Incidentes Asociados
El sistema de identificación de reconocimiento de voz de HSBC utilizado por medio millón de clientes para el acceso seguro a sus cuentas bancarias ha sido violado por el gemelo de un cliente que imita su voz.
Cuando se lanzó el año pasado El jefe de banca minorista de HSBC afirmó que el nuevo sistema era seguro e insistió en que "al igual que su huella digital, su huella de voz es única".
Pero cuando el reportero de BBC Click Dan Simmons creó una cuenta autenticada de identificación de voz de HSBC, su gemelo no idéntico, Joe, pudo engañar el sistema y le concedió acceso a la cuenta de su hermano.
HSBC dijo que revisará la seguridad en sus sistemas de acceso de voz luego de la violación. A diferencia de los sistemas de contraseñas tradicionales, que bloquean a los usuarios después de que fallan varios intentos, Joe Simmons intentó imitar siete veces la voz de su gemelo antes de que HSBC permitiera el acceso.
El banco dijo que en el futuro solo permitirá a los usuarios tres intentos de acceder a sus cuentas usando la identificación de voz antes de bloquearlos.
El sistema HSBC pide a los usuarios que digan "mi voz es mi contraseña" en el teléfono, que luego se compara con una grabación original de la voz de la persona, lo que permite el acceso a su cuenta.
Según BBC, la violación no permitió a Joe Simmons retirar dinero, pero pudo acceder a saldos y transacciones recientes, y se le ofreció la oportunidad de transferir dinero entre cuentas.
“Lo que es realmente alarmante es que el banco me permitió siete intentos de imitar la huella de voz de mi hermano y hacerlo mal, antes de que lo intentara por octava vez”, dijo.
Voice ID se está implementando actualmente para 15 millones de clientes de HSBC. En el lanzamiento, HSBC dijo: “La tecnología es ahora la forma definitiva de realizar operaciones bancarias de forma segura, sin necesidad de contraseñas. Con un par de palabras selectas, realizar operaciones bancarias con HSBC es tan fácil como ser uno mismo”.
Pero en un comunicado emitido después de que se hizo pública la violación, HSBC dijo: “La seguridad de las cuentas de nuestros clientes es de suma importancia para nosotros y Voice ID se encuentra entre los métodos más seguros para autenticar a los clientes.
“La introducción de esta tecnología ha visto una reducción significativa en el fraude telefónico y ha demostrado ser más segura que los PIN, las contraseñas y las frases memorables. Nuestro sistema VoiceID nos permite realizar cambios en diferentes configuraciones de seguridad y, luego de una revisión, hemos realizado cambios para hacerlo aún más seguro”.
Funcionarios avergonzados de HSBC han sugerido que el experimento BBC Click, aunque real, no abre la puerta a los estafadores. Uno dijo: “Así no es como funcionan los estafadores. Este era un gemelo sentado con su hermano. Es probable que conozca otros datos de seguridad, como el apellido de soltera de la madre, el nombre de la mascota, etc.
“En una situación real, no tendrías a un estafador sentado a tu lado. Si él o ella tratara de grabar su voz diciendo ‘mi voz es mi contraseña’ tampoco funcionaría, ya que el sistema es capaz de detectar características de voz sintéticas”.
Barclays introdujo el software de reconocimiento de voz para todos sus 300.000 los clientes más ricos del Reino Unido en 2013. Un año después, el banco dijo que la tecnología había tenido tanto éxito que se extendería a 12 millones de clientes de banca minorista.
Barclays dijo que había sido "increíblemente popular" entre los clientes más ricos, y que el tiempo necesario para verificar su identidad se redujo de 1,5 minutos a menos de 10 segundos.