En el ámbito de la ciberseguridad, uno de los grandes retos es el que plantea todo lo relacionado con la identidad del usuario: garantizar que alguien es quien dice ser. La biometría y las técnicas de visión artificial —junto con las tecnologías de inteligencia artificial— han permitido desarrollar estos procesos para ganar en confiabilidad, agilidad y usabilidad. De hecho, ya son de uso común en determinados sectores.
Desde un simple vistazo al DNI para comparar las credenciales hasta las últimas tecnologías biométricas y de inteligencia artificial, el proceso de identificación de usuarios ha evolucionado mucho. Y muy rápido, pues ha experimentado un fuerte empujón desde el inicio de la pandemia, fruto de la necesidad de desarrollar estos procesos en un formato puramente digital y a distancia.
De todo ello hemos hablado con Mariona Campmany, Digital Identity Lead en Mitek Systems, una firma que lleva ya años trabajando en estas tecnologías, pero que ha visto crecer la demanda de forma espectacular durante los últimos meses. “Se ha vivido un salto muy abrupto al entorno digital en sectores como la banca, el retail o la Administración Pública, lo que ha generado la necesidad de contar con mecanismos que eviten el fraude y aumenten el grado de confiabilidad”.
La gran pregunta es si este tipo de tecnologías acabarán con las típicas contraseñas. Según Campmany, eso sería lo deseable. Ya hace tiempo que la contraseña, incluso con el doble factor de autentificación, dejó de ser la mejor opción.
“La vulnerabilidad de la contraseña es real y, además, su uso no es sencillo para el usuario: crea fricciones. Es momento de apostar fuerte por otros sistemas más seguros basados en escaneos biométricos, faciales o de voz, o por la identificación online con el DNI”.
Eso sí, es muy importante contar siempre con el usuario y acomodar lo que se requiere de él al proceso que está desarrollando. Si se va a dar de alta en una aplicación bancaria, el usuario ya es consciente de que debe dedicarle tiempo y está dispuesto a pasar por varios procesos de seguridad. “Además, que haya que dar todos estos pasos le genera más confianza. Lo sospechoso sería que pudieras darte de alta sin que haya una identificación fehaciente”.
La vulnerabilidad de la contraseña es real y, además, su uso no es sencillo para el usuario: crea fricciones
En cambio, cuando se trata de algo más simple —una transacción o el acceso a una app—, el usuario ya no está dispuesto a soportar la fricción. En ese caso “requiere un proceso más sencillo en el que no tenga que dedicar tanto tiempo a identificarse”.
Precisamente, la biometría permite identificar de manera fidedigna para prevenir el fraude y cumplir la normativa. Además, hay que sumar la verificación del documento de identidad a través de inteligencia artificial para confirmar que este no esté clasificado, que el usuario que se muestra no es algo creado virtualmente o una persona con una máscara, etc. “Una vez que ya estás dado de alta, a la hora de autentificarte para cualquier otra operación, el proceso es mucho más rápido, sin prácticamente fricción con el usuario, lo que mejora mucho su experiencia”.
Aumento de la demanda
Según Gartner, para el 2022 el reconocimiento facial se utilizará en el 80% de las organizaciones en procesos relacionados con la verificación de la identidad. Otro estudio revela que el 65% de las entidades consideran que estas tecnologías son las preferidas por sus clientes, y el 70% lo considera el método más seguro.
Esto es ya un hecho: las empresas han tenido que adaptarse a un escenario mucho más digital y la tecnología biométrica les está ayudando a conseguir mejores niveles de conversión y a generar confianza en el usuario.
“Recientemente, uno de los principales bancos de España me comentaba que ya está aplicando biometría en todos sus procesos relacionados con el usuario. Están eliminando lo relativo a los tokens o las contraseñas y se está sustituyendo por biometría, y están viendo que los usuarios no abandonan el proceso”.
El ámbito donde más se están implantando estas tecnologías es el financiero. La banca online y los servicios digitales están liderando este cambio digital, ya que el confinamiento y las restricciones de movilidad han llevado al usuario a probar este canal como alternativa a la hora de abrir una cuenta bancaria, pedir un crédito… Poder hacerlo desde casa, sin necesidad de ir a una oficina, es un valor diferencial.
En cualquier caso, según nos cuenta la directiva de Mitek, esto va a llegar también a otros sectores, como el de la Administración Pública, las telco (en la compra de un terminal) o el de hospitality, para el proceso de registro en la recepción. “Es un caso muy claro de uso. Esta tecnología permitiría hacer el check-in en el hotel (obligatorio por ley) desde casa, simplemente con una foto del documento de identidad y rellenando los datos que se solicitan. En respuesta, el cliente recibiría un código QR en su móvil para entrar en la habitación sin tener que pasar por recepción”.
Transparente para el usuario
Hace unos años, para este tipo de procesos se requería un escáner que permitía capturar todos los datos necesarios del documento de identidad. Ahora se combina ese uso con las capacidades de teléfono móvil, lo que reduce el tiempo necesario a menos de dos segundos y permite hacerlo de forma totalmente automatizada. “El documento se captura sin que el usuario tenga que tomar ninguna foto: hay que tener en cuenta que no tiene por qué ser experto en tomar fotografías. Es muy importante guiarle durante el proceso de captura de identidad y hacer que sea algo sencillo. Aquí la tecnología es clave desde el minuto cero”.
Las empresas que trabajamos con estas tecnologías tenemos el deber de crear una inteligencia artificial ética
Un proceso similar se sigue cuando se trata de identificar los rasgos faciales. Se denomina biometría pasiva ya que no es necesario pedir al usuario determinados enfoques o posturas: “con un frame, y gracias a la inteligencia artificial, podemos asegurar que esta persona está viva o que no es un fake”.
Estas tecnologías permiten asegurar la identidad y prevenir el fraude de forma rápida y sin errores, ya que es posible la suma de evidencias combinando la biometría facial y la de voz. “Al unir estas dos tecnologías biométricas, el nivel de eficiencia contra el fraude se multiplica por cien”.
Además, al tiempo que se están capturando las imágenes se extrae también la información del documento de identidad; se evita así que el usuario tenga que introducirla a mano: más rápido, más sencillo y sin errores. Esto se traduce en un nivel de eficiencia que no es comparable con el uso de otros métodos.
“Hablamos de pasar de un proceso que puede durar minutos a otro que se realiza en segundos, y eso es gracias a la tecnología: se extraen automáticamente los datos, se captura el rostro o la voz del usuario, y en cuestión de segundos se verifica que esa persona es quien dice ser. Todo ello de la mano de una adecuada experiencia de usuario”.
Sesgo demográfico
Uno de los peligros asociados al uso de este tipo de tecnologías es el sesgo demográfico que se puede dar, asociado al reconocimiento facial basado en inteligencia artificial. En el caso de Mitek, la tecnología de identificación es propia. De hecho, recientemente han adquirido la firma ID R&D, que cuenta con una cartera de tecnologías de autenticación biométrica impulsadas por IA (que incluyen biometría conductual, facial y de voz).
En cualquier caso, es muy importante evitar todo lo relativo al sesgo biométrico, es decir, asegurarse de que no existan discriminaciones por etnia, sexo, etc. De hecho, hay empresas investigadas por crear algoritmos que supuestamente priorizaban a personas blancas sobre negras, o que discriminaban a las mujeres a la hora de conceder determinados servicios financieros.
“Hasta hace poco, las discusiones sobre la ética de los datos y de la inteligencia artificial estaban reservadas a organizaciones sin ánimo de lucro, pero ahora ya es una cuestión que nos afecta a todos, porque estas tecnologías se están implantando de forma masiva”.
Para corregir todo esto, la regulación va a ser fundamental. “Necesitamos un marco ético que permita desarrollos tecnológicos transparentes, que no vulnere los derechos humanos. No culpemos a la inteligencia artificial de estos comportamientos, porque no es ella la que introduce el sesgo: somos los humanos los que utilizamos la inteligencia artificial con fines que pueden no ser los adecuados”.
La unión de empresas tecnológicas para la creación de un código ético sobre la IA podría ser una buena iniciativa.
Sin embargo, la experiencia demuestra que si hay un marco regulatorio detrás, el cumplimiento es mayor. En cualquier caso, como afirma Campmany, las empresas que trabajan con estas tecnologías tienen “el deber de hacer una inteligencia artificial ética”.
El marco ideal, según comenta la directiva de Mitek, sería un triángulo de fuerzas entre la regulación, la tecnología y las empresas que implantan estas tecnologías. Un triángulo que requiere un equilibrio de fuerzas: la regulación no debería ser un stopper para la tecnología, ha de evitar ser demasiado intrusiva o abarcar más de lo necesario. Por su parte, las empresas deberían ser capaces de implementar tecnologías que les ayuden a prevenir el fraude, pero sin que eso se convierta en un problema para generar negocio. “La tecnología va por delante, hay que poner la vista en el futuro; la regulación aporta un poco de sentido común; y las empresas tienen que ser capaces de implementar las dos cosas en torno a un modelo de negocio”.
El factor confianza
En estos procesos, la confianza es fundamental, tanto por parte de las entidades hacia el usuario como desde este hacia las empresas que lo están identificando. La gran pregunta es cómo se garantiza la confidencialidad de la información, el almacenamiento de los datos biométricos de los usuarios… Aquí es donde entra en juego la regulación. Esta tecnología permite compartir los datos con entidades financieras sin riesgo de que se filtren. De hecho, las instituciones financieras son las que menos riesgo tienen de que nuestros datos se filtren.
La regulación ha hecho que las entidades financieras sean muy seguras y confiables. Están muy blindadas
“La regulación ha hecho que las entidades financieras sean muy seguras y confiables. Están muy blindadas. Hay un riesgo mucho más elevado en otras empresas menos reguladas, o en sitios web en los que vas dando tus datos sin darte cuenta”.
De hecho, el Reglamento General de Protección de Datos ya tiene en cuenta que el usuario tiene que saber con qué finalidad se van a usar sus datos biométricos; y también tiene que haber un consentimiento claro. “En Mitek no almacenamos los datos biométricos. Somos la herramienta para verificar la identidad. Ayudamos al usuario a capturar los datos, los verificamos y los enviamos a la entidad financiera, que, por ley, tiene que guardarlos durante diez años. Además, la información está encriptada, pasamos ISO de calidad y auditorías muy fuertes para asegurar que cumplimos con todas las normativas de seguridad”.
Una mirada al futuro
Hoy día, los datos de los usuarios están repartidos por múltiples sitios. Con la identidad digital, y las iniciativas que está habiendo en Europa en cuanto al wallet de identidad, la tendencia es que el usuario debe ser el propietario de toda su identidad. No solo hablamos del DNI, sino también de los datos biométricos, las nóminas, cuentas bancarias, etcétera. Además, debe ser el usuario quien decida en qué momento se pueden compartir estos datos y cómo.
“Se podrá elegir qué datos compartir y con quién…, e incluso también el proveedor que verifique tu identidad. Hay muchas formas de hacerlo, pero lo que está claro es que los datos siempre tienen que pertenecer al usuario y que la biometría tendrá un papel fundamental para identificarle”.
Y cuando hablamos de biometría no solo lo hacemos del escáner de una huella dactilar o del reconocimiento facial o de voz. En este contexto se trabaja ya en fomentar la suma de evidencias, lo que incluye la denominada biometría del comportamiento, es decir, cómo el usuario interactúa cuando entra en la aplicación bancaria, qué pantallas consulta primero, el estudio del ritmo al que se teclea…