaciones de seguridad tenían motivaciones financieras, y de todos los sectores, el financiero es el que se vio directamente afectado en más casos, un 24%. Con lo que está claro el riesgo al que nos expone un password.
Esta evidente necesidad de mejorar la seguridad de los datos financieros digitales ha sido uno de los impulsores clave de la nueva normativa PSD2, que entra en vigor en enero de 2018. Esta normativa, según Valdis Domovskis, Vicepresidente de Financial Stability, Financial Services and Capital Markets Union, «serán una guía para todos los players del mercado, tanto antiguos como nuevos, para ofrecer mejores servicios de pago a los consumidores a la vez que garantizan su seguridad.»
Esto implicará que proporcionar un simple un password o los datos de la tarjeta de crédito ya no será suficiente, en la mayoría de ocasiones, para realizar un pago online. Uno de los objetivos de la PSD2 es incrementar el nivel de seguridad y de confianza de los pagos electrónicos, por ello obliga a los proveedores de servicios de pago a desarrollar sistemas de autenticación más robustos —Strong Customer Authentication o SCA—.
La SCA implica que las empresas de servicios financieros y pagos online deben identificar a sus clientes con una combinación de, por lo menos, dos factores independientes. Por ejemplo, uno físico —DNI, tarjeta o teléfono móvil— combinado con un password o un rasgo biométrico —como hacernos un selfie o escanear la huella dactilar—.
Entre las posibles opciones, muchas empresas están optando por incorporar funcionalidades biométricas a sus sistemas de identificación del usuario, ya que es un sistema mucho más fiable y seguro, además de cómodo para el usuario. La persona no tiene que recordar el password, ni corre el riesgo de perderlo o que se lo roben. Su propio cuerpo la identifica.
Así, la PSD2 no especifica las medidas de seguridad que debe seguir un sistema de verificación digital de la identidad del usuario, sí que muestra una clara intencionalidad de conseguir que estos sistemas sean mucho más seguros y fáciles de utilizar para los usuarios. Y en este sentido, el papel de la biometría está siendo esencial.