Cada vez más empresas están adoptando la verificación biométrica para incorporar usuarios de forma remota. El reconocimiento facial es una de las opciones populares que actualmente usa el 56% de las empresas que participaron en una encuesta de Regula.
Desde el punto de vista tecnológico, hay dos formas de autenticar clientes de esta manera: pasiva o activa.
En esta publicación del blog, desglosaremos el proceso de autenticación pasiva, describiremos sus beneficios y limitaciones, y le mostraremos algunos escenarios comúnmente usados para esta tecnología.
Reciba publicaciones como esta en su bandeja de entrada con el resumen quincenal del blog de Regula
¿Qué es la autenticación pasiva?
La autenticación pasiva implica verificar una característica de una persona o cosa — un factor de autenticación — sin ninguna actividad explícita por parte del usuario. Según el caso, el factor de autenticación puede ser el rostro, el iris, la voz, etc., del usuario. En este artículo, nos centraremos en el proceso que involucra una selfie.
Cuando se trata de verificar personas en línea, es crucial confirmar que la persona al otro lado es real. En un flujo de autenticación basado en reconocimiento facial, las pruebas de vida se emplean para realizar esta tarea. La forma en que se hacen estas comprobaciones determina si se trata de un flujo pasivo o activo. También vale la pena señalar la diferencia entre las comprobaciones de “prueba de vida pasiva” y “prueba de vida activa”.
Prueba de vida: una inmersión profunda
La prueba de vida es una técnica para determinar con precisión si una muestra biométrica proviene de un ser humano real o de una representación falsa. En este proceso, que también se llama comprobación de vida, el usuario envía una selfie como muestra biométrica, y un algoritmo está diseñado para detectar cualquier ataque de presentación, como máscaras, fotos deepfake o videos que puedan usarse para engañarlo. Al distinguir a una persona viva de estos intentos fraudulentos, la prueba de vida garantiza la autenticidad de la muestra biométrica y protege contra el fraude de identidad.
Autenticación pasiva vs. autenticación activa: ¿cuál es la diferencia?
Supongamos que un cliente quiere iniciar sesión en una app de banca móvil protegida con tecnología de prueba de vida activa o pasiva.
Durante la autenticación activa, se le pide al usuario que realice algunas acciones que se generan aleatoriamente para la sesión. Debe girar la cabeza hacia la derecha y hacia la izquierda, y luego ajustar su rostro dentro del área resaltada en la pantalla. Después de un momento, el usuario queda verificado.
Durante la autenticación pasiva, simplemente se le pide al usuario que se tome una selfie. No se requieren acciones explícitas de su parte. El sistema entrega el resultado de la verificación en segundos.
Históricamente, la tecnología de autenticación activa para prueba de vida apareció primero. Como muestra el ejemplo anterior, la autenticación activa solicita a los usuarios realizar una serie de acciones aleatorias. A los usuarios normalmente no les gusta que se les haga pasar por tantos pasos, pero las empresas tenían una razón legítima para incorporar este procedimiento. En ese momento, para la mayoría de los usuarios era difícil tomar una selfie de alta calidad que funcionara para una prueba de vida confiable.
A medida que las cámaras móviles han mejorado, la autenticación pasiva para pruebas de vida ha ganado una adopción más amplia. Tomar una foto es mucho más rápido que repetir acciones generadas aleatoriamente. Al ser más sencilla y conveniente para los usuarios, este método de verificación de identidad también es seguro y confiable.
¿Es efectiva la autenticación pasiva para la verificación biométrica facial?
Parece contraintuitivo que una sola toma pueda ser tan segura como toda una secuencia de acciones. Sin embargo, las tecnologías de visión por computadora que sustentan las soluciones de autenticación pasiva funcionan bastante bien.
En la autenticación pasiva con prueba de vida, se usan redes neuronales para comprobar la vida del usuario. Para sobresalir en esta tarea, se entrenan con un gran conjunto de datos, que incluye miles de muestras fotográficas de personas de múltiples edades, géneros y nacionalidades. Estas muestras también tienen varios fondos: una pared blanca lisa, un paisaje primaveral, mobiliario de oficina, etc.
Cada tipo de red neuronal está orientado a realizar una tarea específica: detección de datos, clasificación, segmentación, etc. Como resultado, después de “graduarse”, las redes neuronales entrenadas han adquirido cierta especialización.
Se usa una variedad de redes neuronales en conjunto para realizar una prueba de vida. Eso significa que cada una hace su trabajo particular: mientras una detecta si en una selfie aparece un hombre o una mujer, otra estima la edad de la persona. Por lo tanto, el resultado final de verificación es la suma de muchas comprobaciones proporcionadas de forma independiente por muchas redes neuronales.
La detección de falsificaciones y trucos fraudulentos en la foto sigue el mismo principio. Si el algoritmo reconoce características de dispositivos electrónicos — marcos, reflejos, ruido moiré o reflexiones —, el sistema alerta que la selfie se está presentando en una pantalla. Las fotos impresas y los deepfakes se detectan por la presencia de textura de piel no natural.
Sin embargo, necesita una selfie de usuario de alta calidad para que toda esta magia funcione. Las fotos borrosas ocultan muchos rasgos faciales esenciales, como la forma del mentón. Por esta razón, la solución de verificación de identidad que use para autenticar clientes de esta manera debe realizar una evaluación de calidad de imagen. También ayuda contar con un módulo avanzado de captura de imagen que determine reflejos, sombras, posición de la cabeza y tamaño del rostro, y que elija la mejor imagen disponible. Esto mantiene al mínimo la tasa de repetición de selfies.
Por qué las empresas están cambiando a la autenticación pasiva
Mejor experiencia de usuario. La autenticación pasiva no genera fricción en comparación con los escenarios en los que se requiere participación activa del usuario. Es más, algunos clientes, especialmente los de mayor edad, pueden tener dificultades con el flujo activo. Por lo tanto, puede mejorar la satisfacción del cliente al implementar esta tecnología.
Mayores tasas de conversión. La autenticación pasiva agiliza el proceso de verificación, haciéndolo más fluido y menos intrusivo para los usuarios. Esto lleva a tasas de conversión más altas durante la incorporación de clientes y en actividades posteriores dentro del servicio en línea. Por ejemplo, los usuarios no tienen que ingresar repetidamente sus credenciales, ya que su selfie es suficiente para verificar una transacción. Esto puede acelerar el proceso de checkout y reducir las tasas de abandono del carrito en e-commerce.
Cumplimiento de accesibilidad. La autenticación pasiva también es una excelente opción cuando entre sus clientes hay personas mayores y personas con distintos tipos de discapacidad. Según las directrices de la W3C Web Accessibility Initiative (WAI), una forma de hacer que la autenticación sea más accesible es usar reconocimiento facial a través del dispositivo móvil del usuario en lugar de requerir un login y contraseña. Normalmente, esto significa que el usuario puede simplemente mirar su cámara frontal para autenticarse.
¿Cuándo es una buena opción la autenticación pasiva con prueba de vida?
El componente de reconocimiento facial se usa ampliamente en distintas industrias, incluidas banca, aviación y telecomunicaciones.
La autenticación pasiva con prueba de vida puede ser la tecnología clave detrás de este proceso. Veamos a qué casos de uso se aplica mejor:
1. Incorporación de nuevos clientes
La autenticación pasiva que emplea reconocimiento facial puede formar parte de un proceso de incorporación fluido que involucra la carga de documentos de identidad. Por ejemplo, los servicios de car-sharing suelen incluir el envío de una selfie del conductor como paso adicional en su flujo de verificación.
Soluciones de verificación de identidad como Regula Document Reader SDK junto con Regula Face SDK realizan entonces una comprobación rápida para comparar la selfie con la foto en la licencia de conducir y validar al nuevo usuario. Además, se realiza una prueba de vida pasiva para garantizar que tanto el ID como la selfie sean auténticos y no estén suplantados.
2. Comprobación de asistencia
La autenticación pasiva está en el centro de muchos sistemas de asistencia de empleados. Normalmente, capturan la ubicación del usuario junto con su selfie y la hora actual para una verificación a prueba de manipulaciones de personal que trabaja desde casa, ayudantes de medio tiempo, conductores, etc.
La autenticación pasiva también puede formar parte de un sistema de control de asistencia presencial. El mecanismo se usa en quioscos de asistencia en empresas de manufactura y logística, hospitales, escuelas, organizaciones de seguridad y sitios de construcción.
3. Cumplimiento de regulaciones en e-commerce
La autenticación pasiva puede ser útil en escenarios de verificación de edad cuando necesita asegurarse de que sus bienes y servicios con restricción de edad no estén disponibles para menores. Este requisito aplica a un amplio grupo de negocios en línea, incluidos sitios web de juegos de azar, comercios de cosméticos para usos específicos y tiendas de fuegos artificiales.
Muchos sitios web de e-commerce usan el método más sencillo de verificación de edad: casillas de confirmación para pedir a los compradores que confirmen que superan la edad mínima. Sin embargo, los reguladores consideran que este tipo de comprobaciones tienen poca probabilidad de satisfacer la debida diligencia del cliente.
El software de verificación de edad implementado en el flujo de compra parece una precaución más razonable. Aquí es donde entra en juego la autenticación pasiva, ya que permite verificar tanto la edad como la identidad del usuario.
4. Crear un proceso de inicio de sesión sin contraseña
La autenticación basada en reconocimiento facial se ha vuelto cada vez más frecuente para realizar diversas tareas en línea. Es más, la tecnología tiene una alta tasa de adopción entre los clientes. El número de usuarios globales que utilizan un módulo de reconocimiento facial seguirá aumentando en los próximos años: de 671 millones en 2020 a 1.4 mil millones para 2025.
La autenticación pasiva es una excelente opción para un proceso de inicio de sesión que no requiere que los usuarios introduzcan contraseñas ni respondan preguntas de seguridad. Este método puede combinarse con un sistema de verificación single sign-on, permitiendo que sus empleados o clientes utilicen la misma forma de identificación para acceder a todas las aplicaciones y servicios de su empresa.
5. Reforzar el perímetro de seguridad
Introducir automatización de IDV en su negocio proporciona una experiencia de usuario con menos fricción. Además, contribuye a la protección de su sistema al añadir más capas de seguridad.
La autenticación biométrica pasiva puede formar parte de un sistema de autenticación multifactor (MFA) combinado con contraseñas de un solo uso, códigos SMS e incluso otras biometrías, como huellas dactilares. Como en este flujo se incluye más de un factor, todas las tecnologías se complementan entre sí y compensan sus limitaciones cuando se usan por separado.
Soluciones de Regula para mejorar su proceso de verificación
Al decidir qué tipo de autenticación añadir a su flujo de verificación, también debe tener en cuenta el equilibrio entre UX y seguridad. Aunque la autenticación activa parece ser más segura, una prueba de vida pasiva siempre es una opción con menos fricción y más conveniente para los clientes. En concreto, el dilema está entre mayores conversiones vs. mayor seguridad.
Como desarrollador experimentado de soluciones de verificación de identidad, Regula puede ofrecerle escenarios de autenticación bien equilibrados que toman en cuenta tanto los riesgos empresariales como los de seguridad.
Regula Face SDK ayuda a prevenir el fraude biométrico al detectar distintos ataques de presentación, como el uso de dispositivos electrónicos, fotos impresas o máscaras realistas en lugar de una persona real. Además, la solución ofrece una forma sencilla de verificar usuarios.
Vea el producto en acción o agende una llamada para hablar de negocios.
