Los bancos vigilan cada uno de tus clics
Credit Andrew Roberts
Cuando estás navegando un sitio web y de repente parece desaparecer el cursor es posible que se deba a un problema técnico… o a una prueba deliberada para averiguar quién eres.
La manera en la que das clic, deslizas tu dedo en una pantalla de teléfono celular o presionas un teclado es tan única como tus huellas dactilares o tus facciones. Así que para combatir el fraude, cada vez más bancos y comerciantes han recurrido a rastrear los movimientos físicos de los visitantes de sus aplicaciones y sitios web.
Algunos utilizan esta tecnología solamente para prevenir ataques automatizados o transacciones sospechosas, pero algunos han ido más allá al recopilar millones de perfiles con los cuales identificar a sus clientes según cómo tocan o mueven sus aparatos.
Esta recolección se da de manera invisible para quienes son rastreados. Por medio de sensores en el celular o con código en los sitios web, las empresas recogen los llamados “datos biométricos de conducta”.
Para aquellos expertos en seguridad, esta tecnología es una salvaguardia importante, pues los ciberataques y las filtraciones ocurren a diario. Los ciberladrones han conseguido millones de contraseñas y otra información personal confidencial que puede ser usada para robar de las cuentas bancarias o de cierta empresa o para abrir nuevas cuentas fraudulentas.
“La identidad es la mayor moneda de cambio y se ha vuelto un arma a nivel industrial”, dijo Alisdair Faulkner, uno de los fundadores de ThreatMetrix, que vende software de detección de fraudes a empresas financieras que ahora han hecho uso de las herramientas biométricas de conducta.
Por otro lado, los defensores de la privacidad ven en estas herramientas una posible amenaza, sobre todo porque muy pocas empresas sí le revelan a sus usuarios que sus clics y movimientos están siendo rastreados.
“Lo que hemos observado con la tecnología es que mientras más información recolecten las compañías, más usos le buscarán”, dijo Jennifer Lynch, una abogada sénior para la Electronic Frontier Foundation. “Solo hay un pequeño paso entre usarla para detectar un fraude y conocer información muy privada sobre ti”.
El Royal Bank de Escocia (RBS), uno de los pocos bancos que reconocen públicamente sobre su recolección de datos biométricos de conducta, comenzó a probar esta tecnología hace dos años en cuentas bancarias privadas de clientes adinerados. Ahora está trabajando en la expansión de este sistema a sus 18,7 millones de cuentas de negocios y al por menor, según Kevin Hanley, el director de Innovación del banco.
Cuando los clientes ingresan a su cuenta en el Royal Bank de Escocia, el programa empieza a grabar los más de dos mil gestos interactivos. En los teléfonos, mide el ángulo en el que el cliente sostiene el dispositivo, los dedos que usan para deslizarse y seleccionar, la presión que ponen y la velocidad con la que se desplazan. En una computadora, el programa graba el ritmo con el que golpean las teclas y la forma en la que mueven el ratón.
RBS utiliza el programa informático diseñado por una pequeña compañía de Nueva York, BioCatch. Crea un perfil con los gestos de cada cliente que compara con los movimientos de la persona cada vez que vuelven al sitio del banco. Este sistema puede detectar a un impostor con una precisión del 99 por ciento, según BioCatch.
Hace unos meses, el software identificó unas señales poco comunes en la cuenta de un cliente con mucho dinero: después de ingresar, el visitante usaba la rueda o botón central del ratón para desplazarse, algo que el cliente nunca hacía; luego tecleó desde la línea numérica superior, en lugar de utilizar el teclado numérico lateral como el cliente suele hacerlo. Las alertas se encendieron. El sistema de RBS bloqueó cualquier disposición de efectivo de la cuenta del cliente. Un investigación reveló después que la cuenta había sido atacada, dijo Hanley.
Ese caso era excepcionalmente obvio. El comportamiento de un usuario no es constante: la gente actúa diferente cuando está cansada, lastimada, ebria, distraída o apurada. La forma en que una persona teclea en el escritorio de su oficina es diferente a cuando lo hace cuando está repantigada en el sillón en su casa.
BioCatch a veces intenta provocar una reacción: puede acelerar la velocidad de la rueda de opciones que se usa para ingresar información como fechas y horas en el teléfono o hace que el cursor del ratón desaparezca por una fracción de segundo.
“Cada persona reacciona diferente”, dijo Frances Zelazny, director de estrategia y encargado de mercadotecnia de BioCatch. “Algunas personas mueven el ratón de un lado a otro, otros lo mueven de arriba abajo, otros golpean el teclado”.
Debido a que cada reacción es tan individual es difícil para un usuario fraudulento falsificarla. Además, ya que los clientes no saben que la tecnología de monitoreo está ahí, no es necesario que haya pruebas de seguridad evidentes —y molestas— que normalmente surgen . Tampoco necesitas presionar tus pulgares en el lector de huella de tu teléfono ni teclear un código de verificación.
“No necesitamos un cuarto en el que sentemos a las personas y las pongamos a teclear en perfectas condiciones de laboratorio”, dijo Neil Costigan, director ejecutivo de BehavioSec, una compañía en Palo Alto, California, que hace el programa informático que usan muchos bancos nórdicos. “Solo las observas, en silencio, mientras hacen sus actividades normales en sus cuentas”.
Los negocios la conocen como una experiencia “sin roces”; los vigilantes de la privacidad la califican de peligrosa.
En la mayoría de los países no hay leyes que regulen la recolección y el uso de datos biométricos de conducta.
Incluso las nuevas reglas de privacidad europeas tienen excepciones para la seguridad y la prevención de fraudes. Una nueva ley de privacidad digital en California incluye los patrones biométricos de conducta en la lista de las tecnologías de rastreo que las compañías deben explicitar si usan, pero esta ley entra en vigor a partir de 2020.
Los bancos y los comerciantes algunas veces almacenan internamente los datos biométricos de sus clientes. Sin embargo, en muchos casos permiten que proveedores externos con los que trabajan los retengan. Esa práctica incrementa los riesgos, mencionó Pam Dixon, la directora ejecutiva del World Privacy Forum.
BioCatch tiene perfiles de unos setenta millones de individuos y monitorea seis mil millones de transacciones al mes, según Zelazny. American Express, uno de los inversionistas de BioCatch, empezó a usar su tecnología hace poco en aplicaciones de nuevas cuentas.
Algunos rivales de BioCatch tienen redes aun más grandes. Forter, una empresa emergente de Nueva York que vende un software de detección de fraude que incorpora datos biométricos de conducta para grandes comercios, dijo que su base de datos tiene registros de 175 millones de personas de más de 180 países. NuData, otro competidor, fue comprado el año pasado por Mastercard.
Y más de una docena de proveedores de tecnología —desde empresas emergentes poco conocidas hasta gigantes como IBM— han incluido los datos biométricos de conducta en los programas de seguridad que venden a los bancos y los comercios.
“Esto antes era como ciencia ficción”, dijo Ryan Wilk, un empleado de NuData quien ahora se desempeña como un vicepresidente en Mastercard. “Cuando describíamos los que hacíamos, la gente nos miraba como pensando ‘¿En serio?’; ahora se ha convertido no solo en un truco, sino en una tecnología clave en la industria financiera. Muchas grandes compañías la están usando”.