El acceso biométrico en aplicaciones

En términos generales, un código de usuario y una contraseña son las credenciales habituales para que un usuario pueda autenticarse para acceder al servicio contratado, cuando los dispositivos no integran la posibilidad de identificación por biometría, ya sea por rostro o por huella.

La biometría se presenta como otra opción más segura para proteger los dispositivos y el acceso a la información privada. Se considera más segura porque es más difícil robar o “suplantar” un rasgo biométrico que robar o deducir una contraseña a través de métodos como ataques de fuerza bruta, ingeniería social, phishing, etc.

La complicación en el robo de una credencial biométrica radica en la complejidad de llevar a cabo los siguientes pasos:

  1. En primer lugar, tener acceso a ella. Puede parecer el paso más fácil, ya que cada día tocamos multitud de objetos donde dejamos nuestra huella dactilar.
  2. Después habría que “coger” la huella, es decir, traspasarla del medio dónde ha sido capturada a algún otro formato que facilite el siguiente paso. Podría decirse que el resultado de este paso es disponer de la huella en negativo, por lo que el proceso no acaba aquí.
  3. Por último, se debería pasar la huella a positivo y replicarla en algún soporte para poder ser utilizada.
    Realmente, el proceso es mucho más complicado que el robo de credenciales, pero aquí no acaban las complicaciones. Para que la persona que ha replicado nuestra huella dactilar pueda tener acceso a los servicios o dispositivos que protegemos mediante este medio, deberá disponer del dispositivo en sí.

Por ejemplo, utilizamos un sistema de pago mediante huella dactilar a través de nuestro dispositivo móvil, por ejemplo, el smartphone. ¿Es un sistema 100% seguro? Para que se vea comprometido deberán capturarnos la huella y además robarnos el dispositivo, por lo que no es completamente seguro, pero sí es más difícil y tedioso que consigan hacerlo.

Consideraciones de EBA en el acceso biométrico

El 31 de enero de 2023, la EBA (Autoridad Bancaria Europea), en su sección de preguntas y respuestas, habla sobre cuestiones relativas al uso de biometría en dispositivos móviles, y aclara cómo debe añadirse la información de la tarjeta de pago a un monedero digital en un dispositivo móvil conforme a la PSD2.

Pese a que dichas aclaraciones están vinculadas al uso del monedero digital, es importante destacar que dicha vinculación pasa por la autenticación propia de la entidad bancaria, la cual, también se produce cuando operamos con la banca online.

Se indica que el uso de una tarjeta de pago digital para realizar pagos requiere medidas de seguridad adicionales de la SCA (Strong Customer Authentication o Autenticación Reforzada del Cliente) a menos que haya razones específicas por las que sea innecesario. Además, el hecho de desbloquear un teléfono inteligente mediante datos biométricos (como una huella dactilar o la cara), no puede considerarse una buena forma de verificar la identidad para añadir una tarjeta de pago a un monedero digital si el emisor de la tarjeta de pago no controla el mecanismo de bloqueo de la pantalla del teléfono

Es decir, la EBA afirma que los métodos de autenticación móvil solo son seguros si el emisor (en este caso, la entidad bancaria) puede controlarlos o asegurarse de que el usuario es legítimo y no ha sido suplantado.

Usar la biometría presente en los dispositivos móviles, como la huella dactilar o el reconocimiento facial, para desbloquear el dispositivo consiste en sustituir la contraseña de acceso al dispositivo, pero no permite verificar la identidad de la persona usuaria. Es decir, la huella que introduces en vez de la contraseña podría ser perfectamente la de tu hermano o un amigo que está utilizando tu móvil, por tanto, no se puede asegurar la identidad del usuario.

La EBA recomienda que, para que una solución biométrica sea utilizada como elemento de Autenticación Reforzada del Cliente (SCA), dicha solución sea controlada por el emisor de la tarjeta y esté asociada a la identidad oficial del cliente. De este modo sería el banco emisor de la tarjeta, mediante el uso de servicios de verificación de identidad remota, el que podría revisar la identidad del cliente en el momento de asociar una tarjeta al móvil.