Como consecuencia a la pandemia de la COVID-19 se ha visto impulsado el interés de los consumidores en los pagos sin contacto, debido a la aversión general a tocar superficies compartidas. A pesar de que la seguridad de las tarjetas EMV es elevada gracias a su código de cifrado E2E, no se debe dejar de avanzar en la seguridad en las tarjetas. Por ello, y de una manera cada vez más constante, las tarjetas biométricas se están instaurando en la sociedad.
Las tarjetas de pago biométricas comienzan el 2021 con una explosión después de que su progreso fuese seguido muy de cerca en la industria durante el año pasado. Empresas como Thales, Fingerprints Card, Idex Biometrics y CardLab han considerado que el mejor método biométrico para emplear en las tarjetas es un sensor de huellas dactilares en el cuerpo de la tarjeta. Así pues, el hecho de pagar con una tarjeta EMV se podría volver el método más sencillo y seguro que ha existido hasta día de hoy.
Su forma de empleo es simple y sencilla, el usuario al sostener la tarjeta como viene haciéndolo en la actualidad realizará la verificación biométrica con su dedo inscrito, además de que se podrá seguir haciendo uso del código PIN como una solución de reserva siempre que la huella digital del titular no se pueda utilizar.
El principal beneficio es que los datos de referencia de huellas dactilares capturados por el sensor biométrico se almacenan de forma segura en el chip de la tarjeta, de modo que no tendría que mantenerse en los servidores del Banco. El proceso de grabado de huella debe ser muy riguroso y seguro. El uso conjunto de las tarjetas EMV y la biometría se complementan entre sí y compensan las deficiencias de los sistemas individuales. En definitiva, el problema de la privacidad al utilizar una solución de identificación biométrica se puede solventar almacenando los datos biométricos en el chip de la tarjeta inteligente para que siempre permanezca en el usuario, aumentado así la privacidad general y la portabilidad de esta.
Ventajas y desventajas
Se debe destacar que para el cliente pagar con una tarjeta EMV biométrica es más sencillo que nunca; se puede realizar el pago con un simple toque, sin necesidad de introducir un PIN en el TPV para realizar la transacción de pago, no tiene límite en la forma de pago contactless porque la autentificación del usuario se realiza de forma segura con su huella digital y el gran avance es que no se requiere actualización en el TPV, ya que la verificación biométrica se realiza directamente en la tarjeta biométrica EMV.
Desde un punto de vista más técnico, es difícil realizar ingeniería inversa en una tarjeta inteligente y acceder a la información almacenada en ella. Así, la combinación con la biometría hace que estas nuevas tarjetas presenten una protección completa de la privacidad, un ID de usuario biométrico único y una seguridad cibernética mejorada. El ID de usuario no es hackeable ya que la verificación se realiza sin conexión porque tiene lugar en la propia tarjeta de acuerdo con la denominada tecnología Match-on-Card.
Los aspectos negativos que implica el uso de la biometría son escasos pero existentes. En primer lugar, debemos mencionar el coste de estas tarjetas ya que un sistema de seguridad más avanzado requiere más inversión para ser implementado. ABI Research pronostica 2,5 millones de tarjetas de pago biométricas emitidas en 2021, y con el aumento de su adopción en el mercado una reducción de su coste actual, que se encuentra entre 20$ y 30$. El coste es uno de los factores inhibidores más importantes que mantiene el factor de forma de la tarjeta de pago biométrico firmemente dentro de la fase de prueba y evaluación. Dependiendo de los volúmenes, se espera que los costes por unidad de la tarjeta desciendan hasta alcanzar valores de entre 13$ y 20$ en 2021.
Por último, aunque es poco probable, pueden tener lugar falsos positivos, sesgos e imprecisión. Un dispositivo biométrico analiza una huella digital completa durante el proceso de inscripción, pero durante su uso cotidiano solo utilizará partes de la impresión para verificar la identidad, de modo que sea un proceso rápido. Ante una lesión del usuario en la zona de la yema del dedo empleado, por ejemplo, la tarjeta podría no reconocer su huella y dar error. Ante estos problemas de sesgo siempre se puede recurrir al uso de PIN de la tarjeta EMV.
Conocer la debilidad aportará seguridad
La autentificación biométrica es solo un objetivo más para los ciberdelincuentes. Actualmente se venden dispositivos en el mercado negro diseñados para interceptar datos biométricos mediante la transferencia de datos. Los delincuentes emplearían estos dispositivos para interceptar datos de tarjetas y datos biométricos. Las huellas dactilares se almacenan en una base de datos del banco. Existen dos posibles situaciones:
- El uso del mismo dedo para todos los clientes, situación más sencilla para el atacante porque solo debe conocer un dedo del cliente.
- Los dedos se eligen al azar, situación más difícil para el atacante porque debe obtener todas las huellas digitales de cada cliente para un ataque exitoso.
Las principales propiedades de los datos biométricos son su unicidad, invariabilidad y no repudio. Estas propiedades permiten identificar a su propietario de forma única y no ambigua. Sin embargo, cuanto más se utilicen estos datos, es más probable que sean robados. Por lo tanto, es importante mantener esos datos seguros y transmitirlos de forma cifrada.
Además, los lectores de datos biométricos son muy recientes, por lo que están en fase de prueba todavía, lo cual brinda una oportunidad excelente a los atacantes para explorar y evaluar las vulnerabilidades futuras de los dispositivos.
Por ejemplo, un atacante puede preparar un rastreador NFC especialmente diseñado para rastrear datos biométricos de la tarjeta bancaria de un cliente que contenga un chip NFC. El atacante emplea el rastreador NFC en lugares con una gran cantidad de gente como el metro. En el momento en el que establece un contacto cercano, el atacante recopila datos del chip de la tarjeta que contendría la información de la huella. Las tarjetas sin NFC están protegidas por diseño contra tales ataques, en cambio las tarjetas que sí disponen de NFC tan solo están protegidas si los clientes utilizan protección física contra la comunicación inalámbrica (como, por ejemplo, una jaula de Faraday). Tras recopilar la información el atacante solo tiene que hacer uso de un lector de huellas dactilares falso para hacer uso de la información de la tarjeta.
No obstante, la posibilidad de falsificar huellas dactilares es muy difícil y costoso, pero no imposible. Esto se podría realizar mediante la elaboración de un molde si la víctima está inconsciente o indispuesta, mediante un escáner o adquirirlas en la darknet ya que no todas las empresas que manejan datos biométricos los almacenan de forma fiable. La dificultad reside en que la imagen bidimensional se tiene que convertir en un modelo de tres dimensiones e imprimirse en una impresora 3D.
También existen las vulnerabilidades relacionadas con las bases de datos, la forma de proteger estos datos biométricos es mantenerlos de forma centralizada, con transmisión y almacenamiento seguros. Este aspecto es de gran importancia ya que se espera crear un volumen de datos biométricos significativo que debe ser objeto de especial protección.
Productos en el mercado
El principal fabricante de las tarjetas biométricas es CardLab junto con Quardlock, quienes han creado una tarjeta biométrica con un sistema de autentificación backend para la protección de infraestructuras críticas. CardLab ha integrado su solución de tarjetas biométricas con el sistema de autentificación backend de Quardlock para asegurar tarjetas de pago contra fraudes y robos de identidad. CardLab utiliza la autenticación de sistema en la tarjeta con el escáner de deslizamiento FPC1080A de Fingerprint Cards y el sensor táctil T-Shape de la serie FPC1300.
Thales Group también participa en esta aventura: su tarjeta biométrica se anunció como la primera tarjeta de pago de huellas dactilares sin contacto certificada por Mastercard. La certificación cubre el desempeño de huellas dactilares basado en una verificación exitosa y tasas muy bajas de falsa aceptación y falso rechazo (FAR y FRR, respectivamente), junto con el desempeño de la velocidad y la distancia durante las transacciones y la seguridad de la implementación. Esta certificación ha permitido ir más allá de la fase piloto y atender las demandas de los primeros bancos en unirse al uso de tarjetas biométricas.
Conclusiones
La combinación de tarjetas EMV y la biometría se complementan entre sí, apareciendo una privacidad mejorada porque la información biométrica es segura en la tarjeta, que actúa como una base de datos personal, firewall y terminal de autenticación. Existe también una seguridad mejorada ya que se identifica con precisión a las personas con una ambigüedad mínima y garantiza que la tarjeta está en posesión de su legítimo propietario. A diferencia del uso del código PIN, que es un método de autenticación, la biometría es un método de identificación porque los datos biométricos no se pueden compartir.
Todavía es un modelo de pago con tarjeta que no está instaurado a nivel mundial ni de forma masiva por ello es importante anticiparse a los posibles ataques que pueden surgir en el futuro para proteger su integridad y convertirlo en uno de los métodos de pago más seguros combinando las tarjetas EMV con el cifrado E2E, junto con el PIN y la huella aportada por la biometría.
Cada vez son más las empresas como Fingerprint Cards, G+D, Idemia, Idex Biometrics, Infineon, Linxens, NXP, STM y Thales, las que se unen a este nuevo mercado de tarjetas biométricas dispuestas a instaurarse en los bancos.
Te invitamos a conocer nuestro servicio de Seguridad Digital y cómo en Softtek ayudamos a las organizaciones a enfrentar las amenazas cibernéticas, aquí.
