Hace una semana la Agrupación Española de Usuarios de Telecomunicaciones y de la Sociedad de la Información, Autelsi, liberó un nuevo trabajo de su Grupo de Regulación relativo a la “Suplantación de la Identidad Digital”.
Dicho informe ha sido elaborado por empresas de diferentes sectores: jurídico, telecomunicaciones, ciberseguridad, software…etc, entre las que se incluye como expertos en identidad digital, y más concretamente en soluciones de biometría para la identificación de los usuarios, a Serban Group
El informe describe la situación actual en cuanto a la suplantación de identidad, tanto de los empleados de la organización como de los clientes de esta, el informe analiza los mecanismos más comunes de suplantación de identidad digital de empleados (fraude del CEO, fraude de facturas, phishing…) y de suplantación de clientes (phishing, smishing, deepfakes, man in the middle, ataques a credenciales por fuerza bruta…) para terminar definiendo una serie de buenas prácticas que las empresas han de estudiar, desarrollar e implementar si quieren estar preparados para detectar y evitar los ataques de suplantación que puedan ser realizados por terceros contra sus procesos de negocio.
El informe diferencia qué controles hay que tomar para la identificación de tus empleados, donde la creación de estas identidades es controlada única y exclusivamente por la empresa y por los controles a implementar para la identificación de nuestros clientes. Estos controles se resumen en que:
- Resulta indispensable una concienciación y sensibilización de usuarios y clientes,
- Que el conjunto de los sistemas informáticos y tecnologías intervinientes deben ser los adecuados,
- Dimensionar los mecanismos de seguridad en la autenticación correcta, balanceados con el riesgo a asumir,
- La usabilidad y experiencia de usuario,
- Definir mecanismos de doble o triple autenticación,
- Alineación total con el cumplimiento de las normativas vigentes, como las relativas a la identificación digital (EIDAS) o protección de datos (RGPD), etc.
En el citado informe no se hacen referencias a controles concretos ni a mecanismos a activar con nombre y apellidos; no era la intención del grupo de trabajo presentar un documento que profundice en ello. Ahora bien, la biometría es clave en alguno de los controles que las organizaciones han de implementar para defenderse contra ataques de suplantación, los mecanismos de autenticación se basan en tres características:
- algo que tienes;
- algo que sabes;
- algo que eres;
Solo la biometría engloba en su totalidad esa tercera características y conlleva una gran ventaja sobre las otros controles porque no se nos puede robar lo que somos como sí ocurre con lo que tengo o lo que sé.
Implementar y desplegar soluciones basadas en biometría en las organizaciones, tanto para comprobaciones de un solo factor o de varios factores es sencillo, en muchos casos de apena intrusismo en nuestro empleado o cliente (esto ocurre en biometrías como el reconocimiento facial o el reconocimiento por voz), de bajo coste de inversión (no existe hardware asociado) y de una usabilidad y experiencia de usuario sencilla, eficaz y eficiente.
Ejemplos de casos de uso de soluciones tecnológicas basadas en biometría de voz y facial, con integraciones simples puedes abarcar muchos campos donde la identidad digital tiene que tener un plus de seguridad:
Además, por ultimo y no mucho menos importante, las soluciones son válidas jurídicamente y se adecuan a las normativas europeas actuales, simplemente han de establecerse las herramientas y procesos necesarios para ello; de este modo, sentencias judiciales actuales como la de Mercadona en su identificación en supermercados o procesos de onboarding en banca; no podrán ser rebatidos como recientemente así ha sido. Debemos asegurarnos que cumplimos con la ley de protección de datos (solicitando en un primer paso consentimiento expreso para el reconocimiento biométrico del propio cliente) y que el mecanismo de biometría es utilizado por el único exclusivo bien del propio cliente y no dejándole como mecanismo único y exclusivo de identificación aquel basado en biometría.
En Serban Group somos expertos no solo en la aplicación de la tecnología biométrica en los procesos de identificación y autenticación de las organizaciones, sino en cómo han de aplicarse para cubrir con los requerimientos legales, tecnológicos y de ciberseguridad. Consiguiendo minimizar el riesgo operativo y jurídico que implica el robo y suplantación de las identidades digitales que conforman el ecosistema de una empresa, ya bien sea de sus propios empleados como de sus clientes.