Pasos irreversibles

La lucha contra el fraude y la falsificación será cada vez más feroz en el futuro. Cada vez que un atacante supera un nivel de protección, nos vemos obligados a utilizar una nueva arma para detenerlo. Y esta vez tendremos que entrar y sacar más del almacén “biométrico”.

La esencia de la lucha contra el fraude y la falsificación es que cuando desenvainamos una espada, el atacante no puede deshabilitarla. Los resultados inmediatos definitivamente funcionarán, pero mantener los resultados a largo plazo requiere una estrategia cuidadosa.

El fraude en línea es cada vez más sofisticado. La decisión de añadir datos biométricos a la protección es una señal de que la lucha será dura. Habrá múltiples niveles en la base de datos biométrica, y tener que utilizar cada vez un nivel superior es un paso “irreversible”. Y si seguimos aumentando el nivel gradualmente, y entonces tenemos que usar datos genéticos, ese será el paso final, y si perdemos, no tendremos otras armas.

Ahora tenemos que usar imágenes reales e instantáneas para confirmar transacciones. Por supuesto, será necesario contar con una enorme base de datos para almacenar imágenes y datos biométricos para su comparación y autenticación. Por supuesto, se transmitirán imágenes reales a través de los canales de información. ¿Qué sucede cuando se atacan estos almacenes de datos o cuando se accede a las líneas de transmisión o a los puntos finales? Los malos volverán a tener todos los datos del usuario. Y con herramientas de IA cada vez más poderosas, ¿qué garantizará que los actores maliciosos no puedan atravesar el nuevo muro de autenticación?

Recopilamos cada vez más datos personales. Si bien no podemos proteger nuestros antiguos almacenes de datos, ¿cómo podemos garantizar que podamos proteger los nuevos y masivos almacenes de datos que se han recopilado y se recopilarán? Más peligroso aún es que si los malos acceden al almacén de imágenes y datos biométricos, pueden hacerse pasar por nosotros no sólo para la autenticación bancaria sino también para muchos otros fines no relacionados con la banca. Pueden crear un mundo falso acerca de nosotros mismos que no podemos controlar y del que no podemos demostrar que nos están engañando.

Lo primero es que las personas deben ser conscientes de exigir protección para sí mismas y que los organismos gestores son responsables de proteger los datos biométricos para que no caigan en manos equivocadas.

Cuando los bancos dan un paso irreversible, es necesario rendir cuentas y establecer leyes que protejan a la gente. La razón es que las medidas técnicas para proteger los datos personales aún no son efectivas y las políticas para atribuir la responsabilidad por la divulgación de datos son demasiado superficiales. Por lo tanto, los malos pueden eludir fácilmente las medidas de protección y deshabilitar gradualmente el control del sistema.

Para proteger verdaderamente, antes de recopilar datos personales, el Estado y los bancos deben comprometerse y aclarar:

- Si se filtran datos biométricos, ¿cuál es la responsabilidad del banco? ¿Quién, qué unidad específica será responsable y cuáles serán las sanciones?

- ¿Qué medidas de seguridad tiene el sistema para que los enlaces individuales no puedan acceder a datos confidenciales? El sistema técnico debe garantizar que, incluso si los empleados del banco (incluidos los gerentes) son manipulados, los datos personales no se puedan obtener ni vender.

La seguridad de los datos es un asunto importante y no es tarea fácil. Ni siquiera los mejores profesionales de TI pueden prever todas las vulnerabilidades. Imponer una fecha límite del 1 de julio podría obligar a los bancos a utilizar sistemas débiles y no probados que pueden ser fácilmente penetrados por malos actores, con graves consecuencias. Debemos ser muy cuidadosos y realizar pruebas utilizando pasos limitados para que sólo cuando se logre la máxima seguridad podamos aplicar ampliamente los nuevos métodos.

También necesitamos aprender del mundo; en términos de seguridad de datos podemos mirar la experiencia de China. Después de un período de recopilación desenfrenada de datos, han comprendido la gravedad de revelar datos personales y tienen leyes claras para tratar con extrema severidad a cualquier unidad que revele datos. Cuanto más importantes sean los datos, mayor será la responsabilidad. Cuando la responsabilidad se lleva a un nivel muy alto, nadie puede tomarla a la ligera.

A todas las entidades propietarias de datos personales se les exigirá que implementen seriamente medidas técnicas de protección del más alto nivel. A partir de esa necesidad, se han desarrollado fuertemente empresas especializadas en evaluación de seguridad e implementación de medidas de seguridad, se han abierto muchas empresas “unicornio”, impulsando una economía de seguridad digital dinámica, con altísima calidad de acuerdo a estándares de seguridad cuidadosamente considerados por el estado.

Un sistema que funciona bien es aquel que maximiza la protección de los datos personales de las personas, mientras que recopila sólo un mínimo de datos personales de las personas.