Movistar y O2, las operadoras de Telefónica, van a comenzar a ofrecer el servicio de seguridad de sus datos a sus clientes mediante la introducción de los datos biométricos a partir de una fotografía y del DNI, con el fin de impedir todo tipo de fraudes y de suplantaciones de identidad. Se trata de una medida de identificación que se aplicará a las operaciones consideradas «sensibles», como el cambio de cuenta corriente de un contrato o de contraseña. Se trata de la primera operadora en España que introduce este tipo de verificación, que tiene sus riesgos, pero que según los expertos en ciberseguridad no son comparables a las soluciones que va a aportar.
La idea trata de evitar que los ciberdelincuentes se puedan hacer pasar con facilidad por clientes de Movistar o de O2 para acceder a los datos de sus contratos, a sus cuentas o a sus servicios, a través del SIM swapping, (conseguir el duplicado de la tarjeta SIM), por ejemplo, con el que se puede dejar incomunicado a un cliente, acceder a toda su información personal del cliente, a sus cuentas bancarias online y al manejo de las mismas a través de la verificación mediante SMS.
onboarding digital, se va a aplicar en todos los canales de comunicación con el clientes, tanto presencial en sus tiendas, donde ayudarán a los usuarios a realizar el proceso, como telefónico y por internet
Esta práctica delictiva también pone en jaque a las empresas, como quiere evitar Telefónica, porque acaban teniendo que afrontar importantes multas de la Agencia Española de Protección de Datos (AEPD) por la negligencia de haber duplicado una SIM sin que lo haya pedido su verdadero titular, y haberle expuesto a fraudes y robos.
El objetivo de la operadora en «proteger a los clientes» para evitar todos los posibles fraudes y poder realizar de manera ágil y segura las operaciones más sensibles. La identificación avanzada, llamada onboarding digital, se va a aplicar en todos los canales de comunicación con el clientes, tanto presencial en sus tiendas, donde ayudarán a los usuarios a realizar el proceso, como telefónico y por internet.
Así, cuando los titulares de un contrato con Movistar u O2 quieran cambiar su cuenta corriente bancaria, cualquier dato personal, la contraseña de acceso y duplicar la SIM, podrá asegurar que es el o la verdadera titular del servicio mediante este sistema, que requiere hacerse un selfi con el móvil y realizar una fotografía del DNI u otro documento identificativo oficial que disponga de fotografía del usuario.
Así, Movistar va a poder verificar la identidad de sus clientes realizando la comparativa entre el selfi y la foto del documento presentado, una prueba de vida y una valoración del documento en cuestión. El proceso queda activado y no se tiene que volver a repetir para posteriores gestiones. Telefónica insiste en que este proceso de onboarding se va a utilizar exclusivamente para verificar la identidad de sus clientes y solo en cuestiones y cambios sensibles como los descritos, y que, por supuesto, va a utilizar y custodiar estos datos e imágenes tal y como establecen la legislación europea y española (a través del Reglamento General de protección de datos o RGPD).
MOVISTAR, O2 Y LA VERIFICADORA DAON
La verificación mediante biometría se realiza ademá de mediante el rostro, mediante la huella digital, la voz o el iris. En los últimos años ha trascendido desde el cine a la realidad y está en nuestras vidas a través de otros servicios, como por ejemplo Instagram, la app de citas Grindr, o la gestora de alquiler de espacios vacacionales Airbnb, que precisa de una identificación similar a la que va a implantar telefónica desde hace varios años para sus usuarios.
El proyecto de la verificación mediante biometría se ha desarrollado en colaboración con Telefónica Tech y con la empresa Daon, que ha aportado su solución Digital Onboarding para garantizar la verificación de las identidades de los clientes y la protección de sus datos. Daon es una de las empresas especializadas en facilitar este tipo de sistemas a otras empresas e instituciones a nivel mundial. Con su tecnología se puede verificar, autenticar y proteger de manera sencilla y con precisión la identidad de los clientes a través de cualquiera de los canales de atención de una compañía y a lo largo de la vida de los usuarios.
Con su tecnología se puede verificar, autenticar y proteger de manera sencilla y con precisión la identidad de los clientes
Para ello utilizan las últimas tecnologías como la Inteligencia Artificial (IA) que ayudan a garantizar las identidades de los clientes y pretenden, en paralelo, proteger sus datos. Telefónica ve es esta implantación de seguridad un «primer paso de una operativa que a futuro podría emplear la biometría capturada», pero aclara que esto solo se realizaría en el caso en el que el cliente consienta su tratamiento, para así poder acceder a algunas gestiones concretas tan solo con un selfie, pero procurando desde la operadora la máxima protección ante deepfakes y otros ciberataques.
CIBERSEGURIDAD Y ASPECTOS LEGALES
No obstante cabe recordar que no es demasiado difícil para los expertos cibercriminares falsificar DNIs, porque precisamente mediante deepfakes se pueden mandar fotografías manipuladas. Aunque los expertos en ciberseguridad reconocen que estos sistemas todavía pueden plantear problemas,sobre todo si caen en malas manos, son mayores los beneficios de su implantación. Según Joseps Albors, experto en ciberseguridad de ESET, «Telefónica implanta la autentificación biométrica como una capa adicional de protección y seguridad, que que va a solucionar graves problemas que se están produciendo».
Entiende que la recopilación de datos confidenciales siempre genera un riesgo, «pero las empresas de este nivel cuentan con todas las medidas para impedir su fuga. Su intención, además, es detectar fraudes para alertar a las víctimas y avanzar en una tecnología de seguridad que va a ir a más. Pronto ni siquiera tendremos un DNI físico y acabaremos teniendo una carpeta ciudadana, y llevaremos nuestra identificación en dispositivos de manera cifrada. Lo que Movistar y O2 inician es un proceso escalonado que también va a contribuir a inculcar una pedagogía de seguridad digital de manera escalonada«.
Para este experto en ciberseguridad, «todavía existe temor hacia la falta de control de dónde acaban nuestros de datos o los documentos como el DNI, y mucha reticencia a procesos de digitalización que la mayoría de la población no controla, pero debemos implantar poco a poco la confianza en procesos que nos aportan mayores garantías ante una tecnología que va a ir mucho más allá y muy deprisa», nos explica Albors.
Por su parte el experto en derecho digital en Ecix, Francisco Pérez Bes, nos confirma que las leyes relativas a la protección de datos son las que regulan por el momento el uso de la biometría y señala cómo el sistema onboarding por biometría se está generalizando para las altas en entidades financieras, pero porque se remiten a normas determinadas, como la de prevención del blanqueo de capitales. Sin embargo, en el caso de otros sectores, entiende que si la única finalidad de Movistar y O2 es la de evitar fraudes en el copiado de SIM, por ejemplo «podría haber procesos menos intrusivos e igualmente eficaces».
con el uso de datos biométricos con fines de control laboral, la AEPD ha sacado recientemente unas indicaciones declarando su ilicitud aunque se obtenga el consentimiento del trabajador
Para Pérez Bes lo más relevante tiene que ver con que la empresa disponga de una base legitimadora válida como para poder utilizar datos biométricos con esas finalidades, ya que es responsabilidad del operador el evitar el swim swapping. «Por ello habrán tenido que realizar un análisis de riesgo previo, que concluya que el consentimiento del cliente es suficiente para poder usar sus datos biométricos a estos fines» nos explica.
«Si alguien denuncia, -señala Pérez Bes- será la AEPD la que determine si puede hacerse de este modo o es un tratamiento excesivo de datos, como ha ocurrido con el uso de datos biométricos con fines de control laboral, donde la AEPD ha sacado recientemente unas indicaciones declarando su ilicitud aunque se obtenga el consentimiento del trabajador», nos explica.
Para este experto abogado y ex-Secretario General de Incibe, «adicionalmente, cabe la posibilidad de que entre esos datos pueda haber datos sensibles que requieran un especial tratamiento y seguridad por parte de la empresa. La conservación de esos datos biométricos tiene que ser muy exhaustiva, porque en el caso de que se produzca una brecha de seguridad, pueden verse expuestos, y una fuga de esas características sería de una gravedad especial«.