Conclusiones clave
- El nuevo programa de pago biométrico de Mastercard le permite pagar sonriendo a un escáner.
- La autenticación biométrica es confiable, pero los riesgos son altos.
- Es posible tener comodidad y seguridad.
Mastercard quiere permitirle pagar en las tiendas simplemente sonriendo a un escáner, lo cual es divertido hasta que se da cuenta de las implicaciones de privacidad.
La biometría es una forma conveniente de autenticarnos. A menos que tenga mala suerte, siempre tiene los ojos, la cara, los dedos y, ahora, la sonrisa, con usted y listo para desplegar. A las empresas de pagos les gusta la biometría porque la biometría es lo suficientemente individual como para ser funcionalmente única y difícil de falsificar. Nos gustan porque es mucho más fácil pagar con un dedo que sacar una tarjeta. Pero la biometría tiene inconvenientes tan desastrosos que no deberíamos usarla de esta manera.
Un problema más con la biometría: no fallan bien. Las contraseñas se pueden cambiar, pero si alguien copia su huella digital, no tiene suerte: no puede actualizar su pulgar. Las contraseñas se pueden respaldar pero si alteras tu huella dactilar en un accidente, estás atascado”, escribe la leyenda de la seguridad Bruce Schneier en su blog personal.
Fácil de robar, imposible de reemplazar
El programa de pago biométrico de Mastercard se está probando en cinco supermercados en São Paulo, Brasil. Los usuarios pueden inscribir su rostro usando el servicio Payface y luego pagar en las tiendas sonriendo al dispositivo de autenticación.
También puede recordar el sistema de pago de palma experimental de Amazon. Amazon One le permite pagar en las tiendas escaneando su palma, luego de lo cual el pago se extrae a través de su método de pago habitual de Amazon. Hasta ahora, podemos pagar sonriendo o saludando. No puede pasar mucho tiempo antes de que se agreguen a esa lista el chocar los puños y el chocar los cinco débiles corporativos.
Los indicadores biométricos son difíciles de falsificar, e incluso si puede copiar una huella dactilar o una sonrisa, probablemente no se salga con la suya tratando de usar un pulgar de goma en la caja del supermercado. Pero las huellas dactilares son fáciles de robar, al igual que las fotos de tu cara, tus manos, etc.
Y la peor parte de esto es que una vez que su huella digital se ve comprometida, eso es todo. Como señala Schneier, no se puede reemplazar el pulgar, el ojo o la cara.
Hacerlo correctamente
Afortunadamente, existe una manera de usar la autenticación biométrica sin arriesgar sus huellas dactilares, iris, sonrisa, etc. De hecho, es posible que ya lo estés haciendo con Apple Pay o un método de pago de teléfono inteligente similar.
Apple Pay y métodos similares mantienen privada la verificación biométrica. La autenticación es entre usted y su teléfono. Escanea su rostro o su huella dactilar, y cuando el teléfono reconoce que usted es usted, transmite las buenas noticias a la máquina de pago.
Además, su rostro o su huella digital nunca se almacenan en ninguna parte. Cuando registra su rostro en Face ID, por ejemplo, el teléfono usa esos escaneos para generar un proxy encriptado, o hash, para su rostro, que luego se almacena. Más tarde, cuando desbloqueas tu iPhone, el escaneo se "hash" nuevamente y el resultado se compara con el hash almacenado para ver si coinciden.
Por lo tanto, incluso si los datos almacenados pudieran ser robados, no se pueden usar para realizar ingeniería inversa de su rostro o huella digital.
"La clave para proteger las identidades personales y los activos digitales es un mínimo de tres factores de autenticación: algo que sabes, algo que eres y algo que tienes", Adam Lowe, creador de Arculus, le dijo a Lifewire por correo electrónico.“Una sola contraseña o un biométrico no es el muro de protección necesario para sobrevivir. Activar la autenticación multifactor proporciona múltiples muros de protección y reduce las posibilidades de piratería. La biometría debe agregarse como una capa adicional de protección y no solo como un proxy para pasar una contraseña.”
La solución es usar algo como Apple Pay como proxy para sus datos biométricos. De esa manera, nunca tendrá que confiar en una empresa para almacenar de forma segura sus huellas dactilares irreemplazables, escaneos de iris o caritas sonrientes. Después de todo, no es como si cuidaran mejor de ellos que de nuestras contraseñas en este momento, que regularmente se filtran por millones.
Significa que tienes que autenticarte en tu teléfono antes de poder pagar, lo cual es claramente menos conveniente que sonreír (a menos que estés teniendo un día particularmente malo). Pero incluso eso está cubierto. Los usuarios de Apple Watch pueden pagar con un movimiento de muñeca mientras disfrutan de la seguridad biométrica de su iPhone. Parece la solución perfecta.
Corrección 2022-05-27: Se actualizó la atribución de la fuente en el párrafo 12 a pedido de la fuente.
