¿Qué es la identidad digital y cómo puedes protegerla?

En el mundo real, demostrar tu identidad es bastante sencillo. Cuando te presentas en persona para abrir una cuenta bancaria, alquilar un automóvil, reservar una habitación de hotel, jugar en un casino o comprar alcohol, presentas tu identificación emitida por el gobierno, comprobante de domicilio o cualquier otra cosa que se requiera para la transacción, y la empresa con la que haces negocios puede ver físicamente que eres quien dices ser.

Este proceso se vuelve mucho más complejo en el mundo digital. Ahora, estas mismas empresas deben encontrar una manera de verificar que eres quien dices ser, aunque no estés físicamente allí para presentar tu identificación o documentación. Las empresas deben encontrar una manera de asegurar que tu identidad digital coincida con tu identidad del mundo real.

Entonces, ¿qué es la identidad digital? Sigue leyendo ya que aquí te contamos todo lo que debes saber sobre la identidad digital.

Definición de identidad digital

En términos simples, tu identidad digital es la recopilación de información sobre ti que existe en forma digital; esto puede ser todo, desde tu fecha de nacimiento hasta algo que te guste en Facebook.

La información que forma tu identidad digital se puede agrupar en dos categorías amplias: tus atributos digitales (fecha de nacimiento, historial médico, DNI, email, huella dactilar, datos bancarios, etc.) y tus actividades digitales (fotos en Facebook, Instagram, etc., historial de compras, publicaciones en foros, consultas de búsqueda, peticiones firmadas, geoetiquetado, descarga de aplicaciones, etc.). Estos datos, ya sea solos o combinados, se pueden utilizar para identificarte.

Tu identidad digital actúa como una especie de moneda en la web. A tu favor, tu identidad digital puede brindarte acceso a tus cuentas, permitirte abrir nuevas cuentas y brindarte credibilidad para participar de manera confiable con personas, productos y servicios en línea. Por otro lado, el hecho de que tu información personal exista en línea significa que está sujeta a piratería, infracciones, copia y robo. Gran parte de esa información que antes era personal ahora es información pública.

La identidad digital se compone de datos que describen a una persona o una cosa de una manera única. Es la información que define la relación de la persona con otras entidades en un entorno digital.

Puede incluir datos personales, actividades de búsqueda en línea, historial de compras y la ubicación geográfica de una persona. Se utiliza para identificar y autenticar a una persona para acceder a diversos recursos físicos o informáticos.

La idea de identidad digital en un entorno informático gira en torno a:

  • Registro de identidad
  • Verificación de identidad
  • Acceso al servicio
  • Una comunidad de usuarios
  • Asociaciones comerciales en todo el mundo
  • Desarrollo digital
  • Gestión de identidad, etc.

Cómo se expone la información de identidad digital

La información que forma la identidad digital se expone a través de:

  • Redes Wi-Fi públicas
  • Sitios web no seguros
  • Violaciones de datos de terceros
  • Intentos de phishing
  • Número de contraseñas débil o limitado
  • Videos, voz y gráficos deepfake
  • Configuración para compartir ubicación
  • Agregar extraños a cuentas de redes sociales

Existe un mercado muy dinámico para la información de identidad que se puede revender y usar en tu contra.

Este «mercado vibrante» se conoce como la web oscura, una red de sitios dentro de la web profunda, a los que no pueden acceder los motores de búsqueda ni los medios de navegación web normales. En la web oscura, los datos de identidad se adquieren, venden o se desechan.

Si bien la gente tiende a pensar que los números de la Seguridad Social son valiosos, se pueden comprar en la web oscura por tan solo un dólar. La información bancaria puede generar entre $ 15 y $ 20, los detalles de la tarjeta de crédito pueden oscilar entre 25 centavos y $ 60, y a $ 350 cada uno, los registros médicos se encuentran entre los más valiosos.

Solo tener una o dos piezas de la identidad digital de alguien puede tener un efecto en cascada que conduce a una identidad digital aún más completa que se puede utilizar para acceder a cuentas cada vez más seguras y valiosas.

Identidad Geográfica

Cuando la identidad digital o física se adjunta al país, región o ciudad en la que vive el usuario, se convierte en una Identidad Geográfica.

Cuando vinculamos la identidad geográfica con el mundo digital, como los navegadores web, que contienen información en forma de cookies (como dirección IP, ciudad, país, código postal junto con otros detalles), es fácil identificar a los usuarios en Internet.

Identidad personal

Los datos que pueden revelar información sobre una persona se clasifican como identidad personal. Incluye el nombre de una persona, fecha de nacimiento, edad, idioma que habla, dirección de correo electrónico, ID de usuario, género, datos biométricos, etc.

Las personas utilizan la identidad personal para iniciar sesión en sitios web o cuentas web, como Facebook, Gmail, LinkedIn, etc.

Evolución de la identidad digital

Digital Identity 1.0 sentó las bases para iniciar sesión en sitios web utilizando nombres de usuario y contraseñas. Le siguió Digital Identity 2.0, que permitió a los usuarios iniciar sesión en sitios web utilizando sus credenciales de cuentas sociales existentes.

Ahora, estamos en la era de la Identidad Digital 3.0 de próxima generación, donde la brecha entre la identidad real y virtual de una persona se está reduciendo. Viene acompañado de protocolos nuevos y seguros, mecanismos de autenticación mejorados como la biometría y aplicaciones innovadoras en tiempo real que incluyen bancos en línea, billetera electrónica, etc.

Conceptos

Los siguientes conceptos están asociados con la identidad digital:

  • Identificador: un identificador distingue a un individuo o cosa en un contexto específico. Por ejemplo, una tarjeta de débito puede considerarse como un identificador de una persona que tiene una cuenta bancaria.
  • Atributo: un atributo es una característica específica relacionada con un individuo o una cosa. Los atributos pueden ser temporales o permanentes. Por ejemplo, datos biométricos, fecha de nacimiento, etc.
  • Identificación: la identificación es el proceso mediante el cual las personas reclaman su identidad. En el mundo digital, la identificación en una red se produce en función tanto del individuo como de los dispositivos digitales o informáticos. Implica asociar el identificador con el individuo o el dispositivo.
  • Autenticación: la autenticación es el proceso en el que se verifica la identidad reclamada en función de qué acceso a los recursos se otorga o deniega. En otras palabras, implica demostrar la asociación del identificador con el individuo.
  • Autorización: la autorización es el proceso de decisión que permite a una persona realizar determinadas acciones en función del identificador. Depende de la autenticación, ya que para controlar los recursos es necesario verificar primero la identidad.

La autenticación y la autorización son dos componentes clave de la identidad digital y juegan un papel crucial en el establecimiento de la seguridad y la confianza entre el mundo real y el virtual.

Profundicemos en los medios de autenticación. Normalmente, la autenticación se basa en uno o más de los siguientes factores:

  • Algo que sabes: una contraseña
  • Algo que tienes: un teléfono móvil o una ficha de seguridad.
  • Algo que eres: huella digital o retina
  • Algo que haces: velocidad de escritura o tu información de ubicación, etc.

Métodos de autenticación

Existen diversos métodos de autenticación:

Autenticación basada en contraseña

En este método, un usuario primero crea una cuenta proporcionando la información requerida, como dirección de correo electrónico, nombre de usuario, número de teléfono y contraseña, y luego usa la información para acceder a la cuenta.

Utiliza un factor que conoces (contraseña o PIN).

Autenticación sin contraseña / Inicio de sesión instantáneo

Con esta forma de autenticación, al usuario se le presenta la opción de iniciar sesión simplemente a través de un enlace mágico o usar una OTP que se envía por correo electrónico o mensaje de texto.

Los medios populares de autenticación sin contraseña son:

  • Correo electrónico y enlace mágico: un enlace para iniciar sesión enviado a la dirección de correo electrónico registrada.
  • Correo electrónico y OTP: una OTP para iniciar sesión enviada a la dirección de correo electrónico registrada.
  • Teléfono y OTP: una OTP para iniciar sesión enviada al número de teléfono registrado.
  • Inicio de sesión con un solo toque / Sin registro: Un enlace u OTP enviado a la dirección de correo electrónico o número de teléfono proporcionados. Este método no requiere registro.

Utiliza algo que tienes (correo electrónico o número de teléfono).

Inicio de sesión social

Este método implica iniciar sesión en sitios web de terceros utilizando credenciales ya existentes para sitios web de redes sociales como Facebook, Twitter, Google, Microsoft, etc.

El usuario no está obligado a completar un formulario de registro en este caso, y utiliza algo que tiene (cuenta social).

Autenticación delegada

Este método implica delegar la solicitud de autenticación a un dispositivo diferente. Tras la autenticación exitosa, el usuario inicia sesión en el dispositivo principal. Esta función se usa comúnmente en aplicaciones de televisión inteligente, consolas de juegos, dispositivos IoT, etc.

Autenticación de código de barras

Este método implica iniciar sesión en los dispositivos o servicios escaneando un código de barras sin necesidad de escribir manualmente. Es ampliamente utilizado por aplicaciones web para autenticar usuarios y proporcionar acceso.

Para mayor seguridad, este método se puede utilizar con autenticación de dos factores (2FA), es decir, el usuario primero proporciona la contraseña y luego escanea el código de barras utilizando un dispositivo móvil ya vinculado.
Utiliza algo que tienes (dispositivo móvil vinculado).

Dispositivos de hardware

Este método de autenticación se basa en un dispositivo físico dedicado como deslizamiento de tarjeta, lectores de huellas dactilares, escáneres de retina, etc.

Los medios populares de autenticación de dispositivos de hardware son:

  • Biométrico: Implica el uso de características biológicas únicas del individuo para la verificación de su identidad. Los datos biométricos del usuario se capturan y almacenan en la base de datos que luego se compara para confirmar la autenticación del usuario. Este método utiliza algo que eres (huella digital, retina, etc.). A continuación, se muestran algunos métodos biométricos comunes:
    • Autenticación de huellas dactilares
    • Reconocimiento facial
  • Retina Scan. Card Swipe: Esto implica el uso de una tarjeta física con una banda magnética, microchip RFID, etc. Los usuarios se autentican usando sus tarjetas Swipe registradas. Este método utiliza algo que tienes (dispositivo físico).

Autenticación de dos factores (2FA)

Esta forma de autenticación agrega una capa adicional de seguridad para asegurarse de que los usuarios que intentan obtener acceso sean quienes dicen ser.

Primero, el usuario debe ingresar el correo electrónico / nombre de usuario y contraseña, y luego debe proporcionar otra información como OTP (código de acceso de un solo uso), datos biométricos, etc.

Conceptualmente, es una combinación de dos factores de autenticación (entre algo que sabes, algo que tienes, algo que eres y algo que haces).

En la autenticación de dos factores se puede usar:

  • Tokens de seguridad: Los tokens de seguridad, también conocidos como tokens de autenticación o tokens criptográficos, son dispositivos físicos que se entregan a los usuarios autorizados de un sistema informático o servicios para la autenticación. Hay dos tipos de tokens RSA: tokens de hardware (un dispositivo con batería y pantalla) o tokens de software (OTP a través de la aplicación de autenticación).
  • SMS a través del teléfono: este método involucra el teléfono del usuario. Primero se requiere que el usuario ingrese el correo electrónico / nombre de usuario y contraseña, y luego la aplicación envía al usuario un código de acceso único (OTP) por mensaje de texto.
  • Notificación push: se trata de una aplicación 2FA instalada en un teléfono inteligente o computadora de escritorio. Primero se requiere que el usuario ingrese el correo electrónico / nombre de usuario y contraseña, y luego la aplicación envía una notificación push en la aplicación 2FA vinculada para autenticación.

¿Cómo proteger la identidad digital?