Selfies para la verificación de transacciones: ¿un estándar confiable o una ilusión de seguridad?

La tendencia de usar selfies para la autenticación en línea está ganando popularidad en varios países del mundo, especialmente después de la pandemia, cuando muchos negocios se trasladaron a la esfera digital. Algunos bancos y gobiernos han comenzado a exigir imágenes «en vivo» para verificar la identidad. Sin embargo, la pregunta sigue abierta: ¿qué tan seguro es esto?

Desde el 1 de julio, Vietnam introdujo una verificación facial obligatoria a través de aplicaciones bancarias móviles para todas las transacciones digitales superiores a 400 dólares. Los residentes del país no pueden optar por no seguir estas reglas, a pesar de que Vietnam a menudo se evalúa como un país con bajo nivel de privacidad en Internet y ciberseguridad. Los medios locales son escépticos sobre la capacidad de los selfies para mejorar la seguridad. Solo unos días después de la introducción de las nuevas reglas, algunas aplicaciones comenzaron a aceptar fotografías normales en lugar de imágenes tomadas en tiempo real.

Estos problemas no son exclusivos de Vietnam. A finales de junio, la empresa estadounidense Resecurity informó sobre un aumento en las filtraciones de documentos con selfies de singapurenses en recursos de Internet oscura. Estas imágenes a menudo se transmiten a organizaciones financieras y comerciales y pueden ser capturadas por ciberdelincuentes para su posterior venta.

Según Akif Khan, vicepresidente de la empresa analítica Gartner, el interés en el uso de selfies para la verificación de identidad ha crecido significativamente en los últimos cinco años, especialmente durante la pandemia. Las empresas financieras y las agencias de consultoría, como New World Advisors, también apoyan esta tendencia, viéndola como una necesidad para los servicios en línea.

Los procesos de verificación, como la lucha contra el lavado de dinero (Anti-Money Laundering, AML) y «conoce a tu cliente» (Know Your Client, KYC), a menudo están regulados por varias leyes y organizaciones internacionales. Sin embargo, estos procesos rara vez están estandarizados a nivel global, lo que crea lagunas en la regulación.

Según Kevin Reed, director de seguridad de la información de Acronis, el problema a menudo radica en el manejo incorrecto de los datos, no en la tecnología en sí. «La recopilación de selfies para KYC no es un problema en sí misma, el problema es que estos datos no se procesan adecuadamente y a menudo no se destruyen después de la verificación», señaló Reed.

Resecurity también dio un ejemplo de un proveedor de pagos digitales de Singapur que utiliza un método de verificación con una fotografía junto con un documento de identidad. Este método se considera más confiable, pero aún está sujeto a riesgos.

Mientras tanto, Khan de Gartner cree que la preocupación por el robo de datos personales de fotografías e identificadores de imágenes encontrados en la dark web es exagerada, ya que la mayoría de las organizaciones requerirán no solo una fotografía para abrir cuentas bancarias y otras acciones financieras, sino una serie de acciones, posiblemente con video, como girar la cabeza o mostrar un gesto específico en el cuadro. Esto puede ser bastante difícil de falsificar.

A pesar de esto, Khan advierte que incluso tales métodos no pueden ser completamente seguros. Es importante garantizar que estos sistemas sean accesibles para todos los usuarios sin crear vulnerabilidades para los atacantes.