Seleccionar página

Identity Proofing: La clave para una identidad digital sólida

por | Verificación de Identidad

Cualquier empresa en la actualidad tiene razones de peso para conocer bien a sus clientes: protegerse contra el fraude y cumplir con las normativas. Pero en entornos digitales ya no basta con preguntar el nombre y algunos datos básicos para confirmar quién está al otro lado de la pantalla.

¿Cómo puedes estar seguro de que la persona en el otro extremo es realmente quien dice ser? Aquí es donde entra en juego el identity proofing o comprobación de identidad, como un detective que verifica múltiples fuentes para asegurarse de que la identidad reclamada sea la real.

El identity proofing online puede incluir cosas como revisar diferentes fuentes de información, usar tecnología biométrica para confirmar identidades o verificar documentos de identidad. Es como poner a prueba todas las piezas de un rompecabezas para estar 100% seguro de que coinciden.

 

¿Qué es el Identity Proofing y por qué es importante?

Identity Proofing es un proceso que verifica y autentica la identidad de una persona que intenta acceder a un servicio o sistema. También se conoce como verificación de identidad, y consiste en confirmar que una identidad existe en el mundo real y que realmente pertenece a la persona que la presenta.

Normalmente, este proceso se lleva a cabo cuando te registras en un sitio web o servicio en un proceso comúnmente conocido como onboarding digital, y su objetivo es asegurarse de que estás usando una identidad legítima y veraz.

Imagina que estás haciendo una compra online o dándote de alta en una plataforma web. En ese momento, la empresa necesita estar segura de que realmente eres quien dices ser. Eso es lo que llamamos «identity proofing» y debería ser una comprobación rigurosa.

A veces te pedirán información personal, como tu nombre o dirección, o incluso te harán preguntas que solo tú deberías conocer. Sin embargo, esto no siempre es suficiente porque existe el riesgo de que esa información haya sido expuesta a algún tipo de ataque o que más gente tenga acceso a ella.

Por eso, existen soluciones más avanzadas para verificar tu identidad. El siguiente paso sería que las empresas te pidan que te hagas un selfie o te grabes un video para comprobar que eres una persona real y viva (proceso conocido como liveness detection). También pueden verificar tus documentos para asegurarse de que todo concuerda. Para ello te piden que lo muestres a la cámara y se escanea y valida automáticamente.

 

¿Cómo se hace el Identity Proofing?

Hay diferentes métodos y niveles de rigor, pero en general se basan en los siguientes elementos:

  • Atributos basados en el conocimiento: son datos personales que solo el usuario debería saber, como su fecha de nacimiento, su dirección o su número de seguridad social. Estos datos se pueden contrastar con fuentes públicas o privadas para validar su veracidad.
  • Verificación de documentos de identidad: es el proceso de comprobar la autenticidad y validez de un documento de identidad, como el pasaporte, el DNI o la licencia de conducir. Esto se puede hacer mediante técnicas de reconocimiento óptico de caracteres (OCR), lectura a través del chip NFC o la comprobación de hologramas o marcas de agua.
  • Verificación biométrica: es el proceso de confirmar que el usuario es realmente quien dice ser mediante una prueba biométrica, como reconocimiento facial o la biometría de voz. Estas pruebas se pueden realizar mediante entornos web o aplicaciones móviles nativas.

 

¿Cuál es la diferencia entre identity proofing y autenticación biométrica?

La diferencia entre identity proofing y autenticación biométrica radica en el proceso en el que se realizan.

Identity proofing se refiere al proceso inicial de verificar la identidad de una persona cuando se registra o inicia una relación con una empresa organismo público o servicio online, es decir, en un proceso de onboarding digital. Es el proceso de asegurarse de que la persona que reclama una identidad es quien dice ser. Además, suele implicar la verificación de múltiples fuentes además de la biometría y se realiza una única vez.

Por su parte, la autenticación biométrica se refiere al proceso de verificar la identidad de una persona cuando intenta acceder a un sistema o servicio, normalmente después de haber pasado por el proceso de identity proofing. Se basa en características físicas únicas y medibles de una persona, como huellas dactilares, rasgos faciales, iris, voz, entre otros, y se puede utilizar para verificar la identidad en múltiples ocasiones durante el uso del servicio por parte del cliente.

 

Beneficios del Identity Proofing

El identity proofing tiene varios beneficios tanto para los usuarios como para los proveedores de servicios o sistemas:

  • Para los usuarios, el identity proofing les permite acceder a servicios o sistemas de forma segura y cómoda, sin tener que recordar múltiples contraseñas o responder preguntas difíciles. Además, les protege contra el robo de identidad y las transacciones fraudulentas, ya que dificulta que alguien pueda suplantarlos o acceder a sus datos sin su consentimiento.
  • Para los proveedores, el identity proofing les permite cumplir con las normativas legales (KYC y AML) y los estándares de seguridad que exigen verificar la identidad de sus clientes o usuarios. Además, les ayuda a mejorar la confianza y la satisfacción de sus clientes o usuarios, ya que les ofrece una experiencia de acceso más fluida y personalizada.

 

eIDAS y la acreditación o Identity Proofing

Los estándares europeos publicados por ETSI sobre servicios de confianza se ocupan de cómo confirmamos la identidad de las personas. Pero aquí viene el problema: estos estándares mencionan cosas como «presencia física» o «medios equivalentes a la presencia física» según el artículo 24.1 de eIDAS. El problema es que no explican bien qué significa «presencia física», lo que deja mucho espacio para una interpretación más subjetiva.

eIDAS no establece requisitos claros para los documentos de identidad físicos ni para las personas que deben realizar el control. En otras palabras, lo que se considera una «garantía equivalente» a la presencia física depende de la interpretación que haga cada uno, lo que resulta confuso.

Este problema se ha vuelto aún más apremiante con la revisión del Reglamento eIDAS, también conocido como eIDAS2. Por eso había que abordar este aspecto de manera más clara y eficaz.

La acreditación de identidad no es un servicio de confianza en sí mismo (dentro de la normativa eIDAS), sino un componente importante del servicio de confianza. Diferentes servicios de confianza pueden utilizar un componente de servicio de identity proofing, por ello los prestadores de servicios de confianza (PSCs) tienden a externalizar la verificación de identidad a proveedores especializados en este tipo de procesos.

Requisitos / Riesgos de seguridad

Para mantener todo seguro, se establecen requisitos de seguridad que abordan cuatro categorías principales de riesgos:

  • Evidencia falsificada: Cuando alguien finge ser otra persona usando documentos falsos.
  • Robo de identidad: Cuando alguien utiliza información válida pero perteneciente a otra persona.
  • Riesgos operativos: Problemas técnicos o errores humanos que puedan surgir.
  • Riesgos sociales: Riesgos relacionados con la interacción entre las personas en el proceso de verificación.

 

Nuevos Estándares Europeos sobre Identity Proofing

En 2021 se publicaron los nuevos estándares técnicos que definen cómo sería esa equivalencia física o presencial para verificar la identidad:

  • ETSI RT 119 460: Electronic Signature and Infraestructures (ESI); Survey of technologies and regulatory requirements of identity proofing for trust service providers
  • ETSI RT 119 461: Electronic Signature and Infraestructures (ESI); Policy and security requirements for identity proofing for trust service providers

Estas especificaciones técnicas son la base de una guía importante llamada CCN STIC-140 Anexo F.11. En esta guía se detallan las reglas que deben seguir las herramientas de videoidentificación cuando verificamos la identidad de alguien de manera remota utilizando vídeo. Esto se hace según las normas establecidas en la Orden Ministerial ETD/465/2021, que trata sobre cómo usar video para emitir certificados electrónicos cualificados.

 

 

La Guía CCN-STIC 140 está emitida por el Centro Criptológico Nacional (CCN) de España que establece los requisitos de seguridad para los sistemas de información clasificados. El Anexo F.11 de esta guía se centra en las herramientas de videoidentificación utilizadas para verificar la identidad de manera telemática, y establece los requisitos técnicos que deben cumplir estas herramientas, definiendo dos tipos de procesos de identificación:

Proceso desasistido o asíncrono

En este caso, el operador no habla ni interactúa directamente con el usuario. En lugar de eso, revisa la información que ya está guardada en la base de datos y en los sistemas de información. Tiene un panel de control que muestra todas las pruebas, como imágenes y videos, y decide si la identificación es válida o no. No hay comunicación en tiempo real con el usuario; todo se basa en datos previos de una videoidentificación anterior.

Proceso asistido o síncrono

Aquí, el operador se comunica con el usuario a través de una videollamada en tiempo real. Durante la videollamada, el operador toma una decisión basada en la puntuación (score) de la herramienta, la revisión de las pruebas y su evaluación de la conversación. Todos los datos, incluyendo el resultado de la identificación, se registran en el sistema y se guardan en una base de datos.

Vamos a ir un paso más allá hablando de EU Digital Identity Wallet

Como hemos comentado, el identity proofing es un proceso clave para garantizar que una persona es quien dice ser en el entorno digital. En este contexto, surge EU Digital Identity Wallet, una herramienta diseñada para verificar nuestra identidad de manera segura y eficiente con métodos avanzados. Aunque su implementación completa aún está en proceso, esta billetera digital aspira a convertirse en una plataforma destinada a almacenar, gestionar y compartir de manera segura nuestras credenciales digitales, abarcando desde el carné de conducir hasta títulos académicos e información bancaria. Con esta solución, se asegura que solo el titular de la billetera tiene acceso a sus datos y que se comparte únicamente la información necesaria.

Esta cartera europea planea incorporar métodos avanzados de autenticación, como la biometría y la verificación multifactor, que proporcionarán niveles adicionales de seguridad. Así, cada acción realizada con la billetera estará respaldada por un proceso de validación robusto, garantizando la protección y privacidad de los datos.

Este enfoque integral de identity proofing permitirá a los usuarios, una vez que esté totalmente lista, acceder a una amplia gama de servicios públicos y privados y compartir documentos de forma rápida y controlada. Por ejemplo, la wallet permitirá enviar un título académico a una empresa o firmar contratos de forma vinculante.

Además, al basarse en estándares técnicos comunes en toda la Unión Europea, la herramienta será interoperable en todos los países miembros. Esto significa que, independientemente de dónde te encuentres, podrás acceder a servicios digitales y compartir tus credenciales con validez en cualquier lugar de la UE.

identity proofing EU wallet

MobbScan, tu herramienta de confianza para el Identity Proofing

Nuestra herramienta innovadora, MobbScan, se ha destacado en el mercado al ser homologada y añadida al Catálogo de Productos y Servicios de Seguridad de las Tecnologías de la Información y la Comunicación (CPSTIC). Esto significa que MobbScan cumple con los estándares más altos de seguridad establecidos por el Centro Criptológico Nacional (CCN) en la categoría ALTA del Esquema Nacional de Seguridad (ENS).

La categoría ALTA del ENS es una garantía de que MobbScan ha pasado rigurosas pruebas de seguridad y ha cumplido con los más elevados estándares en ciberseguridad. Esto nos permite ofrecer servicios de verificación de identidad o identity proofing de manera segura y cumplir con todas las normativas requeridas

En definitiva, MobbScan es el superhéroe que se asegura de que todos sean quienes dicen ser en el universo digital.

Escríbenos si quieres implantar un sistema de verificación que te permita realizar un proceso robusto de identity proofing tanto de manera asíncrono (video desasistido) como síncrono (videollamada).

GUÍA

Identifica a tus usuarios mediante su cara

En esta dualidad analógico-digital, uno de los procesos que sigue siendo crucial para garantizar la seguridad es la verificación de identidad a través del reconocimiento facial. La cara, siendo el espejo del alma, proporciona una defensa única contra el fraude, aportando fiabilidad al proceso de identificación.