La seguridad de los usuarios es para Zerel prioridad absoluta dada la naturaleza de la APP, y para ello, contamos con el desarrollo propio de una librería de autenticación biométrica desarrollada con la colaboración de LEITAT (Centro Tecnológico), para mejorar la seguridad de los usuarios de la plataforma y aumentar la confianza a la hora de compartir coche y realizar pagos.

Motivacion

La relación existente entre los usuarios de la aplicación y la necesidad de velar por la seguridad e integridad de las personas que viajan en los transportes sugeridos por la misma, impacta sobre la necesidad de emplear esfuerzos en encontrar una solución que permita identificar que el pasajero que viaja en el vehículo corresponde de forma fidedigna con quien dice ser en el perfil de la aplicación. El necesario evitar la suplantación de identidades y, por lo tanto, de trayectos. Para cuidar la seguridad de los usuarios, la biometría es uno de las herramientas que usamos para prevenir que se suba al coche alguien que no es quien debería o, por otro lado, que se suba en un coche equivocado. Para ello se inició una investigación sobre las distintas líneas que hay acerca de factores de autenticación de múltiples factores (AMF) y tecnologías que garanticen en mayor medida la autenticidad.

Proyecto

Teniendo en cuenta que las características biométricas (como la biometría facial y la huella dactilar) son intrínsecas al propio usuario que autorice una acción, decidimos construir un paquete de seguridad que facilitase el uso de diferentes métodos de autenticación sobre el que ir añadiendo más en un futuro. Para la primera fase, se aprovecha la infraestructura que proporciona Google (GoogleSignIn) y Apple (AppleAuthentication).
Características funcionales:
La solución de seguridad para la autenticación de múltiples factores (AMF) plantea realizar las siguientes acciones (compatible con iOS y Android):

• Detectar el nivel de seguridad implementado en el smartphone (Ninguno, PIN, Biométrico).
• Chequeo y detección del hardware biométrico (huella dactilar o facial)
• Solicitud de autenticación tipo PIN, dactilar o facial en basea la tecnología y/o configuración del sistema operativo en cuestión.

Autenticidad de la identidad de los usuarios:
La mayoría de las aplicaciones actuales dependen de contraseñas estáticas para verificar la identidad del usuario, sin embargo, en muchos casos no es suficiente para garantizar la autenticidad del usuario. La gran mayoría de usuarios tienden a utilizar contraseñas fáciles de adivinar, usa la misma contraseña para múltiples cuentas etc. Además, los atacantes utilizan diversas técnicas para el robo de contraseñas, como por ejemplo phishing, sniffing, shoulder surfing, guessing, etc. En aplicaciones donde la identidad del usuario es un tema prioritario, está muy extendido el uso de la autenticación de múltiples factores (AMF). Este tipo de sistemas requiere dos o más formas de validación para acceder a una cuenta en línea. Estos factores normalmente incluyen algo que sabe (por ejemplo, una contraseña), algo que se tiene (por ejemplo, un código generado en un dispositivo móvil) o algo que son (por ejemplo, la huella dactilar). Al requerir más de un factor en el proceso de autenticación se aumenta la garantía en la verificación del usuario.

El objetivo es doble, por un lado ser capaces de maximizar beneficio del conductor y minimizar costes de los viajeros, y por otro lado, evitar que Zerel se use como plataforma de generar ingresos convirtiéndose en competencia desleal con el transporte público urbano e interurbano, incluyendo taxis, algo que se aleja de los objetivos de Zerel de ser una plataforma de economía colaborativa sostenible. Por el contrario, trabajamos en algoritmos de balanceo de demanda con métodos más sostenibles.

Hay diferentes factores de autenticación que pueden ser utilizados, como son contraseñas, tokens y biometría. En el entorno de investigación se proponen métodos para implementar doble factor de autenticación basado en tokens utilizando parámetros del teléfono móvil para la generación de contraseñas de un solo uso (OTP, Onetime Password) 1 . También, se estudian diferentes modelos matemáticos y criptográficos para la integración de factores biométricos en sistemas de autenticación.
Al margen de las consideraciones tecnológicas de autenticación, aplicando el criterio de usabilidad se estudia la presencia de sensores biométricos en el mercado de smartphones para asegurar que la búsqueda y aplicación de soluciones frente a las necesidades, sean aplicables al mayor número posible de dispositivos y por ende de usuarios del mercado.
Según la fuente “Biometric technologies: market value worldwide 2018-2027” 5 publicada por Shanhong Liu “Se prevé que el mercado mundial de tecnologías biométricas… crezca rápidamente en los próximos años, alcanzando un tamaño de 55.420 millones de dólares estadounidenses para 2027”. Según algunos estudios 6 de crecimiento del mercado de la biometría en el sector de la telefonía, pronostican la siguiente tasa de crecimiento a nivel mundial:

Hay dos motivaciones relevantes a implementar para la aplicación Zerel, relativas a evitar robo del correo electrónico de un usuario legítimo y a la suplantación de identidad en las acciones consideradas críticas para la aplicación:

• Implementar un doble factor de autenticación basado en móvil fuerza a que el usuario deba tener disponible el dispositivo móvil, por lo que se evita que un atacante que ha accedido a una cuenta de correo corporativa pueda realizar acciones consideradas de riesgo para la aplicación.
• Favorecer la confianza de los usuarios que comparten vehículo en base a la posibilidad de autenticarse por medio de un factor biométrico disponible en el móvil para evitar suplantación de identidad y hacer más seguro los trayectos.

En base a las motivaciones, procesos de autenticación disponibles en el sector de telefonía móvil y los estudios de previsión indicados en el punto anterior, se identifica que el mercado de integración de sensores biométricos en el smartphone está extendido y se encuentra en estado emergente de crecimiento.

Conclusiones

Este módulo de autenticación no solo supone un avance específico para el proyecto de Zerel, sino también una referencia de enfoque para el resto de las aplicaciones que se lancen al mercado y tengan interés en fomentar e incentivar el uso seguro de un servicio. Las consideraciones de diseño establecidas permiten que el módulo de seguridad pueda ser importado y adaptado a otras Apps y su compatibilidad con Android e iOS permite que el alcance de sus ventajas y de integración llegue a un gran sector de usuarios.