En un futuro próximo, con eIDAS 2.0, Europa impondrá un marco para las identidades digitales que podrán almacenarse en una aplicación móvil, permitiendo a los ciudadanos europeos identificarse en línea de forma sencilla, privada y segura, gracias a un monedero de identidad, llamado EUDI. Billetera. Esta importante evolución irá acompañada de un aumento de las actividades fraudulentas que también se adaptarán a este nuevo entorno. En este contexto, las contramedidas legales y técnicas deben adaptarse rápidamente y anticipar la evolución del fraude.
Entre las nuevas técnicas de fraude: los deepfakes. Estas falsificaciones de imágenes y vídeos digitales representan una amenaza cada vez mayor para la seguridad y la integridad de los procedimientos remotos de verificación de identidad. Si bien algunos Estados miembros han demostrado una gran madurez en términos de estandarización y regulación de los aspectos funcionales y de seguridad de la verificación remota de identidad a nivel nacional (como el PVID en Francia), la mayoría de los Estados de la UE exigen distintos niveles de requisitos según los casos de uso. Como resultado, Europa presenta un panorama de verificación de identidad fragmentado, inconsistente y poco claro, por decir lo menos. Por lo tanto, son necesarias (y se esperan) medidas adicionales para garantizar la seguridad de los datos personales sensibles a nivel europeo.
Carrera armamentista digital: nuevas amenazas en el horizonte
Actualmente, tres nuevos métodos de ataque contra la verificación remota de identidad preocupan especialmente a los CISO:
- En un ataque de inyección, se inyectan códigos o datos maliciosos en aplicaciones o sistemas confiables para tomar el control de ellos o acceder a información confidencial. Un ejemplo común son las inyecciones de SQL, donde se inserta código SQL malicioso en los campos de entrada.
- Los ciberdelincuentes también utilizan cada vez más el método de ataque de presentación. Con ello se pretende engañar a los sistemas biométricos de reconocimiento facial presentando modelos o muestras falsos. Pueden ser fotografías, máscaras o huellas dactilares sintéticas presentadas en lugar de características biométricas auténticas.
- Ataques de documentos de identidad: método en el que se utilizan documentos de identidad falsificados o manipulados, como pasaportes o documentos de identidad, para crear una identidad falsa. Esto se puede hacer falsificando los propios documentos o manipulando la información que contienen. Los expertos ya han propuesto una estrategia de defensa contra este método, abogando por escanear el chip NFC de un documento de identidad oficial durante el proceso de verificación remota de la identidad.
Arsenal de ciberdefensa: la clave para luchar eficazmente contra el fraude
En su informe de buenas prácticas de verificación remota de identidad de marzo de 2024 1, la Agencia Europea de Ciberseguridad (ENISA) destaca estas amenazas y nuevas técnicas de ataque. Su objetivo es apoyar con medidas concretas los requisitos de seguridad para las identidades digitales formulados en el borrador del reglamento eIDAS 2.0.
En este contexto, ENISA recomienda medidas de seguridad actualizadas para los procesos de verificación remota de identidad. El informe ofrece una visión general de los posibles sistemas y métodos de prevención y también conduce a un diálogo necesario entre los sectores público y privado. Sin embargo, las organizaciones no deben considerar este informe como la única solución para combatir el fraude.
Entre las medidas recomendadas:
- Detección de movimiento en lugar de análisis de imágenes estáticas: la mayoría de las soluciones modernas de verificación remota de identidad deberían utilizar la detección de movimiento para distinguir a las personas genuinas de los impostores digitales. El software reconoce los movimientos de los ojos, los movimientos de los labios y las expresiones faciales en tiempo real.
- Análisis de Metadatos: El objetivo es detectar la presencia de una cámara virtual o emulador de hardware, que imita el comportamiento de uno o más componentes de hardware, en el sistema operativo del usuario. Para ello, se examinan diversos metadatos de la sesión de verificación remota de identidad, como la resolución de la transmisión de fotos o vídeos, datos del GPS, marca de tiempo, información de la red y el sistema operativo.
- Autenticación asistida por IA: los sistemas que utilizan IA reconocen incluso las diferencias más pequeñas en los datos de las imágenes y pueden identificar deepfakes con un alto grado de confianza. La capacitación basada en millones de verificaciones de identidad verdaderas y falsas permite afinar estos sistemas.
- Reconocimiento facial biométrico: el procesamiento de diversos rasgos faciales biométricos, como el análisis de contornos 3D, el seguimiento ocular y los gestos, puede identificar de forma fiable a los usuarios.
Mecanismos de protección contra la interacción entre humanos y máquinas.
Los diversos procesos recomendados están generando ahora un debate rico y matizado, que ofrece una multitud de perspectivas esclarecedoras. Dependiendo de la aplicación o normativa a respetar en un determinado país, cada proceso tiene efectos diferentes. Por lo tanto, un enfoque único no resolverá los desafíos que enfrentan los reguladores y el sector privado.
Por lo tanto, ENISA enfatiza que la verificación remota de documentos de identidad requiere un enfoque de seguridad de múltiples capas, respaldado por IA, para mantenerse al día con las amenazas frente a los riesgos cibernéticos cada vez mayores. Las empresas deben implementar medidas de seguridad preventivas en esta área sensible para minimizar efectivamente los incidentes de seguridad y su costosa gestión. Sólo así se podrán poner en práctica los estrictos requisitos de eIDAS 2.0 para identidades digitales altamente seguras.