Pasos irreversibles

La lucha contra el fraude y la falsificación se intensificará en el futuro. Cada vez que un atacante vulnera un nivel de protección, nos vemos obligados a usar una nueva arma para detenerlo. Y esta vez tenemos que recurrir al arsenal biométrico.

La esencia de la lucha contra el fraude y la falsificación reside en que, al desenvainar una espada mágica, el atacante no debe poder neutralizarla. El efecto inmediato sin duda funcionará, pero para mantenerlo a largo plazo se requiere una estrategia cuidadosa.

El fraude en línea se está volviendo más sofisticado. La decisión de añadir la biometría a la protección es una señal de que la batalla será feroz. Habrá muchos niveles en el arsenal biométrico, y usar cada vez un nivel más alto es un paso irreversible. Y si el nivel sigue aumentando gradualmente, hasta el punto de usar datos genéticos, ese será el paso final, y si se pierde, no quedarán otras armas.

Ahora, debemos usar imágenes reales en tiempo real para confirmar las transacciones. Por supuesto, se necesitarán enormes almacenes de datos para almacenar imágenes y datos biométricos para la comparación y la autenticación. Por supuesto, las imágenes reales se transmitirán a través de canales de información. ¿Qué ocurrirá cuando estos almacenes de datos sean atacados, se acceda a las líneas de transmisión o a las terminales? Los cibercriminales volverán a tener todos los datos de los usuarios. Y con herramientas de IA cada vez más potentes, ¿qué garantizará que los cibercriminales no puedan superar el nuevo muro de autenticación?

Recopilamos cada vez más datos personales. Si bien no podemos proteger los datos antiguos, ¿qué garantiza que protegeremos la nueva información masiva que se ha recopilado y se recopilará? Aún más peligroso, si los delincuentes acceden a la imagen y los datos biométricos, pueden suplantarnos la identidad no solo para la autenticación bancaria, sino también para muchos otros fines no relacionados con la banca. Pueden crear una imagen falsa de quiénes somos, que no podemos controlar ni probar que nos han suplantado.

Lo primero es que las personas deben ser conscientes de exigir protección para sí mismas y el organismo gestor es responsable de proteger los datos biométricos para que no caigan en manos equivocadas.

Cuando los bancos dan un paso irreversible, debe haber responsabilidad y leyes que protejan a las personas. Esto se debe a la ineficacia de las medidas técnicas para proteger los datos personales y a la superficialidad de las políticas para asignar la responsabilidad por la divulgación de datos. Por lo tanto, los delincuentes pueden burlar fácilmente las medidas de protección y deshabilitar gradualmente el control del sistema.

Para proteger verdaderamente, antes de recopilar datos personales, el Estado y los bancos deben comprometerse y aclarar:

En caso de filtración de datos biométricos, ¿cuál es la responsabilidad del banco? ¿Quién o qué unidad específica será responsable y cuáles son las sanciones?

¿Qué medidas de seguridad tiene el sistema para garantizar que los enlaces individuales no puedan acceder a datos confidenciales? El sistema técnico debe garantizar que, incluso si los empleados del banco (incluidos los directivos) son manipulados, no puedan acceder ni vender datos personales.

La seguridad de los datos es un problema enorme y complejo, y ni siquiera los profesionales de TI más talentosos pueden prever todas las vulnerabilidades. Imponer el 1 de julio como fecha límite podría obligar a los bancos a utilizar sistemas débiles y sin probar, fácilmente vulnerables por ciberdelincuentes, con consecuencias impredecibles. Debemos ser muy cuidadosos y probar el uso de medidas limitadas para que solo cuando se alcance la máxima seguridad podamos aplicar ampliamente los nuevos métodos.

También necesitamos aprender del mundo. En materia de seguridad de datos, podemos observar la experiencia de China. Tras un período de recopilación generalizada de datos, han comprendido la gravedad de revelar datos personales y cuentan con leyes claras para tratar con extrema severidad a todas las entidades que los revelan. Cuanto más importantes sean los datos, mayor será la responsabilidad. Cuando la responsabilidad se eleva a un nivel muy alto, nadie puede ignorarla.

Todas las unidades que poseen datos personales deberán implementar con rigor soluciones de protección técnica del más alto nivel. Ante esta necesidad, se han desarrollado con fuerza empresas especializadas en evaluación e implementación de medidas de seguridad, y se han creado numerosas empresas "unicornio", impulsando una economía de seguridad digital dinámica y de altísima calidad, conforme a los estándares de seguridad cuidadosamente evaluados por el Estado.

Un sistema que funciona bien es aquel que maximiza la protección de los datos personales de las personas y al mismo tiempo recopila sólo datos personales mínimos de ellas.