A medida que las licencias de conducir, los pasaportes y las tarjetas bancarias facilitan el mundo virtual ¿están a nuestro alcance la identidad segura?

Cuando los viajeros llegan al aeropuerto, muestran una licencia de conducir o un pasaporte para pasar el chequeo de seguridad, y los agentes se aseguran de que la información en el pase a bordo concuerde con la del documento de identidad. Allí escanean el código de barra del pase a bordo y puede examinarse el documento de identidad con una luz ultravioleta como otras medidas para asegurar que los documentos son válidos.

En el mundo digital no existe algo equivalente a este proceso. No hay una licencia de conducir o un pasaporte de Internet que pueda mostrarse para acceder a los servicios en línea. Las credenciales digitales de alta seguridad están limitadas a las empresas que las emiten para sus empleados y no es usual que resulten útiles fuera de la compañía.

No obstante, todo eso puede cambiar, ya que finalmente existen nuevas iniciativas que pueden proporcionar una identidad fuerte a nivel masivo. Una serie de proyectos están logrando verdaderos avances para permitir que las personas utilicen para el acceso de alta seguridad documentos que ya poseen, en esencia usando tarjetas de identificación que ya existen en la billetera como el ADN para futura identidad.

Verificación en segundo plano

Uno de los aspectos más difíciles en la emisión de las credenciales digitales de alta seguridad es que se ha comprobado que es problemático pasar completamente a Internet el proceso completo de verificación. Los consumidores no quieren ir a algún sitio con sus documentos, registrarse y recibir un token. Más bien prefieren poder solicitar una credencial en línea y utilizarla inmediatamente con la menor fricción posible.

Hasta ahora el principal método remoto de verificación en línea que utilizan los proveedores de identidad ha sido la autenticación basada en conocimiento, por sus siglas en inglés, KBA. Se trata de los cuestionarios que hacen preguntas tales como dónde vivió el usuario anteriormente, el monto de su hipoteca o qué banco le dio el préstamo para su coche.

Esos sistemas KBA nunca han sido perfectos, pero después de la violación de datos en el IRS en 2015 – en que los hackers usaron datos obtenidos en otras violaciones para acceder a más de 300,000 registros y en muchos casos irrumpir en el sistema KBA – se ha elevado el listón. Puede decirse que ahora los expertos están unánimemente de acuerdo en que aplicar solamente el sistema KBA es insuficiente para demostrar de forma remota la identidad.

“Considerando la situación a que hemos llegado actualmente con todas las violaciones – Anthem, la Oficina de Administración de Personal de EEUU, y otras – tenemos que asumir que nuestros datos han sido comprometidos de una forma u otra”, afirma Doc Vaidhyanathan, vicepresidente de gestión de producto de CA Advanced Authentication. “Nadie debe basarse en un sistema que dice ‘si sabes estas tres o cuatro cosas, entonces eres tú’. KBA debe ser solamente una capa en la verificación de una identidad”.

Algunos proyectos están comenzando a vincular credenciales del mundo real – licencias de conducir, pasaportes y tarjetas de pago – para añadir seguridad a las identidades digitales. En el Reino Unido el proyecto Verify tiene un enfoque diferente sobre la verificación de la identidad en línea. A un nivel básico, Verify es la versión británica de la oferta Connect.Gov del gobierno estadounidense. Cada una de ellas le permite a los ciudadanos crear una identidad en línea que puede ser utilizada en varias formas para interactuar con el gobierno y potencialmente en el futuro con otras partes confiantes.

No obstante ello, la diferencia entre Verify y Connect.Gov, es que hay un nivel más fuerte de seguridad detrás de una identidad Verify. Los ciudadanos deben aprobar un cuestionario KBA y también dar un número de pasaporte o licencia de conducir para que sea verificado.

Los sistemas como este, que autentica en línea los documentos físicos de identidad, se están haciendo más comunes, comenta Emma Lindley, fundadora de Innovate Identity, una firma consultora con sede en el Reino Unido. Los teléfonos móviles pueden tomar fotos de los documentos para enviarlos con fines de verificación, y los teléfonos tienen suficiente calidad para incluso verificar las características visuales de seguridad del documento. En el futuro, como un factor adicional, los teléfonos con NFC pueden leer los chips en un pasaporte sin contacto y otros documentos de identidad.

Muchos de estos sistemas también emplearán reconocimiento facial como el factor final. Después que el documento inicial de identidad es escaneado y verificado, el individuo se toma una foto selfie que se chequea contra la foto capturada originalmente por el proveedor del documento. Combine la verificación del documento de identidad con el reconocimiento facial, y obtendrá una credencial de un nivel bien alto de seguridad, expresa Lindley.

Con la otra capa que representa el chequeo KBA, ya tiene una autenticación remota de tres factores antes de emitir la credencial, o sea, algo que obtienes a través de la licencia de conducir, algo que conoces mediante el cuestionario KBA, y algo que eres en base al chequeo biométrico mediante reconocimiento facial.

En esto la clave es que ese nivel de escrutinio solo se requiere antes de emitir la credencial. En lo adelante, la credencial real o token – en cualquier forma que se adopte – puede ser confiable porque desde el inicio se vinculó con el individuo de una manera segura.

En EEUU se van dando pasos constructivos

MorphoTrust ha estado probando un sistema que utiliza información de una licencia de conducir emitida por el estado para crear una credencial de alta seguridad. El proyecto ha estado funcionando cerca de un año en Carolina del Norte y se está ampliando hacia Georgia.

La compañía también implementó Identix – una plataforma de identidad que extiende este servicio a cualquier empresa. La plataforma proporciona la capacidad de crear una fuerte verificación de identidad y credencialización en cualquier aplicación o sitio web, explica Benji Hutchinson, director senior de MorphoTrust.

La plataforma se basa en información a la que acceden los sistemas estatales de licencias de conducir, señala Hutchinson. “El método primario mediante el cual los ciudadanos de EEUU demuestran su identidad es la licencia de conducir, y con ese token físico uno puede establecer su identidad en cualquier lugar”, explica. “En cualquier aspecto de la vida en que uno quiere demostrar su identidad, necesita para ello la licencia de conducir. Estamos haciendo el enlace a la licencia para crear una credencial digital que permita múltiples capas nuevas de identificación”.

Hay una serie de maneras en que esto puede funcionar en la práctica. Los ciudadanos pueden optar por ello cuando renuevan o solicitan una licencia de conducir, o pueden ser inscritos por un tercero, explica Mark DiFraia, director senior de estrategia de soluciones de la compañía.

Por ejemplo, una compañía de seguros pudiera crear las funciones Identix en su aplicación móvil. Alguien que solicite un seguro nuevo para el vehículo podría tomar una foto de su licencia de conducir y presentarla junto con una foto del rostro o una selfie a través de la aplicación. Se chequearía la validez de la licencia contra los datos emitidos por el DMV de ese estado y después el software de reconocimiento facial establecería la coincidencia de la foto presentada con la imagen capturada cuando se emitió la licencia.

“Si ingreso mi información, no quiere decir que sea tremendamente confiable, pero si escaneo mi licencia de conducir y se autentica, eso añade mucha más confianza”, explica DiFraia.

MorphoTrust ofrece Identix como un producto de etiqueta sin marca, de modo que las empresas puedan simplemente añadir la funcionalidad a sus sistemas y aplicaciones existentes. Los consumidores no tienen que descargar una aplicación adicional, las empresas habilitarán la funcionalidad en su extremo. “En lugar de tener que crear una nueva pieza completa de autenticación, los desarrolladores pueden tomar de nosotros esa capacidad”, dice DiFraia.

¿Podrían los bancos ser clave para la identificación en línea? Aunque la licencia de conducir puede ser el documento estándar de identificación en los EEUU, también están las tarjetas de pago. Aunque normalmente no se le pide a las personas presentar una tarjeta de pago como prueba de identificación, las instituciones financieras deben realizar la verificación “conoce a tu cliente” antes de permitir que un cliente abra una cuenta bancaria.

En Canadá los bancos han estado permitiendo que los clientes utilicen ese login para acceder a sitios gubernamentales. Esto le da al gobierno una elevada seguridad de con quién están tratando sin tener que investigar y emitir identidades. El sistema ha estado funcionando durante tres años con tres diferentes instituciones financieras, explica Charles Walton, director general de SecureKey. Una de las aplicaciones más importantes es permitir que los ciudadanos utilicen el inicio de sesión del banco para acceder al IRS canadiense, pero otras aplicaciones se están implementando en las provincias. “En los primeros seis meses del año – tiempos pico – generalmente se ejecutan cerca de 2 millones de transacciones por mes”, señala Walton. Esto básicamente toma la idea de un login social  –  que normalmente se basa en una combinación auto-determinada de nombre de usuario y contraseña de Google, Facebook o LinkedIn –y añade un nivel alto de seguridad gracias a la verificación que el banco realizó previamente.  “Este es un login social con privacidad y confianza”, afirma Stuart Vaeth, vicepresidente senior de desarrollo de negocios en SecureKey. La compañía está extendiendo el servicio más allá de Canadá, lanzando SecureKey Concierge en los Estados Unidos con un banco estadounidense. Esto le permitirá a los clientes bancarios de EEUU utilizar la información de inicio de sesión para sus cuentas financieras y acceder a otros servicios de forma segura y privada, dice Vaeth. “Esto resuelve dos problemas: la proliferación de las contraseñas y cómo un proveedor de servicio verifica quién es el usuario en línea”, añade. SecureKey está en conversaciones con otras instituciones financieras para el uso del sistema en los Estados Unidos, y la compañía se centra en la atención de salud para los casos de uso iniciales, señala Vaeth. En lugar de apoyarse en la autenticación basada en conocimiento para el acceso a un proveedor de salud o un asegurador, el servicio Concierge utilizaría la credencial bancaria para verificar la identidad. Cuando accede al sitio, el usuario tiene la opción de emplear una credencial bancaria para el acceso, dice Vaeth. En lugar de responder a un cuestionario basado en conocimiento u otro paso de verificación, el usuario ingresa la credencial bancaria, accede a compartir la información y entonces el banco estadounidense trasmite un identificador anónimo. “Esto aprovecha la prueba de identidad que los bancos ya han realizado”, explica.

Combinando cadenas con identidad en capas

Sistemas como los de MorphTrust y SecureKey están dando los primeros pasos para combinar las credenciales de usuario con usuarios virtuales, pero estos son solo dos de los esfuerzos que se realizan para asegurar la identidad en línea. Existen otras tecnologías y métodos que pueden emplearse en segundo plano para validar una identidad e ir más allá de las credenciales auto-determinadas y de los cuestionarios KBA por separado.

Configurar la identidad para una persona en línea debe ser un proceso en lugar de una sola acción en un solo momento, dice Vaidhyanathan, de CA. “Obtener al principio la información básica de las personas, por ejemplo, una breve autenticación basada en conocimiento para incorporar al usuario, pero no comenzar con el nivel más alto de autenticación”, explica.

El uso de los cuestionarios basados en conocimiento o KBA como uno de los ingredientes de una receta de identidad es lo que recomienda Idology, explica John Dancu, presidente y director general de la compañía. Los productos de Idology funcionan en segundo plano para ayudar a darse cuenta de si una identidad es legítima o no. “Tenemos que asumir que esos datos tienen una alta posibilidad de ser violados y la idea de tomar datos y casarlos con registros públicos no es suficiente”, explica.

Idology revisa los datos que alguien presenta, examina los dispositivos y busca si hay malware, ve la geolocalización y otros atributos, Dancu señala. Muchas cosas pueden determinarse mirando la localización y los atributos basados en actividad. “Si los mismos clientes vienen de un mismo lugar en cuestión de minutos, esto da indicios de fraude”, plantea.

Todos estos atributos pueden chequearse en segundo plano y siempre que no hayan indicios de intrusión, la transacción puede realizarse con un alto nivel de seguridad, observa Dancu. Si se producen algunos indicios sospechosos, uno añade capas adicionales para alzar el listón, como puede ser KBA. “Cuando uno utiliza de conjunto todos los atributos, puede validar con mucha rapidez a un cliente legítimo”, explica. “Uno tiene que examinar los demás factores y solo recurrir al cuestionario KBA cuando haga falta”.

Idology trabaja con compañías minoristas, de servicios financieros y de atención de salud. Uno de sus últimos métodos incluye al dispositivo móvil y puede identificar personas incluso si cambian de teléfonos o de operadores de telefonía. “Se están produciendo más fraudes con los móviles y queremos perseverar con esos dispositivos”, añade Dancu.

Esta es un área en que también se centra Payfone, que trabaja con las cuatro principales redes móviles para identificar a los dueños de los dispositivos, con independencia de si han cambiado de teléfono o de operador, explica Mike Bijelich, director de implementaciones estratégicas de esa compañía.

Por ejemplo, si un cliente está utilizando una aplicación de una institución financiera en un dispositivo móvil nuevo, la institución ve una dirección IP, un cookie y algunos detalles más. Con Payfone la institución también ve cuál es el operador móvil del teléfono, si es un nuevo dispositivo y si ha habido algún cambio con el cliente. “Vinculamos la identidad de la red móvil con el evento de login y después lo tokenizamos y añadimos a nuestra inteligencia”, explica Bijelich. “Con nuestra tecnología en el segundo plano, se requieren menos retos de autenticación”.

A medida que el número del dispositivo móvil se convierte en uno de los atributos más valiosos de la identidad, es importante saber algo sobre el dueño de ese dispositivo, dice Bijelich. En esencia, el móvil, la identidad del dispositivo y el número de teléfono de la persona son comparables a una licencia de conducir moderna.

Pero los móviles tienen el beneficio añadido de que ya cruzan el mundo físico y virtual. Compañías como Idology y Payfone están arando terreno nuevo, explorando cómo los procesos móviles y de verificación que hacen los operadores pueden ser aprovechados con fines de identidad.

Mapeando al ADN del bolsillo

Los teléfonos móviles, los pasaportes, las licencias de conducir y las tarjetas bancarias preservan el ADN que vincula el mundo físico con el digital. Hacer posible que los atributos de esos documentos y dispositivos se empleen para la identificación digital puede resolver dos de los mayores problemas: poner nuevas credenciales en manos de los consumidores y asegurar que sean cuidadosamente verificados antes de la emisión.