La adopción de servicios financieros digitales se ha incrementado considerablemente, junto con la oferta de nuevas modalidades y canales de atención. Por otro lado, los delitos cibernéticos son cada vez más frecuentes con nuevas amenazas a la seguridad, privacidad y confidencialidad de la información, por lo que existe la necesidad de utilizar herramientas que reduzcan estos riesgos. Una de esas medidas es el uso de la biometría en la apertura de cuentas y como medio de autenticación en las operaciones financieras.

Para enfrentar estos retos y mantener la confianza y seguridad en los servicios financieros digitales, es necesario que los usuarios, las instituciones financieras, los proveedores de servicios, la Superintendencia de Banca, Seguros y AFP (SBS) y otros organismos gubernamentales adopten diversas acciones.  

¿Qué acciones debiéramos realizar? 

Las empresas supervisadas (sistema financiero, sistema de seguros y sistema privado de pensiones) deben mejorar constantemente sus capacidades para prevenir fraudes y accesos no autorizados a los servicios financieros digitales, al tiempo que educan a sus usuarios y empleados sobre buenas prácticas en seguridad digital.

Se debe recomendar a los usuarios que protejan sus contraseñas, utilicen siempre software y dispositivos de confianza, configuren ajustes seguros en sus dispositivos, instalen programas antivirus, eviten compartir datos personales innecesariamente y naveguen solo en sitios seguros. Además, es esencial informar inmediatamente a su entidad financiera en caso de pérdida o robo de dispositivos utilizados para acceder a sus cuentas (teléfonos móviles, tarjetas de crédito y de débito).

La SBS exige que las empresas supervisadas implementen medidas de seguridad de la información en los canales digitales; y, especialmente en aquellos que puedan generar mayor riesgo para el usuario, se requieren procedimientos más exigentes para verificar la identidad del usuario, que pueden incluir factores biométricos.

¿En qué consiste la verificación de la identidad basada en biometría? 

La verificación de la identidad de un individuo, basada en biometría, consiste en el uso de sus características biológicas y de comportamiento únicas. Entre ellas, se encuentran la huella dactilar, el patrón del iris o las características faciales. A diferencia de las contraseñas o códigos PIN, que pueden ser olvidados y reemplazados, los datos biométricos son personales y están vinculados al usuario, por lo que no pueden ser reemplazados.

Estas características de unicidad e inmutabilidad permiten que la biometría se utilice para verificar la identidad con un alto grado de certeza, aunque puede ser vulnerada. Algunas tipologías delictivas utilizan técnicas avanzadas de emulación, así como la reproducción de huellas dactilares en silicona, impresión de imágenes de rostro, el uso de videos y máscaras digitales. Por lo tanto, es esencial que las empresas del sistema financiero implementen medidas de prevención y técnicas complementarias que permitan reducir la probabilidad de éxito de esas modalidades de suplantación de identidad.

Estándares y buenas prácticas en seguridad en el uso de biometría 

Las técnicas biométricas deben usarse en entornos seguros y cumplir con estándares técnicos reconocidos. Estos incluyen el uso de dispositivos confiables para la captura de datos biométricos, que permitan realizar pruebas de vida, textura, movimiento y profundidad de imagen.

Las empresas deben tomar en cuenta los estándares relevantes a la validación biométrica en todo desarrollo interno, así como en los servicios recibidos de terceros, con el objetivo que los sistemas biométricos proporcionen sólidos niveles de seguridad. Algunos de los estándares más utilizados se pueden apreciar en el gráfico N.°1.

Gráfico N.°1

Estándares de validación biométrica más usados

Consideraciones legales en el tratamiento de datos biométricos 

La SBS, mediante el reglamento para la gestión de la seguridad de la información y ciberseguridad, requiere a las empresas supervisadas el uso de un doble factor de autenticación para las operaciones que pudieran generar un perjuicio al usuario, los que pueden ser también biométricos.

Dentro de este contexto, cabe considerar que el Registro Nacional de Identificación y Estado Civil (Reniec) es un organismo autónomo que, entre otras funciones, mantiene el registro único de identificación de las personas naturales que es usado por las empresas reguladas para validar los datos biométricos de sus usuarios, así como otra data asociada a su identificación.

Asimismo, Ministerio de Justicia, a través de la Dirección Nacional de Justicia, es la Autoridad Nacional de Protección de Datos Personales (ANPD), la cual tiene como objetivo principal realizar todas las acciones necesarias para el cumplimiento de la Ley N.°299733, Ley de protección de datos personales y su reglamento.

En este sentido, considerando que una entidad financiera recopile y trate datos personales, esta debe seguir estrictamente las regulaciones emitidas por la ANPD, teniendo en cuenta que los datos biométricos constituyen información personal muy sensible y que no puede ser reemplazados en caso de pérdida, por lo que requieren medidas de protección de datos exigentes.

Finalmente, ante el crecimiento considerable de servicios financieros digitales es necesario tomar acciones para reducir los riesgos asociados, entre las que se encuentra la biometría, que por sus características de unicidad e inmutabilidad es de gran utilidad para la verificación de la identidad de los usuarios del sistema financiero.  Sin embargo, el uso de la biometría también genera nuevos riesgos en caso del compromiso de dicha información y es necesario que todas las partes involucradas -usuarios, empresas supervisadas, proveedores de servicios de tecnología y autoridades de gobierno- realicen, dentro de su ámbito de responsabilidad, diversas acciones para resguardar la información biométrica de los ciudadanos.