Es posible modificar una contraseña pero no cambiar quién eres

Fecha:

Recientemente, una compañía de seguridad en Reino Unido sufrió un robo de datos masivo, que incluye la información biométrica de más de un millón de personas.

Es decir, las huellas digitales, la información para reconocimiento facial, nombres y contraseñas de acceso de todos estos individuos quedaron expuestos públicamente.

Si bien este tipo de ataques o pérdidas de información suceden con más frecuencia de la que uno cree por la migración a la nube, fallas en la configuración o errores humanos, este incidente es distinto porque, además de la información personal, se divulgaron factores biométricos.

Para poder tomar dimensión del incidente, se habla de 27,8 millones de registros diferentes que constituyen al menos 23 gigabytes de información. Ahora bien, ¿qué significa esto cuando hablamos de factores que no podemos modificar, como nuestra propia voz?

Cuando se trata de contraseñas y/o códigos creados por los usuarios, la protección tras el ataque es relativamente sencilla: basta con modificar las claves de acceso de la plataforma o portal afectado para estar a salvo. Sin embargo, esto no sucede con los datos biométricos. Por esta razón, tanto la empresa como los usuarios deben tomar recaudos al respecto.

Implicancias del robo de información biométrica para los usuarios
Si bien resulta incómodo que un desconocido posea información biométrica de otra persona, el usuario puede quedarse tranquilo porque, generalmente, esta información necesita ser validada con la persona en el momento: una selfie, el escaneo de la huella dactilar, el reconocimiento de voz. La información biométrica de forma aislada no siempre tiene un uso práctico.

Por otro lado, esta información también se compara con el comportamiento habitual de la persona. Es decir, aunque se tengan los datos biométricos, si la información no coincide con los hábitos naturales de la persona, no podrá realizarse una transacción como, por ejemplo, si alguien intenta utilizar una grabación de voz desde un dispositivo que no es el habitual o desde una locación que el usuario no frecuenta. Uno puede cambiar sus contraseñas, pero no lo que es: por eso, esta información es segura.

Medidas que deben tomar las empresas para proteger los datos biométricos de sus usuarios

  • Incorporar soluciones de ciberseguridad al negocio que permitan tomar medidas preventivas en vez de reaccionar ante un ataque.
  • Desarrollar soluciones que integran medidas de ciberseguridad desde la concepción de las mismas, con un balance adecuado UI/UX.
  • Utilizar metodologías de hacking ético que permitan identificar fallas y factores de permeabilidad para que la misma empresa pueda solucionarlos antes de que los encuentren personas mal intencionadas
  • Implementar soluciones de análisis de fraude y de comportamiento que incluyan parámetros personalizables para identificar comportamientos anómalos y prevenir fraudes antes de que ocurran.
  • Adoptar soluciones con segundo o tercer factor de autenticación para robustecer los accesos y reducir el riesgo de hackeos.

Alrededor del mundo, cada vez son más los países que implementan tecnología biométrica para verificar que un individuo es quien dice ser, para descubrir la identidad de personas desconocidas o comparar personas contra una lista, por ejemplo. Desde 2018, en Argentina, se emplea para digitalizar la licencia de conducir y permitir que las personas puedan realizar todo tipo de trámites gubernamentales de forma remota. La biometría se está convirtiendo en una alternativa accesible, conveniente y confiable, por lo que no debería sorprendernos su aplicación en todos los niveles del ecosistema social: para un documento de identidad nacional, orden público, control de accesos físicos o control de fronteras, por ejemplo. El potencial y sus múltiples posibilidades de implementación son enormes, por lo que ha llegado el momento de que empresas e instituciones comiencen a considerarlas a fin de resguardar la identidad digital de sus clientes.

Por Sebastián Stranieri, CEO de VU

Acerca de VU – http://www.vusecurity.com/
VU es una compañía multinacional enfocada en prevención de fraude y protección de la identidad. Provee soluciones de autenticación robusta de la identidad de los ciudadanos mediante la combinación de los controles tradicionales de ciberseguridad con geolocalización, machine learning, reconocimiento de documentos de identidad y el análisis del comportamiento del usuario, lo que da como resultado soluciones modulares de prevención del fraude, que incluyen reconocimiento de voz, reconocimiento facial y otras opciones de autenticación. Más de 90 clientes en 18 países de América Latina, Estados Unidos y Europa incluyendo gobiernos, bancos y empresas de retail, integran la tecnología de VU en sus plataformas existentes para proteger la información confidencial. Entre los clientes se encuentran Banco Santander (Fortune 500), el Banco de la República de Uruguay (NYSE), Prisma, Falabella (Forbes 2000) y Globant (NYSE). Es la única compañía de la región alineada con las buenas prácticas de autenticación internacional como parte del Tech Accord, Endeavor, la Alianza FIDO, Open Authentication Alliance (OATH) y Open Connectivity Foundation (OCF).




Popular

relacionadas
Notas

Diego Farelo, fotógrafo de Nicky Jam y Bad Bunny

“Hacer fotos con un teléfono no nos convierte automáticamente...

Establecer la propiedad sobre la protección de datos de SaaS

La protección de datos y los asuntos relacionados con...

Las predicciones de Veeam para este 2022

Los empleados de una organización se convertirán en un...

Invierta en su recuperación antes de que ocurra el desastre

En la economía digital, la continuidad de las empresas...