Hoy en día, uno de los sistemas de verificación de identidad más utilizados es la autenticación de dos factores o verificación de dos factores (2FA), que utiliza códigos de acceso de un solo uso (OTP) enviados por SMS (servicio de mensajes cortos) para autenticar transacciones bancarias y de comercio electrónico.

Puede percibirse como un método de autenticación fácil y rápido, pero esto no es del todo cierto. Además, dado que se basa en SMS para entregar OTP, no es tan seguro como cabría esperar.

Estas son algunas de las razones por las que cada vez más empresas adoptan la autenticación biométrica como segundo factor de autenticación para validar tanto transacciones como todo tipo de operaciones.

Veamos cuáles son los principales problemas del 2FA y cómo una solución biométrica puede ayudar a resolverlos.  

Fricción UX

La autenticación de dos factores es un sistema mediante el cual, cuando el usuario inicia sesión, el sistema solicita un segundo factor de verificación, generalmente a través de un SMS o un correo electrónico, para confirmar que el usuario es realmente la persona que está accediendo a la cuenta o servicio.

En general, este procedimiento crea fricciones con el usuario y requiere mucho tiempo, ya que requiere que el usuario salga de la aplicación para recibir el código por SMS o por correo electrónico.

Por otro lado, al no existir un procedimiento estandarizado, cada empresa implementa 2FA de diferentes maneras. Así, los usuarios deben aprender diferentes métodos para autenticar su identidad en distintas plataformas.

Esto puede ser muy desagradable para algunos usuarios, especialmente para aquellos que no dominan los entornos digitales.

Los SMS son vulnerables

Lo primero que hay que decir es que los SMS no fueron diseñados como herramientas de seguridad:

• Los hackers pueden comprar los datos de identidad de los usuarios en la web oscura e interceptar los OPT enviados por SMS.
• También pueden usar bots de malware para obtener acceso a los dispositivos de los usuarios y robar su información, capturar OTP y códigos de autenticación.
• Las tarjetas SIM se pueden intercambiar. Los fraudes de portabilidad, en los que los hackers se hacen pasar por un cliente y solicitan transferir el número de teléfono del cliente a un nuevo dispositivo que controlan, se encuentran entre los más populares.

Algunas aplicaciones 2FA utilizan datos biométricos como una de las credenciales de identificación de su sistema de autenticación. Por ejemplo, en algunas apps bancarias el usuario accede al servicio con una contraseña, y luego asocia a esa contraseña un patrón biométrico, como su huella dactilar o su rostro, que se almacena en el smartphone.

La biometría en estos casos activará la contraseña almacenada para acceder al servicio. Pero la contraseña puede ser pirateada y es posible asociarla a un patrón

Los dispositivos pueden verse comprometidos

Además de las vulnerabilidades de los SMS, los dispositivos también pueden ser un eslabón débil en el proceso de autenticación de identidad.

El Informe Verizon Mobile Security Index (MSI) 2022 revela que el 45% de las empresas encuestadas sufrieron ataques relacionados con dispositivos móviles, lo que provocó la pérdida de datos, el tiempo de inactividad del sistema u otros resultados negativos.

Los ataques técnicos incluyen malware y troyanos que usan algunas de las funciones de accesibilidad del sistema operativo de los smartphones como “habilitar fuentes desconocidas” u “opciones de desarrollador” para obtener acceso remoto al dispositivo, aumentar los privilegios del usuario e instalar malware en los sistemas objetivo.

Los fraudes de identidad relacionados con dispositivos también incluyen:

• Desvío de llamadas: el hacker hace pasar por un cliente que afirma que su dispositivo ha sido robado o se ha dañado y solicita que todas las llamadas y mensajes se redirijan a un número diferente.
• Whaling Phishing: El ciberdelincuente se hace pasar por un representante del equipo de fraude y le pide a su víctima que confirme una transacción fraudulenta. El hacker le dice a la víctima que se le enviará un código de seguridad por SMS para completar el proceso, y luego inicia un restablecimiento de contraseña que genera una OTP enviada por SMS que la víctima comunica al estafador.
• Malware: mediante el uso de phishing o de ingeniería social los hackers convencen a la víctima de que se descargue un malware, como FluBot, TeaBot o ShakBot, en su dispositivo. Este malware le da al hacker acceso a la información personal de la víctima, lo que le permite interceptar mensajes SMS.

Una solución biométrica que soluciona las fallas del M2F

B-FY es una solución de autenticación biométrica de dos factores en un solo paso, que utiliza la combinación de elementos más segura que existe: algo que la persona tiene (el teléfono inteligente) y algo que la persona es (su biometría). También es una solución omnicanal que por primera vez unifica la identificación física con la identificación telemática.

Como nuestra principal preocupación es proteger a las personas y su identidad, el sistema de B-FY no requiere contraseñas que puedan ser pirateadas o robadas y no almacena ninguno de los patrones biométricos del usuario.

Cuando una empresa contrata nuestros servicios, nuestro código (actualmente QR) debe integrarse en cada uno de los servicios donde se va a poner en funcionamiento el sistema. Por otro lado, la empresa debe integrar la biblioteca B-FY en su aplicación móvil (aplicación de empleado, aplicación de atención al cliente o ambas), convirtiendo su aplicación en la clave de acceso a todos los servicios de la empresa.

Una vez hecho esto, las personas a identificar realizan un sencillo proceso de registro y pasan a formar parte de este nuevo servicio de identificación.

En este proceso, a la persona solo se le solicita su correo electrónico y número de teléfono, y con eso B-FY envía mensajes de confirmación a correo electrónico y móvil.

A partir de ahí, cada vez que una persona quiera acceder a los servicios de la empresa, simplemente deberá leer el código dinámico B-FY que aparece en el servicio al que quiere acceder con la app de la empresa, y así identificarse biométricamente con su teléfono. Si la identificación biométrica no tiene éxito, se denegará el acceso.

¿Desea saber más? Solicite una demostración gratuita aquí.