"Se necesitan 20 años para construir una reputación y sólo cinco minutos para arruinarla". Esta cita de Warren Buffett se ha convertido en la premisa del mundo de la ciberseguridad. La ha rescatado Alberto López, vicepresidente del área cyber & intelligence solutions product lead de Mastercard e invitado de honor a la presentación del Reporte de Inteligencia de la Identidad de Mitek Systems. El acto ha servido para presentar las nuevas y ampliadas oficinas que la compañía de verificación de identidad ha estrenado en Cerdanyola del Vallès, pero también para explicar en qué punto se encuentran los sistemas de seguridad que tienen los bancos. Las exposiciones de Marc Sabadí, jefe de innovación de identidad de Mitek, y López, han coincidido en la idea de que las contraseñas "han quedado obsoletas" y han advertido del aumento de los ciberataques: empresas como Mastercard sufren alrededor de 200.000 intentos todos los días.
Por ese motivo, Mitek Systems ha diseñado un informe con el objetivo de concienciar del riesgo que existe en la actualidad. Para su elaboración, se entrevistaron con 1.500 líderes de departamento de innovación y fraude de bancos del Reino Unido, Estados Unidos y España. El 34% de los encuestados admitieron dificultades a la hora de identificar a sus clientes. "Actualmente, la identidad es el vector principal del fraude", ha avisado Sabadí. De hecho, el 76% de los participantes consideran que los casos de fraude y estafas se han sofisticado en los últimos tiempos. ¿Por qué? De acuerdo con Sabadí, hay "tres causas": primero, que compañías como Mitek cada vez "se lo ponen más difícil"; segundo, el "surgimiento de empresas criminales profesionales"; y tercero, "la aparición de la IA generativa".
En este sentido, desde Mitek recomiendan saber diferenciar las amenazas para "no confundirse" al identificarlas. "Un ciberataque es un ataque a la infraestructura tecnológica de una empresa, el fraude ataca directamente los activos financieros de la compañía y la estafa se produce cuando alguien legítimamente es convencido de hacer algo en contra de su propio interés", ha matizado Sabadí.
Los principales escollos con los que se encuentran los bancos son la falta de capacidad de respuesta en tiempo real de los clientes y los problemas al identificar a sus clientes en cualquier ciclo de vida
Pese a las amenazas, el 90% de los bancos españoles que aparecen en el informe creen que hacen lo suficiente para proteger a sus clientes. "Esta percepción se puede dar por el cumplimiento de las regulaciones que hay en Europa, mucho más estrictas que en Estados Unidos", según Sabadí. Los principales escollos con los que se encuentran las entidades bancarias son la falta de capacidad de respuesta en tiempo real de los usuarios (de acuerdo con el 37% de los encuestados) y los problemas a la hora de identificar a sus clientes en cualquier ciclo de vida. Esto quiere decir que las compañías sufren para detectar qué cuentas bancarias son de personas normales y cuáles de criminales, entre otras cosas.
Los mensajes en el móvil, una asignatura pendiente
Uno de los métodos más repetidos por los estafadores son los mensajes al móvil de los supuestos bancos advirtiendo de un problema. El texto va acompañado de un enlace fraudulento que invita al receptor a introducir sus datos bancarios. Esta práctica se conoce como phishing y ya se está trabajando para combatirla. La idea que se ha propuesto a la Groupe Spécial Mobile Association (GSMA) es que los bancos tengan un tic de verificación, al estilo de Instagram o X. Aun así, López ha remarcado que no será suficiente para acabar con este tipo de estafas. "Todos estamos cada vez más interconectados con empresas, así que es importante que entre nosotras estemos también muy interconectadas. Los malos buscan siempre el eslabón más débil, y si este está en un proveedor, por ejemplo, irán directamente ahí", ha advertido. Actualmente, el 39% de los casos de fraude consigue burlar las defensas de las compañías españolas.
Empresas como Mastercard ya han invertido alrededor de 7.000 millones de euros en ciberseguridad
Precisamente por este motivo, empresas como Mastercard destinan cada vez más dinero en ciberseguridad. La multinacional de servicios financieros ya ha invertido 7.000 millones de euros en este ámbito, pero la seguridad no es el único rasgo diferencial que buscan sus clientes. "Los pagos tienen que ser rápidos, sencillos y seguros", asegura López. Uno de los momentos más determinantes se produce en la fase de onboarding, es decir, en el momento en el que el usuario introduce una contraseña o sus datos biométricos de protección en la base de datos de una compañía. "El 40% de la gente abandona el proceso si el onboarding dura más de 10 minutos, y a partir de los 25 minutos sólo queda el 5%", apunta López.
Adiós a las contraseñas, hola a los datos biométricos
Un aspecto que ha quedado claro durante la presentación es que las contraseñas ya no sirven para protegerse de las amenazas que hay en Internet. "Son inseguras y generan fricción", ha afirmado Sabadí. Y esto tiene más que ver con nosotros que con los hackers, porque "no somos cuidadosos a la hora de escoger una contraseña", según el jefe de innovación de identidad de Mitek. "En cambio, la biometría es la forma más antigua de identificar a las personas: mirándolas a la cara. Afortunadamente, hay tecnología segura para poder hacerlo", ha añadido. Eso sí, empresas de seguridad como Mitek no guardan nuestros rostros. "Lo único que conservamos es un patrón biométrico irreversible, es decir, a través de la cara de una persona generamos un código alfanumérico, pero nunca se podría ejecutar este proceso a la inversa", ha matizado Sabadí.
En este sentido, López ha explicado que el potencial de la biometría nos permitirá en un futuro próximo pagar sin tarjeta ni dispositivos: sólo con nuestra sonrisa. Este concepto se conoce como biometría multimodal por sus diversas aplicaciones. Pero hay más: la biometría no sólo es nuestra huella, iris o cara, sino la forma en que interactuamos. Por ejemplo, la velocidad con la que movemos el cursor o tecleamos en nuestro dispositivo permitirá saber si somos nosotros los que estamos usando el aparato. "Es lo mismo que cuando timbramos a casa de un familiar y decimos que somos nosotros. ¿Cómo lo pueden saber? Por la cadencia de la voz, las veces que llamamos o la hora a la que solemos llegar a casa. A todo esto se le llama biometría del comportamiento", ha rematado López.
Amazon, WhatsApp o Google ya trabajan con 'passkeys', que además de vincular nuestras cuentas con contraseñas, lo hacen también con los dispositivos que usamos
En esta línea, las empresas de seguridad también trabajan con otra idea: las passkeys. Se trata de una manera de reforzar la seguridad de nuestras cuentas, puesto que no solo las vinculan con nuestras contraseñas, sino que también con nuestros aparatos. "La mayoría de los hackers se encuentran en países remotos, y con este método no pueden romper el sistema sin tener físicamente el dispositivo", ha explicado López. En realidad, este es un concepto que la mayoría de usuarios ya conoce porque compañías como Amazon, WhatsApp o Google ya lo usan: se trata de un aviso notificándote que alguien ha iniciado sesión desde un lugar poco habitual.
La IA, una arma de doble filo
Como cualquier evento relacionado con la tecnología y la digitalización, la inteligencia artificial ha tenido mucho protagonismo en el acto. Y es que además de ser una herramienta abierta para todo el mundo -también para los ciberdelincuentes-, puede ayudar a precisar los sistemas de defensa de compañías como Mitek o Mastercard. En los últimos meses ha habido un repunte de ataques cibernéticos a grandes firmas como Telefónica, Santander o Ticketmaster, que sufrió una filtración de datos de 560 millones de usuarios. "En Mastercard se producen casi 5.000 transacciones por segundo, para un humano es imposible estudiarlas todas, pero la IA puede identificar las fraudulentas a través de patrones", ha anunciado López.
La IA ayudará a reducir los casos de 'phishing' y a saber detectar qué caras o datos biométricos son sintéticos y cuáles auténticos
Además de este uso, la inteligencia artificial puede contribuir a reducir el phishing y ayudar a detectar qué caras o datos biométricos son sintéticos y cuáles auténticos. También documentos, a través del document liveness detection, que analiza un fichero y según su velocidad puede concluir si es real o artificial. Aun así, la democratización de la herramienta a la que hacía referencia Sabadí anticipa una guerra por el control de la IA entre empresas de ciberseguridad y hackers en un contexto de escalada tecnológica sin precedentes.