La biometría es confiable, pero puede que no valga la pena el riesgo

May 19, 2022
EnNoticias Seguridad De Internet

El nuevo programa de pago biométrico de Mastercard le permite pagar sonriendo a un escáner.
La autenticación biométrica es confiable, pero los riesgos son altos.
Es posible tener ambas conveniencias y seguridad.

Dos personas sonriendo en un quiosco de boletos en una estación de tren, una con un teléfono inteligente. — Leo Patrizi / Getty Images

Mastercard quiere que pagues en tiendas simplemente sonriendo a un escáner, lo cual es divertido hasta que te das cuenta de las implicaciones de privacidad.

La biometría es una forma conveniente de autenticarnos. A menos que tenga mala suerte, siempre tiene los ojos, la cara, los dedos, ahora su sonrisa, con usted y listo para desplegar. A las empresas de pagos les gusta la biometría porque la biometría es lo suficientemente individual como para ser funcionalmente única y difícil de falsificar. Nos gustan porque es mucho más fácil pagar con un dedo que sacar una tarjeta. Pero la biometría tiene desventajas tan desastrosas que no deberíamos usarlas de esta manera.

"Un problema más con la biometría: no fallan bien. Las contraseñas se pueden cambiar, pero si alguien copia su huella digital, no tiene suerte: no puede actualizar su pulgar. Se puede hacer una copia de seguridad de las contraseñas, pero si altera su huella digital en un accidente, está atascado”, escribe

leyenda de la seguridad Bruce Schneier en su blog personal.

Fácil de robar, imposible de reemplazar

El programa de pago biométrico de Mastercard se está probando en cinco supermercados en São Paulo, Brasil. Los usuarios pueden registrar su cara usando el servicio Payface y luego pagar en las tiendas sonriendo al dispositivo de autenticación.

También puede recordar El sistema de pago de palma experimental de Amazon. Amazon One le permite pagar en las tiendas escaneando su palma, luego de lo cual el pago se extrae a través de su método de pago habitual de Amazon. Hasta ahora, podemos pagar sonriendo o saludando. No puede pasar mucho tiempo antes de que se agreguen a esa lista el chocar los puños y el débil chocar los cinco corporativos.

Los indicadores biométricos son difíciles de falsificar, e incluso si puede copiar una huella dactilar o una sonrisa, probablemente no se salga con la suya tratando de usar un pulgar de goma en la caja del supermercado. Pero las huellas dactilares son fáciles de robar, al igual que las fotos de su cara, sus manos, etc.

Y la peor parte de esto es que una vez que su huella digital se ve comprometida, eso es todo. Como señala Schneier, no se puede reemplazar el pulgar, el ojo o la cara.

hacerlo correctamente

Afortunadamente, existe una manera de usar la autenticación biométrica sin arriesgar sus huellas dactilares, iris, sonrisa, etc. De hecho, es posible que ya lo estés haciendo con Apple Pay o un método de pago de teléfono inteligente similar.

Apple Pay y métodos similares mantienen la verificación biométrica en privado. La autenticación es entre usted y su teléfono. Escanea su rostro o huella dactilar, y cuando el teléfono reconoce que usted es usted, transmite las buenas noticias a la máquina de pago.

Además, su rostro o su huella digital nunca se almacenan en ningún lugar. Cuando inscribes tu cara en identificación facial, por ejemplo, el el teléfono usa esos escaneos para generar un proxy encriptado, o hash, para su rostro, que luego se almacena. Más tarde, cuando desbloqueas tu iPhone, el escaneo se "hash" nuevamente y el resultado se compara con el hash almacenado para ver si coinciden.

Alguien que tiene un escaneo biométrico de su ojo, — Marcas y Gente / Unsplash

Por lo tanto, incluso si los datos almacenados pudieran ser robados, no se pueden usar para realizar ingeniería inversa de su rostro o huella digital.

"La clave para proteger las identidades personales y los activos digitales es un mínimo de tres factores de autenticación: algo que sabes, algo que eres y algo que tienes”, relaciones públicas y tecnología financiera especialista tiffany rodriguez le dijo a Lifewire por correo electrónico. “Una sola contraseña o un biométrico no es el muro de protección necesario para sobrevivir. Activar la autenticación multifactor proporciona múltiples muros de protección y reduce las posibilidades de piratería. La biometría debe agregarse como una capa adicional de protección y no solo como un proxy para pasar una contraseña”.

La solución es usar algo como Apple Pay como proxy para sus datos biométricos. De esa manera, nunca tendrá que confiar en una empresa para almacenar de forma segura sus huellas dactilares irremplazables, escaneos de iris o caritas sonrientes. Después de todo, no es como si cuidaran mejor de ellos que de nuestras contraseñas en este momento, que regularmente se filtran por millones.

Significa que debe autenticarse en su teléfono antes de poder pagar, lo que claramente es menos conveniente que sonreír (a menos que esté teniendo un día particularmente malo). Pero incluso eso está cubierto. Los usuarios de Apple Watch pueden pagar con un movimiento de muñeca mientras disfrutan de la seguridad biométrica de su iPhone. Parece la solución perfecta.