El doble reto de la biometría: conquistar al cliente y al regulador

Los niños aprenden a hablar antes que a escribir, y sus primeras caligrafías no incluyen mayúsculas, minúsculas, dígitos ni el nombre de su primera mascota. Frente a las cada vez más complicadas y numerosas contraseñas, el uso de la biometría, especialmente por voz, se alza como una alternativa de identificación digital rápida, fácil y segura. Su uso, popularizado gracias a los teléfonos y altavoces inteligentes, es cada vez más habitual en la banca, y hasta se está convirtiendo en un fenómeno en las redes sociales gracias a la popularización de la aplicación Clubhouse. Sin embargo, el uso de la biometría como herramienta de autentificación tiene todavía aristas que pulir, tanto en ciberseguridad como en experiencia de uso.

Para analizar la evolución del uso de estos métodos de autentificación, Cinco Días, en colaboración con Nuance Communications, organizó la mesa redonda ‘Como la biometría está revolucionando la ciberseguridad y la experiencia de cliente’. Los ponentes -Rubén Andrés, director de Tecnología de EVO banco; Carles Solé, CISO de Banco Santander España; Marco A. Piña, director de Nuance Communications para el sur de Europa; Pol Navarro, CEO de Innocells, y David Almendros, director de Inteligencia Artificial y Analítica Avanzada en Caixabank, que participó en el formato de videoconferencia- coincidieron en las enormes posibilidades a corto plazo de la biometría, hasta el punto de que defendieron que está ya cerca un mundo digital sin sus tradicionales contraseñas.

“La voz es el futuro, por la experiencia de cliente que proporciona y por lo que aporta en la lucha contra el fraude. Es lo más natural. Y ahorra costes operativos”, resumió Rubén Andrés, director de Tecnología de EVO banco. Pero su adopción de la huella sonora como principal método de autentificación digital todavía necesita madurar.

La hoja de ruta pasa por eliminar una primera barrera: las posibles reticencias del propio usuario. “Cuando le pedimos datos biométricos, le estamos pidiendo que haga algo, y en consecuencia tenemos que ofrecerles un incentivo”, explicó Solé; además, “en el caso concreto de la banca, hay siempre cierta reticencia a dar información”, reparos, señalaron los ponentes, que no sufren las llamadas big tech, a pesar de que ya compiten en algunos aspectos con el sector financiero. Marco A. Piña, de Nuance, coincidió en la necesidad de “educar al usuario: la gente en la calle no sabe lo que es un bot, ni la seguridad biométrica ni la Inteligencia Artificial. Solo piden una tecnología que les solucione un problema de forma rápida, fácil y segura, y así tiene que ser”.

Esa primera barrera del usuario es cada vez más permeable, gracias sobre todo a la popularización del uso de la voz en los altavoces inteligentes, y, sobre todo, con los smartphones. Con la aplicación de la inteligencia artificial, la experiencia de uso es cada vez más precisa, y el uso de la computación en la nube ha rebajado sensiblemente los costes. Pero, como afirmó Navarro, de Innocells, la plataforma de nuevos negocios de Banco Sabadell, “siempre hay clientes con reticencias, por lo que nuestra obligación es dar un periodo de aprendizaje y otras alternativas de autentificación”.

Ninguna solución es perfecta, recalcó Almendros, de Caixabank: “Nosotros apostamos por una plataforma de métodos de autentificación, y se decide en cada caso, en función de las características de la operación, cuál se utiliza. Podemos por ejemplo hacer preguntas, en función del contexto y de las características del cliente [biometría conductual]. A veces no pedimos ni el PIN ni ningún tipo de dato físico. Y logramos un porcentaje casi nulo de fraude”. Pero que la biometría pueda fallar en casos muy particulares -en la sonora, el ruido puede impedir el uso de la voz; en la facial, se han dado casos de fraude con hermanos gemelos- no implica, según dejaron claro los ponentes, que las contraseñas vayan a pervivir como alternativa. Empiezan a formar parte del pasado.

No hay seguridad total, ni ninguna solución es infalible. Las circunstancias marcan qué alternativa de identificación es la adecuada.

El reto de la ciberseguridad

Los puntos ciegos de la biometría, a veces algo anecdóticos, no son el principal problema de la popularización como método de autentificación. Preocupa mucho más la ciberseguridad, y se da la paradoja de que las mismas tecnologías que refuerzan la identificación, y muy especialmente la inteligencia artificial, son también utilizadas por los ciberdelincuentes para entrar por las rendijas del sistema. “Los malos también invierten”, explicó Marco A. Piña, “buscan la brecha de seguridad, la encuentran y la llevan a escala, en el menor tiempo posible. Es su negocio”. Ya llaman desde supuestos call centers inexistentes, y utilizan voces sintéticas, grabaciones, deep fakes… “Mi voz y mi imagen están en internet, y cualquiera las puede replicar”, advirtió Solé, de Santander. “Por eso también tenemos que contar con un elemento de intuición para evitar fraudes. Hay determinados aspectos que solo un humano puede detectar”, explicó el directivo.

Los sandbox ya en funcionamiento pueden mejorar el ajuste entre las capacidades tecnológicas de la biometría y los requisitos regulatorios

El afán por la seguridad de las operaciones, en ámbitos tan sensibles como las finanzas, marca gran parte de la regulación de la UE respecto a las operaciones digitales con los bancos. La PSD2 (Payments Service Directive, aprobada en 2015 aunque no entró en vigor plenamente en España hasta el 31 de diciembre de 2020) introdujo la doble autentificación en los pagos digitales, es decir, la necesidad de suministrar dos datos; de algo que se sabe, como un PIN, de algo que se tiene, como una tarjeta de coordenadas, o de algo inherente, como la voz o la huella dactilar. Los sistemas de pago son así más seguros, pero la contrapartida de una experiencia de usuario algo más engorrosa.

El reto es acompasar la seguridad con la usabilidad, y, según se expuso, no se está logrando plenamente. “A veces le complicamos demasiado la vida al cliente”, dijo Navarro; en opinión de Solé, “el objetivo fundamental de la PSD2 es muy bueno, pues busca la protección y la seguridad de los usuarios finales. El inconveniente viene cuando penaliza la operatividad diaria, impactando en la experiencia de usuario. En este caso, la biometría es un buen aliado para aunar seguridad y usabilidad”.

Equilibrio con la regulación

Para Marco A. Piña, “los equilibrios son complicados: tenemos soluciones tecnológicas muy maduras y consistentes que ya utilizan los Cuerpos de Seguridad del Estado, pero que sufren barreras en otros ámbitos”. Según el ejecutivo de la multinacional del software, hay un contraste entre la regulación de la Unión Europea y la del mundo anglosajón: “En Australia, por ejemplo, ya se pagan impuestos usando autentificaciones biométricas. En Europa pecamos a veces de una política poco ejecutiva”. Solé señaló por su parte como el Reglamento de Protección de Datos de la Unión Europea (GDPR por sus siglas en inglés) dificulta que las entidades financieras compartan información útil en la lucha contra el fraude.

Son escollos en una trayectoria al alza; la cuestión es el ritmo de adopción de unas soluciones más eficaces que las tradicionales contraseñas. Navarro apunto que la reciente puesta en marcha en España de un sandbox, o banco de pruebas para soluciones fintech, introduce flexibilidad en el sistema, pues permite ir desarrollando nuevas herramientas sin atarse, desde el minuto uno, a todos los requisitos regulatorios. “La tecnología siempre va un paso por delante de la normativa, y en un sandbox puedes ir convenciendo al regulador”, aseguró. En el caso de Innocells, están desarrollando en ese banco de pruebas soluciones biométricas para firmar operaciones y dar de alta a los clientes sin presencia física.

¿Es esta tarea evangelizadora, con usuarios y reguladores, una labor exclusiva de las entidades financieras? Para Marco A. Piña, el siguiente paso es establecer un marco que tenga también en cuenta el canal de las operaciones, es decir, las operadoras de telecomunicaciones. “La banca no puede ir en este terreno como un llanero solitario”, aseguró.

En esos nuevos marcos de colaboración habrá que seguir buscando ese equilibrio entre regulación y experiencia de uso, aceptando que el juego del gato y el ratón en ciberseguridad es ya consustancial a toda operación digital. “La seguridad cien por cien no existe”, recalcó el ejecutivo de Nuance, “y quien diga lo contrario miente”.