"Es necessiten 20 anys per construir una reputació i només cinc minuts per arruïnar-la". Aquesta cita de Warren Buffett s'ha convertit en la premissa del món de la ciberseguretat. L'ha rescatat Alberto López, vicepresident de l'àrea cyber & intelligence solutions product lead de Mastercard i convidat d'honor a la presentació del Report d'Intel·ligència de la Identitat de Mitek Systems. L'acte ha servit per presentar les noves i ampliades oficines que la companyia de verificació d'identitat ha estrenat a Cerdanyola del Vallès, però també per explicar en quin punt es troben els sistemes de seguretat que tenen els bancs. Les exposicions de Marc Sabadí, cap d'innovació d'identitat de Mitek, i López, han coincidit en la idea que les contrasenyes "han quedat obsoletes" i han advertit de l'augment dels ciberatacs: empreses com Mastercard pateixen al voltant de 200.000 intents cada dia.
Per aquest motiu, Mitek Systems ha dissenyat un informe amb l'objectiu de conscienciar del risc que hi ha en l'actualitat. Per elaborar-ho, van entrevistar-se amb 1.500 líders de departament d'innovació i frau de bancs del Regne Unit, Estats Units i Espanya. El 34% dels enquestats van admetre dificultats a l'hora d'identificar els seus clients. "Actualment, la identitat és el vector principal del frau", ha avisat Sabadí. De fet, el 76% dels participants consideren que els casos de frau i d'estafes s'han sofisticat en els darrers temps. Per què? D'acord amb Sabadí, hi ha "tres causes": primer, que companyies com Mitek cada cop "s'ho posen més difícil"; segon, el "sorgiment d'empreses criminals professionals"; i tercer, "l'aparició de la IA generativa".
En aquest sentit, des de Mitek recomanen saber diferenciar les amenaces per "no confondre's" en identificar-les. "Un ciberatac és un atac a la infraestructura tecnològica d'una empresa, el frau ataca directament els actius financers de la companyia i l'estafa es produeix quan algú legítimament és convençut de fer alguna cosa en contra del seu propi interès”, ha matisat Sabadí.
Els principals esculls amb què es troben els bancs són la manca de capacitat de resposta en temps real dels clients i els problemes en identificar als seus clients en qualsevol cicle de vida
Tot i les amenaces, el 90% dels bancs espanyols que apareixen a l'informe creuen que fan prou per protegir els seus clients. "Aquesta percepció es pot donar pel compliment de les regulacions que hi ha a Europa, molt més estricta que als Estats Units", segons Sabadí. Els principals esculls amb què es troben les entitats bancàries són la manca de capacitat de resposta en temps real dels clients (d'acord amb el 37% dels enquestats) i els problemes a l'hora d'identificar als seus clients en qualsevol cicle de vida. Això vol dir que les companyies pateixen per detectar quins comptes bancaris són de persones normals i quines de criminals, entre altres coses.
Els missatges al mòbil, una assignatura pendent
Un dels mètodes més repetits pels estafadors són els missatges al mòbil dels suposats bancs advertint d'un problema. El text va acompanyat d'un enllaç fraudulent que convida el receptor a introduir les seves dades bancàries. Aquesta pràctica es coneix com a phishing i ja s'està treballant per combatre-la. La idea que s'ha proposat a la Groupe Spécial Mobile Association (GSMA) és que els bancs tinguin un tic de verificació, a l'estil d'Instagram o X. Tot i això, López ha remarcat que no serà suficient per acabar amb aquest tipus d'estafes. "Tots estem cada cop més interconnectats amb empreses, així que és important que entre nosaltres estiguem també ben interconnectades. Els dolents busquen sempre el punt més feble, i si aquest està en un proveïdor, per exemple, aniran directament allà", ha advertit. Actualment, el 39% dels casos de frau aconsegueix burlar les defenses de les companyies espanyoles.
Empreses com Mastercard ja han invertit al voltant de 7.000 milions d'euros en ciberseguretat
Precisament per aquest motiu, empreses com Mastercard destinen cada cop més diners a la ciberseguretat. La multinacional de serveis financers ja ha invertit 7.000 milions d'euros en aquest àmbit, però la seguretat no és l'únic tret diferencial que busquen els seus clients. "Els pagaments han de ser ràpids, senzills i segurs", assegura López. Un dels moments més determinants es produeix a la fase de l'onboarding, és a dir, en el moment en què l'usuari introdueix una contrasenya o les seves dades biomètriques de protecció a la base de dades d'una companyia. "El 40% de la gent abandona el procés si l'onboarding dura més de 10 minuts, i a partir dels 25 minuts només queda el 5%", apunta López.
Adéu a les contrasenyes, hola a les dades biomètriques
Un aspecte que ha quedat clar durant la presentació és que les contrasenyes ja no serveixen per protegir-se de les amenaces que hi ha a Internet. "Són insegures i generen fricció", ha afirmat Sabadí. I això té més a veure amb nosaltres que amb els hackers, perquè "no som curosos a l'hora d'escollir una contrasenya", segons el cap d'innovació d'identitat de Mitek. "En canvi, la biometria és la forma més antiga d'identificar a les persones: mirant-les a la cara. Afortunadament, hi ha tecnologia segura per poder fer-ho", ha afegit. Això sí, empreses de seguretat com Mitek no guarden els nostres rostres. "L'únic que conservem és un patró biomètric irreversible, és a dir, a través de la cara d'una persona generem un codi alfanumèric, però mai es podria executar aquest procés a la inversa", ha matisat Sabadí.
En aquest sentit, López ha explicat que el potencial de la biometria ens permetrà en un futur pròxim pagar sense targeta ni dispositius: només amb el nostre somriure. Aquest concepte es coneix com biometria multimodal per les seves diverses aplicacions. Però hi ha més: la biometria no només és la nostra empremta, iris o cara, sinó la forma en què interactuem. Per exemple, la velocitat amb què movem el cursor o teclegem al nostre dispositiu permetrà saber si som nosaltres els que estem fent servir l'aparell. "És el mateix que quan piquem a casa d'un familiar i diem que som nosaltres. Com ho poden saber? Per la cadència de la veu, les vegades que piquem o l'hora que solem arribar a casa. A tot això se li diu biometria del comportament", ha rematat López.
Amazon, WhatsApp o Google ja treballen amb 'passkeys', que a més de vincular els nostres comptes amb contrasenyes, ho fan també amb els dispositius que fem servir
En aquesta línia, les empreses de seguretat també treballen amb una altra idea: les passkeys. Es tracta d'una manera de reforçar la seguretat dels nostres comptes, ja que no només els vinculen amb les nostres contrasenyes, sinó també amb els nostres aparells. "La majoria dels hackers es troben en països remots, i amb aquest mètode no poden trencar el sistema sense tenir físicament el dispositiu", ha explicat López. En realitat, aquest és un concepte que la majoria d'usuaris ja coneix perquè companyies com Amazon, WhatsApp o Google ja el fan servir: es tracta d'un avís notificant-te que algú ha iniciat sessió des d'un lloc poc habitual.
La IA, una arma de doble tall
Com qualsevol esdeveniment relacionat amb la tecnologia i la digitalització, la intel·ligència artificial ha tingut molt protagonisme a l'acte. I és que a més de ser una eina oberta per a tothom -també per als ciberdelinqüents-, pot ajudar a precisar els sistemes de defensa de companyies com Mitek o Mastercard. En els últims mesos hi ha hagut un repunt d'atacs cibernètics a grans firmes com Telefónica, Santander o Ticketmaster, que va patir una filtració de dades de 560 milions d'usuaris. "A Mastercard es produeixen quasi 5.000 transaccions per segon, per un humà és impossible estudiar-les totes, però la IA pot identificar les fraudulentes a través de patrons", ha anunciat López.
La IA ajudarà a reduir els casos de 'phishing' i a saber detectar quines cares o dades biomètriques són sintètiques i quines autèntiques
A més d'aquest ús, la intel·ligència artificial pot contribuir a reduir el phishing i ajudar a detectar quines cares o dades biomètriques són sintètiques i quines autèntiques. També documents, a través del document liveness detection, que analitza un fitxer i segons la seva velocitat pot concloure si és real o artificial. Tot i això, la democratització de l'eina a què feia referència Sabadí anticipa una guerra pel control de la IA entre empreses de ciberseguretat i hackers en un context d'escalada tecnològica sense precedents.