Adiós a las contraseñas | IT Masters Mag

Adiós a las contraseñas

Publicado el 05 Abr 2017

Foto: Shutterstock

Cuatro de las tecnologías que buscan posicionarse y crecer en el entorno bancario mexicano son la validación biométrica, los servicios de tokenización de tarjetas, emisión de tarjetas “virtuales” desechables y, blockchain, una de las tecnologías con más bombo en la banca a nivel mundial.

En materia de seguridad, la correcta identificación de las partes implicadas durante cualquier proceso que involucre información sensible es uno de los más grandes desafíos que se han encarado. Un gran paso que la industria está tomando es hacer uso de la biometría para la identificación de sus usuarios. La tecnología de validación biométrica utiliza diversas características únicas de un individuo (huella dactilar, huella de voz, iris y rasgos faciales, entre otras) lo que nos permite identificarlo frente a una organización o servicio por “quien es” y no por “lo que sabe”.

Unisys Security Insights 2015 reveló que 82% de los encuestados en México está de acuerdo en utilizar alguna tecnología de validación biométrica para proteger sus datos sensibles, por lo que no es raro que instituciones como Banorte e Inbursa hayan comenzado a utilizar las “selfies” como modo de autenticación para sus aplicaciones de banca móvil.

Además, de acuerdo con un reporte de Tractica, el mercado de la biometría ha llegado a un punto de inflexión al coincidir la necesidad de las instituciones de identificar de manera segura a sus usuarios, con el rechazo general de los métodos usuales de autenticación, como el uso de PIN o contraseñas, por parte de los usuarios. Las proyecciones indican un crecimiento de más de 22% para el mercado de herramientas de validación biométrica, por lo que será cada vez más frecuente encontrar esta tecnología en servicios de la banca, salud o gobierno.

Nunca más un número de tarjeta

La tokenización es un proceso en el que el número de una tarjeta es sustituido por un equivalente electrónico que sólo permite realizar transacciones dentro de un ecosistema de pagos cerrado.

Víctor Macías, Chief Security Officer en Billpocket.
Víctor Macías, Chief Security Officer en Billpocket.

Los tokens apuntan a proveer seguridad al eliminar la necesidad de transmitir información sensible cada que se realiza una operación financiera, con la consecuente reducción del riesgo de robo de información en tránsito por parte de entidades o personas maliciosas.

Además, la seguridad que ofrecen se puede complementar restringiendo su uso a un ecosistema cerrado, e incluyendo validaciones adicionales al momento de generarlos, tales como la identificación de la entidad que solicita el token o el método utilizado para obtener la información original.

Todos nos podemos ver beneficiados con la adopción de sistemas de tokenización:

  1. Los tarjetahabientes obtienen nuevas y más seguras formas de realizar pagos. En caso de una fuga de información los números de tarjeta no se comprometen.
  2. Bancos y comercios reducirán el riesgo de ataques online ya que los tokens son blancos menos codiciados, pues no son útiles fuera del sistema que los creó. Esto también genera a los clientes una mayor percepción de seguridad y empuja la adopción y demanda de esquemas similares.
  3. Si se estandariza, las redes de procesamiento de pagos pueden tener interoperabilidad y reducir los requerimientos de seguridad y protección de datos.

En México existen ya diversos servicios que ofrecen tokenización de tarjetas. Adicionalmente, instituciones internacionales como Gemalto, Mastercard y Visa han lanzado servicios de tokenización para que diversas entidades puedan hacer uso de esta tecnología, lo que alimenta el proceso de estandarización de los sistemas de tokens.

Adiós a la billetera

Una tecnología similar a la tokenización es la emisión de tarjetas virtuales o tarjetas generadas on-demand, que pueden utilizarse en sustitución de la tarjeta original.

Las ventajas que ofrece sobre el uso de tokens es la personalización que se puede tener sobre sus parámetros (límites de operación, expiración personalizada y cantidad de usos permitidos). Además, las tarjetas pueden ser utilizadas en cualquier lugar, a diferencia de los tokens que sólo funcionan en el mismo ecosistema que los generó. Sus desventajas radican en la misma flexibilidad que ofrecen, pues si alguna entidad logra hacerse de la información de una tarjeta virtual puede utilizarla de la misma manera que una tarjeta regular.

Otra desventaja es la dificultad de utilizar las tarjetas fuera de un entorno online. Diversos bancos en México ofrecen servicios de tarjeta virtual en sus apps de banca móvil en conjunto con terminales NFC-enabled, pero estas tarjetas sólo funcionan con las terminales del banco en cuestión, atando a los clientes y comercios a su terminal y con pobre o nula interoperabilidad de cara a los clientes que utilizan los servicios bancarios de otras instituciones.

Una banca más segura y rápida

Blockchain se ha puesto de moda en el ambiente financiero internacional. Hasta ahora los procesos de conciliación entre entidades ha sido un proceso lento que involucra intercambio de archivos, revisiones (a veces manuales) de las operaciones diarias y autorizaciones para hacer la transferencia de fondos a los clientes. ¿Qué pasaría si todo este proceso fuera eliminado o, mejor aún, incluido en la misma infraestructura que realiza las operaciones?

La respuesta es, por supuesto, blockchain. Sustituye los registros de transacciones regulares por una base de datos de operaciones criptográficamente relacionadas con las operaciones pasadas y futuras, además de ofrecer a las entidades la posibilidad de modificar dicho registro para agregar operaciones. Es decir, blockchain se vuelve un conciliador descentralizado.

Cuando se propone una transacción, los participantes en la red ejecutan una serie de algoritmos que la evalúan y verifican. Si la mayoría de ellos coincide en que la transacción es válida, es agregada al blockchain y una vez ahí es prácticamente imposible modificarla sin que dicho cambio sea notado por los participantes, quienes usan dichos algoritmos criptográficos para validar la integridad de la herramienta y corregirlo si es necesario, ya que cada uno cuenta con su propia copia del blockchain.

Las características de descentralización, integridad de datos y de auto reparación que ofrece el blockchain lo hacen candidato ideal para almacenar los registros de transacciones de cualquier institución financiera. Mejor aún si diversas figuras crean una red para operar un sistema de blockchain, ya que su uso supone una reducción de recursos, personal y tiempo invertido en la conciliación de transacciones bancarias y hace obsoleta la figura de los bancos centrales y las cámaras de compensación.

Seguridad para todos… ¿es posible?

Las tecnologías arriba descritas ofrecen cambiar la manera en que se realizan las operaciones financieras a un esquema más ágil y seguro. Sin embargo, para escalar deben ser inclusivas, y con la bancarización en México en cifras tan bajas como 21% es evidente que no todos somos inmediatos beneficiarios de estas innovaciones del sector financiero.

Es preciso que las instituciones financieras adecuemos nuestros procesos para acercar la banca a más mexicanos y que todos nos beneficiemos con la masificación de los medios de pago alternativos.

Finalmente, no hay que perder de vista que aún con la tecnología correcta, una mala implementación puede generar más riesgo del que previene. Basta recordar el sonado caso de Samsung Pay y la manera en que sus tarjetas virtuales pueden ser reutilizadas y generadas arbitrariamente, las fugas de contraseñas de usuarios de Adobe y muchos casos más. Nosotros como impulsores de la bancarización tenemos la responsabilidad de crear las condiciones de seguridad, eficiencia y accesibilidad que atraigan con hechos, y no con promesas, a una población cuya confianza en las instituciones bancarias ya ha sido llevada hasta su límite.

Colaboremos todos para ofrecer una banca incluyente, eficiente y sobre todo, confiable.

Acerca del Autor

Como Chief Security Officer en Billpocket, Víctor Macías ha dedicado más de dos años a la implementación de nuevos esquemas financieros y canales de pago alternativos con la seguridad como su máxima prioridad.

¿Qué te ha parecido este artículo?

Si piensas que este post es útil...

¡Síguenos en nuestras redes sociales!

Artículos relacionados

Artículo 1 de 2