Verificación de la identidad en las comunicaciones

Probablemente estarás de acuerdo en que la verificación de identidad segura es ahora una parte crucial de la seguridad en línea y un desafío importante para las empresas.

La verificación de identidad también es un componente vital donde la identidad verificada es esencial, como los controles fronterizos o el acceso a servicios digitales.

No puede haber margen de error.

Si la verificación de identidad lleva demasiado tiempo, es probable que los nuevos clientes se den por vencidos y los existentes se sientan frustrados.

Si es demasiado básica, la incorporación de clientes puede conllevar riesgos en el clima actual cuando los procedimientos de cumplimiento son tan estrictos y las amenazas planteadas por ciberdelincuentes, estafadores e imitadores son tan amplias como serias.

En respuesta, han surgido numerosos desarrollos tecnológicos, que incluyen lectores de documentos inteligentes, biometría facial y aprendizaje automático.

Analizaremos en este post qué es la identidad, por qué debemos verificarla y cuáles son los métodos para validar esa identidad.

¿Qué es la identidad?

Una identidad es una combinación de características que identifican a una persona.

Una sola característica generalmente no es suficiente para distinguir a una persona de otra, pero a través de una combinación de características sí podemos identificar a esa persona.

Debes verificar la identidad de alguien si:

  • muestras a un usuario información personal sobre sí mismo, como su carnet de conducir o los detalles del pasaporte
  • le das al usuario algo valioso, como dinero o beneficios.

Los usuarios no necesitarán demostrar su identidad para acceder a algunos servicios. Es posible que solo debas pedirles que creen una cuenta, por ejemplo, si necesitan iniciar sesión en tu servicio más de una vez.

Por qué deberías verificar una identidad

Al verificar con éxito la identidad de alguien, puedes estar seguros de que darás a las personas adecuadas acceso a las cosas correctas. Si no haces esto, puedes verte afectado por fraude de identidad. Esto es cuando alguien usa una identidad ‘sintética’ (inventada) o robada para pretender ser alguien que no es.

El número de identidades sintéticas y robadas que se utilizan para cometer fraude de identidad crece cada año.

Algunas de las razones más comunes por las cuales las personas o los grupos criminales cometen fraude de identidad son:

  • acceder a servicios a los que no tienen derecho
  • obtener beneficios a los que no tienen derecho
  • robar información personal, médica o financiera de otras identidades
  • permitir el crimen organizado, como la trata de personas
  • evitar ser detectado por la policía y otras autoridades

Esto no significa que tengas que verificar una identidad exactamente de la misma manera que otra persona. Puedes hacer diferentes tipos de controles a otra persona u organización, pero lograr los mismos niveles de confianza general en la identidad de alguien.

Verificar las identidades de manera consistente reducirá la posibilidad de que una persona o servicio realice verificaciones de identidad menos efectivas que otras. Esto ayuda a proteger contra el fraude de identidad. También significa que habrá menos personas o servicios con controles de identidad menos efectivos que podrían ser objeto de fraude de identidad.

Las constantes verificaciones de identidad también hacen que sea más fácil para ti confiar en una identidad que ha sido verificada por otra persona.

Reutilizar identidades significará que:

  • las personas tienen que demostrar su identidad con menos frecuencia
  • organizaciones y servicios pueden compartir el coste de verificar la identidad de alguien.

Cómo verificar la identidad

Deberás conocer la «identidad reclamada» de la persona que estás verificando. Una identidad reclamada es una combinación de información (a menudo el nombre, la fecha de nacimiento y la dirección de una persona) que representa las características de quien dice ser una persona.

Cuando tengas esto, puedes averiguar si la persona es quien dice ser. Este proceso se conoce como «verificación de identidad» y consta de cinco partes:

  • Obtener evidencia de la identidad reclamada
  • Verificar que la evidencia sea genuina o válida
  • Comprobar que la identidad reclamada ha existido a lo largo del tiempo
  • Verificar si la identidad reclamada está en alto riesgo de fraude de identidad
  • Comprobar que la identidad pertenece a la persona que la reclama

Hacer diferentes partes del proceso de verificación de identidad te ayudará a generar confianza en una identidad para que puedas estar seguro de que alguien es quien dice ser.

No tienes que hacer todas las partes del proceso de verificación de identidad a la vez. Puedes hacerlo durante cualquier período de tiempo y gradualmente aumentar tu confianza en una identidad.

Obtendrás una puntuación por cada parte del proceso de verificación de identidad que realices.

La cantidad de confianza que tendrás en una identidad depende de:

  • cuantas piezas de evidencia recolectas
  • qué partes del proceso de verificación de identidad haces
  • qué puntajes obtienes por cada parte del proceso de verificación de identidad

Las diferentes combinaciones de puntuaciones se conocen como «perfiles de identidad».

Cada perfil de identidad se relaciona con uno de los siguientes niveles de confianza:

  • poca confianza
  • confianza media
  • alta confianza
  • muy alta confianza

Debes intentar obtener un mayor nivel de confianza en la identidad de alguien si tienes un alto riesgo de delitos relacionados con la identidad.

La confianza que tienes en la identidad de una persona puede aumentar con el tiempo si realizas controles adicionales o recopilas más evidencia.

Tu confianza también puede disminuir con el tiempo, por ejemplo, si luego descubres que una evidencia que utilizaste podría haberse perdido o robado en el momento en que verificaste la identidad de esa persona.

También puedes reutilizar las verificaciones de identidad realizadas por otra organización si realizan algunas o todas las partes del proceso de verificación de identidad explicado.

Fuentes autorizadas

Es posible que debas verificar las cosas con una fuente ‘autorizada’. Para tener autoridad para una determinada información, la fuente debe asegurarse de que:

  • la integridad de la información está protegida
  • la información está actualizada

La fuente también tendrá capacidad para:

  • emitir evidencia, por ejemplo, la policía emite evidencia de un DNI,
  • obtener información de una organización que emite evidencia, por ejemplo, las agencias de referencia de crédito pueden tener información autorizada sobre cuentas bancarias,
  • conseguir información de otra fuente autorizada.

Obtener evidencia de la identidad reclamada

Algunas pruebas son más fuertes que otras, lo que significa que serán más difíciles de falsificar.

Puedes verificar cuán fuerte es una pieza de evidencia descubriendo:

  • qué características de seguridad tiene (por ejemplo, un holograma o un chip electrónico)
  • qué información tiene
  • cómo la persona demostró su identidad para obtener la evidencia

Esto también se conoce como un control de «fuerza».

Cuanto más fuerte sea la evidencia, mayor será su puntuaje. El puntuaje más alto que puedes obtener para esta parte del proceso de verificación de identidad es 4.

Debes verificar y puntuar una prueba a la vez. La evidencia puede ser física o digital.

Para obtener evidencia de una identidad reclamada, puedes:

  • Pedir a la persona que proporcione evidencia por sí misma, como un documento o detalles de la cuenta (que pueden mostrar al darle algo como una factura o un número de cuenta)
  • Encontrar alguna evidencia de su identidad tú mismo, por ejemplo, revisando una base de datos

La identidad a veces se muestra como sinónimo en diferentes piezas de evidencia. Por ejemplo, podrías decir que el nombre de la persona es Samantha en su pasaporte, pero Sam en su tarjeta bancaria. Por lo general, puede aceptar un sinónimo, a menos que necesites conocer el ‘nombre oficial’ de la identidad reclamada (este es el nombre en cualquier documento oficial que tengan, como su pasaporte).

Los nombres pueden ser diferentes en diferentes pruebas. Por ejemplo, el apellido de alguien podría haber cambiado porque se casó. Si los nombres son diferentes, es posible que debas recopilar otras pruebas o hacer otras verificaciones para asegurarte de que todas las pruebas pertenecen a la misma persona.

A veces, otra información puede ser diferente en diferentes pruebas. Estos son errores conocidos como «errores de transposición».

Esto puede suceder con:

  • los nombres que tienen varias partes, por ejemplo, ‘María del Carmen’ puede aparecer como ‘María Carmen’
  • días y meses en fechas, por ejemplo, ’08 .10.1978 ‘puede aparecer como ’10 .08.1978’
  • siglos en fechas, por ejemplo ‘1998’ podría aparecer como ‘1898’
  • direcciones.

Estos errores generalmente no afectarán la forma en que realizas esta parte del proceso de verificación de identidad.

Vamos a ver las distintas puntuaciones.

Puntuación 1

La evidencia tendrá una puntuación de 1 si contiene al menos 2 de los siguientes datos:

  • nombre de la identidad reclamada
  • fecha de nacimiento de la identidad reclamada
  • lugar de nacimiento de la identidad reclamada
  • dirección de la identidad reclamada
  • información biométrica de la identidad reclamada (estas son medidas de características biológicas o de comportamiento, como un iris o una huella digital)
  • una foto de la identidad reclamada
  • un número de referencia

La evidencia debe provenir de una organización que sabes que puede:

  • verificar la identidad de la persona cuando emite la evidencia
  • asegúrarse de que su proceso para emitir la evidencia no sea mal utilizado por nadie asociado con la organización

Algunos ejemplos de evidencia que tendrán una puntuación de 1 incluyen un correo electrónico, PDF o carta de una autoridad local.

Es posible que no puedas verificar a fondo la validez de la evidencia que tiene una puntuación de 1.

Puntuación 2

La evidencia tendrá una puntuación de 2 si tiene todo lo que necesita para obtener una puntuación de 1 e incluye información exclusiva de:

  • la identidad
  • esa pieza de evidencia

Si la evidencia incluye un nombre, también debe mostrar el nombre completo de la persona en lugar de cualquier seudónimo, alias o apodo.

Si la evidencia es un documento físico, debe estar protegido por características de seguridad física. Estas características evitarán que se reproduzca sin conocimiento o información especializados.

Si la evidencia incluye información digital, debe estar protegida por:

  • características de seguridad criptográfica que identifican correctamente a la persona u organización que lo emitió
  • procesos que aseguran que solo los usuarios autorizados puedan crearlo, actualizarlo y acceder a él

Algunos ejemplos de evidencia que tienen una puntuación de 2 incluyen:

  • certificado de arma de fuego
  • documento de viaje del Ministerio del Interior
  • certificado de nacimiento o adopción
  • pase de autobús de una persona mayor
  • certificado educativo de una institución educativa regulada y reconocida
  • contrato de alquiler o compra de una propiedad residencial
  • tarjeta de prueba de edad reconocida bajo el Esquema de estándares de prueba de edad
    certificado de matrimonio o sociedad civil
  • póliza de seguro de edificio o vehículo

Puntuación 3

La evidencia tendrá una puntuación de 3 si tiene todo lo que necesita para obtener una puntuación de 2 y:

  • incluye información que es única tanto para la identidad como para esa evidencia
  • la organización que emitió la evidencia se aseguró de que la recibiera la misma persona que la solicitó

También debe:

  • mostrar el nombre oficial de la persona en lugar de sus iniciales o sinónimos
  • estar protegido por características de seguridad física que impidan su reproducción sin equipo especializado.

La evidencia también debe incluir uno de los siguientes:

  • una foto de la persona
  • Información biométrica que utiliza características de seguridad criptográfica para proteger su integridad.
  • características de seguridad criptográfica que se pueden usar para identificar a la persona que posee la evidencia (esto incluye evidencia con chips criptográficos y cuentas digitales que están protegidas por métodos criptográficos)

Algunos ejemplos de evidencia que tendrán un puntaje de 3 incluyen:

  • pasaportes que cumplen con las especificaciones de la Organización de Aviación Civil Internacional ( OACI ) para documentos de viaje de lectura mecánica
  • documentos de identidad de un país de la UE o del Espacio Económico Europeo ( EEE ) que siguen las normas del Reglamento (CE).
  • Permisos de conducir de la UE o del EEE que cumplen con la Directiva Europea 2006/126 / CE
  • cuenta corriente de un banco, sociedad de construcción o cooperativa de crédito
  • cuenta de crédito o cuenta hipotecaria (incluida la compra para alquilar cuentas hipotecarias)
  • tarjeta inteligente de tacógrafo digital
  • tarjeta de prueba de edad reconocida bajo PASS con un número de referencia único.

Puntuación 4

La evidencia tendrá una puntuación de 4 si tiene todo lo que necesita para obtener un puntaje de 3 y:

  • Incluye información biométrica
  • Toda la información digital (incluida la información biométrica) está protegida por características de seguridad criptográfica.
  • Las características de seguridad criptográfica pueden probar qué organización emitió la evidencia
  • La organización que emitió la evidencia probó la identidad de la persona al compararla con una imagen de la identidad reclamada de una fuente autorizada

Algunos ejemplos de evidencia que tendrán un puntaje de 4 incluyen:

  • pasaportes biométricos que cumplen con las especificaciones de la OACI para pasaportes electrónicos
  • documentos de identidad de un país de la UE o del EEE que cumplan las normas del Reglamento (CE) no 2252/2004 del Consejo y contengan información biométrica.

Niveles de verificación de identidad

Hay varios niveles de verificación de identidad en función del nivel de seguridad que necesitas. Por ejemplo, es posible que solo desees confirmar que una identidad es real y que no hay signos o registros de fraude asociados con ella. O, en algunos casos, necesitas mayor seguridad de que alguien es quien dice ser.

Antes de determinar qué métodos son apropiados para la situación de verificación, realiza una evaluación de riesgos para determinar el nivel de seguridad necesario. Por lo general, la verificación de identidad se realiza utilizando tres factores:

  • algo que tienes, generalmente una tarjeta magnética, un token OTP, etc.
  • algo que sabes, generalmente una contraseña o información sobre ti (apellido de soltera de la madre, preguntas de seguridad, etc.)
  • algo que eres, comparando una foto con una persona frente a ti, o lectores biométricos.

Es importante tener en cuenta que la fuerza de estos factores solo aumenta realmente cuando se usan juntos. Las contraseñas pueden ser pirateadas o descubiertas, las tarjetas y las llaves pueden ser robadas y los ataques sofisticados pueden ser perpetrados contra lectores biométricos.

Las probabilidades de un ataque exitoso disminuyen severamente cuando se usa una combinación de dos o más de estos tres factores. Ten en cuenta que el nivel de seguridad que puedes lograr casi siempre depende de la cantidad de información disponible para verificar. Por lo tanto, si la información que tienes sobre un individuo se limita al nombre, número de teléfono y dirección, ese es el nivel más alto de seguridad que podrás alcanzar.

También ten en cuenta que algunos nombres son bastante comunes: si estás realizando cambios en los registros internos, verifica que lo estés haciendo en el registro correcto. Esto podría requerir hacer algunas preguntas adicionales para identificar cuál de los múltiples registros con el mismo nombre pertenece a la persona que estás verificando.

Mecanismos de validación de identidad

Una vez que identifiques qué nivel de seguridad necesitas, puedes usar estos consejos para planificar un método de verificación, según el tipo de interacción.

Verificar en persona

Por lo general, verificar a la persona que está frente a ti es el medio más rápido, fácil y efectivo para verificar la identidad.

El método más común es exigir que se presente al menos una tarjeta de identificación con foto emitida por el gobierno (por ejemplo, licencia de conducir, DNI o pasaporte). Esto es algo que la persona tiene, por lo que cumple con el «algo que tienes». Si te tomas el tiempo de comparar la foto con la persona, este método también es algo que la persona es, por lo que cumple con la categoría «algo que eres».

Algunos consejos para verificar con una identificación con foto:

  • Documenta que viste una identificación con fotografía y qué tipo de identificación era, pero no hagas una copia de la identificación ni escribas el número, a menos que sea absolutamente necesario tener esa copia de dicha información para proporcionar el servicio solicitado.
  • Ten en cuenta que existen tarjetas de identificación con foto falsas. Familiarízate con el formato de las identificaciones gubernamentales que utilizas para la verificación y verifica la identificación cuidadosamente.  Realice una búsqueda rápida en línea del formato correcto del número de identificación para ayudar a detectar números falsos.
  • Si la foto en la identificación no es claramente la persona que está frente a ti, o si necesitas más seguridad de que es la persona que dice que es, pide a la persona que presente una segunda identificación, que puede incluir o no foto. Y nuevamente, no hagas una copia de estos documentos a menos que sea absolutamente necesario tener una copia de dicha información para proporcionar el servicio solicitado.
  • Si necesitas un mayor nivel de seguridad, puedes agregar un método de «algo que sabe» a tu proceso. Sin embargo, asegúrate de que lo que pides en persona se mantiene privado y seguro de otras personas cercanas. Por ejemplo, si necesitas solicitar dicha información, pídele a la persona que la escriba en una hoja de papel para que la verifiques en el registro, y luego destruye ese papel en la trituradora mientras la persona todavía está allí. De esta manera, nadie más escuchará la información ni la encontrará en el papel.

Tarjetas y lectores biométricos

Las tarjetas de proximidad o deslizamiento y los lectores biométricos, generalmente escáneres de huellas dactilares o geometría de la mano, son formas mecánicas comunes de proporcionar verificación de identidad en persona automatizada.

Ten en cuenta que las tarjetas están en la categoría «algo que tiene», mientras que los datos biométricos están en la categoría «algo que es».

Verificación por teléfono

La verificación de identidad por teléfono requiere métodos de «algo que sabes». La persona que realiza la verificación necesitará acceder a un registro sobre la persona que solicita acceso o información.

Primero, si tienes un identificador de llamadas, verifica que el número de teléfono sea apropiado para la persona que llama. ¿Es uno de los números en el registro existente que tienes sobre ellos? ¿Es el código de área apropiado? Si la llamada es de una organización, ¿el número de teléfono comienza con los números estándar correctos para esa organización?

Si necesitas un mayor nivel de seguridad, dile a la persona que le devolverás la llamada, luego cuelga y marca el número que tienes en tus registros.

Luego, haz preguntas hasta que estés satisfecho de que la persona es quien dice ser. Haz algunas preguntas estándar, como el nombre, la dirección y el número de teléfono, pero también asegúrate de pedir algo que probablemente no sepa otra persona.

Escucha atentamente la voz y usa el sentido común y la intuición para ayudar a determinar la validez y autenticidad de la llamada; por ejemplo, si los registros muestran que la persona es mayor pero la voz suena joven, esto podría ser una señal de alerta. ¿Es apropiado el comportamiento de la persona que llama y la justificación de la necesidad de verificar por teléfono es razonable?

Se creativo al elegir estas preguntas de «algo que sabe», utilizando los datos de que dispones acerca de la persona, y asegúrate de preguntar lo suficiente como para estar razonablemente seguro de que esta es la persona que dice ser.

Verificación en línea, por correo electrónico o chat

La verificación por correo electrónico o chat es un desafío, debido a la necesidad de evitar documentar datos protegidos como el número de Seguridad Social, el número de licencia de conducir y otra información de identificación, y debido a la falta de controles sólidos sobre quién puede establecer y usar cuentas de correo electrónico y chat.

Si tienes que verificar por correo electrónico o chat, y solo necesitas un nivel mínimo de seguridad de que la persona es quien dice ser, utiliza los siguientes consejos.

  • Intenta hacer el mismo tipo de preguntas descritas en la sección «Verificación por teléfono», pero no solicites contraseñas, números de Seguridad Social, números de tarjetas de crédito o números de DNI.
  • También puedes consultar la información técnica que respalda la comunicación. Por ejemplo, en el correo electrónico, ¿la dirección de correo electrónico del mensaje proviene de una dirección legítima y sigue un formato que reconoces como apropiado para el sistema desde el que se envía? En el chat, ¿es el nombre de usuario uno que reconoces? Sin embargo, es importante no confiar por completo en la dirección de correo electrónico o el nombre de usuario del chat, ya que se pueden suplantar fácilmente. Esto solo proporciona una pista de que la persona puede ser quien dice ser.
  • Considera iniciar un nuevo correo electrónico o un nuevo hilo de chat escribiendo la dirección de correo electrónico o chat que tienes en tus registros para la persona, en lugar de responder a un mensaje que has recibido. De esta manera, sabes que tienes el control de la dirección a la que estás enviando. Desafortunadamente, todavía no tienes una manera de verificar realmente que la persona que responde a los mensajes es la persona propietaria del correo electrónico o la cuenta de chat.
  • Se obtiene un mayor nivel de seguridad si le pides a la persona que verifique mediante un segundo método; por ejemplo, si se está comunicando por correo electrónico, pídele que te haga una llamada telefónica, luego usa los métodos anteriores para verificar esa comunicación. O pídeles que te envíen por fax la respuesta a una pregunta que hizo por correo electrónico.

Al iniciar sesión en una aplicación o sistema

Al proporcionar acceso a una aplicación o sistema en línea, además del método estándar «algo que sabes» de usar una contraseña o frase de contraseña, también puedes solicitar un token, que es «algo que tienes».

A través de las redes sociales

No se recomienda verificar a través de las redes sociales. ¡Es demasiado fácil crear cuentas y perfiles falsos, y la información compartida en estos entornos está destinada a ser compartida!

Por lo tanto, no son buenos foros para compartir datos de verificación protegidos por la seguridad de la información y la ley de privacidad, como documentos de identificación y números.

Verificación por fax

Un método para que el individuo proporcione «algo que tiene» es solicitarle que envíe por fax una copia de una identificación con foto, como un DNI. Sin embargo, evita hacerlo a menos que no tengas otros medios para verificarlo porque terminarás con una copia de los datos protegidos por las leyes de seguridad y privacidad de la información.

Si es absolutamente necesario obtener y conservar una copia de la ID para el servicio que se proporciona, entonces este puede ser un método útil. Por lo general, también se requerirá que la dirección en la ID por fax coincida con tus registros existentes.

Se obtiene un mayor nivel de seguridad si primero realizas una prueba, enviando por fax un formulario en blanco o una página de información general al número en tus registros existentes, y pidiéndole a la persona que te envíe un correo electrónico o que te devuelva la llamada para informarte que recibió el fax , o para completar el formulario y enviarlo por fax.