Conveniencia uso huella dactilar en apps bancarias

Hola

Ante la insistencia de algunas apps de bancos para activar el uso de acceso biométrico me he puesto manos a la obra.

He configurado en mi móvil android una huella digital y activado en la app bancaria su uso.

Curiosamente, y a diferencia de lo que esperaba que sucediese, la app bancaria confía en todas las huellas digitales registradas en el móvil. 

Yo esperaba que me solicitase elegir una huella determinada y guardase algún tipo de valor hash de la misma para comprobar su integridad antes de casa uso.

Antes de usar la huella digital, en la situación hipotética que el ladrón había obtenido el pin o patrón de tu móvil tenía que saber el pin de acceso a la app bancaria para entrar a ella.

Ahora, el ladrón puede añadir una huella dactilar al móvil y acceder a las apps bancarias donde tengas habilitado ese modo de acceso.

El uso de la huella dactilar será muy cómodo pero basa toda la seguridad en el elemento más débil de la cadena: el pin o patrón de tu móvil.

Hay algo que he pasado por alto o que no halla tenido en cuenta ?

Gracias

Al añadir huella dactilar nueva, la app del banco detecta un cambio de huella y te pide la contraseña la primera vez y a parte volver a registrar huella dependiendo de la app

He probado con la app de BBVA.

Tenía activado el acceso vía huella dactilar en la app. He añadido una segunda huella en android y después he podido acceder a la app con la nueva huella sin que me solicitase clave de acceso ni confirmación algúna.

Me parecen carencias de seguridad bastante graves.

Pues será a tí....yo puse una segunda huella hace unos meses y en las 6 apps de banca tuve que registrar la huella nueva entrando con contraseña. 
Ya si va dependiendo del móvil, pues ni idea.

A ver, yo tampoco creo que eso sea muy grave. La app delega en el SO y si este le dice que la identificación es correcta pues ya está. Da igual que sea dedo, o cara o lo que el SO quiera.

Hola

El último comentario de @always you me hace pensar que quizás haya algo más por configurar en el móvil para aumentar la seguridad en el uso de la biometría.

@Zascd : Para mi si es grave que alguien pueda acceder a mi aplicación bancaria conociendo solo el pin o patrón de acceso a mi móvil (algo que hacemos de forma inconsciente delante de otras personas)

En los bancos que yo uso solo sirven los datos biométricos, no vale el pin o el patrón.

No me refería al acceso a la app bancaria.

Si te roban el móvil y consiguen tu pin o patrón pueden acceder a la app bancaria añadiendo una nueva huella digital. 
La app bancaria confiará en todos los datos biométricos que existan en el móvil.
Que acceder con datos biométricos es más cómodo ? Si. Más seguro? Lo dudo

Estoy de acuerdo en que el patrón es inseguro pero entonces no deberías tenerlo activado como medio de desbloqueo. En el móvil solemos tener otros datos importantes además de las apps bancarias.

Yo como medio de desbloqueo del móvil también tengo la biometría.

Con lo cual no me pueden copiar el patrón de desbloqueo porque no existe ni lo utilizo... solo me hace poner el PIN por la mañana cuando enciendo el movil; pero eso lo hago en casa sin "invitados".

Saludos

He consultado con el INCIBE está cuestión (por cierto, rápidos y eficientes) y me indican lo ya comentado por @always you : el cambio de datos biométricos es detectado por las apps bancarias. 

En concreto, en la siguiente página de la ayuda de la app BBVA se indica eso https://www.bbva.es/general/seguridad/herramientas/biometria.html#que-pasa-si-cambio-los-datos-biometricos-registrados-en-mi-movil

Yo he probado nuevamente en mi móvil con el mismo resultado decepcionante.
Supongo que si a alguien más le ocurre no se habrá percatado pues no aparece ningún mensaje de error. 
Simplemente te deja entrar hasta la cocina.

He estado mirando por si había que activar algo extra para aumentar la seguridad en la biometria como tú comentaste anteriormente y no he visto nada....

Entonces es así, las apps bancarias detectan una huella nueva sea por eliminación de la anterior o por añadir una nueva a la ya existente/s.....

Si a tí no te ocurre es muy raro, y cada móvil es un mundo y a saber.....probaste con otra app bancaria diferente a BBVA?

Gracias por tu interés en mi cuestión.

He abierto una consulta técnica con BBVA.
 No he probado aún con otra entidad bancaria. Creo que Ing podría valer.

Usando el mismo móvil, la app de Ing detecta el cambio en la biometría y te obliga a acceder con clave y reactivarla.
Pues parece que la tan premiada app del BBVA tiene algún problema en mi móvil.
A ver qué responde su soporte tecnico

Ya he recibido respuesta del soporte BBVA.

Entiendo que dicen que por limitaciones técnicas para dar soporte también a la identificación facial no pueden detectar los cambios en la biometría del dispositivo.
¿ Las apps de otros bancos si pueden y ellos no ?

Transcribo literalmente su respuesta:

Indicarte que en Android no podemos detectar que ha habido cambios en la biometría. Existen dos tipos de biometría: tipo STRONG (class 3) (que sería la huella en todos los dispositivos y reconocimiento facial para el Pixel 8 únicamente) y de tipo WEAK (class 2) que sería el reconocimiento facial en el resto de dispositivos.


Actualmente en España, permitimos que los usuarios hagan login con ambos tipos de biometría (huella y reconocimiento facial). Debido a restricciones del proveedor del SDK de biometría NokNok, solo se puede detectar los cambios de biometría en el teléfono cuando la biometría es de tipo STRONG, por lo que desde Android no podemos detectarlo ya que como comentaba anteriormente permitimos también el acceso con reconocimiento facial y sí únicamente se permitieran de tipo STRONG, lo perderíamos.

En iOS no tienen este problema y si pueden detectar cambios en la biometría del dispositivo, se muestra una pantalla de que se han producido alteraciones en la biometría, por lo que quizá en el enlace que indica el cliente habría que matizar que únicamente aplica a dispositivos iOS.

Asi que por resumir, en Android el comportamiento correcto es que a pesar de alterar la biometría del dispositivo, se va a seguir permitiendo el acceso con cualquier huella/cara registrada en el dispositivo.

Saludos