Signature credit cardLas cuatro compañías más importantes emisoras de tarjetas de crédito en los Estados Unidos, American Express, Discover, Mastercard y Visa, se unen para anunciar que dejarán de solicitar a los establecimientos de su red que recojan la firma de los clientes en el momento de la transacción. Un gesto, el de firmar, cada vez menos utilizado y con un valor prácticamente nulo como elemento de seguridad: las posibilidades de un empleado de una tienda de comprobar la integridad o veracidad de una firma con unas mínimas garantías han sido siempre mínimas, y abundan los ejemplos de personas que firman con cualquier tipo de garabato o incluso con dibujos absurdos, y no tienen ningún problema a la hora de procesar su pago. 

Con el tiempo y la evolución de los medios de pago, la necesidad de la firma se ha visto eclipsada por el uso de elementos algo más seguros, como el número de identificación personal o la inclusión de elementos de biometría, como la huella dactilar o la cara en el caso de pagos mediante smartphone. El uso de un elemento como un bolígrafo con el que se estampa un garabato sobre un papel es cada vez más anacrónico, y empieza a no ser utilizado ni siquiera en el momento de la firma de un contrato para, por ejemplo, abrir una cuenta bancaria, sustituido por otros elementos como un selfie o la captura con la cámara de un documento de identificación.

Junto con la firma, otro elemento de seguridad cada vez más claramente destinado a la extinción es el uso de la contraseña: el uso cada vez más extendido de gestores de contraseñas lleva a que los usuarios comiencen a abandonar malas prácticas como el utilizar contraseñas fáciles de recordar o la misma contraseña para todo, escogiendo en su lugar contraseñas imposibles y aleatorias que no conocen, pero que son recuperadas en el momento de acceder a cada servicio por servicios como LastPass1PasswordNoMorePass o similares. Pero más allá de mejorar los sistemas basados en el uso de una contraseña, estos también están siendo cada vez más sustituidos por elementos biométricos tomados en el momento en que son requeridos de cualquiera de los dispositivos que un usuario maneja. Por la mañana, me levanto, me pongo el smartwatch, y este se desbloquea sin necesidad de introducir su contraseña de acceso cuando tomo el smartphone y lo desbloqueo apuntando a mi cara. Cuando abro mi ordenador portátil, ocurre lo mismo: en una curiosa secuencia, se desbloquea mediante la presencia de mi smartwatch en mi muñeca y desbloqueado, aunque mantengo la posibilidad de desbloquearlo igualmente mediante mi huella dactilar en su sensor o mediante una contraseña, que obviamente he dejado de utilizar salvo cuando lo reinicio o para algunas escasas operaciones que aún la requieren. Cuando desde el ordenador compartido de alguna clase hago login en muchas de mis cuentas, ese login únicamente se completa cuando lo confirmo en alguno de los dispositivos que llevo conmigo, proporcionándome un nivel adicional de seguridad basada en factores múltiples. Pronto, un nuevo estándar de seguridad propuesto por W3C, WebAuthn y aceptado ya por Google, Microsoft y Mozilla, se encargará de coordinar las formas en las que las personas acceden a servicios en la web y se incorporará a prácticamente todos los navegadores significativos.

No más firmas, relegadas ya al más trasnochado de los absurdos, y a la espera de ser también pronto desacralizadas por servicios aún tan necesarios en la sociedad como los notarios, las firmas de contratos y actas, o por procesos tan habituales y absurdamente redundantes como el de hacer checkin en un hotel. Asimismo, no más contraseñas, convertidas en incómodas pruebas de memoria o en cada vez más momentos de inseguridad, incomodidad y de uso habitual del botón “olvidé mi contraseña”. Elementos de seguridad que hasta hace pocos años eran exclusivos de sistemas de elevada sofisticación, convertidos en habituales gracias a la incorporación de cada vez más elementos de sensorización y captura de huella dactilar o de otros parámetros biométricos en dispositivos cada vez más ubicuos. Si aún tienes que firmar con frecuencia o que introducir contraseñas de manera habitual, o si esos elementos están aún integrados en los procesos de negocio de tu compañía, plantéate que es posible que debas repensar esos procesos para darle un impulso a tus prácticas de seguridad.

 

Signatures (IMAGE: EDans)¿Cuánto vale una firma? Las de la imagen, que fotografié en un momentito en un par de salas del Metropolitan Museum de Nueva York, obviamente muchísimo. Picasso lo tenía muy claro: su firma identificaba su trabajo, que reflejaba la experiencia de toda una vida pintando, y tenía un valor muy elevado.

Mastercard, sin embargo, piensa lo contrario: la firma no vale nada, y quiere eliminarla completamente de sus transacciones antes de abril de 2018. Las asociaciones de comerciantes están de acuerdo, y lo consideran un buen movimiento, porque consideran la captura de la firma como algo engorroso, que retrasa el proceso de cobro y que, en realidad, no aporta ninguna seguridad adicional.

En efecto: la firma es un método de autenticación débil, absurdo, y que no aporta ninguna seguridad como sistema de verificación. Es un tema que lleva muchos años comentándose: firmar un recibo de una compra con tarjeta de crédito es absurdo, como lo es firmar la propia tarjeta, aunque en teoría esa firma en el dorso de la tarjeta suponga la aceptación del contrato que te permite utilizarla como medio de pago. ¿Realmente es válido el intento de firma que hacemos con el dedo en la pantalla de un móvil como prueba de la entrega a domicilio de una mercancía? ¿Puedes hacer el garabato que quieras, porque en realidad no sirve para nada? En la inmensa mayoría de los casos, el que recibe la firma no se preocupa en absoluto de compararla con la del dorso de la tarjeta.

Actualmente, el 80% de las transacciones con tarjeta de crédito ya no requieren la firma del usuario, y el plan de Mastercard es terminar completamente con la firma. Simplemente, y por mucho que se siga utilizando para todo tipo de contratos, es un método absurdo y anticuado. Mi hija sabe reproducir mi firma con una gran exactitud, y yo, a su edad, sabía reproducir la de mi padre. Los chips, la tokenización y la biometría son sustitutos infinitamente más lógicos y adaptados a los tiempos. La huella digital que utilizo para desbloquear mi smartphone y pagar con Apple Pay en una tienda es una prueba mucho más segura de mi identidad que un garabato, o que el hecho de exhibir un carnet de identidad con una fotografía en blanco y negro a la que no me parezco en absoluto porque cuando la tomé, pesaba veinte kilos más.

¿Por qué seguimos otorgando valor a la firma y a otros métodos de identificación propios de otros tiempos? Simplemente, por costumbre. Las costumbres cambian con los tiempos y con la evolución del escenario tecnológico, pero lo hacen muy lentamente, de manera casi generacional. Y en ocasiones, como en el caso de la firma de las tarjetas, llegan a generar situaciones completamente ridículas. En algún momento, alguien debe plantarse, evaluar las situaciones, y solucionar estas incoherencias.