Veridas se ha convertido en la primera empresa en España en superar con éxito las pruebas de cualificación exigidas por las nuevas guías del Centro Criptológico Nacional (CCN) para su solución de Onboarding Digital.
Este importante logro permitirá a aquellos Prestadores Cualificados de Servicios de Confianza, los conocidos como Qualified Trust Service Providers o QTSP’s en sus siglas en inglés, que usen la tecnología de Veridas, cumplir con la regulación exigida para la emisión de certificados digitales cualificados.
Dicha exigencia entrará en vigor a partir del 1 de marzo de 2023 y será obligatoria para todo QTSP que quiera seguir operando en territorio español y que desee realizar la verificación de identidad previa a la emisión de certificados cualificados de forma no presencial. Y, de momento, solo Veridas cuenta con una solución cualificada para ese fin.
¿Qué es la Guía de Seguridad del CCN y por qué es importante?
Para poder entender el papel que juega la Guía de Seguridad del CCN en la emisión de certificados electrónicos cualificados es necesario remontarse a 2014, en el contexto de las regulaciones aprobadas por el Parlamento Europeo.
A través del reglamento eIDAS (reglamento nº 910/2014), relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior, el Parlamento Europeo abre la puerta a que los emisores de certificados electrónicos cualificados utilicen para la verificación de la identidad de los solicitantes de dichos certificados “otros métodos de identificación reconocidos a escala nacional que aporten una seguridad equivalente en términos de fiabilidad a la presencia física. La seguridad equivalente será confirmada por un organismo de evaluación de la conformidad” (artículo 24.1.d)
Más recientemente, en el año 2020, en España se aprobó la Ley 6/2020, del 11 de noviembre, destinada a regular determinados aspectos de los servicios electrónicos de confianza. En dicha ley, se hace referencia a una nueva orden donde “se determinarán otras condiciones y requisitos técnicos de verificación de la identidad a distancia y, si procede, otros atributos específicos de la persona solicitante de un certificado cualificado, mediante otros métodos de identificación como videoconferencia o vídeo-identificación que aporten una seguridad equivalente en términos de fiabilidad a la presencia física según su evaluación por un organismo de evaluación de la conformidad” (artículo 7.2)
Esta orden, la ETD/465/2021, se aprobó finalmente el 6 de mayo de 2021 y en ella se regulan los métodos de identificación remota por vídeo para la expedición de certificados electrónicos cualificados. Pero a nivel técnico, y es aquí donde entra en juego el Centro Criptológico Nacional, se vio complementada por el Anexo F.11 de Herramientas de videoidentificación de la Guía de Seguridad de las TIC CCN-STIC-140.
Dicha primera versión del anexo ha sufrido modificaciones recientemente, haciéndolo mucho más exigente en sus requerimientos técnicos. Veridas ha superado favorablemente las pruebas realizadas por DEKRA, una de las principales organizaciones a nivel mundial dentro del sector TIC (Testing, Inspection, Certification), tanto para la versión anterior como para la versión nueva del anexo F.11 de marzo de 2022, requisito previo para la cualificación por parte del CCN.
¿Cuáles son los requisitos exigidos por la nueva versión del Anexo F.11 del CCN?
El Anexo F.11, en su última modificación de marzo de 2022, distingue entre Requisitos Fundamentales de Seguridad (RFS) -que incluye la referencia a la evaluación del Módulo de Evaluación Biométrica (MEB)-, validación de los documentos presentados y requisitos fundamentales de seguridad opcionales. Veridas ha sido evaluado por DEKRA respecto a los requerimientos de la guía del CCN, superando satisfactoriamente la totalidad de las pruebas a las que su solución de videoidentificación ha sido sometida.
Es importante destacar que el producto ha sido sometido a 70 ataques de fraude documental y 230 ataques de biometría facial en el entorno web mobile. El producto ha tenido que garantizar la detección automática del 100% de los casos sin considerar la intervención humana. Esto ha supuesto la superación de uno de los entornos de pruebas más exigentes desarrollados por un evaluador hasta la fecha.
REQUISITOS DE CERTIFICACIÓN Y EVALUACIÓN
En este apartado, en el que se hace referencia a las evaluaciones exigidas, cabe resaltar cómo el CCN demanda que los motores biométricos de las soluciones cualificadas hayan sido evaluadas por parte del National Institute of Standards and Technology, NIST. El NIST está considerado como el evaluador independiente más prestigioso del mundo y, por ello, Veridas siempre ha presentado sus motores de biometría facial y biometría de voz para su evaluación, obteniendo fantásticos resultados año tras año.
Concretamente, la guía solicita que “el sistema biométrico de comparación facial entre el solicitante y la foto del documento de identidad debe haber sido evaluado, según el Face Recognition Vendor Test (FRVT) en la categoría VISABORDER, del NIST y haber obtenido una tasa de FNR (False Negative Rate) menor o igual a 5% para un FPR (False Positive Rate) de menor o igual a 1/1.000.000. La base de datos utilizada para la prueba debe ser la utilizada por el NIST en 2020 o superior” (artículo 24).
A este respecto, Veridas obtuvo una tasa de FNR de 0,80% en su último envío de septiembre de 2021, muy por debajo de la tasa exigida por el CCN, lo que le sitúa entre los mejores motores biométricos del mundo.
REQUISITOS FUNDAMENTALES DE SEGURIDAD (RFS)
- Protección frente a ataques en la captura de evidencias: la herramienta debe garantizar que se utiliza un único dispositivo y en un único acto secuencial de tiempo. Además, debe asegurarse de que el proceso se ejecuta a tiempo real, sin permitir archivos pregrabados.
- Verificación biométrica: la herramienta deberá proporcionar una verificación biométrica facial a través del selfie y el documento capturados. También deberá incorporar pruebas de vida activas o pasivas e implementar mecanismos de prevención de ataques de presentación.
De cara a evaluar los requisitos de verificación biométrica, el CCN especifica que deberá hacerse aplicando la IT-14, o también conocido como módulo de evaluación biométrica (MEB). Estos requisitos quedan explicados más adelante.
- Auditoría: el anexo define diferentes características que debe tener la herramienta de auditoría que acompaña la solución del fabricante.
- Comunicaciones seguras: la herramienta deberá establecer canales seguros cuando intercambie información sensible con entidades autorizadas o entre distintas partes del producto, de acuerdo con lo establecido en la guía CCN-STIC-807.
- Administración confiable: la herramienta deberá asegurar que solo un usuario con permisos de administrador será capaz de realizar las funciones administrativas, distinguiendo entre el rol de configurador y el de auditor.
- Identificación y autenticación: la herramienta deberá identificar y autenticar a cada usuario antes de darles acceso, implementando mecanismos que impidan ataques, protegiendo la confidencialidad e integridad de las credenciales de autenticación y bloqueando o cerrando la sesión tras un periodo determinado de inactividad.
- Protección de credenciales y datos sensibles: si la herramienta almacenase credenciales y/u otros datos sensibles, estos deberían almacenarse utilizando los mecanismos criptológicos autorizados en la CCN-STIC-807.
VALIDACIÓN DE LOS DOCUMENTOS PRESENTADOS
En este apartado del Anexo F.11 se detallan los siguientes requisitos respecto a la validación de los documentos de identidad presentados:
- La herramienta implementará mecanismos de detección de ataques de replicación y ataques de impresión.
- La herramienta debe ser capaz de verificar que la fecha de validez del documento no ha expirado.
- La herramienta deberá comprobar la integridad de los datos de la zona de inspección visual (Visual Inspection Zone o VIZ) con la zona de lectura mecanizada (Machine Readable Zone o MRZ).
- La herramienta generará alertas al operador cada vez que detecte alguno de los ataques descritos o hayan fallado las comprobaciones de las pruebas.
MÓDULO DE EVALUACIÓN BIOMÉTRICA (MEB)
Como hemos comentado anteriormente, El MEB establece un conjunto de pruebas a realizar por parte del laboratorio al software objeto de evaluación (Target Of Evaluation o TOE) de cara a verificar la capacidad de verificación biométrica de la herramienta en evaluación. En este conjunto de pruebas se distinguen seis tipologías de ataques a prevenir:
- Ataques de presentación de impostores: el objetivo de esta prueba es comprobar que el TOE no es vulnerable a la suplantación de un usuario fidedigno por parte de un atacante con parecido al usuario fidedigno.
- Ataques de presentación usando vídeos: el objetivo de esta prueba es comprobar que el TOE no es vulnerable a la suplantación de un usuario fidedigno por parte de un atacante que utilice un vídeo de un usuario fidedigno.
- Ataques de presentación usando máscaras de muy bajo coste: el objetivo de esta prueba es comprobar que el TOE no es vulnerable a la suplantación de un usuario fidedigno por parte de un atacante que utilice una máscara de bajo coste (por ejemplo, de papel) como artefacto.
- Ataques de presentación usando máscaras avanzadas: el objetivo de esta prueba es comprobar que el TOE no es vulnerable a la suplantación de un usuario fidedigno por parte de un atacante que utilice una máscara avanzada como artefacto.
- Ataques de presentación usando maquillaje: el objetivo de esta prueba es comprobar que el TOE no es vulnerable a la suplantación de un usuario fidedigno por parte de un atacante que utilice maquillaje como artefacto.
- Ataques usando herramientas informáticas de deepfake: el objetivo de esta prueba es comprobar que el TOE no es vulnerable a la suplantación de un usuario fidedigno por parte de un atacante que utilice herramientas informáticas de deepfake. Estas herramientas son capaces de manipular el video y el sonido, de tal manera que se superponen elementos a las imágenes actuales. Centrándose en un posible uso de usurpación de la identidad, el deepfake se utilizaría para modificar el rostro de una persona sobre el vídeo donde aparece otra.
¿Qué me permite el hecho de contar con una solución cualificada por el CCN?
Hasta la fecha, el Onboarding Digital de Veridas es la única solución disponible en el mercado que permitirá a un prestador de servicios de confianza emitir certificados electrónicos cualificados de forma no presencial a partir del 1 de marzo de 2023.
Este hecho reconoce la labor continuada de Veridas en pos de la cualificación y la evaluación constante de todas sus soluciones, buscando aportar un elevado grado de certidumbre a sus clientes y logrando generar un estándar en la industria en relación a la evaluación independiente.
Veridas certifica el cumplimiento de toda regulación pertinente en todos los sectores en los que opera, como puede ser la normativa en prevención de blanqueo de capitales (SEPBLAC), la normativa en protección de datos (GDPR o CCPA), o las diferentes normas en la seguridad de la información (ISO 27001 y ENS) o la que regula las pruebas de vida (ISO 30.107) donde recientemente hemos obtenido el nivel 2 por parte de iBeta.
Cabe destacar que Veridas cuenta con tecnología 100% propietaria y completamente automatizada (no human in the loop), lo que le permite alcanzar altísimos niveles de precisión sin perjuicio de la privacidad y la seguridad.
Además, la apuesta por una aproximación Phygital al reto de identidad facilita que nuestros clientes puedan dar respuestas a todas sus necesidades bajo un único proveedor, desde el onboarding digital de nuevos clientes hasta su autenticación tanto en canales digitales como en entornos físicos.