Quizas no sea la tipica entrada de blog que escribo sobre desarrollo de software, pero tenia que poner en algun lado el malestar que siento cada vez que escucho una propaganda en la tv donde el Banco Pichincha “alardea” de su sistema “biometrico” de seguridad para las transacciones online…
Algo de historia:
Hace aproximadamente 2 meses recibi una llamada desde algun call center que trabaja para el banco, donde me hablaban de que iban a cambiar su sistema de usuario/password para acceder a los servicios online por un acceso biometrico… Rapidamente en mi mente pense: Que sera que el banco va a dar un dispositivo USB como los que tienen en el balcon de servicios para reconocer a los clientes por la huella digital???… Le consulte a la persona que queria decirme con biometrico, que me explique como iba a ser el acceso… para no alargar el cuento lo que me termino diciendo el operador era que la pagina iba a reconocer como yo daba click… Creo que si el tipo hubiese visto mi cara del otro lado de la linea habria entendido que no estuvo ni cerca de darme la respuesta que como cliente necesitaba… en fin, no insisti porque en este tipo de campanhas telefonicas le dan al agente un script que lee y ciertas respuestas a preguntas basicas que pueda hacer la gente
Antes de ahondar en el sistema del banco vamos con algo de literatura obtenido de Wikipedia en lo que respecta a Biometria:
La biometría es el estudio de métodos automáticos para el reconocimiento UNICO de humanos basados en uno o más rasgos conductuales o físicos intrínsecos. El término se deriva de las palabras griegas “bios” de vida y “metron” de medida.
Veamos que dice la pagina del banco pichincha con respecto a su sistema:
“El Sistema de Ingreso Biométrico construye, evoluciona y almacena un patrón personal en la forma en la que el usuario ingresa los datos en su computador además de otras características de comportamiento y entorno. Es como crear una huella o una firma única y exclusiva de cada cliente.
Este Sistema contempla seguridades adicionales mediante el uso de preguntas secretas y figuras secretas las cuales garantizan aún más el acceso a la Banca Electrónica.”
Como funciona:
Al comenzar con el uso del sistema “biometrico” ingresas el “usuario biometrico” y la “clave biometrica”, luego seleccionas 3 preguntas/respuestas y una imagen, en los primeros 10 accesos el sistema pide que respondas una de las 3 preguntas y selecciones la imagen entre unas 10 figuras.
Ahora viene el FABULOSO BIOMETRICO, el cual aparentemente consiste en almacenar el patron en como digitas tus datos de usuario y clave (algun algoritmo que registra la cantidad de milisegundos que transcurren entre cada key stroke), el cual si no esta dentro del margen que el algoritmo ha de considerar correcto te pide que te identifiques contestando una de las 3 preguntas y seleccionando la imagen… oh sorpresa vuelves a acceder al sistema sn inconveniente…
Regresemos a la literatura en wikipedia:
Tabla comparativa de sistemas biométricos
Ojo (Iris) | Ojo (Retina) | Huellas dactilares | Vascular dedo | Vascular mano | Geometría de la mano | Escritura y firma | Voz | Cara 2D | Cara 3D | |
Fiabilidad | Muy alta | Muy Alta | Muy Alta | Muy Alta | Muy Alta | Alta | Media | Alta | Media | Alta |
Facilidad de uso | Media | Baja | Alta | Muy Alta | Muy Alta | Alta | Alta | Alta | Alta | Alta |
Prevención de ataques | Muy alta | Muy Alta | Alta | Muy Alta | Muy Alta | Alta | Media | Media | Media | Alta |
Aceptación | Media | Baja | Alta | Alta | Alta | Alta | Muy Alta | Alta | Muy alta | Muy alta |
Estabilidad | Alta | Alta | Alta | Alta | Alta | Media | Baja | Media | Media | Alta |
Encasillando el sistema del banco pichincha en la columna de Escritura y firma, notamos que es una de las mas bajas de fiabilidad, prevencion de ataques y estabilidad… Y siendo asi, el acceso a las transacciones online no esta limitado al reconocimiento de como digitas la informacion, el sistema termina siendo una transaccion de autenticacion donde debes insertar usuario/password, responder una pregunta y seleccionar una imagen…
Aqui es donde todos nos preguntamos: DONDE ESTA LO BIOMETRICO???
Para finalizar: En el medio ecuatoriano donde estan poniendonse a la orden del dia los ataques de phishing y se han dado ya multiples perdidas en la banca ofrecer un servicio de seguridad con una verdad a medias parece una falta de respeto a los clientes y como decia un profesor de la universidad un ATENTADO a la inteligencia de las personas que debido a la formacion que tenemos entendemos con mayor detalle el “servicio” que ofrece el banco…
Saludos
gish@c