No hay nada que le guste más a un criminal que el caos. A medida que el mundo buscaba huir de la amenaza del COVID-19, los criminales irrumpieron en el ciberespacio, aprovechando los picos repentinos de volumen en Internet y los nuevos patrones de tráfico para pasar desapercibidos.
En marzo, cuando el aislamiento en casa se estableció en todo el mundo, NuData, una compañía de Mastercard que utiliza tanto la biometría como el análisis pasivo para eliminar a los usuarios ilegítimos de las instituciones financieras y los establecimientos comerciales de todo el mundo, detectó un aumento del 679% por encima del promedio en la creación de cuentas sospechosas para sólo un negocio global.
Los estafadores pueden estar creando cuentas falsas para hacer compras usando tarjetas de crédito robadas, o usando códigos de identificación de la dark web o web oscura, para solicitar líneas de crédito. En momentos tan inusuales, la actividad inesperada puede activar tantas alarmas como para generar ruido blanco.
“Los comerciantes no saben qué esperar”, dice Kyle Williams, Director de Desarrollo de Productos de Cibernética e Inteligencia de Mastercard. “Algunos se ven tentados a eliminar ciertas capas de sus barreras de seguridad para evitar el bloqueo de los buenos usuarios, tales como las solicitudes de contraseña de un solo uso, porque es difícil descifrar las interacciones que son genuinas de las que no lo son”.
No basta con simplemente ver parte de la información – o un puñado de puntos de referencia – para tomar una decisión; se necesita un enfoque integral para suprimir ese ruido, superar ese obstáculo, y separar a los buenos actores de los malos. Y eso no se puede lograr con una contraseña única de ocho caracteres (una letra mayúscula, un número, un número y tu tercer jeroglífico egipcio favorito).
Los avances en biometría — la tecnología que utiliza nuestros atributos únicos para la identificación y autenticación — está cambiando de métodos de verificación basados en el conocimiento a métodos basados en la identificación, de acuerdo con “De la contraseña a la persona: El futuro de la biometría”, un libro blanco de Mastercard elaborado con investigadores de la Universidad Purdue.
Para quienes no usamos un gestor de contraseñas, las contraseñas fijas y los PINs son tan confiables como nuestra memoria, es decir, a menudo son poco confiables. Microsoft, por ejemplo, gasta 2 millones de dólares al mes en llamadas al servicio de asistencia de clientes que necesitan ayuda para cambiar sus contraseñas, señala el informe.
La biometría física — aquella que compara las credenciales fisiológicas, como una huella digital y una coincidencia verificada — se ha convertido en algo común en los dispositivos móviles desde su introducción a principios de la década de 2010. Las tarjetas biométricas con autenticación de huellas dactilares que Mastercard introdujo en 2017, han demostrado ser un método conveniente y seguro para verificar la identidad del titular de la tarjeta para las compras en tiendas físicas como una alternativa a un PIN. Otra innovación que elimina la necesidad de contraseñas es Identity Check Mobile, una aplicación de Mastercard que utiliza huellas dactilares o reconocimiento facial (también conocido como “selfie pay”) para verificar la identidad, mejorando la seguridad y acelerando significativamente el pago en Internet.
“La seguridad y una experiencia fluida nunca deben ser mutuamente excluyentes”, dice Ranjita Iyer, Vicepresidenta Senior de Soluciones de Identidad, Cibernética e Inteligencia. “La biometría física soluciona ambas cosas, ayudándonos a ofrecer una mayor confianza en el ecosistema de pagos digitales, particularmente en un momento en que la tranquilidad es tan escasa”.
La biometría detrás de las cámaras
La biometría pasiva está impulsando cada vez más la identificación. Estos comportamientos incluyen los patrones específicos que utilizamos en nuestras computadoras portátiles o teléfonos: La rapidez con la que escribimos en cada inicio de sesión, si usamos la tecla mayúscula izquierda o derecha, cuán fuerte tocamos la pantalla, la forma en que deslizamos la pantalla, y hasta el ángulo en el que sostenemos el dispositivo. Todas estas son “pistas”, y aunque es posible que no nos comportemos de la misma manera cada vez, estos cientos de señales diferentes aún pueden ayudar a construir una imagen precisa de quiénes somos.
Estos comportamientos pasivos no son a prueba de balas, pero se pueden combinar con la capacidad de identificar que tiene el dispositivo (¿el dispositivo está en un lugar diferente y con una conexión que es nueva o sospechosamente encubierta?) y el historial de la cuenta (¿la velocidad de conexión es mucho más lenta de lo habitual? ¿por qué el usuario está usando repentinamente un navegador diferente para navegar por la web?). A partir de esto, surge un perfil de usuario único.
Esta combinación de contenido y contexto crea un proceso de verificación dinámico y en tiempo real que funciona perfectamente detrás de cámaras. Con el aprendizaje automático, NuData puede examinar ciertos puntos de referencia anónimos, antes y durante una transacción para determinar si se trata de un usuario real o un mal actor, marcando transacciones de alto riesgo para sus clientes.
La investigación de la industria continúa para añadir otras características que podrían ayudar a reforzar la autenticación, desde la forma en que una cámara de teléfono inteligente puede capturar el movimiento de tus ojos hasta cómo palpita el pulso en tu muñeca.
En el Centro Global de Inteligencia y Cibernética de NuData en Vancouver, British Colombia, los ingenieros establecieron un sensor de comunicación de campo cercano e hicieron que los empleados caminaran hacia él como si fuera un torniquete de metro, sacando sus teléfonos y fingiendo tocar la pantalla para entrar. Los sensores de movimiento dentro de los teléfonos inteligentes pueden compartir cómo se acercaron al sensor — la velocidad con la que caminaban, la rapidez con la que sacaron su teléfono, el ángulo en el que tocaron la pantalla — para determinar si esos rasgos se podían agregar a una firma.
“Se puede argumentar que dos personas pueden tener el mismo modo de caminar”, dice Marc Grimson, asesor principal de NuData, “pero esa información puede ser vinculada a otra información para así darle una mayor confianza de que son quienes dicen ser”.
Estos cientos de puntos de referencia por usuario se convierten en miles de millones de perfiles agregados y anónimos, dando a los clientes de NuData una clara imagen de lo que los buenos clientes harían y no harían. Por ejemplo, las cuentas creadas entre las 2 a.m. y las 4 a.m. tienen un 50% de probabilidad de ser fraudulentas.
“Es extremadamente difícil encontrar una aguja en un pajar”, afirma Williams. “Nuestro enfoque es identificar primero el comportamiento normal — el heno. Al verlo de esta manera, identificar las anomalías — las agujas — es mucho más fácil”.
