buguroo | Blog de Fraude Bancario Online - Page

Biometría del comportamiento para ayudar al cumplimiento normativo

Escrito por Ricardo Riveira Rubio | 11-dic-2020 13:01:05

La lealtad de los clientes de la banca se genera y se mantiene si las instituciones financieras son capaces de garantizar a los titulares de tarjetas dos cosas: el máximo nivel de seguridad para sus finanzas y una experiencia de clientes fluida y sin fricciones.

Desde siempre, el reto de los bancos ha sido reconciliar ambas cosas. Pero, por un lado, incrementar la seguridad puede provocar atascos en el viaje de los clientes legítimos provocando que muchos se frustren y cambien de banco.

Por otro lado, no prestar suficiente atención a la seguridad deja la puerta abierta a que los fraudsters se infiltren en el banco y efectúen sus operaciones desde dentro del sistema de la entidad sin ser detectados. 

Internet está repleto de rincones oscuros donde los ciberdelincuentes intercambian conocimientos, malware y datos de identidades robadas, incluidas las credenciales bancarias. Esto les permite saltar de un objetivo a otro y extraer beneficios con la misma facilidad y elegancia con la que una abeja recoge polen de flor en flor.

Para proteger de cualquier fraude los datos personales de los clientes y el dinero que tanto les ha costado ganar, se están implantando en todo el mundo nuevas normativas más estrictas, por lo que ese difícil equilibrio entre la seguridad y la experiencia del cliente se complica todavía más. 

La buena noticia para los bancos es que la tecnología del análisis biométrico del comportamiento se está extendiendo dentro de los sistemas antifraude para eliminar esa dificultad de la ecuación.

Veamos de qué tres maneras pueden las instituciones financieras aprovechar las identidades biónicas, o BionicID, para detener el fraude y seguir ofreciendo unas experiencias online sencillas y fluidas para los usuarios finales legítimos.

El RGPD y la biometría del comportamiento: aquello que no puede verse, no puede ser robado

En el mundo de la ciberdelincuencia, las filtraciones de datos y los ataques de suplantación de identidad van de la mano, ya que muchos utilizamos las mismas direcciones electrónicas e incluso contraseñas en distintos servicios.

Para imponer a las empresas de datos una mayor seguridad sobre el control de sus clientes actuales y futuros, el Reglamento General de Protección de Datos (RGPD) de la Unión Europea requiere que esas empresas demuestren que las personas interesadas (las personas cuyos datos almacenan) han dado su consentimiento expreso al tratamiento de sus datos, y puede incluso solicitar que dichos datos se borren.

Puesto que los bancos manejan información personal altamente confidencial, parece razonable que la gente les exija los mayores niveles de protección de datos.

El análisis biométrico del comportamiento cumple con el RGPD, puesto que desconfía por defecto de los datos personales y los trata como si fueran invisibles.


Dado que la información personal puede robarse fácilmente, las personas pueden ser suplantadas y los fraudsters pueden incluso secuestrar una sesión de banca online mientras está teniendo lugar (ataque de manipulación de cuenta), esos identificadores resultan ineficaces para una prevención constante del fraude.

En su lugar, lo que hace la tecnología de buguroo es estudiar continuamente el “ciber-ADN” de los usuarios, es decir, su BionicID, que se basa en los patrones biométricos únicos de su comportamiento: cómo se deslizan por la pantalla, la velocidad a la que teclean e incluso el ángulo con el que sostienen su dispositivo.

Las complejas BionicID que buguroo crea de los usuarios no pueden ser reproducidas, imitadas ni robadas a sus dueños.


Además, buguroo lleva a cabo comprobaciones no detectables durante la sesión online del cliente sin guardar datos confidenciales ni privados del usuario y, al mismo tiempo, ofrece a los bancos la garantía de que esos usuarios son quienes dicen ser.

PSD2: un método inteligente de autenticación del cliente

La revisión de la Directiva sobre Servicios de Pago (PSD2) de la Unión Europea pretende mejorar la seguridad y la protección de los clientes. Uno de los métodos para conseguirlo es mediante las reglas de autenticación reforzada de clientes ("Strong Customer Authentication", SCA), cuyo plazo máximo de implementación es inminente para las organizaciones, puesto que es este próximo 31 de diciembre de 2020.

SCA

De acuerdo con el requisito de autenticación multifactor de la SCA, los usuarios deben aportar, como mínimo, dos factores independientes de autenticación de entre tres categorías: la posesión (algo que el usuario posee, como su dispositivo), conocimiento (algo que el usuario sabe, como una contraseña o PIN) y la inherencia (algo que el usuario es, que es lo que muestra la biometría del comportamiento).

Aunque la SCA ha sido un avance bien recibido en el sector de la protección del cliente, colocar distintos obstáculos que los titulares de las tarjetas tienen que ir saltando puede añadir demasiada fricción al proceso. Y, aun así, la autenticación de dos factores sigue dejando espacio libre por el que pueden atacar los "fraudsters".

Para que esas medidas fueran verdaderamente sólidas, debería mantenerse la seguridad durante toda la sesión en la banca online. Las comprobaciones de tipo estático, como las de inicio de sesión o las de confirmación de una transacción, solo indican a los bancos que un cliente aparentemente legítimo ha accedido a sus sistemas y ha aprobado un pago, no que es el cliente real quien controla la sesión.

La tecnología de análisis biométrico del comportamiento de buguroo, junto con el llamado "deep learning", ayuda a los bancos a cumplir con la PSD2 y la SCA mediante una autenticación continua de los usuarios y ofreciendo una protección ininterrumpida, pero pasiva, ante el fraude.


Puesto que en todo momento trabaja en la sombra, es capaz de reducir la cantidad de solicitudes de autenticación que tienen que completarse, con lo que mejora la experiencia de los clientes reales.
 

Malware

Además, la PSD2 requiere que el malware se detecte en el punto de conexión del usuario.

Los bancos no pueden decirles a los clientes que se instalen un software antivirus en sus dispositivos, pero no resulta fácil encontrar una solución sin agentes que tenga la capacidad de detectar malware desconocido.

El sistema bugFraud puede identificar dispositivos y sesiones online infectadas con malware –tanto conocido como desconocido–, ya sean modificaciones de código o inyecciones ejecutadas durante una sesión de usuario, o bien una aplicación maliciosa o un software que los ciberdelincuentes hayan instalado en el dispositivo de un usuario sin que este se dé cuenta. 

Conservar la confianza y la seguridad de los clientes

Además de cumplir con las normativas y de conservar la confianza y la seguridad de los clientes, manteniéndoles a salvo a ellos y a su dinero, existen iniciativas como el modelo de reembolso propuesto en el Reino Unido, el Contingent Reimbursement Model, que implican que cada vez sea más habitual que los bancos tengan que responsabilizarse de las pérdidas causadas por el fraude.

De hecho, esta tendencia significa que si los bancos no admiten su responsabilidad en el fraude –tanto si técnicamente son culpables como si no–, la confianza de los clientes se va a debilitar igualmente. Aunque los bancos deseen ofrecer una experiencia sin fricciones, la seguridad también tiene que ser su prioridad.

La biometría del comportamiento ayuda a los bancos en ambos casos: a autenticar a los usuarios de la forma más rápida y discreta posible y, aun así, a mantener a los clientes seguros ante ataques fraudulentos sin añadirles obstáculos.