Cómo verificar la identidad digital de tus clientes

Según datos de PwC, el 47% de las empresas en todo el mundo han sufrido al menos un robo de identidad en los últimos 24 meses. Estos ciberataques a las corporaciones son cada vez más habituales y representan un gran problema para las empresas ante la amenaza de una posible suplantación ilegal de su identidad.

Y, por el contrario de lo que muchos creen, estas situaciones no se dan únicamente en el entorno de las grandes organizaciones, pues pequeñas empresas, autónomos e incluso particulares, ya han sido víctimas de robos de identidad a través de actos de ciberdelincuencia.

Además, es importante recordar la prevención ante el blanqueo de capitales, que implica verificar la identidad de las personas. De hecho, la Ley de prevención de blanqueo de capitales obliga a las instituciones financieras y del juego, entre otras, a comprobar la identidad de sus clientes. Así, el contexto actual pone de manifiesto la importancia de validar la identidad digital de tus clientes,

En este post explicaremos los conceptos de autenticación y validación de identidad digital, y expondremos los 5 métodos de autenticación que ofrecemos en Signaturit.

Diferencias entre los sistemas de identificación y autenticación

Identificarse es decir quién eres

En el caso de las interacciones entre seres humanos, si por ejemplo llamas a la puerta de un vecino, a su pregunta de “¿quién es?” responderás con tu nombre. Te estarás identificando.

Autenticarse es demostrar que eres quien dices ser

Cuando tu vecino mire por la mirilla, tu rostro le servirá para autenticarte. Sabrá que eres quien dices ser, porque te reconocerá por tus rasgos físicos. Reconocerá tu identidad.

Los seres humanos podemos reconocer la identidad de los demás – autenticarles – a través de características biométricas como los rasgos faciales, la voz, la forma de andar, etc.

En concreto, el rostro es la principal fuente de información que nuestro cerebro utiliza para reconocer la identidad de los demás.

«Para los seres humanos, “una cara es la clave más distintiva y ampliamente usada para determinar la identidad de una persona.”»

Bruce & Young, 1986

En el caso de los sistemas informáticos, las definiciones de identificación y autenticación son las mismas que para los seres humanos.

Cuando quieres acceder a un sistema informático, te identificas a través de tu nombre de usuario, y permites que el sistema te autentique (o autentifique) a través de tu contraseña. Tu contraseña es algo que sabes (a priori sólo tú) y el sistema utiliza este factor para comprobar que efectivamente eres quien dices ser.

Otra manera de autenticarte que utilizan los bancos por ejemplo es un número PIN, que también es algo que sabes. Habitualmente, primero te identificas con tu DNI y tu fecha de nacimiento. Es decir, le dices al sistema quién eres. Y luego te autenticas mediante un número PIN que sólo sabes tú, con el que demuestras que eres quien dices ser.

¿Qué sistemas de autenticación existen?

Los sistemas o métodos de autenticación pueden clasificarse en tres grandes grupos, según los elementos o factores que cada sistema utiliza para verificar la identidad de un usuario (es decir, para autenticarle):

1. Sistemas basados en algo que el usuario sabe: contraseñas.
2. Sistemas basados en algo que el usuario tiene: tarjetas inteligentes o tokens.
3. Sistemas basados en algo que el usuario es, o sistemas de autenticación biométrica: son los basados en rasgos físicos del usuario.

Los sistemas de autenticación biométricos pueden usar cualquier rasgo único de una persona que se pueda medir.

Aunque hay muchas características que nos distinguen de forma única a cada uno de nosotros – desde nuestra forma de andar hasta nuestro olor corporal – estos sistemas utilizan normalmente los siguientes rasgos:

• Rasgos físicos: iris o retina del ojo, huellas dactilares, rasgos geométricos de las manos, etc.
• Rasgos conductuales: escritura y firma, la voz, el pulso, etc.

Los sistemas de autenticación biométrica son los más seguros de todos, puesto que los rasgos físicos únicos y medibles de cada persona son imposibles de falsificar.

En cambio, las contraseñas se pueden robar o falsificar fácilmente. Y lo mismo ocurre con las tarjetas inteligentes o con las tarjetas de crédito, cuyas bandas magnéticas contienen información del propietario. 

¿Cómo se autentica un usuario?

Generalmente, cualquier sistema solicita dos factores para poder autenticar a un usuario:

1. Un identificador

Permite que el usuario diga quién es, se identifique. Por ejemplo: nombre y apellidos, nombre de usuario (nickname) o dirección de correo electrónico.

2. Uno o más elementos o factores de autenticación

Permiten al sistema comprobar que el usuario es quien dice ser. Estos factores pueden ser algo que el usuario saber (contraseña), algo que tiene (tarjeta inteligente) o algo que es (rasgo biométrico).

Si además del identificador, el sistema sólo solicita al usuario un factor de autenticación, estaremos hablando de la autenticación en dos factores. Si se solicita más de un factor de autenticación, además del identificador, estaremos hablando de autenticación multifactor.

No debe confundirse la autenticación en dos factores con la autenticación en dos pasos. De ello ya hemos hablado en este post: ¿Es realmente segura la autenticación en dos pasos a través de SMS?

¿Qué sistemas de autenticación tiene Signaturit?

En Signaturit ofrecemos 5 sistemas de autenticación que te permiten autenticar o asegurar la identidad de los firmantes con un nivel de confianza razonable. Estos sistemas pueden utilizarse como complemento a una solicitud de firma electrónica avanzada.

1. Autenticación por foto

Este método te permite validar la identidad del firmante a través de su foto. Nuestro sistema te permite enviar una petición de firma e incluir como requisito obligatorio que el firmante adjunte una fotografía suya que te permitirá reconocerle.

2. Autenticación mediante un archivo adjunto

Otra opción es que requieras al firmante que adjunte un archivo al documento que que le has enviado para que lo firme. Puede tratarse de un certificado oficial o de algún comprobante que para tu empresa sirva como prueba de que la identidad de quien firma es válida.

3. Autenticación por SMS

La validación a través de SMS es uno de los métodos de autenticación más utilizados. Se trata de enviar al móvil del firmante un SMS con un código. El firmante deberá introducir dicho código para poder abrir el documento y luego proceder a firmarlo. 

4. Autenticación mediante reconocimiento de documentos de identidad

Este sistema de autenticación de documentos de identidad, conocido como autenticación mediante reconocimiento óptico de caracteres (ROC o tecnología OCR por sus siglas en inglés), consiste leer el código MRZ que tienen estos documentos y contrastarlo con el resto de datos que contiene para saber si alguno de ellos ha sido alterado. Ofrecemos dos opciones para utilizarlo:

1. Que el usuario tenga que hacer una foto al DNI por las dos caras. Al subirlo a Signaturit capturamos toda la información del DNI y validamos que no ha sido manipulada.
2. Que el usuario tenga que adjuntar una foto del DNI que ya tenga guardada en tu ordenador. En este caso, también capturamos los datos y validamos que la información no ha sido manipulada.

Técnicamente, lo que hacemos es verificar el código MRZ del DNI, que es el código que aparece en el reverso y que es único para cada persona. Este código se genera a través de un algoritmo, y se basa en la información que contiene cada DNI.

Por tanto, si alguien modifica algún dato en su DNI, el código MRZ ya no coincidiría con la información escaneada y entonces no nuestro sistema lo detectaría como un DNI válido.

5. Vídeo-identificación

La vídeo-identificación o vídeo ID es el proceso online a través del cual verificamos la identidad de una persona a distancia, e incluye dos pasos necesarios para verificar una identidad:

1. Captura de vídeo-selfie: una captura de vídeo de la persona a verificar en tiempo real que es imperceptible para el usuario, pero que ayuda a los sistemas de verificación de identidad a comprobar con completa seguridad que una persona es quién dice ser. 
2. Captura de la documentación de identidad: con esta información, el sistema realiza una comparación y asociación biométrica entre el vídeo-selfie en tiempo real y la imagen del documento aportado para verificar que se trata de la misma persona. 

Este proceso solamente requiere que el usuario cuente con un dispositivo con cámara integrada (teléfono móvil, ordenador o tablet) y conexión a Internet. Permite agregar más seguridad a los procesos ante la profesionalización del fraude que existe hoy en día, así como la agilización de los registros, el ahorro en esperas y desplazamientos, la reducción de los costes operativos, la protección del negocio y de los propios clientes y el cumplimiento de las normativas KYC, YC, AML, GDPR y PSD2, entre otras. 

En el siguiente enlace tienes toda la información que necesitas para poder utilizar cualquiera de estos sistemas de identificación con Signaturit: Enviar un documento a firmar con varios pasos extra de autenticación.

Si necesitas información más específica o te gustaría recibir asesoramiento respecto a qué sistemas de autenticación convendría implementar en tu empresa, no dudes en ponerte en contacto con nosotros. Puedes enviarnos un email a [email protected], llamarnos al +34 93 551 14 80 o rellenar este formulario.

Si lo prefieres, puedes probar directamente nuestros cinco sistemas de autenticación. Tan sólo date de alta en Signaturit y tendrás acceso gratis durante 14 días a éstas y a todas las funcionalidades que ofrecemos.

Esta entrada fue publicada originalmente el 03/08/2017. 

POSTS RELACIONADOS

• El impacto del nuevo Reglamento de Protección de Datos en el tratamiento de datos biométricos.
• ¿Es realmente segura la autenticación en dos pasos a través de SMS?
• Más allá de la reputación online, ¿qué se entiende por identidad digital y qué derechos están asociados a ella?