Por qué los bancos líderes eligen la biometría para la recuperación de cuentas: Lecciones de la transformación de la seguridad del Raiffeisen Bank

Los procesos de recuperación de cuentas suelen representar uno de los eslabones más débiles de la seguridad digital. Mientras que las organizaciones invierten mucho en la seguridad de sus flujos de autenticación primaria, los mecanismos de recuperación a menudo se basan en métodos que han demostrado ser fáciles de comprometer y que los delincuentes explotan activamente:

• Preguntas de seguridad que pueden investigarse a través de las redes sociales
• Códigos SMS vulnerables al intercambio de SIM
• Procesos de recuperación de correo electrónico que presuponen la existencia de cuentas y dispositivos no comprometidos.

Los intentos de Los intentos de recuperación se dirigen cada vez más a los flujos de recuperación como el camino de menor resistencia. Los clientes bancarios abandonan a menudo los complejos procesos de recuperación, lo que eleva los costes de asistencia mientras las organizaciones gestionan las intervenciones manuales.

Este blog explorará cómo la biometría basada en la ciencia puede mantener sus procesos de recuperación de cuentas realmente seguros y fáciles de usar. Utilizando un estudio de caso del Raiffeisen Bank, destacaremos lo sencillo que puede ser permitir a los usuarios auténticos recuperar cuentas sin esfuerzo y mantener alejados a los defraudadores.

La crisis de la recuperación de cuentas: Un caso real con el Raiffeisen Bank

Raiffeisen Bank, un cliente de iProov con sede en la República Checa, presta servicio a más de 1,2 millones de usuarios de banca móvil activos mensualmente en la República Checa. El banco se enfrentaba a una realidad operativa asombrosa: aproximadamente 50 000 clientes necesitaban reactivar su banca móvil cada mes, el 4 % de toda su base de clientes.

Al principio, su proceso de recuperación parecía sólido. Los clientes se conectaban a la banca por Internet a través de un SMS OTP, introducían un PIN y activaban la banca móvil en su nuevo dispositivo. El proceso parecía seguro y cómodo, hasta que los delincuentes explotaron sistemáticamente su debilidad fundamental.

Los estafadores lanzaron sofisticadas campañas de ingeniería social, haciéndose pasar por funcionarios bancarios y policías para convencer a los clientes de que facilitaran el acceso a la banca por Internet. A continuación, activaban remotamente la banca móvil en el dispositivo del atacante, lo que permitía el acceso directo a la cuenta y el robo de fondos.

La primera contramedida de Raiffeisen fue añadir pantallas de advertencia explícitas en las que se pedía a los clientes que confirmaran que realmente querían activar la banca móvil. La protección duró exactamente un mes antes de que los delincuentes adaptaran sus guiones para superar las dudas de los clientes.

Los ataques llegaron a ser tan graves que Raiffeisen desactivó por completo la activación remota de la banca por Internet en octubre de 2022, obligando a todos los clientes que necesitaban reactivarla a acudir a sucursales físicas, una solución dolorosa que generó una enorme tensión operativa y la frustración de los clientes.

Por qué fracasan los métodos tradicionales de recuperación

La situación de Raiffeisen puso de manifiesto las vulnerabilidades recurrentes de los métodos convencionales de recuperación de cuentas. Los métodos tradicionales comparten un defecto crítico: autentican el acceso a diversos factores de posesión o conocimiento en lugar de verificar la presencia e identidad genuinas de la persona.

La biometría nativa de dispositivos crea un problema adicional que los equipos de seguridad suelen malinterpretar. Como Dominic Forrest, director de tecnología de iProov, descubrió cuando su hija adolescente registró su huella dactilar en su teléfono utilizando su PIN conocido: "Lo que realmente estás probando no es la biometría: es la prueba del conocimiento del código de desbloqueo del teléfono en un momento dado."

Resultados de la transformación de Raiffeisen

Trabajar con un especialista en integración de banca móvil, Wultray iProov, el mejor proveedor de liveness de su categoría, Raiffeisen desarrolló un proceso de reactivación integral que valida a la persona a través de múltiples capas, formando 5 pasos centrales de IDV:

1. Identificación inicial del cliente (número de cliente y fecha de nacimiento)
2. SMS OTP para la limitación de solicitudes
3. Verificación de documentos mediante escaneado del documento de identidad y del pasaporte o permiso de conducir
4. Detección dinámica de la vitalidad facial para garantizar la presencia real, comparando al usuario en directo con las fotos del documento.
5. SMS final OTP combinado con token de verificación biométrica para el cumplimiento de la normativa

Consulte el diagrama de flujo del proceso "simplificado" que figura a continuación:

Todo el proceso es remoto y se completa en unos 80 segundos, y puede ejecutarse inmediatamente cuando los clientes necesiten vincular nuevos dispositivos.

La respuesta está en generar confianza en la persona y no en el dispositivo o en algo que pueda "conocer". La verificación facial basada en la ciencia, respaldada por la vitalidad dinámica y tecnología Flashmarkproporciona una confirmación de presencia genuina, abordando tres requisitos críticos: persona correcta, persona real, ahora mismo.

Todo ello respaldado por la detección dinámica de amenazas de iProov a través de Centro de operaciones de seguridad de iProov (iSOC) que supervisa continuamente el tráfico en busca de ataques y despliega más de 120 actualizaciones al año sin ninguna interrupción para el cliente, proporcionando una seguridad evolutiva.

Los resultados muestran importantes mejoras operativas y de seguridad:

Mejora de la seguridad:

• 97-98% de éxito de los clientes legítimos que completan la verificación biométrica
• Un proceso resistente al phishing que no puede ser completado remotamente por atacantes con credenciales comprometidas.
• Protección contra ataques de inyección digital y ataques de presentación física

Eficiencia operativa:

• 25.000 usuarios al mes completan con éxito las transferencias de activación de dispositivo a dispositivo.
• Entre 10.000 y 12.000 usuarios al mes completan la reactivación completa de documentos y datos biométricos
• Reducción drástica de las visitas a las sucursales con fines de activación

La eficacia de la solución va más allá del aumento inmediato de la seguridad. La infraestructura biométrica permite casos de uso adicionales, incluida la autenticación de transacciones para actividades de gran valor como las solicitudes de préstamos, autenticación escalonada para actividades sospechosas y incorporación digital mejorada de nuevos clientes.

El imperativo estratégico

El cambio de una autenticación centrada en el dispositivo a otra centrada en la persona no es opcional, sino esencial. A medida que la tecnología deepfake se vuelve cada vez más accesible y los métodos de recuperación tradicionales se enfrentan a sofisticados ataques, la verificación biométrica basada en la ciencia proporciona la única defensa escalable.

El paso de Raiffeisen de las visitas obligadas en persona a las sucursales a la recuperación remota segura mediante autoservicio demuestra que la seguridad y la experiencia del usuario pueden alinearse en lugar de competir. Con 50.000 clientes al mes que requerían reactivación, necesitaban una solución que funcionara a escala sin comprometer la seguridad.

Los delincuentes ya se han adaptado para explotar las vulnerabilidades de los procesos de recuperación. La cuestión no es si su organización sufrirá ataques sofisticados, sino si sus defensas serán adecuadas cuando se produzcan.

¿No pudo asistir a Ámsterdam? Raiffeisen Bank e iProov acaban de revelar su proyecto de seguridad biométrica de próxima generación enIdentity Management Europe 2025. Compartiremos elresumen completo en . Mientras espera, descubra cómo comenzó esta asociación: vea ahora nuestra conversación anterior sobre la transformación de la seguridad bancaria para la era digital.