Las empresas saben quién eres por tu forma de mover el ratón o pulsar las teclas

A partir del 14 de septiembre de este año pagaremos de otra manera cuando compremos un producto por Internet. La SCA (Strong Customer Aunteticathion), nuevo estándar definido dentro de la regulación de pagos electrónicos PSD2, supondrá el refuerzo en términos de seguridad de la realización de transacciones económicas o que supongan la implicación de datos sensibles.

Una medida que afectará a los comercios de Internet tanto de gran tamaño (Amazon, eBay, Zara...) como a los de medianas y pequeñas dimensiones (pymes y autónomos)

Los países de la UE (Unión Europea), zona en la que se ha aprobado esta legislación, tendrán un tiempo extra para adaptarse tecnológicamente al nuevo marco legal, aunque entrará de facto en vigor el 14 de septiembre.

Los comercios usarán dos factores de autenticación de entre las tres posibilidades siguientes: algo que sólo el usuario sabe (como un PIN o una contraseña), algo que posee (como un reloj inteligente o un teléfono móvil), y algo que sólo puede ser de él (como su huella digital, rasgos faciales o patrones de comportamiento)

La SCA afecta tanto a los pagos online como a los pagos en establecimientos físicos. Hasta ahora las transacciones se certifican fundamentalmente mediante la introducción de contraseñas (PIN) y la posesión de instrumentos físicos para realizar el pago (tarjeta, móvil...).

Evitar el pago con tarjetas robadas

Cuando pagamos por Internet, basta con la introducción, en muchos casos, de la contraseña o de los datos de la tarjeta para realizar la transacción o dejarla programada para cuando compremos en esa determinada tienda online. Algo que puede generar problemas. "El robo de un bolso con tarjetas de crédito permite a los delincuentes utilizar nuestros datos para pagar en nuestro nombre. La UE quiere acabar con esto a través de la SCA", explica Alberto López, responsable de Ciberseguridad y Soluciones Digitales para España y Portugal de Mastercard.

La nueva directiva pretende garantizar la identificación de los usuarios cuando realizan sus compras, y para ello obliga a los comercios a usar dos factores de autenticación de entre las tres opciones siguientes: algo que sólo el usuario sabe (como un PIN o una contraseña), algo que posee (como un reloj inteligente o un teléfono móvil), y algo que sólo puede ser de él, de su persona (como su huella digital, rasgos faciales o patrones de comportamiento).

De esta manera, a partir de septiembre habrá un doble factor de autenticación para concretar la compra, pero se harán excepciones con los comercios online que demuestren que son altamente seguros.

Pensemos, por ejemplo, en la compra en un clic de Amazon. Lo que hace Bruselas, en parte, es asegurar más este tipo de compras instantáneas. Para ello se da la opción de que antes de realizar cada transacción se analice la forma de navegar del usuario para ver si se trata exactamente de él. "Podemos saber si es el usuario que dice ser por la forma en que mueve el ratón, el tiempo de media que tarda en introducir sus claves, la forma en que las teclea, el desembolso habitual de las compras, la IP o país desde el que hace la transacción, si usa el navegador de siempre, qué tipo de producto compra....", explica López. Si Amazon demuestra que sus procesos de compra son altamente seguros, no será necesario realizar este proceso. 

¿Qué sucede si hay dudas?

Se trata de un concepto denominado biometría del conocimiento para el que Mastercard ya ha desarrollado soluciones. Permite saber con un alto índice de acierto si el usuario que compra es quien dice ser y validar en consecuencia la compra.

En el caso de que el análisis de biometría del conocimiento arroje dudas, se solicitará al usuario una doble autenticación (por ejemplo la contraseña y después la introducción de una clave enviada a su móvil personal). La SCA es una capa que dará más seguridad a las compras en portales en los que ya estamos registrados.