Las noticias relacionadas con la identidad y el fraude son ya tan continuas que muchas de ellas, pese a su gravedad, ni siquiera provocan escándalos. El riesgo actual de fraude de identidad existe y es alto: la arquitectura de Internet permite a las personas operar en la red desde el anonimato; y en el entorno físico, los documentos de identidad otorgados por los Estados no son infalibles, además de ser muy complicados de operar digitalmente.
Eduardo Azanza, CEO de Veridas, expone el papel clave de la tecnología biométrica moderna en el modelo de identidad necesario para una transformación digital segura y confiable.
La identidad de las personas es clave en el mundo digital
La transformación digital, acelerada con la pandemia, ha puesto de relieve la necesidad de mejorar los mecanismos de verificación de identidad de tal modo que garanticen el ejercicio del derecho fundamental de todo ser humano a una identidad individual. Hasta el momento, han sido los Estados los encargados de proporcionar el ejercicio de este derecho, otorgando documentos físicos.
De qué hablamos cuando decimos ”Identidad Digital”
La identidad digital debe demostrar nuestra identidad individual, de forma inequívoca, para poder operar y acceder a todo tipo de información y realizar transacciones de manera segura en el ámbito de internet, de tal manera en que la confianza sea máxima.
Por lo tanto, cuando hablamos de Identidad Digital, necesitamos herramientas que nos den la máxima seguridad a ambos lados de la pantalla o del teléfono, que aseguren que “tú eres tú” cuando operas con tu banco, alquilas tu coche o contratas una póliza de seguros.
El Plan de digitalización de las Administraciones Públicas 2021-2025 recoge el objetivo de “desarrollar nuevos sistemas de identificación y firma sencillos, seguros y usables por los ciudadanos y ciudadanas” y cómo “se desarrollarán sistemas y servicios que permitan acreditar digitalmente a ciudadanos, ciudadanas y empresas de forma 100% telemática”. Lógicamente, estos objetivos también forman parte de la hoja de ruta de la digitalización de las empresas.
Vamos hacia un camino dónde nosotros mismos controlemos la identidad digital, igual que a día de hoy controlamos nuestro DNI. En este sentido, la Biometría entra en juego con un papel clave, como único factor con el que realmente se puede asegurar que tú eres tú.
Con la Biometría, cada vez más personas a nivel global ya están acreditando su identidad con pasos seguros -y eficientes en costes para las empresas y Administración-, solucionando el problema de los “miles de passwords” y pasando de la presunción de identidad a la certeza.
Gracias a los sistemas de Veridas, cada día se están abriendo cuentas corrientes de forma remota, se contratan tarjetas SIM de forma segura, o los pensionistas de México pueden garantizar su pensión sin pasar por una oficina, dando “fe de vida” con una llamada telefónica automática en tres segundos, podemos asimismo hacer check-in online en hoteles, alquilar vehículos u obtener una firma digital segura. Estas, entre otras, son operaciones que ya se están haciendo todos los días.
La identidad presumida: un modelo roto
La identidad presumida es un modelo roto: acudir a una oficina para acreditar nuestra identidad con un DNI físico y obtener allí una firma digital es susceptible de fraude, al ser una verificación manual.
Después de esta verificación presumida, el proceso de autenticación de esta identidad se realiza con un password o un sms, normalmente. Es decir, se autentica la identidad con un elemento ajeno a la propia identidad, un factor que se puede transferir de una persona a otra y puede ser atacado por un intento de fraude. Veridas, como parte de su objetivo, apuesta por combatir el fraude de identidad en internet.
La biometría y la inteligencia artificial deben ser la piedra angular para una transformación digital segura y confiable
Cómo es la verificación y autenticación con biometría de Veridas:
El primer paso en la verificación digital de identidad es un primer mecanismo de Verificación de Identidad de forma remota:
La persona se presenta con un documento que acredita que es él y verificamos ese documento. A continuación capturamos un selfie, normalmente con una prueba de vida incluida. Así comprobamos que el documento es verdadero y que la persona que lo porta es quién dice ser.
El segundo paso, es permitir que la entidad que nos ha concedido una credencial para poder acceder con nuestra cara o nuestra voz a un espacio digital o físico, (en lugar de utilizar un password o una credencial física), nos autentique.
Verificación e Identificación: en qué se diferencian:
Hay dos grandes grupos de los que siempre se habla cuando hablamos de Biometría, ya sea facial, dactilar, de voz…
- Por un lado está la verificación 1 a 1 (1:1): comparar dos huellas, dos caras, o dos voces. En este caso se comprueba la identidad de un individuo frente a sí mismo. Por ejemplo, nuestra cara, contra la del DNI. O la cara que empleas al entrar a un estadio deportivo, contra la cara con la que te registraste.
- Por otro lado está la identificación (1:N): la identificación es comparar nuestra cara contra una lista. En este caso se identifican individuos entre listas enormes.
Cuando comparamos una cara contra muchas en una galería, hay dos alternativas:
- Situación con consentimiento. Por ejemplo, la entrada de un socio a un club cuya identidad se ha verificado con su consentimiento previamente.
- Situación sin consentimiento: videovigilancia utilizando biometría facial. Es el caso de situaciones de control abierto e indiscriminado de ciudadanía y movimientos, al que la Unión Europea califica de alto riesgo.
El papel de la Inteligencia Artificial: cómo funcionan los sistemas biométricos
La biometría es uno de los casos con más potencial dónde ya se está aplicando la Inteligencia Artificial.
Es esencial entender cómo funcionan los sistemas porque de esa manera podemos conocer dónde están los mitos, donde está la realidad y dónde están los riesgos.
La tecnología biométrica de la vieja escuela, basada en detección de puntos característicos, está obsoleta. Los modelos biométricos basados en inteligencia artificial se basan en redes neuronales profundas, sistemas que se entrenan de forma supervisada específicamente para aprender una función característica. Por lo tanto, las redes neuronales especializadas en comparar caras, no son las mismas encargadas de comparar voces.
Las caras o voces capturadas “pasan” por el motor biométrico, entrenado con redes neuronales profundas, y de ahí sale un vector numérico, que representa la cara o voz (únicamente a efectos de comparación). Es un vector matemático irreversible e interoperable, que de extraerse para intentar utilizarlo en otro sistema no puede ser procesado, se trata por tanto de una tecnología privada por defecto y desde el diseño.
La captura de datos
En la captura de datos durante un proceso de alta con verificación de identidad, el usuario tiene que consentir de forma explícita el uso de sus datos para los fines con los que se están recogiendo. La captura en los sistemas de Veridas se hace de forma integrada para evitar el fraude y cuenta con técnicas de anti-spoofing (suplantación o fraude de identidad) recogidas por la ISO 30107 y certificadas por laboratorios independientes.
Europa debe regular y liderar este ámbito como referente en ética y en tecnología
Protección de datos
Reglamento General de Protección de datos.
Reglamento (UE) 2016/679 General de Protección de Datos (RGPD)
El Reglamento General de Protección de datos define lo que es un dato biométrico y qué datos biométricos son de categoría especial (aquellos datos biométricos “dirigidos a identificar de manera unívoca”). Aborda el derecho a “no ser objeto de una decisión automatizada” y a la no indefensión: es decir, si un sistema digital no reconoce a un ciudadano en el acceso a un trámite online, esa persona tiene derecho a un camino alternativo, como por ejemplo, realizar ese trámite de forma presencial en una oficina.
Propuesta de Reglamento con enfoque Europeo de la Inteligencia Artificial
Se trata de un marco regulatorio sobre la Inteligencia Artificial propuesto en abril de 2021 por la Comisión Europea y que será de cumplimiento obligatorio para los Estados. Dentro de la Inteligencia Artificial, especifica algunas cuestiones sobre el caso de la Biometría: Señala la identificación biométrica (1:N) en campo abierto como de alto riesgo. Respecto al resto de aplicaciones de biometría, como figura en el RGPD, se clasifican como datos sensibles que requieren consentimiento explícito.
No prohíbe la biometría, propone una regulación de aplicaciones específicas con el objetivo de garantizar el respeto de los derechos y las libertades de los ciudadanos.
Guía de la AEPD: “La protección de datos en las relaciones laborales” (18.05.2021)
La Agencia Española de Protección de Datos publicó en mayo de este año una guía acerca de la protección de datos en las relaciones laborales. En ella clarifica el uso de la biometría en este ámbito: Reconoce la legitimación para el tratamiento de datos biométricos (verificación e identificación) en el marco de la relación laboral, sin necesidad de consentimiento.
El uso de sistemas de biometría está autorizado por la AEPD, aunque no es laxa en cómo se regula su aplicación, como hemos podido comprobar en el caso Mercadona.
Pago y prevención de blanqueo de capitales
España es uno de los primeros países en autorizar la apertura de cuentas corrientes de forma no presencial (desde 2016).
Desde el punto de vista del pago y prevención de blanqueo de capitales, el SEPBLAC del Banco de España autoriza la identificación remota para la apertura de cuentas corrientes desde 2016, cumpliendo de forma estricta con la Ley de Blanqueo de Capitales.
Gracias a ese hito han surgido compañías como Veridas, hay ocasiones como esta en la que la regulación tracciona de forma positiva el desarrollo de la tecnología. De hecho, en este caso el Regulador reconoce que la identificación electrónica es superior a la física, ya que los sistemas automáticos son mejores que las personas, y en caso de fraude queda trazabilidad y evidencias en el proceso de identificación.
Después de España, que fue uno de los primeros, casi todos los países del mundo han establecido procedimientos para que se realicen operaciones similares.
Directiva de Servicios de Pago PSD2
Como hemos experimentado en procedimientos como las compras online en España, los bancos europeos y empresas proveedoras de servicios de pago deben implantar la autenticación reforzada de clientes validando al menos dos elementos diferentes de autenticación. La directiva los distingue así:
- Conocimiento: “algo que sabes”
- Posesión: “algo que tienes”
- Inherencia: “algo que eres”
El factor de inherencia es el único que puede garantizar con certeza la identidad de las personas, y esto se consigue con biometría.
Identificación electrónica y servicios de confianza.
La Unión Europea va a proponer un marco para que todos los Estados tengan un wallet digital de identidad. De esta forma, cuando accedamos a un servicio en internet podremos hacerlo con un wallet estatal, regional, o incluso privado.
Con este modelo de identidad autosoberana, podremos tener credenciales que puedan certificarse entre terceros y el modo de gestionar nuestra identidad digital en los próximos años cambiará. Por ejemplo, consentiremos de forma explícita a una web que sepa que alguien es mayor de dieciocho años, y lo podrá verificar de forma segura, pero sin conocer el resto de datos.
Reglamento eIDAS (Identificación electrónica)
Es el Reglamento Europeo que establece un marco jurídico común para los servicios de confianza y los medios de identificación electrónica en la Unión Europea.
Define la tecnología biométrica como un elemento determinante al establecer el marco de los niveles de seguridad de los medios de identificación electrónica: establece que una verificación de identidad en el mundo digital tiene que ser al menos tan segura como la verificación física, y los criterios técnicos para ese cumplimiento.
Ley 6/2020 de 11 de noviembre (Ley Reguladora de servicios electrónicos de confianza)
Esta ley permite la identificación a distancia para la emisión de certificados cualificados. Estos son los certificados de firma electrónica de más alto nivel con el que podemos operar con la Administración Electrónica en España.
Al hilo de esta ley está la Orden Ministerial ETD/465/2021, que establece cómo debe ser el proceso de emisión de los certificados electrónicos cualificados mediante “video-identificación remota”. A su vez, existe una Guía técnica del Centro Criptológico Nacional (CCN-STIC-140) que los fabricantes deben seguir para cumplir esta Orden Ministerial y esta Ley.
Veridas ha sido la primera compañía española en verificarse con un tercero en el cumplimiento de todas estas garantías (la normativa requiere que los motores biométricos estén acreditados por el NIST y medidas de detección de ataques de presentación) y ya está emitiendo certificados digitales dando servicio a diferentes Administraciones regionales o entidades como la Fábrica Nacional de Moneda y Timbre.
Resolución Secretaria de Estado Seguridad Social
En mayo de 2021 la Seguridad Social en España también habilitó trámites y actuaciones con identificación remota. De tal modo que 9.8 millones de españoles podrán dar fe de vida de manera telemática para cobrar sus pensiones gracias a los sistemas de identificación biométrica.
Es un caso de uso similar al que ya existe en México, gracias a la tecnología biométrica de voz de Veridas.
Administración judicial electrónica
Veridas ha propuesto poder introducir la firma electrónica mediante biometría en la Administración Judicial.
Un informe jurídico favorable del Consejo General del Poder Judicial de mayo de 2021 avala el sistema, que está basado en reconocimiento facial con QR biométrico (patentado por Veridas). La tramitación para que se apruebe su uso está en proceso por el Comité Técnico Estatal de la Administración Judicial Electrónica (CTEAJE).
Normativa técnica
Promovido por el Gobierno francés para facilitar el acceso seguro de la ciudadanía a los servicios públicos. El máximo órgano contencioso administrativo de Francia ha confirmado la legalidad de esa medida y el ajuste de la misma al RGPD europeo y su conformidad con los derechos fundamentales.
Conclusiones
En resumen, la biometría y verificación digital de identidad, apoyada en tecnologías de Inteligencia Artificial, permite una Transformación Digital segura y confiable, al garantizar el paso de la Presunción a la Certeza de la Identidad del Ciudadano.
Los diferentes estamentos reguladores en cada país, y a nivel europeo están adoptando decisiones que dejan un marco jurídico nítido y de protección de los derechos de los
ciudadanos, teniendo en cuenta el estado del arte de la tecnología.
Conclusiones sobre Identidad, Biometría e Inteligencia Artificial:
- El uso de estos sistemas biométricos modernos se ha extendido en los últimos años en numerosos sectores
- La IA permite ofrecer garantías de precisión, seguridad y protección de datos.
- La inherencia es el único elemento de autenticación que aporta certeza, y se consigue con Biometría
- Estas tecnologías reducen de forma drástica el riesgo de comisión de delitos.
- Debidamente configurados, estos sistemas son menos proclives al sesgo y al error que el ser humano.
- No tienen como objeto inferir otras características de la persona.
- La normativa europea y española de protección de datos regula el uso de la biometría de manera clara.
- Permiten abordar un proceso de Transformación Digital seguro.
Eduardo Azanza, CEO de Veridas, exponía estos temas en la jornada Acelerapyme en la Cámara de Comercio de Navarra.
Aquí puedes ver la ponencia completa.