Tendencias
Bancos y retailers utilizan herramientas biométricas que monitorean el modo en que cada persona escribe en sus dispositivos; buscan evitar fraudes pero surgen voces que temen una nueva forma de invadir la privacidad.
La forma de presionar, desplazarse y escribir en la pantalla del teléfono o en el teclado puede ser tan exclusiva como las huellas dactilares o los rasgos faciales. Para luchar contra el fraude, un número creciente de bancos y comerciantes realiza un seguimiento de los movimientos físicos de los visitantes a medida que utilizan sitios web y apps.
Algunos emplean la tecnología solo para eliminar ataques automáticos y transacciones sospechosas, pero otros van mucho más allá, acumulando decenas de millones de perfiles que pueden identificar a los clientes por la forma en que tocan la pantalla y deslizan sus dedos en los dispositivos.
La recopilación de datos es invisible para los observados. Usando sensores en su teléfono o códigos en sitios web, las empresas pueden recopilar miles de puntos de datos, conocidos como «biometría de comportamiento», para ayudar a probar si un usuario digital es en realidad la persona que dice ser.
Para los funcionarios de seguridad, la tecnología es una salvaguardia poderosa. Hackers han obtenido miles de millones de contraseñas y otra información personal confidencial, que puede usarse para robar de las cuentas bancarias y de compras de los clientes y abrir fraudulentamente otras nuevas.
El software que utiliza el Royal Bank of Scotland es capaz de registrar más de 2.000 gestos interactivos diferentes
«La identidad es la moneda digital definitiva y está siendo convertida en un arma a escala industrial», afirmó Alisdair Faulkner, uno de los fundadores de ThreatMetrix, que fabrica software de detección de fraude para grandes comerciantes y compañías financieras. Muchos de sus clientes están usando o probando herramientas biométricas de comportamiento, dijo.
Los defensores de la privacidad ven estas herramientas con preocupación, en parte porque pocas compañías divulgan a los usuarios cuándo y cómo se rastrean sus golpes y toques.
«Lo que hemos visto en general con la tecnología es que cuantos más datos recopilan las empresas, más intentan encontrar usos para esos datos», observó Jennifer Lynch, abogada principal de Electronic Frontier Foundation. «Es un salto muy pequeño desde el uso de esto para detectar el fraude hasta usarlo para obtener información muy privada sobre usted».
«Es un salto muy pequeño desde el uso de esto para detectar el fraude hasta usarlo para obtener información muy privada sobre usted», advirtió Jennifer Lynch, abogada principal de Electronic Frontier Foundation.
El Royal Bank of Scotland (RBS), uno de los pocos bancos que habla públicamente sobre su colección de datos de comportamiento biométricos, comenzó a probar la tecnología hace dos años en cuentas privadas para clientes adinerados. Ahora está expandiendo el sistema a sus 18,7 millones de cuentas comerciales y minoristas, según Kevin Hanley, director de innovación del banco.
Cuando los clientes inician sesión, el software de RBS comienza a registrar más de 2.000 gestos interactivos diferentes. En los teléfonos, mide el ángulo con el que las personas sostienen sus dispositivos, los dedos que usan para deslizar y tocar, la presión que aplican y la velocidad con que se desplazan. En una computadora, registra el ritmo de tipeo y la forma en que mueven el mouse.
RBS está utilizando un programa de la empresa neoyorquina BioCatch. Construye un perfil a partir de los gestos de cada persona, que luego se compara con los movimientos del cliente cada vez que regresa. El sistema puede detectar impostores con una precisión del 99%, asegura BioCatch.
La herramienta desarrollada por BioCatch puede detectar impostores con una precisión del 99%, asegura la empresa.
Hace unos meses, el software detectó señales inusuales provenientes de la cuenta de un cliente adinerado. Después de iniciar sesión, el visitante usó la rueda del mouse, algo que el cliente nunca había hecho antes. Luego, el usuario escribió la tira numérica con la parte superior de un teclado, no con el teclado numérico lateral que el cliente usó habitualmente.
La alarma sonó. El sistema de RBS bloqueó el dinero que salía de la cuenta del cliente. Una investigación más tarde descubrió que la cuenta había sido pirateada, indicó Hanley.
El caso fue inusualmente flagrante. El comportamiento no es constante; las personas actúan de modo diferente cuando están cansadas, heridas, ebrias, distraídas o apuradas.
6.000: de operaciones bajo la lupa
BioCatch tiene perfiles de unos 70 millones de personas y monitorea 6.000 millones de transacciones al mes, según Frances Zelazny, ejecutiva de estrategia de la compañía. American Express, un inversor en BioCatch, recientemente comenzó a usar su tecnología en nuevas aplicaciones de cuenta. Algunos de los rivales de BioCatch tienen incluso redes más grandes. Forter, una startup de Nueva York que vende software de detección de fraude en línea que incorpora biometría de comportamiento a grandes minoristas, dijo que su base de datos tiene registros de 175 millones de personas de más de 180 países. Otro competidor, NuData, fue adquirido el año pasado por Mastercard.
BioCatch de vez en cuando intenta provocar una reacción. Puede acelerar la rueda de selección que se utiliza para ingresar datos como fechas y horas en su teléfono, o hacer que el cursor del mouse desaparezca por una fracción de segundo.
«Todo el mundo reacciona de manera diferente a eso», sostuvo Frances Zelazny, directora de estrategia y marketing de BioCatch.
Como la respuesta de cada persona es única, es difícil fingir por un usuario fraudulento. Y como los clientes nunca saben que la tecnología de monitoreo está presente, no impone los obstáculos que suelen acompañar a las pruebas de seguridad. No necesita presionar el pulgar en el lector de huellas dactilares del teléfono ni escribir un código de autenticación.
«No tenemos que sentar a la gente en una habitación y hacer que tipeen en perfectas condiciones de laboratorio», señaló Neil Costigan, director ejecutivo de BehavioSec, una empresa de California, que fabrica software utilizado por bancos nórdicos. «Solo los miras, silenciosamente, mientras llevan a cabo sus actividades normales de cuenta», explicó.
Las empresas lo llaman una experiencia «sin fricciones». Los perros guardianes de la privacidad lo llaman peligroso.
Un vacío legal ante la nueva práctica
Los sistemas biométricos a veces pueden detectar condiciones médicas. Si un cliente con una mano estable desarrolla un temblor, su empresa de seguros de automóviles podría preocuparse. Eso es potencialmente un problema si el banco del cliente, que detectó el temblor a través de su software de seguridad, también es su asegurador. «Es el tipo de datos que generalmente tiene algún tipo de protección para el consumidor, pero aquí no hay ninguno», alertó Pam Dixon, directora ejecutiva del World Privacy Forum. En la mayoría de los países, no existen leyes que rijan la recopilación y el uso de datos de comportamiento biométricos. Incluso las nuevas reglas de privacidad de Europa tienen excepciones para la seguridad y la prevención del fraude. Una nueva ley de privacidad digital en California incluye biometría de comportamiento en la lista de tecnologías que las compañías deben divulgar si recopilan, pero no regirá hasta 2020.
, situado en el área de extensiones del navegador (en la esquina superior derecha de la pantalla). Es posible que veas un pequeño número cubriendo parte del icono.
, situado en el área de extensiones del navegador (en la esquina superior derecha de la pantalla). Es posible que veas un pequeño número cubriendo parte del icono.
de modo que se deslice hacia la izquierda.
, situado en el área de extensiones del navegador (en la esquina superior derecha de la pantalla). Es posible que veas un pequeño número cubriendo parte del icono.
. Se pondrá en gris, lo que indica que ya no se bloquearán los anuncios de ese sitio web.
.