La huella digital es uno de los biométricos más viables para el sector bancario. Foto: zoranm/Getty Images.
Para los hackers, la puerta del sistema financiero sigue entreabierta. Foto: THANANIT/Getty Images.
Identificación biométrica, escudo contra hackeo
Sigue entreabierta la puerta del sistema financiero para los hackers. Se ve difícil que, en la fecha límite, los bancos incorporen la información biométrica de quienes contraten servicios.
Esta historia fue publicada en la edición impresa de julio de 2018 de Forbes México. Suscríbete.
El robo de identidad es una de las mayores preocupaciones del sector financiero. Así que la Comisión Nacional Bancaria y de Valores (CNBV) dio un plazo de 12 meses para la incorporación y regulación de datos biométricos, como la huella digital, en la autenticación de los usuarios.
Sin embargo, a unas semanas de que se venza el plazo, la banca no está lista para cumplir con ese requerimiento en su cabalidad.
La causa es el desconocimiento que había del tema en el sector, así como la burocracia de algunas instituciones financieras a la hora de dar luz verde a los presupuestos y proyectos; y, desde luego, lo complicado que es implementar nuevos sistemas sin alterar los que ya operan.
El problema es grave. La Comisión Nacional para la Protección y Defensa de los Usuarios de Servicios Financieros (Condusef) registró 78,989 reclamaciones por robo de identidad al tercer trimestre de 2017, equivalentes a 2,127 millones de pesos (mdp). En comparación con el mismo periodo de 2016, las de tipo cibernético aumentaron 128%, mientras que las tradicionales bajaron -3%.
Los años más críticos fueron 2014 (con 82,263 reclamaciones) y 2015 (con 100,488). A raíz de esto, el sector bancario comenzó a barajar la posibilidad de incluir, de manera obligatoria, la implementación de los biométricos para autentificar la identidad de las personas.
“Los banqueros ya estaban viendo esas opciones [biométricas]. La CNBV no había hecho ninguna definición, porque también estaba buscando tecnologías y estándares”, recuerda Jorge Domínguez, director de Ventas para México y Centroamérica de HID Global, empresa especializada en la seguridad de mecanismos de identidad.
En 2016, los trabajos ocurrieron de manera más abierta e, incluso, los especialistas en el tema, tanto desde el lado de la tecnología como del sector financiero, tuvieron reuniones con las autoridades y dieron sus puntos de vista.
Finalmente, el 29 de agosto de 2017, la CNBV publicó en el Diario Oficial de la Federación (DOF) cambios a la Circular Única de Bancos, para incorporar y regular el uso de datos biométricos, principalmente la huella dactilar, para la autenticación de los usuarios de la banca.
Esta reglamentación también contempla la posibilidad de utilizar, tanto de manera presencial como remota, tecnologías como el reconocimiento del iris o la voz.
Entre otras cosas, las medidas de la CNBV también obligan a las instituciones crediticias a validar en línea con los registros del Instituto Nacional Electoral (INE) la huella digital del solicitante, antes de la contratación de diversos productos (como tarjetas) y servicios, o a la realización de algunas operaciones en ventanilla.
A esto hay que añadir que los bancos deberán corroborar la Clave Única de Registro de Población (CURP) con el Registro Nacional de Población, además de integrar una base de datos biométricos de sus clientes (que sustituirá la verificación en línea con el INE), con la que podrán identificar a sus clientes al realizar operaciones y contrataciones.
Las instituciones de crédito estarán obligadas a garantizar la integridad de la información biométrica almacenada y llevar un registro de incidencias de robo de identidad y reportarlas a la CNBV.
Con estos “candados”, si un defraudador quiere abrir cuentas falsas, tendrá que dar sus datos biométricos, lo cual será muy arriesgado. “Si nos entregó papeles falsos y los dimos de alta, va a aparecer en una base de datos; en algún lado lo vamos a encontrar”, dice Adolfo Loera Marín, director general de Biometría Aplicada, desarrolladora de soluciones biométricas.
Enfatiza que, en algún momento, el delincuente quedará registrado en el Servicio de Atención Tributaria (SAT), en la Secretaría de Relaciones Exteriores (SER), en la Plataforma México (bases de datos criminalísticos y de personal de Seguridad Pública) o en el Instituto Nacional Electoral (INE), por lo que será más sencillo su rastreo, a diferencia de lo que ocurre cuando la institución bancaria acepta un documento, con el cual se corre el riesgo de aceptar una falsificación.
Te puede interesar: Banca en México corrió el riesgo de ser hackeada
“La principal ventaja es que ya hay una regulación. Antes no era obligatorio si tú, como banco, lo querías implementar”, destaca Domínguez, de HID. Añade que, con esto, se pretende que haya un estándar de huellas y demás sistemas biométricos, para que puedan ser leídos, sin importar el fabricante que cada banco elija.
La prórroga
El documento publicado en el DOF estableció un plazo de 12 meses, a partir del 29 de agosto de 2017, para que los bancos implementaran las nuevas medidas. Pero lo cierto es que buena parte de ellos aún no están listos, por lo que más de uno ha pedido una extensión del plazo a la Comisión.
Tanto la CNBV como la Asociación de Bancos de México (ABM) declinaron hablar sobre el tema con Forbes México. La misma respuesta dieron BBVA Bancomer, Banorte, Scotiabank, Inbursa y Santander.
Loera Marín narra que, cuando en su empresa vieron que dos grandes bancos, cuyos nombres se reserva, no tenían avance, hicieron una llamada a la CNBV, donde, de manera anónima, les dijeron que el periodo de gracia se extendería nueve meses.
“[La prórroga] se da como banco. El regulador te dice: ‘Estás listo o no estás listo’, y te indica en qué no estás listo”, describe Iván Tecla Reyes, gerente de Innovación de Citibanamex. “Lo que nosotros sabemos, de manera informal, es que la mayoría de los bancos no están listos”, indica.
“Creo que [nueve meses] es un tiempo suficiente para que los bancos estén conectados”, argumenta Pedro Lara, responsable regional de Innovation Marketing y Desarrollo de Negocio de Gemalto, empresa de seguridad digital.
Pero el especialista opina que es un riesgo esperar tanto, debido a que el hackeo del Sistema de Pagos Electrónicos Interbancarios del Banco de México (SPEI) ocurrido en meses recientes dejó una amenaza latente.
Al analizar el retraso de los bancos, hay que tomar en cuenta que el proceso de implementación de las soluciones tecnológicas es complejo. “Tienes que entender que la parte biométrica es nueva para los banqueros. Ellos son financieros, no conocen de huellas digitales ni de manejo de biometría. Entonces, aprenderlo ha costado trabajo”, opina Domínguez.
Una vez que la autoridad da a conocer las reglas, las instituciones financieras se tienen que dar a la tarea de entender los requerimientos, buscar las soluciones que se adecuen a sus necesidades, realizar pruebas de laboratorio con un puñado de usuarios, implementar pruebas piloto, primero en una sucursal, luego en una zona), hasta que se echa a andar a nivel nacional.
En el proceso, es necesario definir dónde van a guardar la base de datos con las huellas, qué sistema de seguridad operará en los servidores nuevos para proteger la información, cómo implementar los sistemas en las sucursales y cómo conectarlos.
A esto hay que agregar que la biometría es un eje vital en la estrategia de transformación digital de la banca, la cual, de manera paralela, decidió empezar a colocar otros sistemas. “Eso, quizás, es lo que ha causado que, de repente, algunos bancos tengan una curva [de aprendizaje] un tanto más larga para implementar sus plataformas biométricas”, analiza Lara.
¿Cómo van?
Al hablar de los 10 bancos más grandes del país, 50% ya están listos para operar con la nueva tecnología, dos todavía no definen los sistemas que utilizarán, mientras que algunos ya están en proceso de implementación, calcula Loera Marín. Cuando hace alusión a los pequeños, estima que 70% ya podrían operar con las nuevas disposiciones.
En un análisis general, los bancos de menor tamaño han sido más ágiles en este proceso; rápidamente comenzaron a hacer la evaluación de sus necesidades, a seleccionar a los proveedores y a implementar los proyectos. El experto indica que en organizaciones pequeñas es viable contratar proyectos llave en mano, lo que permite una mayor interacción con el desarrollador del servicio.
Del otro lado, las instituciones de mayor tamaño experimentaron un proceso más lento, describe Loera Marín, debido a que tuvieron que ir a presentar sus proyectos a la matriz en el extranjero, integrar su propuesta a la fila de proyectos y generar el presupuesto.
Te puede interesar: Esto es lo que se sabe del robo millonario tras el hackeo a los bancos
“Son decisiones muy complicadas. La entrada de un nuevo sistema y la afectación en los múltiples sistemas en la arquitectura del banco requieren una revisión minuciosa”, ahonda Loera Marín.
El especialista dice que Santander, con quien trabaja Biometría Aplicada, generó una licitación a finales de 2017, hizo una asignación en el primer trimestre de este año y está generando la implementación del sistema, por lo que estará listo para iniciar en septiembre. Añade que otros bancos de ese calibre todavía están diseñando su arquitectura y definiendo parámetros para seleccionar a los proveedores, mientras que otros ya están listos, pero se encuentran en espera de que la matriz autorice la inversión.
HSBC comenzó a trabajar con los biométricos en México desde el año pasado, como consecuencia de la regulación de la CNBV, pero también para complementar la seguridad y dar una mejor experiencia a sus clientes. La institución asegura que el biométrico de huella dactilar estará disponible dentro de las fechas que exige la CNBV.
A esto hay que agregar que, en 2017, el banco lanzó en el país un sistema de biométricos de voz para su centro de contacto telefónico con el que el usuario puede identificarse sin tener que usar su clave de acceso. La organización se decantó por este biométrico debido a que permite realizar la autenticación de la identidad a distancia.
“Pero, por lo pronto, no podrá ser utilizado para hacer transacciones de alto valor, hasta que la tecnología avance”, indica Juan Carlos Espinosa Ortega, director de Estrategia Digital e Innovación de HSBC.
El futuro del banco seguirá apuntando hacia los biométricos, por lo que, actualmente, trabaja en pruebas para evaluar otras tecnologías, como la biometría para identificación por rostro, sistema que ya opera en la app de banca móvil para empresas, pero solamente para quienes utilizan iPhone X.
“Hay otro tipo de biométricos [en los] que estamos avanzando [como empresa global]: reconocimiento del iris, etcétera. Todavía no los estamos implantando en el país, pero, por supuesto que tenemos investigación y aplicación para poder implementarlos en algún mercado”, cita Espinosa Ortega.
Citibanamex trabaja a marchas forzadas para acatar las disposiciones de la CNBV. A finales de junio tenía un avance de 70%.
El uso de biométricos en la organización se remonta a hace más de cinco años, cuando se realizó un piloto de reconocimiento de voz para jubilados del banco. De este modo, ya no era necesario que una persona de edad avanzada fuera a la sucursal. “Simplemente, con la voz lo identificábamos y le podíamos depositar”, narra Tecla Reyes, de Citibanamex.
La institución financiera ha venido trabajando en pruebas piloto en tres urbes: Puebla, Tijuana y la Ciudad de México, para incorporar a empleados y clientes en la activación de tarjetas de crédito a través de autenticación por voz.
La liberación de este servicio está contemplada para el último trimestre de 2018 en la capital del país y su zona metropolitana. Así, cuando los clientes se comuniquen al call center, tendrán la opción de autenticarse con comandos de voz, en lugar del pin de seguridad tradicional.
Citibanamex también trabaja en el desarrollo de un expediente 100% digital, que incluye contratos con firma biométrica, que es una firma autógrafa plasmada en un dispositivo digital, como una tableta. La firma biométrica entrará en funciones de manera masiva a partir de septiembre y está previsto que alcance el 100% de las sucursales en lo que queda del año.
El siguiente paso de su estrategia de biométricos a corto plazo es el reconocimiento facial, que actualmente se encuentra en la etapa de evaluación de proveedores y que podría entrar en operaciones este año o a principios de 2019.
Estos ejemplos demuestran que la implementación de datos biométricos en la apertura de servicios para la banca es un logro en materia de seguridad. Sin embargo, esta disposición sólo es un paso, pues no protege al universo de usuarios que ya están enrolados.
“Quien tiene un servicio previo va a seguir bajo los procesos tradicionales, que tienen servicios de manera remota a través de apps o a través de páginas web; entonces, es como si alguien dejara una puerta abierta para ingresar en los ‘aplicativos’, ya no sólo para atender, sino para manipular, como ocurrió con el SPEI. Entonces, esto se vuelve riesgosísimo”, concluye Loera Marín, de Biometría Aplicada.
