Otorgado en 2014

A Confyrm se le otorgaron $2,4 millones en el 2014 para demostrar formas de minimizar las pérdidas cuando algún delincuente se apodera de cuentas en línea o crea cuentas falsas. El proyecto tiene el objetivo de enfrentar una importante barrera para la identidad federada: conocer si las cuentas usadas en soluciones de identidad son legítimas y están siendo controladas por el verdadero dueño.

Confyrm demostrará cómo un modelo de “señales compartidas” puede mitigar el impacto de los robos de las cuentas y de las cuentas falsas, a través de una temprana detección y notificación del fraude, explica Andrew Nash, fundador y director general de la compañía. La firma está trabajando sus socios con el fin de crear casos de uso para compartir información entre participantes de empresas, consumo y gobierno.

La premisa es sencilla. Si un proveedor de identidad observa un cambio de contraseña o un comportamiento sospechoso, este sistema actúa. Google mostró el sistema de Confyrm en la Cumbre de Identidad en Nube en el caso de un restablecimiento de contraseña, dice Nash.

La demostración consistió en un usuario haciendo un cambio legítimo de contraseña, así como también lo que ocurre cuando el usuario visita sitios que habían sido federados previamente con esa identidad. En dependencia del tipo de transacción que el usuario trataba de realizar, se requerían diferentes acciones. Si el usuario simplemente estaba observando la información, no era necesaria otra acción. Pero si estaba efectuando una compra u otra transacción de mayor riesgo, se solicitaba al usuario más información.

“Lo que estamos haciendo es compartir información a nivel de cuenta, que permita comprender esta inter-red o conexión de todas estas cuentas que se han ido creando a través del tiempo”, expone Nash. “Esto muestra cómo algo que le ocurre a un administrador de cuenta puede ser útil que otro lo conozca con el fin de mantenerse protegido, pero queremos hacer esto ocultando la identidad en la mejor forma posible”.

Se ha dado muy poca información sobre los socios en esta prueba piloto, excepto que los mismos incluyen un proveedor de Internet, un operador móvil, una compañía de servicios financieros, y múltiples sitios de comercio electrónico. El programa piloto está en su etapa inicial, por lo que no hay ningún resultado disponible aún.

“Estamos realmente proporcionando un valor que es independiente de las tecnologías de identidad, los protocolos y las infraestructuras”, señala Nash. “Desde ya podemos mejorar el valor de sistemas muy elementales basados en contraseñas, de modo que podemos lograr un impacto en el transcurso de los próximos uno a dos años, que va a elevar de forma directa la confianza en las identidades de los consumidores”.

Lecciones aprendidas

Lo más importante es mantener la tecnología en una forma simple, expresa Nash. Si un proveedor de identidad se percata de una violación o de un comportamiento anormal, debe asegurarse de sencillamente comunicarlo al usuario.