Cabecera Home
Revista Segurilatam Edición impresa
Síguenos:
Valoración
  • Actualmente 5 de 5 Estrellas.
Tu valoración
  • Actualmente 5 de 5 Estrellas.
  • 1
  • 2
  • 3
  • 4
  • 5
OPINIÓN

David Antonio Pérez Herrero , Gerente del Área de Identidad en everis Aeroespacial, Defensa y Seguridad

Gestionando la identidad en el proceso de transformación digital

Por favor, ¿me enseña su documento de identidad? Introduzca su usuario y contraseña. Seguidamente, teclee el código que hemos enviado a su móvil. Para acceder a este servicio deberá introducir su pin. Seleccione el certificado electrónico para firmar. Para descargar la factura es necesario que se identifique. Usuario o contraseña incorrectos. Vuelva a introducir sus datos…

¿Quién no ha experimentado una de estas situaciones? Desde tiempos inmemoriales, la identificación de las personas ha sido una necesidad vital. Ansiamos conocer quién es quién. Primero porque nos gusta, pero, sobre todo, porque es imprescindible en casi cualquier proceso cotidiano. La identidad de una persona permite que le prestemos un servicio de una manera concreta.

La forma de representar y verificar la identidad han sido dos aspectos tecnológicos sujetos a innovación y evolución constantes. Estas invenciones han tenido un impacto sobre múltiples contextos, pero especialmente en la seguridad subyacente, en el coste de la solución y en la experiencia (usabilidad) para el usuario y las organizaciones.

Nos encontramos en un proceso continuo de lo que podríamos denominar el problema de la identidad, que se ha venido resolviendo habitualmente a través de avances en tres grandes áreas:

1.Tecnología, a base de crear cada vez más formas de representar la identidad, llamémoslas credenciales. A día de hoy, contamos con una constelación de credenciales: usuario/contraseña, pin, OTP, certificado electrónico, características biométricas, etc. Por supuesto, esto lleva asociada la necesidad de disponer de más formas de verificar la identidad (verificar las credenciales). Además, nos empeñamos en inventar más formas de transportar/transformar la identidad: protocolos Kerberos, SAML, OAuth, otros sucedáneos alrededor de la federación, etc. Por si fuera poco, llega Blockchain, una tecnología para la que se están buscando todo tipo de usos y que podría actuar como ingrediente renovador y disruptivo en este problema de la identidad.

2. Participantes, a base de poner cada vez más roles y entidades en el tablero. Esto supone la constelación de los participantes en una relación de gestión de la identidad: usuarios, proveedores de servicios, de identidad, de autenticación, de atributos, etc.

3. Regulación, a base de confeccionar cada vez más legislación para avalar la forma en que representamos, verificamos, intercambiamos, aceptamos y, en definitiva, usamos la identidad. También regulando cómo tienen que ser los servicios que prestamos desde el punto de vista de la gestión de la identidad. Tenemos leyes y reglamentos nacionales e internacionales para definir lo que está permitido o no hacer con nuestra identidad y los servicios que la usan. Sólo dos ejemplos recientes: el Reglamento Europeo de Firma Electrónica (eIDAS) y el también comunitario Reglamento General de Protección de Datos (RGPD).

Lo hemos llamado problema, pero en realidad es un maravilloso reto continuo al que nos enfrentamos desde organismos regulatorios hasta organizaciones de consumo, pasando por las empresas que creamos tecnología. Estas últimas tenemos la misión de ofrecer soluciones que den respuesta a este problema de la identidad y combinen sencillez de uso con una férrea seguridad. Veamos un par de ejemplos.

Empecemos por el onboarding, un proceso que permite que una persona pase a ser cliente de un negocio. En un contexto de transformación digital como en el que nos encontramos tiene que ser un proceso viable desde cualquier canal, sin restricciones en la forma de identificar a las personas (excepto aquellas limitaciones imprescindibles para garantizar la seguridad) y con una experiencia agradable para el usuario.

Realizar el onboarding implica disponer de regulación adecuada (que la tenemos) y de un amplio abanico de soluciones tecnológicas entre las que se incluyen la verificación de documentación electrónica (DNI, pasaporte, permiso de residencia, etc.), la videoconferencia, el reconocimiento biométrico (al menos facial), la generación y verificación de firma digital o el análisis de la postura de seguridad del dispositivo. Pero, además, buscamos que el proceso de onboarding prepare el camino posterior, para lo que vamos a incorporar muchos otros mecanismos de identificación. Con este escenario sólo triunfará un proceso guiado y fácil de usar, omnicanal y con unas garantías de seguridad necesarias que deben ser percibidas tanto por el usuario (esto es importante) como por el negocio. Porque no olvidemos que el onboarding es el primer paso, el más crítico.

¿Qué va después del onboarding? Ahora tenemos clientes que quieren consumir sin que les pongan muchas trabas. Exigen hacerlo desde cualquier sitio (ubicación y dispositivo), usando mecanismos sencillos para comprobar su identidad (por supuesto, no teniendo que ir a casa a mirar el pósit de las contraseñas) e incluso pudiendo comprar a continuación otra cosa distinta sin repetir el proceso (y sin tener que volver a casa para buscar la contraseña de ese otro portal).

En definitiva, se demanda la mejor experiencia de usuario pero siempre percibiendo seguridad en el proceso. De nuevo se necesita un abanico de soluciones tecnológicas que permitan ofrecer al usuario formas variadas y sencillas para que se identifique: usará su móvil, un reconocimiento facial, quizás hará el gesto de poner su dedo en el Touch ID, recibirá un mensaje en la pantalla para teclear el pin que permite desbloquear su certificado de autenticación centralizado, etc.

Pero, ¿cómo balanceamos usabilidad y seguridad? ¿Por qué no hacemos que esta fase de identificación sea una autenticación adaptativa en función del contexto y basada en el riesgo? ¿Por qué no vamos a tener en cuenta, por ejemplo, el dispositivo que usa (si es seguro o no), la ubicación (si está en su país o en uno conflictivo), la dirección IP o si la franja horaria en la que accede es la habitual?

Una consulta de saldo en la entidad financiera a través del móvil, desde una ubicación y un horario habituales, permite ser menos estrictos en la identificación (por ejemplo, un selfie). Pero si va a realizar una transferencia importante y además se hace desde un país catalogado como conflictivo, el sentido común nos dice que será mejor usar varios factores para autenticar (además del selfie, el Touch ID e incluso el certificado electrónico). El sistema se lo pedirá de forma automática al usuario y este percibirá una mejor experiencia porque el proceso es variable dependiendo de lo que quiera hacer.

Conclusión

La exposición de los servicios de una organización en la Red para su consumo desde cualquier lugar y momento exige un mayor esfuerzo a la hora de controlar el fraude de identidad de los ciudadanos.

Las organizaciones deben asegurar la identidad de sus clientes con independencia del canal que utilicen (presencial, remoto, móvil, PC, etc.) y del momento en que se relacionan con la organización (pasa a ser cliente, consume un servicio, realiza una transacción posterior, etc.). A su vez, este proceso de aseguramiento de la identidad tiene que impactar lo menos posible en la experiencia de usuario, por lo que se hace necesario que sea dinámico, variable y adaptable al contexto de la transacción y al comportamiento que exhibe el cliente (si está accediendo en remoto, si está en una oficina de forma presencial, si se encuentra en un país de riesgo, si el canal de comunicación no es seguro, si utiliza un dispositivo no seguro, si la franja horario no es la habitual para ese usuario, etc.). Para lograrlo es posible utilizar un conjunto de tecnologías que facilitan la labor del aseguramiento de la identidad al mismo tiempo que generan confianza al usuario.

Las soluciones de verificación documental permiten obtener un alto grado de confiabilidad del documento de identidad del ciudadano, minimizando el riesgo de fraude. Por otro lado, las tecnologías de reconocimiento biométrico hacen posible identificar de forma sencilla y precisa, reduciendo el riesgo de fraude de identidad. Finalmente, las herramientas de análisis de contexto permiten implementar procesos de autenticación adaptativa que mejoran la experiencia de usuario. Disponer de un socio tecnológico con la capacidad solvente de ofrecer soluciones a toda esta problemática supone una garantía de éxito.

Volver

Recibe GRATIS noticias en tu e-mail

¿Quieres estar informado? Ya puedes suscribirte de forma gratuita a nuestra newsletter