Ya sea que se utilice para desbloquear su teléfono, obtener acceso a su cuenta bancaria en línea o servicios gubernamentales o incluso en aeropuertos para verificar usuarios y poner fin a las colas de pasaportes, un número cada vez mayor de empresas y gobiernos buscan el reconocimiento facial para verificar y autenticar usuarios en otros escenarios.
Esto se debe a que, en su forma actual, autenticar o verificar identidades no funciona, la identidad digital está rota. En el mundo físico, identificamos a las personas de manera instintiva por sus características: su rostro o su voz, por ejemplo, pero en línea, es más difícil demostrar la identidad y más fácil para los estafadores fingir que son alguien que no son.
Hemos visto violaciones de datos frecuentes, incluidas marcas como BA, donde los datos de los clientes se roban y luego se venden en la web oscura, donde es fácil para los estafadores adquirir credenciales de inicio de sesión en masa. El aumento del fraude y el uso de identidades sintéticas muestra cuán rota está la identidad digital.
Muchas empresas buscan el reconocimiento facial para mejorar sus prácticas de identidad digital y un primer paso para mejorar las estrategias de verificación y autenticación. Sin embargo, como método independiente, tiene sus propias deficiencias y puede ser el único punto de falla en el proceso de verificación o autenticación.
Primero, es importante distinguir las diferencias entre verificar y autenticar a un usuario. Cuando la tecnología de reconocimiento facial verifica a un usuario, detecta el rostro de un individuo, lo analiza y luego lo compara con la información proporcionada, como una tarjeta de identidad.
Una vez que se ha verificado la identidad, la autenticación es cuando se confirma la identidad de un cliente solicitando más credenciales para permitir el acceso a los servicios, por ejemplo, a través de información personal como una contraseña o un PIN.
Como método de verificación, el reconocimiento facial y la biometría funcionan bien en general. Por ejemplo, al abrir una nueva cuenta bancaria, los consumidores comprenden que necesitarán verificar su identidad, por lo que el uso de datos biométricos es un método apropiado para hacerlo.
Sin embargo, depender del reconocimiento facial para fines de autenticación o autorización más adelante en el viaje del usuario en línea puede no ser apropiado por varias razones.
1. Sesgos inherentes
Un desafío muy publicitado del reconocimiento facial cuando se usa como método de autenticación o autorización es que puede excluir a grupos de la población. El problema ampliamente reportado con el uso del reconocimiento facial por parte de Uber para que los conductores accedan a la aplicación tuvo enormes consecuencias no deseadas a través de prejuicios raciales o religiosos y elitismo tecnológico.
2. Fricción
La biometría física también puede agregar fricción al recorrido del cliente. En algunos casos, la fricción es apropiada. Por ejemplo, cuando se les pide a los clientes que reconfirmen su identidad antes de autorizar la transferencia de una gran suma de dinero, esto puede ser tranquilizador para los clientes.
Sin embargo, si se requiere una identificación facial cada vez que compra algo en un minorista en línea, es probable que lleve su negocio a otra marca donde sea más fácil y rápido realizar una compra.
3. Seguridad
También puede sorprender a las personas saber que existen limitaciones de seguridad para la biometría facial. El uso de una foto simple como única forma de autenticación puede llevar a los estafadores a afirmar falsamente que sus métodos biométricos están dañados solo para eludir el proceso de autenticación. Los estafadores también están buscando activamente formas de engañar a los sistemas de reconocimiento facial.
4. Falta de privacidad
El reconocimiento facial es molesto y no preserva la privacidad. Su rostro es información de identificación personal (PII) y se requiere permiso para recopilar, almacenar y procesar esto en muchos países bajo el Reglamento General de Protección de Datos (GDPR), por lo que muchas personas optarán por no utilizar el reconocimiento facial como método para autenticarse o autorizar.
Nuestra propia investigación revela que solo el 38% de los consumidores del Reino Unido se sienten cómodos usando datos biométricos estáticos, como la identificación de huellas dactilares o el reconocimiento facial, para confirmar su identidad cuando usan un servicio o compran un producto.
5. Punto único de falla
Finalmente, el uso del reconocimiento facial como autenticador requiere hacer una pregunta cerrada. Por ejemplo, “¿es esta la cara del usuario?”. Es una respuesta de sí o no, pero si la computadora o el teléfono no reconocen al usuario, ¿qué sucede entonces? Muy a menudo, no existe otro método que permita al usuario autenticarse y continuar con su viaje de usuario (como fue el caso de Uber), destacando el problema del uso del reconocimiento facial como un punto único de falla.
Desafortunadamente, cuando hay un plan de respaldo, a menudo es una reversión a contraseñas y pines que son débiles y están abiertos a compromisos, a menudo la razón por la que la seguridad se incrementó al método aparentemente más sólido de reconocimiento facial.
Arreglar la identidad digital mediante capas de seguridad
¿Entonces, cuál es la solución? Si bien el reconocimiento facial tiene su lugar, es vital que se superponga con otros puntos de datos para garantizar que no haya un solo punto de falla en el proceso de autenticación. Una forma de hacer esto es a través de la biometría del comportamiento.
La biometría del comportamiento, como deslizar o escribir, es extremadamente difícil de imitar y comprometer. La tecnología de aprendizaje automático analiza cómo los consumidores interactúan físicamente con sus dispositivos, el ángulo en el que sostienen su dispositivo móvil, su cadencia de escritura, la presión que aplican e incluso los movimientos del mouse.
Estas entradas construyen un modelo único del comportamiento “habitual” de un consumidor y proporcionan comparaciones para interacciones posteriores. Si un consumidor muestra un comportamiento que es diferente a la “norma” esperada, cualquier intento de acceso se identifica como potencialmente fraudulento y se puede escalar, ya sea requiriendo una autenticación adicional o deteniéndose por completo.
Al combinar la biometría del comportamiento con otra inteligencia, como el dispositivo y la ubicación, las empresas pueden asegurarse de que no haya un solo punto de falla si algo no parece correcto.
Solo continuaremos viendo anuncios de organizaciones y gobiernos que intentan respaldar el reconocimiento facial y otras tecnologías biométricas estáticas. Pero para autenticar a los usuarios de forma segura sin comprometer la experiencia del usuario, las organizaciones no deben confiar en el reconocimiento facial como un método de autenticación independiente.
Amir Nooriala es director comercial de Callsign.