La verificación de identidad online, mediante el almacenamiento y uso de datos procedentes de documentos de identidad físicos, selfies o vídeos (de los documentos o de la cara), facilita y agiliza los procesos, pero también conlleva nuevos riesgos. Con la llegada de la identidad digital, se hace imprescindible cambiar nuestra visión para prevenir el fraude.
Desde los atentados del 11 de septiembre de 2001, ataque terrorista cometido en los Estados Unidos, los documentos de identidad y sus controles se han convertido en elementos clave para la seguridad de los países y sus ciudadanos. Los pasaportes y documentos de identidad deben cumplir con su función: garantizar que la persona en posesión del documento de identidad es quien dice ser. Para ello, se han incorporado numerosos elementos de seguridad electrónicos (MRZ, NFC, chips, 2D-Doc) y datos biométricos del individuo (huellas dactilares, iris, voz, rostro e incluso la forma de andar). Sin embargo, el fraude de identidad nunca se ha reducido e incluso se ha disparado a raíz de la pandemia.
Según la Comisión Federal de Comercio (FTC), los incidentes de robo de identidad aumentaron cerca del 45% en el año 2020. Pero, ¿cómo luchar contra esto? Un gran número de organizaciones, como bancos, compañías de seguros y otros, se han visto obligados a intensificar los controles reglamentarios y normativos, especialmente con el fin de mejorar los procesos de Know Your Customer (KYC), con el fin de prevenir el robo de identidad, pero también el fraude fiscal, el blanqueo de capital e incluso la propia financiación del terrorismo.
Los controles de identidad presenciales son considerados por los reguladores como el estándar por excelencia de la verificación; las plataformas de soluciones deben tomar ejemplo de los métodos de comprobación en el mundo físico y replicarlos en el mundo digital, con el poder de la inteligencia artificial y el deep learning. De este modo, la verificación de identidad online se ha convertido en un proceso mucho más complejo, desde la verificación automática de atributos (nombre, apellidos, fecha de nacimiento, etc.), hasta la lectura de elementos de seguridad (NFC), y el análisis de fotos y vídeos (del rostro y/o del documento). En pocos segundos, las soluciones efectúan varias decenas de comprobaciones electrónicas y también el análisis comparativo de las fotografías y vídeos de los documentos de identidad con las del rostro de los usuarios que transfieren ellos mismos.
Al simular la verificación de identidad del mundo físico al online, las plataformas permiten fácilmente a los usuarios y a las empresas pasar de un sistema a otro y contribuyen a la profunda digitalización de nuestros usos. Pero el almacenamiento y la utilización de datos de identidad extraídos de documentos físicos suponen nuevos riesgos y abren nuevas oportunidades para los estafadores. Entonces, ¿cómo podemos protegernos contra ellos y anticiparnos a su avance tecnológico?
El robo de identidad consiste en recopilar información personal de un individuo y utilizarla para realizar actos, más o menos delictivos, simulando una identidad. Existen varios tipos de fraude, entre ellos el fraude de documentos, que consiste en la falsificación, adulteración o robo de documentos en blanco para personalizarlos; el Deepfake, que consiste en reproducir el rostro o la voz de una persona seleccionada en fotos o vídeos.
El fraude también se ha convertido en digital, detrás de una pantalla y a distancia; el trabajo de los estafadores se ha facilitado enormemente. Ya no es necesario fabricar físicamente documentos falsos, los recursos necesarios para la usurpación digital (fotos o vídeos de documentos de identidad, documentos oficiales robados) están disponibles y accesibles con unos pocos clics en la Dark Web. Recientemente, se descubrió un archivo de más de 4 TB con documentos de identidad obtenidos fraudulentamente. Los estafadores además pueden industrializar fácilmente sus ataques sin importar el tiempo que tarden. En relación a esto, entre marzo y junio de 2021, durante el confinamiento, el grupo IDnow detectó un aumento del 180% de fraude documental.
Para evitar estos fraudes, es necesario adoptar una visión común, algo en lo que está de acuerdo la Comisión Europea. Actualmente están en marcha varios proyectos a nivel europeo, entre los que se destaca el del Instituto Europeo de Normas de Telecomunicaciones (ETSI), que trabaja en una normativa de requisitos aplicables a los proveedores de servicios de verificación de identidad a distancia con el objetivo de estandarizar la verificación de identidad y garantizar, a su vez, la misma seguridad tanto a los ciudadanos como a las empresas. En la misma línea, Francia, pionera en Europa en el campo de la verificación, ha desarrollado un conjunto de requisitos aplicables a los proveedores de verificación de identidad a distancia (PVID).
Los nuevos riesgos que la tecnología ha generado deben reducirse al máximo mediante el uso de tecnología. Para hacer frente a los retos del futuro, es absolutamente esencial pasar de un enfoque centrado en el documento de identidad y la información a otro centrado en el usuario y el entorno en el que opera. La verificación del documento es sólo un paso en la verificación de identidad, a la que se deben añadir otros elementos de identificación tales como los comportamientos digitales del usuario y la verificación de los dispositivos electrónicos.
Esto significa que no solo hay que centrarse en los elementos de identidad de una persona, sino también en el dispositivo utilizado para este tipo de tareas. Si la herramienta utilizada pareciera ser diferente, se puede enviar un correo electrónico de confirmación o una solicitud de conexión segura. Al integrar varias capas de seguridad y diferentes tipos de comprobaciones en un único proceso y al mismo tiempo, multiplicará la seguridad y facilitará la lucha contra los atacantes.
La pandemia provocada por la COVID‑19 aceleró el proceso de digitalización en las empresas, la administración pública y los gobiernos europeos. Las empresas privadas, especialmente las del sector financiero, se vieron obligadas a trasladar la mayor parte de sus servicios a la red para no perder oportunidades de negocio y de clientes con los que no podían relacionarse físicamente. Este es uno de los muchos ejemplos de cómo las empresas y la administración pública requieren que los usuarios y ciudadanos dispongan de una identidad digital fuerte y segura, pero al mismo tiempo de fácil acceso y uso, cumpliendo con la normativa europea, como puede ser el eIDAS y la AML5.
Por todos estos motivos, Europa ha anunciado su voluntad de implantar la cartera Identidad Digital Europea y su acogida en todos los países de la Unión Europea. Con esta aplicación, los ciudadanos europeos podrán almacenar de forma segura documentos como su DNI electrónico o su permiso de conducir (europeo), al igual que las recetas médicas, las tarjetas bancarias o incluso los títulos universitarios. Con ello se facilitará la forma en que los ciudadanos se identifiquen o realicen cualquier trámite en todos los países miembros de la UE. Se trata de una nueva forma de reducir el fraude y dar a los ciudadanos el poder de controlar sus documentos de identidad desde una única plataforma.
En esta tribuna, Neil Thacker, CISO para EMEA en Netskope, aborda la creciente importancia de…
En esta tribuna, Miguel López, Director General de Barracuda Networks, explica la necesidad de tener…
En esta tribuna Gaetano Ziri, Innovation Manager de Auriga, destaca la necesidad de reducir los…
Marc Sabadí, Identity Innovation Lead, Mitek Systems, nos explica en esta tribuna cómo la inteligencia…
Sandy Ono, vicepresidenta ejecutiva y directora de Marketing de OpenText, explica en esta tribuna la…
Rainer W. Kaese, director sénior de Desarrollo de Negocio de HDD de Toshiba Electronics Europe,…