La falta de regulación en los servicios masivos no presenciales para entidades financieras limita la adopción de nuevas tecnologías y la innovación. En Colombia, la Superintendencia Financiera publicó a finales de 2019 una circular que hace algunas modificaciones acerca del uso de validación biométrica, lo cual ayuda a generar confianza entre las partes y a mitigar el riesgo asociado a transacciones no presenciales. Las ventajas generadas por una regulación clara no solo benefician al sector financiero sino a otros sectores que quieren hacer uso de validación de identidad en sus procesos digitales.
Validación de identidad en servicios no presenciales
La implementación de servicios no presenciales masivos se beneficia considerablemente de una normativa clara, ya que permite por un lado que las partes involucradas en una transacción desarrollen una relación de confianza, y por otro lado establece parámetros de seguridad que mitigan el riesgo de fraude. Un ejemplo claro de los beneficios de una regulación sobre el uso de nuevas tecnologías se dio en 2014 en Alemania [FLA2019], donde surgió la primera regulación que permitió establecer la identidad de una persona y generar todo el proceso de enrolamiento de manera no presencial por medio de videoconferencia. Esta capacidad dinamizó el ecosistema digital y promovió la aparición de bancos digitales como N26, FidorBank o SolarisBank.
Un aspecto que se suele resaltar en este tipo de normativas es la adaptación al riesgo, es decir, que el mecanismo de validación de identidad elegido debe ofrecer un nivel de seguridad proporcional al riesgo de la transacción. Esto se debe a que un nivel de seguridad más elevado está asociado por un lado a una mayor complejidad técnica (costo) y así mismo a un mayor grado de fricción con el usuario. Por ejemplo, el NIST [NIS2017], que se encarga de estandarizar los procesos de validación de identidad haciendo uso de la identidad digital en los Estados Unidos, define 3 niveles para aseguramiento de identidad (IAL) y 3 niveles para aseguramiento de autenticación (AAL).
El uso de técnicas biométricas se asocia generalmente con una menor fricción con el usuario, y tiene como ventaja que existen diferentes tecnologías que se pueden adecuar según el nivel de riesgo. Por ejemplo, en escenarios de alto riesgo, donde es necesaria la presencia de la persona y se cuenta con equipos especializados, la biometría por análisis de iris puede ser pertinente. Por otro lado, cuando se trata de un evento no presencial, la validación facial por medio de fotos tomadas por teléfonos móviles es ampliamente utilizada. Por lo tanto, al fomentar una mayor facilidad a la hora de acceder a servicios digitales, la regulación orientada al uso de tecnologías biométricas sirve como potenciador de la inclusión financiera en América Latina, donde según el Banco Mundial [WB2017] en 2017 tan solo el 55% de los adultos contaban con una cuenta bancaria.
Circular Externa 029 de 2019. Superintendencia Financiera de Colombia
La circular externa 029 de diciembre de 2019 de la Superintendencia Financiera de Colombia “modifica la Circular Básica Jurídica en materia de requerimientos mínimos de seguridad y calidad para la realización de operaciones y acceso e información al consumidor financiero y uso de factores biométricos”.
Dentro de las modificaciones que aparecen en esta circular, hay dos que hacen referencia directa a la validación de identidad: La primera clasifica la autenticación y establece requerimientos específicos para su uso en ciertos escenarios. La segunda establece los requerimientos para poder implementar factores biométricos en la validación de identidad.
Mecanismos fuertes de autenticación
Los mecanismos fuertes de autenticación están definidos de la siguiente manera:
“2.2.6.1. Biometría en combinación con un segundo factor de autenticación para operaciones no presenciales. En aquellos eventos en que la operación se efectúe de manera presencial no se requerirá el uso de un segundo factor de autenticación.
2.2.6.2. Certificados de firma digital de acuerdo a lo establecido en la Ley 527 de 1999 y sus decretos reglamentarios.
2.2.6.3. OTP (One Time Password), en combinación con un segundo factor de autenticación .
2.2.6.4. Tarjetas que cumplan el estándar EMV, en combinación con un segundo factor de autenticación .
2.2.6.5. Registro y validación de algunas características de los computadores o equipos móviles desde los cuales se realizarán las operaciones, en combinación con un segundo factor de autenticación.”
Es decir que para procesos no presenciales la biometría puede ser utilizada si se combina con un segundo factor de autenticación. Algo similar ocurre con los OTP (que generalmente se envían por medio de SMS) y con lo que se conoce como el “rastro digital de dispositivos”, que hace referencia a todas aquellas características técnicas que permiten identificar el dispositivo desde el cual se conecta el usuario al servicio. Por lo tanto, una combinación de estos 3 elementos sirve para ofrecer una autenticación fuerte en procesos financieros no presenciales.
Adicionalmente, la circular establece cuando se debe utilizar la autenticación fuerte. Este uso debe ser obligatorio en dos casos:
“2.3.3.1.27.1. La actualización de datos del cliente para la notificación de operaciones monetarias o generación de alertas (p.ej. correo electrónico, celular).
2.3.3.1.27.2. Las operaciones realizadas con tarjeta débito y crédito, en territorio nacional, en ambiente presente, cuando el emisor sea colombiano, y se superen los parámetros establecidos en cumplimiento de lo dispuesto en el subnumeral 2.3.3.1.26. del presente capítulo. “
Pero adicionalmente, las entidades deben realizar un análisis de riesgo para establecer cuando es pertinente usar este tipo de autenticación. Por ejemplo, el riesgo puede estar asociado al volumen de transacciones, al monto, a la hora del día, al tipo de transacción, etc. Por lo tanto, la regulación es consistente con los esfuerzos internacionales que adaptan los niveles de autenticación al nivel de riesgo. Adicionalmente, al establecer qué tipos de autenticación son considerados válidos, se generan reglas claras que le permiten tanto a los usuarios como a las instituciones establecer relaciones de confianza.
Requerimientos para uso de biometría como factor de autenticación
Uno de los principales aspectos que aparecen en la circular respecto al uso de la biometría como factor de autenticación biométrica es la verificación con la base de datos de la Registraduría Nacional del Estado Civil (RNEC), con bases de datos propias, o con los futuros operadores de servicios ciudadanos digitales o de identidad digital, que serán autorizados por la Agencia Nacional Digital. Esta validación es especialmente relevante si consideramos que la RNEC es el organismo nacional encargado de la identificación de todos los ciudadanos, y por lo tanto es el ente máximo que puede verificar la identidad de una persona. Adicionalmente se establecen unas medidas de seguridad específicas para la protección de datos personales en caso de que las empresas cuenten con una base de datos propia.
Por otro lado, en el caso de hacer uso de biometría para autenticación, se obliga a contemplar medidas de prueba de vida de la siguiente manera:
“2.3.9.4. En la implementación de factores biométricos se deben contemplar mecanismos de prueba de vida para fortalecer la confiabilidad y seguridad del sistema tales como: i) medición de propiedades fisiológicas del individuo, ii) identificación de respuestas de comportamiento humano o iii) protocolos de desafío-respuesta.”
Este aspecto es muy importante, ya que los esquemas estáticos de biometría pueden presentar vulnerabilidades importantes, como por ejemplo permitir validar la identidad de una persona por medio de una foto o un video. Esto merma la confianza entre las partes y acentúa el riesgo asociado a la validación de identidad.
Implementación de soluciones de autenticación
Uno de los aspectos que aborda la circular 029 en consistencia con las normativas internacionales es la adecuación del tipo de autenticación al nivel de riesgo, para lo cual hace una definición de autenticación fuerte y así mismo define unas condiciones para el uso de biometría como factor de autenticación. La selección de un método adecuado de autenticación afecta directamente la experiencia de usuario, ya que algunos métodos pueden generar mayor fricción, y por lo tanto una menor aceptación del servicio.
En el caso de reconoSER ID, se usa biometría facial como elemento primario de autenticación, y para garantizar que se trata de una transacción que ocurre en tiempo real se hace una prueba de “rostro vivo”, en la que se incluyen mecanismos de desafío-respuesta. Este mecanismo está compuesto de movimientos y gestos que no generan fricción con el usuario. Así mismo, para cumplir con la regulación mencionada en este documento, existe la posibilidad de combinar este método de autenticación con otros. Uno de ellos es la validación del documento de identidad, la cual se realiza con el Archivo Nacional de Identidad (ANI) que ofrece la RNEC. Como parte del proceso que realiza reconoSER ID, se incluye la validación de la consistencia interna del documento al comparar el texto del documento con la información codificada en el código de barras, la obtención de la imagen de la foto del documento y su comparación con la foto de enrolamiento o validación, y el análisis de componentes anómalos que indiquen una falsificación del documento de identidad. Adicionalmente, se puede enviar un OTP por medio de un mensaje SMS, el cual tiene como ventaja que es un servicio que se puede ofrecer en la mayor parte del país gracias a la cobertura de las tecnologías celulares 2G. Finalmente, existen otros elementos de la solución que permiten identificar el dispositivo electrónico del usuario, como su dirección IP o su sistema operativo, entre otros. Elementos complementarios para establecer la identidad de una persona también se pueden utilizar, gracias a bases de datos públicas. Estas diferentes posibilidades no solo cumplen con la regulación, sino que son lo suficientemente flexibles para adaptarse a las diferentes políticas de seguridad establecidas por las instituciones financieras.
Conclusiones
La Superintendencia Financiera de Colombia ha generado una normativa que le permite a los actores involucrados definir los tipos de autenticación electrónica que son válidos para transacciones financieras, lo cual sirve como guía para los procesos de validación de identidad no presencial en todo tipo de industrias. La regulación presentada busca garantizar medidas mínimas de seguridad y definir mecanismos adaptados al nivel de riesgo, lo cual debe ser tenido en cuenta en las estrategias de implementación de servicios no presenciales de las empresas.
Diego Pacheco-Páramo