//Autenticación de identidad: ¿son las personas quiénes dicen que son?

Autenticación de identidad: ¿son las personas quiénes dicen que son?

¿Cómo se sabe que una persona es quién dice ser? A medida que el mundo online evoluciona, aumenta la necesidad de tener identidades verificables y de confianza. Aunque inicialmente una identidad falsa podría ser beneficiosa, en realidad es el centro de muchos de los delitos financieros.

Autenticación de identidad: ¿son las personas quiénes dicen que son?

¿Cómo se sabe que una persona es quién dice ser? A medida que el mundo online evoluciona, aumenta la necesidad de tener identidades verificables y de confianza. Aunque inicialmente una identidad falsa podría ser beneficiosa, en realidad es el centro de muchos de los delitos financieros.

Construir un marco necesario de confianza online requiere una verificación de identidad para confirmar que la persona realmente existe, verificar la validez y los datos de la identidad que proporciona, datos también conocidos como Información de Identificación Personal (en inglés PII – Personal Identifiable Information). Existen tres tipos diferentes de verificaciones:

  • Autenticación de identidad
  • Validación de identidad
  • Verificación de identidad

Las diferencias entre los tres tipos pueden causar confusión ya que cada uno incluye información diferente, tiene implicaciones y requisitos legales distintos. Los términos de cada uno de ellos tienen diferentes significados, por lo que es aconsejable aclarar su uso. El nivel de verificación de identidad depende de la estrategia de mitigación de riesgos de una empresa y, si se trata de una institución financiera, como un banco o un negocio de servicios monetarios (en inglés MSB – Money Service Business), a qué regulaciones pertenecen.

Verificación de identidad y validación

El proceso de identidad comienza en la verificación; ¿existe un registro de esa persona? Cuando una persona proporciona su información de identificación, como el nombre, la dirección y la fecha de nacimiento, ¿coincide esa información con el registro de una persona? Para fines de cumplimiento normativo, a menudo estos datos son suficientes.

Por ejemplo, en los Estados Unidos, la Ley Patriota establece:

(2) REQUISITOS MÍNIMOS -Los reglamentos deberán, como mínimo, exigir a las instituciones financieras que implementen unos requisitos mínimos, y a los clientes, que cumplan con ellos. Dichos procedimientos son razonables ya que:

» (A) verifican la identidad de cualquier persona que busque abrir una cuenta de manera fiable;

» (B) mantienen registros de la información utilizada para verificar la identidad de una persona, incluido el nombre, la dirección y cualquier otra información de identificación;

Sin embargo, hay que tener en cuenta que estos son solo los requisitos mínimos de verificación. Dependiendo del tipo de cuenta, la cantidad de transacciones, la ubicación y otros factores, se podría requerir información o procedimientos de identidad adicionales.

La validación de identidad verifica si la información representa datos reales. La información de una identidad puede coincidir con un registro, y aunque no tenga validez (datos fraudulentos) puede parecer legítima. Un ejemplo es proporcionar un número de seguridad social que acredite que la persona existe. La validación de la información de identidad es una capa adicional de mitigación de riesgos.

Autenticación de identidad

La autenticación de identidad determina si la persona es quien dice ser, basándose en datos adicionales que son difíciles de proporcionar, excepto por esa persona en concreto.

Al agregar una barrera de información de identidad, la autenticación amplía el alcance de la información de identidad que es necesaria para que se produzca una verificación positiva. La autenticación reduce el riesgo de fraude y crea un nivel de confianza para hacer negocios de forma segura con esa persona.

Los datos de identidad que se solicitan dependen de la Autenticación basada en el Conocimiento (en inglés KBA – Knowledge-Based Authentication), la cual utiliza preguntas que solo esa persona conoce. Por ejemplo, el nombre de soltera de la madre o el nombre de su primera mascota son preguntas comunes de KBA. La biometría ofrece otro proceso de autenticación utilizando las características humanas, como la huella dactilar, la retina, la cara o la voz.

Como la información de KBA se recopila en las bases de datos para buscar coincidencias, es potencialmente hackeable, ya que podría ser robada o divulgada por otra persona que conozca esa información. Por lo tanto, la biometría ofrece un estándar de seguridad más alto que KBA. Sin embargo, al igual que con cualquier tecnología, la biometría no es perfecta, y también tiene problemas de seguridad. Los delincuentes han aprendido a robar huellas dactilares, reconocimiento de rostros, grabar voces y usar otras técnicas para eludir la seguridad.

Si los datos biométricos fueran el único punto de datos de identidad, estos problemas de seguridad serían motivo de preocupación. Sin embargo, cuando se combina con muchos otros puntos de datos, forma parte de un sistema de seguridad completo.

Verificación del documento

La verificación de documentos usa la posesión de documentos de identidad para autenticarse. Las fotos de las licencias de conducir, los pasaportes u otros documentos de identificación se examinan electrónicamente para determinar la autenticidad y la legitimidad, así como para garantizar que el documento no haya sido falsificado. La información es indicada por la persona que posee el documento, pero ¿qué sucede si un estafador tiene esos documentos? Para evitar esa posible suplantación de identidad, una foto tomada en tiempo real se compara con la foto registrada para su validación.

Otras técnicas se basan en la autenticación de dos factores (en inglés 2FA – 2 Factor Authentication), que utiliza un segundo canal para autenticar la identidad. Por ejemplo, un mensaje de texto que se envía a un número de teléfono con una contraseña de un solo uso (en inglés OTP – One-Time Password). Al ingresar esa OTP en la verificación de identidad se autentica que la persona posee el dispositivo.

El uso de la información de los operadores de red móvil (en inglés MNOs – Mobile Network Operator), la Identificación móvil, ofrece otro canal potencial para la autenticación. Estos MNOs, tienen una gran cantidad de información sobre sus clientes, como el nombre, número de teléfono móvil, dirección, junto con la información del dispositivo, geolocalización, uso y datos de facturación. Aunque el uso de estos datos para la autenticación se encuentra en las primeras etapas, las oportunidades para conectar varios elementos de esta información con otros puntos de datos pueden llegar a ser modelos de autenticación completamente nuevos.

Confiar en una sola fuente de datos genera muchos problemas; los sistemas con una sola fuente de datos tienden a fallar, ya que los datos falsos no se pueden anular y los diferentes conjuntos de datos no se pueden analizar ni optimizar para obtener un mejor conocimiento y rendimiento. La combinación de múltiples puntos de datos y canales proporciona un método para verificar la verdadera identidad, obteniendo una información más fiable al proceder de diferentes fuentes de datos.

Autenticación para la Prevención del Blanqueo de Capitales (en inglés AML – Anti-Money Laundering) y Conozca a Su Cliente (en inglés KYC – Know Your Costumer)

Desde una perspectiva legal, muchos países todavía no aceptan métodos alternativos para las comprobaciones de cumplimiento de las normativas Anti-Blanqueo de Capitales (en inglés AML – Anti-Money Laundering) y de Conozca a Su Cliente (en inglés KYC – Know Your Customer). Hacerlo requerirá cambios legislativos y la construcción de los protocolos de seguridad necesarios.

Sin embargo, como lo establece el Grupo de Trabajo de Acción Financiera (en inglés FATF – Financial Action Task Force), «un número creciente de países están adoptando medios innovadores basados ​​en la tecnología para verificar la identidad del cliente» y estas medidas incluyen cada vez más datos biométricos. El sistema Aadhaar en India incluye huellas dactilares, escáneres de iris y fotografías de identificación. Nueva Zelanda, Australia, Malawi, Colombia y Pakistán también aceptan la legalidad de la información biométrica.

A medida que la tecnología biométrica se vuelve más común, los consumidores parecen estar dispuestos a aceptar su uso. Un reciente informe de confianza de la biometría de la banca minorista descubrió que el 79 % de los encuestados dará la oportunidad de utilizar la biometría avanzada para la banca móvil o aplicaciones de pago. El 86 % pensó que la biometría es más fácil que las contraseñas y el 82 % cree que las contraseñas son más seguras.

Aunque existen problemas de implementación como la seguridad, la privacidad y el control de la información; la facilidad de uso y la capa adicional de seguridad apuntan a un futuro donde más reguladores permitirán la biometría como parte del proceso de identidad.

La verificación de identidad de confianza combinada con la validación y la autenticación efectiva proporcionan verificaciones de identidad de confianza, seguras y consolidadas. Mediante la combinación de numerosas fuentes de datos, tipos y canales, se puede mantener a los estafadores alejados, establecer relaciones más fiables y alcanzar un futuro de autenticación de identidad confiable y eficiente.

Fuente: Trulioo

Contacta con nosotros

General Director Spain & LATAM
Executive Director
2019-03-04T12:33:13+01:0010 agosto, 2018|Otros Artículos|