Registros de llamada como identificación bancaria

Varias entidades bancarias, entre las que destaca Wells-Fargo, Barclays y JPMorgan Chase, utilizan los registros de llamadas al banco como segundo factor de autenticación (EN).

Telephone-support

Por un lado, la estrategia me parece de un nivel de oportunismo (positivo) digno de mención. El saber que en caso de ser víctima de fraude bancario, puedo realizar una llamada y ya no solo por conocimiento (llamo desde un teléfono que seguramente ya tengan en su base de datos, y seré seguramente capaz de responder a cualquier pregunta que un ciberatacante que haya hecho bien los deberes seguramente también sea capaz), sino que como añadido un sistema de registro de voz puede establecer que en verdad está ante la persona correcta, es cuanto menos tranquilizador.

Un segundo factor basado en la inherencia, y que opera en segundo plano, sin requerir trabajo extra por parte del cliente.

Ahora bien, me pongo a pensar maquiavélicamente, y le veo numerosos casos en los que el sistema fallará más que una escopeta de feria. Para empezar, normalmente cuando ocurre esto estarás fuera de casa (o bien te llega un SMS al móvil, o bien acabas de pasar por el cajero y te has llevado un susto). La llamada se hará en un porcentaje significativo de veces con ruido de fondo, que dificultará considerablemente la identificación.

Además, hablamos de llamadas telefónicas, un canal que deja mucho que desear en cuanto a calidad. La mayoría usamos o bien RTC, o bien VoIP, que en cualquier caso codifica la señal para reducir su peso a cambio de una pérdida considerable del espectro audible (de ahí ese continuo sonido metálico del que solemos “disfrutar” en las llamadas). Eso, trasladado a una escena de posible suplantación de identidad, debería facilitar aún más la situación.

Huyo por tanto de la idea de que un atacante necesite grabar una conversación para reproducirla. Incluso de la necesidad de que el atacante tenga que imitar la voz del cliente. Creo que sería suficiente con un: “Perdone por la ronquera pero es que este cambio de temperatura me ha afectado a la garganta” para mandar al cuerno el método.

Y tampoco me meto con que algunos hayan encontrado un uso más allá del control de calidad del servicio para esas conversaciones grabadas que recordemos aceptamos pasivamente (no hay asalto a la privacidad, nosotros mismos aceptamos que se nos esté grabando) siempre que nos ponemos en contacto con entidades de este tipo. Otra cosa es que esos registros acaben siendo usados para otros menesteres.

¿Estamos ante una propuesta de valor a considerar? La verdad es que no lo tengo claro. Si respondes bien a las preguntas, pero este sistema da negativo, ¿Qué ocurre? Supongo que darán prioridad al primero, por eso de que el cliente siempre tiene la razón (bastante estará pasando ya el pobre como para negarle ayuda si ha hecho todo lo habido y por haber para demostrarme que es quien dice ser), por lo que el segundo factor pierde toda vigencia, y queda relegado a esas situaciones en las que tanto el uno como el otro (o incluso si el cliente es incapaz de recordar algún dato trascendente) han dado positivo.

Se habla que técnicas de este tipo podrían reducir un 90% los fraudes bancarios por ingeniería social telefónica. A un servidor directamente no le salen los cálculos.

Sigo creyendo que los problemas de un sistema de seguridad basado en la inherencia (en la biometría, en este caso) siguen siendo superiores a las ventajas. Me ofrece más seguridad un sistema basado en hábitos, que sigue siendo inherente a mi persona, y factible en un entorno telefónico (de hecho es habitual su uso para descubrir posibles cuentas bancarias robadas antes incluso de que el cliente lo haya notificado).

No lo vendería por tanto como un gran avance en cuestión de seguridad (veo complicado un sistema infalible en un medio tan limitado como este), sino como una herramienta más del servicio, que quizás agilice algunas transacciones, y posiblemente mejore la experiencia en este tipo de emergencias.