La biométrica está evolucionando más allá de la huella dactilar, y las compañías de seguridad está estudiando la forma de comportarse, los movimientos y patrones para evitar fraudes. Por ejemplo, si revisás una página y el cursor desaparece, puede ser un glitch, o puede ser un test para saber quien sos.
La forma en la que clickás, te desplazás por la pantalla, escribís en el teléfono o en el teclado es tan única como tus huellas digitales o rasgos faciales. Para combatir el fraude, cada vez más bancos y comercios hacen seguimiento de los movimientos físicos que realizan en sus páginas y apps.
Algunos usan la tecnología para evitar ataques automatizados o transacciones sospechosas, pero otros van más allá, haciendo seguimiento a millones de perfiles que puedan identificar a sus clientes por como tocan, sostienen y utilizan sus equipos.
Esta recolección es invisible para los que son observados: los sensores del teléfono o el código de una página permite a las compañías recabar miles de puntos de información, conocidos como “biometría de comportamiento”, para ayudar a probar que el usuario digital es quién dice ser.
Para los diseñadores de mecanismos de seguridad, la tecnología es un respaldo poderoso. Las fugas masivas de datos suceden cada vez con mayor frecuencia y los crackers se han hecho con billones de claves de seguridad y otra información personal sensible, que puede ser utilizada para robar de las cuentas bancarias y de compras, y abrir nuevas cuentas fraudulentas.
“La identidad es la última moneda digital y está convirtiéndose en un arma escala industrial”, dice Alisdair Faulkner, uno de los fundadores de ThreatMetrix, compañía que fabrica software de detección de fraude para grandes vendedores y servicios financieros. Muchos de sus clientes ya están probando las herramientas de comportamiento biométrico.
Los defensores de la privacidad ven las herramientas biométricas como posible foco de problemas, parcialmente porque pocas compañías revelan o advierten cuándo y cómo las utilizan para hacer seguimiento de los toques y deslizamientos.
“Lo que hemos visto es que con la tecnología, cuanta mas data sea recolectada por la compañía, mayores esfuerzos harán para encontrar usos para esa data,” declaró Jennifer Lynch, abogada senior de Electronic Frontier Foundation. “Hay un pequeño salto de usar esto para detectar fraude a aprender información realmente privada”.
El Royal Bank de Escocia, uno de los pocos bancos que habla publicamente de su colección de data de comportamiento biométrico, empezó a probar esta tecnología hace dos años en las cuentas privadas de sus clientes adinerados, y ahora está expandiendo el sistema a sus más de 18 millones de cuentas de negocios y minoristas, de acuerdo con Kevin Hanley, director de innovación del banco.
Cuando los clientes ingresan en su cuenta, el software empieza a grabar más de 2000 gestos interactivos: En los teléfonos, mide el ángulo en el cual se sostiene el equipo, los dedos que utilizan para desplazarse y seleccionar, la presión que aplican y qué tan rápido hacen scroll. En una computadora, el software graba el ritmo al que se teclea y la forma de mover el mouse.
El Banco utiliza un software diseñado por una pequeña compañía de Nueva York llamada BioCatch, que construye un perfil de gestos de cada individuo, que se compara con el comportamiento cada vez que reingresa. El sistema puede detectar impostores con un 99% de efectividad, según BioCatch.
Hace algunos meses el software descubrió señales inusuales en la cuenta de un cliente adinerado. Después de ingresar, el visitante usó la ruedita del mouse -algo que el cliente nunca había hecho antes. Luego el visitante escribió los datos numéricos en la parte superior del teclado, no en el teclado numérico que el cliente usaba regularmente. Las alarmas se activaron y el sistema bloqueo el dinero de la cuenta. Una investigación descubrió que la cuenta había sido hackeada, dijo Hanley. “Alguien estaba tratando de crear un nuevo vínculo y transferir una suma de 7 dígitos. Fuimos capaces de intervenir en tiempo real y evitar que eso pasara”
Este caso fue inusualmente obvio: el comportamiento de los usuarios no es constante. Las personas actúan diferente cuando están cansadas, lastimadas, borrachas, distraídas o apuradas. La forma en la que una persona teclea en su escritorio de trabajo es diferente a la forma en la que teclea en su sofá, en casa. El software de monitoreo de comportamiento procesa miles de elementos para calcular en base a las probabilidades si la persona es quien dice ser. Los dos mayores avances que han alimentado su uso son el gran poder de procesamiento barato disponible y los sensores sofisticados y variados que ya son parte de casi todos los teléfonos.
Lo discreto del sistema es parte de su atractivo, explica Hanley. La biométrica tradicional, como las huellas dactilares o los iris oculares, requieren hardware especial de escaneo para autenticación; pero las mediciones de comportamiento pueden ser monitoreadas en el fondo, sin que los usuarios tengan que ingresar.
BioCatch a veces trata de obtener alguna reacción: Puede acelerar la rueda de selección que usas para ingresar datos como la fecha y hora en tu teléfono, o hacer que el cursor de tu mouse desaparezca por una fracción de segundo. “Todos reaccionan un poco diferente a eso” dice Frances Zelazny, jefe de estrategia y marketing de BioCatch. “Algunas personas mueven el mouse un lado a otro, otros lo mueve de arriba abajo. Algunos golpean el teclado.”
Como cada reacción es individual, es difícil para un impostor fingirla. Y como los clientes no saben que la tecnología de monitoreo está presente, no impone el tipo de trabas visibles e irritantes que suelen acompañar los test de seguridad. No necesitás presionar el lector de huellas de tu teléfono ni ingresar un código de autenticación. Neil Costigan, CEO de BehavioSec, una compañía que hace software para diversos bancos nórdicos, lo explica mejor: “No tenemos que sentar a los clientes en un cuarto y observar cómo escriben bajo condiciones perfectas de laboratorio. Simplemente los observamos, en silencio, mientras realizan sus actividades normales”.
Mientras que los negocios lo llaman “fluido”, los que se preocupan por la privacidad lo llaman peligroso.
Los sistemas biométricos pueden llegar a detectar condiciones médicas. Si un cliente con una mano firme desarrolla un temblor, la compañía de seguros de su auto podría preocuparse. Eso es un problema potencial si el banco del cliente, que detectó el temblor, es también la aseguradora.
“Este es el tipo de información que por lo general tiene algún tipo protección al usuario, pero aquí no hay nada de eso,” señala Pam Dixom, la directora ejecutiva del World Privacy Forum. “Las compañías están usando este sistema sin avisar a nadie”. En la mayoría de los países, no hay leyes que regulen la recolección y uso de data de comportamiento biométrico.
Incluso con las nuevas reglas de privacidad europea, hay excepciones para los temas de seguridad y prevención de fraude. Una nueva ley de privacidad digital de California incluye comportamiento biométrico en la lista de tecnología de monitoreo que las compañías deben declarar en caso de colectar, pero entra en efecto en 2020.
Los bancos y negocios a veces almacenan los datos biométricos de sus clientes internamente. En muchos casos, sin embargo, permiten a terceros con los que trabajan utilizar esta información, y eso magnifica el riesgo, alerta Dixon.
BioCatch tiene los perfiles de cerca de 70 millones de personas y monitorea 6000 millones de transacciones al mes de acuerdo con su ejecutivo de estrategia. American Express, uno de los inversores, empezó a utilizar esta tecnología recientemente en las solicitudes de nuevas cuentas.
En las solicitudes de nuevas cuentas, por ejemplo, el sistema presta atención a los momentos y lugares en los que el aspirante hace pausas. Un aspirante legítimo teclea su información personal -nombre, apellido, dirección, documento de identidad- fluidamente, con pocas pausas. Un estafador bien copiaría y pegaría la información, o haría pausas para confirmar la información.
Hay competencia de BioCatch que tiene aún más data: Forter, una startup en Nueva York que vende software para detección de software online incorporando comportamiento biométrico a grandes marcas, dice que su base de datos tiene información de 170 millones de personas en más de 180 países; y otro de sus competidores, NuData, ahora es propiedad de Mastercard.
“Esto solía ser ciencia ficción” dice Ryan Wilk, antiguo empleado de NuData que ahora es un vice presidente de Mastercard. “Cuando describíamos lo que hacemos, las personas nos preguntaban ‘¿es real?’. Ahora es más que un truco, es una tecnología importante en la industria financiera. Muchas compañías importantes la están utilizando”
Más de una docena de desarrolladores de tecnología, desde startups hasta gigantes como IBM han construido software de seguridad de comportamiento biométrico que venden a negocios y bancos.