Cómo se protegerán las compras por internet si los hackers son capaces de robar hasta tu huella dactilar, según un experto en ciberseguridad de Mastercard

Alberto López, director de Ciberseguridad de Mastercard en España y Portugal.
Alberto López, director de Ciberseguridad de Mastercard en España y Portugal.
  • El futuro de los pagos digitales tiene una fecha clave, el año que viene, cuando el uso de datos biométricos
    —reconocimiento facial, huella dactilar— se convierte en estándar por la entrada en vigor de la regulación europea sobre servicios de pagos electrónicos (PSD2) al completo.
  • El responsable de Ciberseguridad de Mastercard España es optimista ante este reto, a pesar de que hay hackers que han conseguido robar huellas dactilares o suplantar identidades biométricas.
  • Alberto López explica en esta entrevista con Business Insider España que el futuro de la seguridad en estas pasarelas de pagos va más allá de la biometría: la seguridad será "multicapa".
  • Además, recuerda que Mastercard ya cuenta con soluciones tecnológicas como la biometría del comportamiento: los dispositivos no solo valorarán que te sepas tu contraseña, sino también cómo la tecleas, en qué orden pulsas las teclas o lo rápido que la introduces.
  • Descubre más historias en Business Insider España.

El futuro del dinero en efectivo no es muy halagüeño. La transformación digital ya estaba poniendo en jaque su futuro como medio de pago de referencia, pero la crisis del coronavirus ha sido la puntilla para que los pagos en línea se estandaricen y se consoliden todavía más.

Además del miedo a tocar, la emergencia sanitaria también está trastocando los hábitos de consumo. No iremos al supermercado de la misma forma, si es que lo hacemos. Muchos usuarios optarán, más que nunca, por comprar por internet.

Este es el escenario con el que entrará en vigor toda la regulación europea sobre servicios de pagos electrónicos (PSD2). Aunque la Autoridad Bancaria Europea (EBA, por sus siglas en inglés) comenzó a implementar esta nueva normativa en septiembre del año pasado, todo lo concerniente al pago digital se pospuso hasta el 31 de diciembre de 2020.

Uno de los principales ejes de la PSD2 es la securización de los pagos. Tanto en el mundo físico como en el digital, la PSD2 requiere que las personas cumplan con al menos 2 de estos 3 elementos, condiciones indispensables para garantizar una pasarela de pago segura:

  1. Algo que poseas.
  2. Algo que solo tú sepas.
  3. Algo que solo tú seas.

Alberto López es el director de Ciberseguridad de Mastercard en España. Él lo explica así: en el mundo físico, los usuarios ya pagan con algo que poseen —una tarjeta de crédito—, algo que saben —un código PIN— y algo que son —pueden demostrar su identidad—.

Ahora, "en el mundo digital, el factor de propiedad es nuestro teléfono, ya que el chip de la SIM puede equivaler al chip de las tarjetas de crédito", detalla el experto. "Y aquí entra la biometría".

La biometría ayudará a que los procesos de compra "sean sencillos y fiables". En su opinión, "es la mejor manera de evitar ser suplantados a la hora de realizar un pago: al final, le puedo dar a un amigo, a mi mujer o a mi hija mi tarjeta de crédito y decirles mi código PIN".

Leer más: PSD2: cómo te afectará esta nueva normativa cuando compres en una tienda física u online

"Pero mi dedo... no se lo puedo dar a nadie".

Algunos indicadores biométricos son las huellas dactilares, el reconocimiento facial o la detección por voz. Credenciales que identifican de forma inequívoca a un ser humano y que ya se utilizan diariamente para desbloquear el teléfono móvil o para acceder a la app de una entidad bancaria.

A partir del año que viene, también se utilizarán para pagar a través de internet. Mastercard, de hecho, participa en un hub para startups llamado Madrid in Motion que este año busca soluciones tecnológicas para pagar solo con la voz.

López explica que esto, aplicado al ámbito de la movilidad, abriría la puerta a poder pagar el aparcamiento, el combustible, los peajes o incluso una cena sin necesidad de bajarse del vehículo o desviar la mirada del tráfico.

Los datos biométricos también se pueden robar

Huella dactilar

Alberto López es consciente de que la biometría no es suficiente por sí sola como para garantizar la seguridad de los pagos digitales. La tecnología "de los malos", como se refiere este experto a los ciberdelincuentes, "también avanza con la nuestra".

No es nuevo. Cuando Apple presentó su primer iPhone con Touch ID, su sensor dactilar, investigadores en ciberseguridad consiguieron hacer un molde a partir de la fotografía de una de estas huellas tomada sobre una superficie de vidrio.

Desde moldes para robar huellas dactilares hasta programas de inteligencia artificial capaces de simular rostros ajenos, los famosos deepfakes. Los datos biométricos también pueden ser robados. Por este motivo, incluso varios expertos recomendaron no hacerse fotos haciendo el signo de la victoria.

"Para luchar contra este tipo de ataques, estamos creando unos estándares que deberán seguir todos los proveedores que le den soluciones a entidades financieras, para garantizar que la calidad de sus algoritmos es lo suficientemente alta como para evitarlos", explica López. Además, estas soluciones deberán estar "acreditadas por laboratorios de seguridad independientes".

"Cualquier solución para el pago mediante biometría deberá estar validada y certificada por un laboratorio independiente, y garantizar un mínimo de falsos positivos. Así podemos comprobar que la posibilidad de fallos es muy baja, tanto en pagos con voz, como para pagos con reconocimiento facial, de pulso, de iris, de huella dactilar o de cualquier tipo".

López incide que la posibilidad de que los hackers puedan conseguir suplantar los datos biométricos de sus víctimas y además robarte el móvil —el elemento de propiedad, también necesario para el pago seguro— es bajo. "Hay que tener en cuenta que la biometría no es más que un factor adicional, por eso la PSD2 hace necesaria la presencia de dos factores para autentificar los pagos".

Soluciones: entornos multicapa y biometría del comportamiento

"Aun así, Mastercard sigue trabajando para ampliar la seguridad en lo que llamamos un entorno multicapa". La seguridad multicapa y la biometría de comportamiento son 2 de las soluciones que imagina este directivo a la hora de anticipar el futuro de la ciberseguridad en pagos digitales.

La biometría del comportamiento es una de las soluciones tecnológicas que Mastercard ya tiene disponible. "Hace unos años, en el Mobile World Congress, pusimos un portátil con una nota en el stand. En la nota aparecían los datos de usuario y contraseña para poder iniciar sesión en el ordenador", explica López.

Nadie consiguió acceder al ordenador.

"Una solución de biometría al comportamiento no solo comprueba que has escrito la contraseña correcta", subraya el experto. "Mira la forma en la que tecleas tus datos, a qué ritmo, en qué orden". Los usuarios, "al cabo de varios usos", tienen una forma concreta de introducir sus claves.

"No solo nos identifica sabernos la contraseña: también con qué velocidad la escribimos, desde qué dispositivo o IP la introducimos, desde qué ubicación". Esto es lo que, según López, es un entorno de seguridad multicapa. El futuro del pago seguro en línea.

Descubre más sobre , autor/a de este artículo.

Conoce cómo trabajamos en Business Insider.