La autenticación basada en riesgos (RBA) es un marco de seguridad adaptable que ha experimentado un fuerte crecimiento en su adopción en los últimos años. Se calcula que el mercado mundial de la RBA alcanzó los 5.000 millones de dólares en 2023 y se prevé que se triplique hasta los 16.500 millones en 2032 (14% CAGR), un crecimiento impulsado por la escalada del fraude de identidad.
La verificación biométrica (o autenticación biométrica) se ha convertido en una parte vital de este marco, ya que las empresas buscan medidas de seguridad que sean a la vez muy fiables y no intrusivas para los usuarios. Procedimientos como el reconocimiento facial tienen tasas de fallo extremadamente bajas, a la vez que sólo tardan unos segundos y no requieren gran esfuerzo del usuario.
En este artículo, ofreceremos una visión general de la autenticación basada en riesgos, cómo se integra en ella la verificación biométrica y qué consigue en última instancia para las empresas.
Reciba publicaciones como esta en su bandeja de entrada con el resumen quincenal del blog de Regula
¿Qué es la autenticación basada en riesgos?
La autenticación basada en riesgos es un marco de seguridad de inicio de sesión que ajusta dinámicamente sus requisitos en función del riesgo calculado de cada intento. Si el riesgo percibido es bajo, la autenticación es bastante sencilla (quizá sólo una contraseña). Pero a medida que aumenta el nivel de riesgo, el proceso de autenticación se vuelve más estricto.
Los factores clave en el cálculo del riesgo son
El dispositivo y la red utilizados: El sistema comprueba el dispositivo y la red utilizados. Un inicio de sesión desde un dispositivo de confianza y una red conocida (con una dirección IP conocida y una geolocalización prevista) es de bajo riesgo, mientras que un intento desde un dispositivo desconocido o una ubicación inusual (por ejemplo, en el extranjero o en una red nueva) activa alertas. A veces también puede tenerse en cuenta la hora del día: el acceso durante una hora extraña o desde detrás de un proxy anonimizador puede considerarse más arriesgado.
Comportamiento e historial del usuario: La autenticación basada en riesgos compara el intento con el perfil de comportamiento normal del usuario. Las desviaciones de la rutina—realizar acciones que el usuario no suele hacer—aumentarán la puntuación de riesgo. Si es necesario, el sistema también puede tener en cuenta el historial de problemas de seguridad anteriores en la cuenta y la sensibilidad de la operación solicitada.
Biometría del comportamiento: La forma en que un usuario teclea, mueve el ratón o desliza el dedo por una pantalla táctil puede servir como firma biométrica. Si la cadencia o el patrón no coinciden con el usuario habitual (por ejemplo, una velocidad de tecleo drásticamente diferente), un sistema avanzado puede sospechar de un impostor aunque se haya utilizado la contraseña correcta.
Características de las transacciones: Incluso después del inicio de sesión, RBA puede evaluar el riesgo de actividades específicas. Una transacción de alto valor o inusual se marcará como de alto riesgo y podría desencadenar un paso de autenticación adicional antes de completarse.
Todos estos datos se ponderan y combinan para obtener una puntuación de riesgo global y, en función de ella, el sistema activa varios escenarios. Un inicio de sesión rutinario desde un dispositivo conocido podría requerir sólo una contraseña, pero un inicio de sesión con múltiples señales de alarma (nuevo dispositivo, ubicación extraña, múltiples intentos fallidos) daría lugar a un desafío escalonado o a la denegación de acceso.
Cómo funciona la verificación biométrica en RBA
La integración de la verificación biométrica en la RBA parece una evolución natural: los datos biométricos están ligados a la presencia física del usuario y son difíciles de robar o falsificar.
La verificación biométrica utiliza los rasgos biológicos únicos de una persona (como la cara, las huellas dactilares o la voz) para verificar su identidad. En un sistema RBA, la biometría se utiliza normalmente como método de autenticación escalonado cuando un intento de inicio de sesión se considera de alto riesgo. Esto significa que para la mayoría de los inicios de sesión rutinarios y de bajo riesgo, los usuarios se autenticarán con algo más sencillo como una contraseña o un token de dispositivo. Pero si el motor de riesgo del sistema detecta un intento, solicitará además al usuario una comprobación biométrica.
Dicho esto, uno de los primeros casos importantes de biometría en la autenticación basada en riesgos siguió una lógica totalmente opuesta. El sistema INSPASS, instalado en varios aeropuertos estadounidenses durante los años 90 y principios de los 2000, estaba pensado para viajeros de bajo riesgo preseleccionados. El sistema utilizaba la biometría de la geometría de la mano para agilizar el proceso de entrada de este grupo demográfico, ya que pasarían por la aduana sin someterse a una entrevista por parte de los inspectores.
Reconocimiento facial
El reconocimiento facial se utiliza habitualmente en los teléfonos inteligentes para el desbloqueo de usuarios, y cada vez se aprovecha más en la autenticación web mediante estándares como WebAuthn (utilizando el desbloqueo facial del dispositivo). En la autenticación basada en riesgos, suele ser el método más utilizado para verificar la identidad en inicios de sesión o transacciones sospechosas, ya que es más potente que un PIN pero no demasiado pesado. También es buena para la verificación a distancia (por ejemplo, para el onboarding digital o el restablecimiento de contraseñas) porque hoy en día un rostro puede capturarse prácticamente en cualquier lugar.
Al mismo tiempo, la biometría facial puede ser sensible al entorno, ya que la mala iluminación, la calidad de la cámara o los ángulos de pose extremos pueden afectar al rendimiento. También hay que tener en cuenta la privacidad: algunos usuarios se sienten incómodos dando datos sobre su rostro, ya que quizá lo asocian con la vigilancia. Además, el hecho de que las caras de las personas sean a menudo públicas (en las redes sociales, etc.) significa que los atacantes tienen más con lo que trabajar para hacer trampas, lo que hace que una prueba de vida robusta sea absolutamente esencial.
Por suerte, las soluciones modernas como Regula Face SDK no sólo son capaces de realizar un reconocimiento facial instantáneo, sino que también evitan todo tipo de ataques de presentación conocidos, como el uso de imágenes estáticas de rostros, fotos impresas, repeticiones de vídeo, inyecciones de vídeo o máscaras. También pueden funcionar eficazmente en casi cualquier condición de iluminación y cumplen con las leyes de privacidad de datos.
Huellas dactilares
Las huellas dactilares se han utilizado en seguridad durante décadas y son ideales para el desbloqueo de dispositivos locales que participan en un esquema RBA más amplio. Por ejemplo, si un inicio de sesión es de alto riesgo, el sistema puede enviar una notificación al teléfono del usuario y pedirle que escanee su huella dactilar en el teléfono para aprobarlo. Esta es también la razón por la que las huellas dactilares pueden utilizarse en el PC sin necesidad de un lector de huellas dactilares.
Los modernos escáneres de huellas dactilares (capacitivos o ultrasónicos) son rápidos y pequeños, y se encuentran en miles de millones de teléfonos inteligentes y en muchos ordenadores portátiles, teclados, cerraduras de puertas, etc. La experiencia del usuario es fluida, ya que basta un toque en el sensor para iniciar sesión sin ni siquiera encender la pantalla en algunos casos. Las huellas dactilares como factor también son algo a lo que los usuarios se han acostumbrado para desbloquear dispositivos y autorizaciones de pago (Apple Pay, etc.), por lo que la aceptación de los usuarios es alta.
Todavía hay algunas consideraciones, ya que los dedos sucios o lesionados pueden causar falsos negativos (no se escanearon correctamente), y algunas personas tienen huellas dactilares desgastadas (por ejemplo, debido al trabajo manual), lo que hace que sea más difícil capturarlas de manera consistente. Curiosamente, las huellas dactilares latentes también pueden levantarse de los objetos que toca una persona y utilizarse para crear moldes; se trata de un ataque conocido que Hollywood suele exagerar, pero que es factible con determinados materiales.
Reconocimiento de voz
La biometría de voz destaca en la banca y el servicio de atención al cliente, y también se está estudiando su uso para la autenticación en contextos de IoT (por ejemplo, el inicio de sesión en el coche mediante la voz). En la autenticación basada en riesgos, la voz puede utilizarse cuando no se dispone de otros factores; por ejemplo, si un usuario llama al servicio de atención al cliente, el sistema puede realizar una verificación por voz, ya que no puede realizar una comprobación facial o dactilar por teléfono. En el caso de los inicios de sesión a través de la web o el móvil, la voz se utiliza menos como paso previo principal, pero podría ofrecerse como alternativa por motivos de accesibilidad o si la cámara o la huella dactilar no son opciones.
Barclays está considerado uno de los pioneros del reconocimiento de voz en la banca: en 2013 implantó una solución de biometría de voz que permitía identificar a los clientes mediante una conversación natural. En el plazo de un año desde su introducción, más del 84 % de los clientes de Barclays se registraron, y el 95 % de ellos se verificaron correctamente en su primer uso del sistema. Los comentarios de los clientes también han mejorado, y el 93% de los clientes califican a Barclays con al menos un 9 sobre 10 por la rapidez, facilidad de uso y seguridad del nuevo sistema.
La principal ventaja de la autenticación por voz es que se puede realizar con un simple micrófono, del que disponen todos los teléfonos y muchos ordenadores. La voz es también un dato biométrico que puede verificarse pasivamente durante una conversación, lo que significa que puede ser muy poco intrusivo. Sin embargo, las voces pueden variar más que las huellas dactilares o los rostros debido a problemas de salud (una persona resfriada puede no coincidir bien con su huella vocal normal). El ruido de fondo y la calidad de la llamada también pueden influir mucho en la precisión, lo que contribuye a tasas de error ligeramente superiores a las de las huellas dactilares o los rostros históricamente.
Además, los sistemas de reconocimiento de voz actuales deben ser lo suficientemente avanzados como para luchar contra los ataques de repetición y los clones de IA. Fuera de una conversación en directo, un ataque de repetición puede contrarrestarse con un reto aleatorio; pero en cuanto a los ataques de IA, muchos sistemas han demostrado ser vulnerables en ocasiones.
Otras modalidades
Hay otros métodos que merece la pena mencionar, aunque no son tan comunes. No son óptimos para la autenticación general debido a sus necesidades de hardware, pero en entornos de alta seguridad o alto rendimiento podrían formar parte de una estrategia RBA, si fuera necesario.
Por ejemplo, el escaneado del iris es extremadamente preciso y se utiliza a menudo en el control de fronteras (por ejemplo, en los quioscos de inmigración). Es un poco más engorroso, ya que requiere una cámara de infrarrojos cerca del ojo, pero ofrece una de las tasas de falsas coincidencias más bajas de todos los biométricos.
Los escáneres de retina (escaneo de los vasos sanguíneos de la parte posterior del ojo) son aún más intrusivos y raros fuera del ámbito militar.
El escaneo de las venas de la palma de la mano (patrón venoso infrarrojo de la mano) también se utiliza en algunos productos y empresas porque es muy seguro y no requiere contacto.
Cómo se cuestiona cada día la verificación biométrica en RBA
A medida que la verificación biométrica gana adeptos, los atacantes responden con tácticas más sofisticadas para engañarla. Veamos ahora cuáles son las principales amenazas y sistemas de autenticación biométrica y cómo afectan a las implantaciones de RBA:
Ataques de presentación
Los atacantes pueden utilizar varias técnicas de suplantación para engañar a los sistemas biométricos:
Pantallas de alta resolución y bucles de vídeo: Un atacante que consiga de algún modo un vídeo del objetivo puede utilizar una tableta de alta resolución para reproducirlo y orientarlo hacia la cámara. A veces, pueden incluso reproducir en bucle una secuencia de parpadeo para intentar superar una simple prueba de vida.
Máscaras 3D y prótesis: En el plano físico, se han creado máscaras hiperrealistas (impresas en 3D a partir de la imagen de una persona) que pueden engañar a los sistemas que carecen de detección de profundidad. La IA puede ayudar en este caso generando modelos faciales en 3D a partir de fotos en 2D, que luego pueden imprimirse en 3D. Estos ataques con máscaras no son habituales debido a su coste y a la necesidad de presencia física, pero en ataques dirigidos, no se puede descartar.
Reproducción y clonación de la voz: Para el reconocimiento de voz, la simple reproducción de un clip de voz grabado de la víctima puede funcionar a veces si el sistema no utiliza un mecanismo de desafío-respuesta. Los atacantes pueden recopilar muestras de voz de un objetivo (de YouTube, buzón de voz, etc.) y utilizar servicios de clonación de voz de IA para sintetizar respuestas con la voz del objetivo.
Un ejemplo clásico de suplantación de identidad fue la prueba de gemelos de la BBC con Voice ID de HSBC en 2017. El hermano gemelo no idéntico de un reportero fue capaz de imitar su voz y obtener acceso parcial a la cuenta bancaria repitiendo la frase de contraseña, tras varios intentos.
Falsificaciones generadas por IA
Quizá la amenaza más perturbadora sea el auge de los deepfakes generados por IA: imágenes, vídeos o grabaciones de voz falsas y realistas de una persona, creadas para hacerse pasar por ella durante un control biométrico. Si un deepfake engaña a un sistema de autenticación, el atacante puede iniciar sesión como la víctima sin haberla conocido ni haberle robado ningún factor físico. Las falsificaciones profundas también suponen un reto, ya que pueden intentarse de forma remota a gran escala: un atacante podría seguir probando diferentes variantes generadas por inteligencia artificial para ver cuál funciona.
Un incidente llamativo ocurrió a principios de 2024: unos delincuentes crearon una deepfake del director financiero de una empresa y otros empleados para engañar a un responsable financiero. En una videoconferencia, el empleado vio lo que parecía ser la cara de su director financiero dando instrucciones. Creyendo que era auténtico, posteriormente transfirieron 25 millones de dólares a las cuentas de los atacantes antes de que se descubriera la estafa.
En respuesta a ello, muchos proveedores biométricos como Regula están incorporando la detección de falsificaciones en sus productos. Además, la confirmación secundaria puede ayudar; en el caso de acciones muy delicadas, algunas instituciones pueden querer a un humano en el bucle (por ejemplo, una videollamada con un agente) si algo parece raro.
Pero desde la perspectiva de la RBA, el sistema podría tratar la mera posibilidad de una deepfake como un factor de riesgo. Por ejemplo, si la confianza del reconocimiento facial es normalmente del 99%, pero en un inicio de sesión baja al 80% y el sistema sospecha que hay algo raro en la imagen, puede denegar el acceso o exigir un factor alternativo. Algunos bancos también han empezado a incorporar la autenticación de documentos junto a la biometría facial, en la que el usuario debe mostrar también un documento de identidad vivo.
Garantizar la seguridad de la verificación biométrica
Su proceso de verificación de identidad puede beneficiarse en gran medida de soluciones de software sólidas que lo hagan no sólo seguro, sino también fácil de usar y conforme a las normas. Por ejemplo, la biometría facial con prueba de vida puede llevarse a cabo mediante soluciones como Regula Face SDK.
Nuestra solución de verificación biométrica multiplataforma y totalmente local presenta las siguientes características:
Integración con sistemas existentes: El SDK se integra con una amplia gama de dispositivos físicos y apps móviles para adaptarse perfectamente a su entorno.
Reconocimiento facial avanzado con prueba de vida: El SDK utiliza algoritmos precisos de reconocimiento facial con prueba de vida activa para verificar a los usuarios, evitando la suplantación a través de fotos o vídeos.
Comparación facial 1:1: Compara la imagen facial en vivo de un usuario con su identificación o entrada en la base de datos, verificando la identidad en un nivel 1:1.
Identificación facial 1:N: Escanea y compara los datos faciales del usuario con los de una base de datos, identificándolo a partir de varias entradas a la vez (1:N).
Evaluación de atributos faciales: Evalúa atributos faciales clave como la edad, la expresión y los accesorios para mejorar la precisión y la seguridad durante la verificación de la identidad.
Adaptabilidad a diversas condiciones de iluminación: Funciona eficazmente con casi cualquier luz ambiental.
Soporte multilingüe: Disponible en más de 30 idiomas para facilitar la localización.