1
 

¿Serán los bancos los futuros guardianes de la identidad?

Puede que aquella idea de que “el dinero hace girar al mundo” siga siendo válida en el mundo físico, pero en el virtual, la identidad es el rey.

Por: Miguel Braojos, Vicepresidente de ventas globales de Soluciones de identidad y Gestión de Acceso de HID Global.

Por supuesto que todavía se necesita dinero para comprar bienes y servicios, por ejemplo en Amazon. Sin embargo, no se puede negar que una identidad digital segura compuesta por inicios de sesión, contraseñas y otros métodos de autenticación en constante evolución es la llave para hacer casi cualquier cosa en línea.

De hecho, según Dave Birch de Consult Hyperion, autor de Identity is the New Money (la identidad es el nuevo dinero), la identidad y el dinero algún día convergerán y serán la nueva moneda. Lo que plantea la siguiente cuestión: los bancos, que han sido los guardianes de confianza del dinero durante cientos de años, ¿serán también los futuros guardianes de la identidad?

Miguel Braojos, Vicepresidente de ventas globales de Soluciones de identidad y Gestión de Acceso de HID Global.

Hay muchos desafíos y cuestiones espinosas que surgen al analizar la identificación digital. ¿Qué es exactamente la identidad digital?, ¿A quién pertenece la identidad digital?, ¿Quién es el responsable último de su protección?, ¿Quién responde si es objeto de robo o de una autenticación errónea? y ¿Cómo se mantienen protegidas las identidades digitales sin afectar la experiencia de los usuarios?

En una era de servicios web ilimitados, de informática móvil y del internet de las cosas, ya no es posible, ni prudente, que los usuarios ingresen, una y otra vez, credenciales y respuestas a preguntas de seguridad cada vez que necesitan algo.

Dado el aumento progresivo de la falsificación de identificaciones y las iniciativas de banca abierta impulsadas por normativas como la Directiva Revisada de Servicios de Pago (PSD2) de la Unión Europea — que exige que los bancos abran la información de las cuentas y los pagos de sus clientes a numerosas empresas de servicios financieros, que utilizan la última tecnología existente para poder ofrecer productos y servicios financieros innovadores (las denominadas Fintech) a través de interfaces de programación de aplicaciones (API) — es necesario dar respuesta a estas preguntas.

La identidad es confianza

Dave Birch y otros pensadores similares han definido la identidad no sólo en términos de quién es uno y cómo se llama, sino de su reputación, también conocida como capital social, y de la confianza que ella inspira.

Gran parte de esa reputación radica en lo que Birch llama “el grafo social”: cualquiera puede buscar a una persona en las redes sociales para averiguar si tiene empleo, si es inteligente, confiable, si trabaja duro o si tiene capacidad para trabajar en equipo.

Birch sostiene, además, que el teléfono móvil está consolidándose rápidamente como el principal potenciador de las transacciones monetarias y de la identificación.

Gracias a las arquitecturas de identificaciones federadas, los bancos pueden ofrecer el beneficio de su amplio conocimiento sobre la identidad (la reputación y la confiabilidad), sin compartir necesariamente los datos confidenciales reales. Este es un activo valioso tanto para los usuarios, como para los bancos, para los cuales será una ventaja fundamental en su contienda con los cientos de competidores innovadores y ágiles que ofrecen FinTech.

¿Por qué los bancos son los guardianes y proveedores lógicos de la identidad?

Confianza. Los consumidores ya de por sí confían en los bancos para cuidar su dinero y esa confianza también se hace evidente cuando se trata de datos. La encuesta global de 2017 realizada por Capgemini, en la que se consultaron a más de 7.600 consumidores, encontró que el 83 por ciento de ellos confía en los bancos y en las aseguradoras para proteger sus datos.

Información. Por mucho tiempo, los bancos han sido los depositarios de la información sobre la identidad y el estado financiero de los clientes. Para abrir una cuenta, otorgar un crédito o aprobar una hipoteca, los bancos deben tener información muy precisa sobre la solvencia crediticia y la situación laboral del usuario. En el caso de muchos clientes, los bancos conservan valiosa información, recopilada durante años y décadas, sobre sus ingresos y hábitos de gasto.

Regulación. La norma PSD2, las rigurosas normativas contra el lavado de dinero y el imperativo legal de implementar procedimientos de identificación de clientes, exigen que los bancos cuenten con los más altos estándares para verificar la identidad de los clientes, si no quieren enfrentar altas multas.

Contacto humano. Pocas interacciones son tan efectivas para determinar la identidad de un cliente y establecer con él lazos de confianza, como reunirse y hablar con él en persona. La mayoría de los bancos tienen sucursales minoristas distribuidas en diferentes puntos geográficos, a las cuales los clientes todavía van a hacer negocios. La encuesta global sobre la banca de consumo realizada por EY en 2016 encontró que el 60% de los 55.000 clientes encuestados en 32 países considera que la presencia física de un banco sigue siendo muy importante. Sin embargo, los bancos tendrán que replantearse el papel de las sucursales e introducir estrategias y servicios digitales innovadores que integren todos los canales existentes, es decir, que se ajusten a una experiencia de consumo omnicanal. El informe del 2017 sobre sucursales bancarias mundiales, elaborado por  EFMA y Synechron,  concluye que el 58% de los bancos había encomendado a sus divisiones encargadas de la banca minorista y de la banca de consumo, la transformación de las sucursales, 38% de ellos introduciendo experiencias digitales interactivas y un 36 % empleando tecnologías automatizadas para autoservicio.

El futuro está aquí

Los bancos ya han pasado al ámbito de los proveedores de identificaciones federadas a través de algunas interesantes asociaciones. Los clientes de banca en línea de Barclays ahora pueden usar sus inicios de sesión para acceder al proceso de registro de identificación GOV.UK Verify del Reino Unido. El Commonwealth Bank of Australia proporciona verificación de identidad para la plataforma en línea de la compañía de tercerización Airtasker. USAA se asoció con una agencia federal no identificada para permitir a los usuarios autenticarse en ambos sitios con el mismo nombre de usuario y las mismas contraseñas. Capitol One está utilizando una API para permitir que los sitios web autentiquen a los clientes y compartan información de identidad.

Qué se requerirá

Los bancos están en una posición privilegiada para ser guardianes y proveedores de la identidad. Sin embargo, para cumplir esta función y ofrecer una autenticación federada robusta a un gran número de FinTechs y otros servicios, estas instituciones tendrán que seguir mejorando su infraestructura de autenticación y de identificación. Además de la autenticación de varios factores, tan en boga actualmente, el éxito que han tenido las suplantaciones de identidad focalizadas (spear phishing), los programas maliciosos para ataques de día cero y los capturadores de contraseñas hace necesario el uso de  otras estrategias para garantizar que la identidad de los usuarios se puedan autenticar con precisión, en un entorno móvil. Las siguientes son algunas de esas estrategias:

Identificar la huella electrónica del dispositivo para identificar el dispositivo de autenticación de un usuario mediante la zona horaria de la dirección IP, el sistema operativo, el navegador, las fuentes del navegador y las dimensiones de la pantalla. Esta información se puede recopilar para ayudar a confirmar el usuario y el dispositivo y para determinar si un dispositivo ha sido utilizado en intentos previos de vulnerar un sistema informático.

Protección de navegación en puntos finales para identificar los programas maliciosos y evitar que los hackers empleen exploits (programas que aprovechan los puntos de seguridad vulnerables) como manipulación de sesiones web, secuestro de cookies y ataque de intermediarios en el navegador (MiTB) que modifican el contenido del sitio web o insertar transacciones fraudulentas.

Protección de aplicaciones para garantizar que un dispositivo empleado en una transacción no haya sido alterado para eliminar las limitaciones impuestas por el fabricante (jailbroken) o que sus claves de aplicación no hayan sido clonadas o que su software no haya sido modificado.

Análisis de comportamiento que aprovecha los datos sobre patrones de transacciones anteriores hechas por los clientes, para determinar el riesgo de fraude de cada transacción realizada. La mayoría de los clientes de tarjetas de crédito bancarias conocen esta función, la cual puede bloquear una transacción sospechosa hasta que el cliente reciba una alerta y la verifique.

Biometría conductual que supervisa la presión que el usuario ejerce en los botones y la dinámica del mouse y de la pulsación de las teclas cuando navega por los servicios bancarios con el fin de establecer un perfil biométrico de comportamiento y detectar cualquier cambio en el perfil.

Firma de transacciones que exige a los clientes usar una solución de autenticación desde dispositivos móviles con notificación automática, que permite al usuario aprobar una transacción con sólo deslizar un dedo.

Sin duda, los bancos aumentarán el número de nuevos servicios para competir con las FinTechs en áreas como la agregación de cuentas, la iniciación de pagos y otras innovaciones que ni siquiera alcanzamos a imaginar hoy. Sin embargo, su papel como guardianes de la identidad será indispensable a medida que estas nuevas avenidas de innovación financiera empiecen a despegar. Es posible que el crecimiento de las FinTech imponga importantes desafíos a los bancos, pero la confianza, la información y la identidad de sus clientes siguen siendo importantes activos que los bancos pueden usar a su favor.

En 10 años seguiremos siendo dueños de nuestra identidad, pero puede ser que para ese momento los bancos sean sus guardianes y proveedores confiables.

Adolfo Manaure

Entusiasta seguidor de la tecnología y las innovaciones que cambian el mundo. Director Editorial y COO en The HAP Group.