Onboarding y autenticación biométrica para combatir el fraude online

Alexandre Maravilla    7 diciembre, 2021
Fraude online

El fraude online ha experimentado un notorio crecimiento desde que a principios de 2020 la pandemia aceleró la transformación digital de empresas y ciudadanos. Así lo refleja el último informe de la Asociación española contra el Fraude, en el que el 71% de los encuestados asegura que en los últimos meses se han producido más intentos de fraude que el año pasado, siendo el fraude en identidad a cliente el más recurrente en las empresas según el 58% de los consultados.

¿Qué es el fraude en identidad de cliente?

El tipo de fraude por el que los estafadores utilizan los datos legítimos de un cliente para suplantar su identidad, tanto en el momento de abrir una cuenta o registrarse en un servicio (Onboarding), como en el momento del acceso a la cuenta o a los servicios previamente contratados (Autenticación).

Fraude en la apertura de cuentas (“Account Opening Fraud”)

Los atacantes intentan burlar los controles de identidad y prevención del fraude en el proceso de Onboarding. ¿Cómo? A través de identidades reales robadas, o de identidades sintéticas/simuladas que no pertenecen a ningún ciudadano real y creadas a parir de la Inteligencia Artificial.

Fraude de suplantación de cuentas (Account Takeover Fraud)

Los atacantes intentan saltar los controles de identidad y prevención del fraude en el proceso de autenticación. ¿Cómo? A través del robo de credenciales de usuario, básicamente contraseñas expuestas en la dark web como resultado de las innumerables fugas o brechas de datos habidas en los últimos años.

¿Cómo pueden prevenir las empresas el fraude en identidad de cliente?

Incorporando en sus flujos de negocio y operación procesos de Digital Onboarding (apertura de cuenta) y Autenticación Biométrica (acceso sin contraseñas).

  • Los mecanismos de Digital Onboarding verifican la identidad real de un ciudadano que no mantiene una relación previa con la empresa, comparando sus rasgos biométricos faciales, contra la fotografía de su documento nacional de identidad (expedido por una fuente autorizada o de confianza).
  • Los mecanismos de Autenticación Biométrica corroboran que la persona que intenta acceder a un servicio digital, corresponde con un usuario o cliente previamente registrado, y cuya identidad real ha sido verificada. Para ello validan la identidad del usuario comparando los rasgos biométricos presentados en el momento del acceso, contra su patrón biométrico registrado y almacenado en el momento del registro/onboarding.

Etapas del proceso de Digital Onboarding

El Onboarding se puede descomponer en dos grandes bloques; técnicas de “Identity Proofing” (verificación de la identidad) y técnicas de “Identity Affirmation” (corroboración de la identidad)

El proceso de “Identity Proofing” tiene las siguientes fases o etapas:

  1. Verificación de la validez del documento nacional de identidad presentado
    1. A través de la tecnología OCR (Optical Character Recognition)
    1. A través de la tecnología NFC (Near-Field Communication) si el documento presentado y el dispositivo sobre el que se realiza el Onboarding soporta esta tecnología
  2. Captura de selfie y prueba de vida
    1. La prueba de vida trata de validar que quien quién está realizando el Onboarding es una persona real y no un impostor suplantando la identidad mediante identidades robadas o sintéticas.  Es actualmente el factor más crítico de todo el proceso. Existen certificaciones de la industria ISO/IEC 30107 que acreditan que un proveedor cumple con los estándares necesarios para llevar a cabo este proceso con garantías.
  3. Comprobación biométrica entre el selfie y la fotografía del documento nacional de identidad presentado.
    1. El NIST (National Institute of Standards and Technology) puntúa la efectividad de los algoritmos biométricos a través de su “Face Recognition Vendor Test”.
  4. Comprobación “manual” del proceso por agentes especializados (solo para los casos de uso en el que es necesario el cumplimiento de normativas de blanqueo de capitales)

Adicionalmente al proceso de Identity Proofing existen procesos dirigidos a la detección del fraude en el Onboarding, que a diferencia de centrarse en la comprobación o validación del documento nacional de identidad, realizan comprobaciones contra otros datos o parámetros del usuario.

Estas técnicas se conocen en inglés como “Identity Affirmation Tools”. Algunos ejemplos son:

  • Comprobación de los datos de identidad del usuario (nombre, dirección postal, teléfono, fecha de nacimiento), contra bases de datos oficiales; datos censales/electorales, credit bureau o registros o bases de datos con carácter financiero. También es posible conectar directamente con bases de datos estatales previa autorización de las autoridades (en España la policía nacional es la propietaria y responsable de custodiar la BBDD de los DNIs).
  • Comprobación de los atributos digitales del usuario; email, dirección IP, o redes sociales. Por ejemplo, comparando la geolocalización de la dirección IP contra la dirección postal que aparece en el documento de identidad aportado.
  • Comprobación de parámetros del dispositivo de usuario. La información recopilada sobre el sistema operativo, el navegador y sus plug-ins, y sobre el hardware y sus características, sirve para crear lo que se conoce como “Device Fingerprint
  • Análisis del comportamiento (“Behavior-Analytics”). El análisis de la cadencia del tecleo, los movimientos del ratón, o la rapidez con la que se rellenan formularios, puede indicar que quien está detrás de la pantalla no es una persona real sino un robot tratando de automatizar el proceso.

Desafíos del Onboarding y la Autenticación Biométrica

Los mecanismos de Onboarding y Autenticación Biométrica ayudan a prevenir el fraude online a la vez que mejoran la experiencia de usuario/cliente en su interacción con los sistemas de gestión de la identidad y acceso de las plataformas digitales. Entre los principales retos a los que se enfrenta la industria encontramos cuestiones relacionadas con la gestión de la privacidad y el cumplimiento de las distintas regulaciones en matería de protección de datos personales. Los datos biométricos son datos altamente sensibles que, a diferencia de las contraseñas que por ejemplo pueden ser reseteadas y modificadas tantas veces como se quiera, hacen referencia a rasgos fisiológicos imposibles de modificar.

Deja una respuesta

Tu dirección de correo electrónico no será publicada.