Verificación de la identidad digital. Análisis técnico, funcional y legislativo

Para garantizar la seguridad e integridad de estas transacciones, nos encontramos ante el imperativo de usar soluciones para verificar dichas identidades, haciendo uso de mecanismos robustos, seguros, unificados y, sin dejarlo de lado, de uso sencillo y comprensible para todas las partes intervinientes.

La identidad digital se puede definir como el conjunto de datos, metadatos y documentos binarios que identifican a una persona en el ecosistema digital. Es el mecanismo similar a la identidad en el mundo físico que se utiliza para verificar la entidad en línea. Esta identidad digital puede estar compuesta por datos biométricos, credenciales de acceso a plataformas, certificados digitales otorgados por autoridades de certificación cualificadas, histórico de transacciones en la red y datos personales.

Según NIST (National Institut of Standards and Technology), la verificación de identidad digital es el proceso que se utiliza para afirmar o negar que una identidad digital es correcta, es decir, para determinar si una parte interviniente es quien dice ser o no sin necesidad de un encuentro cara a cara.

Cabe destacar que la verificación de la identidad digital se puede practicar haciendo uso de las siguientes soluciones (o una combinación de ellas):

• Verificación basada en posesión: certificado de autentificación incluido en nuestro DNI-e o Código OTP (One Time Password) enviados por SMS o email.
• Verificación basada en documentos: aplicación de tecnologías OCR (Optical Character Recognition) sobre documentos físicos de identidad.
• Verificación basada en biometría: reconocimiento de voz y facial (cotejo de una imagen tomada en tiempo real con la del documento de identidad).
• Verificación basada en comportamiento e histórico: geolocalización con direcciones IP, longitud y latitud, navegadores y sus versiones y trazabilidad de actividad en la red.
• Verificación basada en videollamada en vivo: servicio pasarela de identificación de la identidad a través de una videollamada con un tercer certificador (prestador de servicios de confianza, tanto cualificado como no cualificado). Una vez finalizada la videollamada, se genera un certificado de validación.
• Verificación basada en soluciones innovadoras: por ejemplo, el uso del European Digital Wallet, un nuevo proyecto de la UE que consiste en una billetera digital que aglutina todos los documentos civiles, laborales, administrativos, académicos, sanitarios, bancarios y turísticos. Este proyecto fue presentado en Madrid a finales de 2024 y su puesta en marcha está prevista a partir de diciembre de 2026 como proyecto piloto en el consorcio de hoteles de la provincia de Alicante. Su desarrollo fue confiado a la empresa suiza SICPA.

Una de las formas de conseguir un sistema robusto para identificar una identidad digital es implementar múltiples capas de verificación en una misma solución y aplicar una capa u otra según el nivel de riesgo de la operación que se realice.

La identidad digital se puede definir como el conjunto de datos, metadatos y documentos binarios que identifican a una persona en el ecosistema digital

Las soluciones anteriores suponen un nivel de seguridad distinto en cada una de ellas. El nivel de seguridad en la verificación de la identidad digital que se desea en una transacción está ligado en última instancia a su propia naturaleza. Es importante determinar de antemano el nivel se seguridad adecuado para cada tipología de transacción. Por ejemplo, no es lo mismo verificar la identidad para autorizar una operación financiera que otra transacción que se basa en un consentimiento sencillo de aprobación.

Un mercado de 26.000 millones en 2029

A principios del 2020 el mercado de la verificación de identidad digital experimentó un auge a nivel global y europeo. El aliciente más importante de este crecimiento es el traslado de la mayoría de las transacciones comerciales al ecosistema digital y, con ello, la necesidad de soluciones seguras, prácticas y escalables para garantizar legalmente dichas transacciones.

En 2024 el segmento de este mercado estuvo valorado en unos 15.200 millones de dólares. Se estima que podría superar los 26.000 millones de dólares en el año 2029 (un crecimiento de hasta el 74% en cinco años).

A nivel europeo se estimó en 2.250 millones de euros en el año 2024 y se espera un crecimiento hasta los 5.100 millones de dólares para el año 2029. En Europa el mercado está regulado por un marco llamado EUDI (European Digital Identity Regulation), que dio lugar al nacimiento de eIDAS2, una revisión y modificación del reglamento de la UE nº 910/2014 eIDAS (Electronic IDentification, Authentication and trust Services) que tiene como objetivo regular las soluciones digitales con las empresas y organizaciones (tanto privadas como gubernamentales europeas) que se utilizan para autenticación y compartición de información.

El nacimiento de eIDAS2 pretende solucionar determinadas deficiencias en eIDAS y servirá como marco legal base para la Digital Identity Wallet, que será expedida por cada uno de los Estados miembros de la Unión Europea, quienes deberán respetar unas pautas y estándares comunes de cara a garantizar la interoperabilidad y la confianza en el sistema.

En 2024 el segmento del mercado de verificación de la identidad digital estuvo valorado en unos 15.200 millones de dólares

¿Cómo elegir al mejor proveedor?

Ante la necesidad de decantarnos por un proveedor de verificación de identificación digital, nos tendríamos que plantear al menos las siguientes cuestiones:

• ¿Cubre mis necesidades en la actualidad, y en un futuro? Puede que en la actualidad valga con una verificación laxa, pero en el corto plazo se podría necesitar una validación algo más segura. No hay necesidad de contratar una solución más segura si no lo necesito, o viceversa.
• ¿Es integrable con mi ERP/CRM? ¿Qué protocolos ofrece el proveedor para la integración (API, S/OFTP, VPN, AS2, etc.)? Incluso, existen proveedores que ofrecen soluciones de marca blanca personalizables y adaptables a cada necesidad.
• ¿El proveedor ofrece tokens (nº de serie) de cada transacción y garantiza certificados firmados por su parte en caso de litigios legales con la parte cuya identidad ha sido verificada?
• ¿La solución es escalable y adaptable en caso de evolución de mis sistemas?
• ¿La solución es multi país/región? Si uso la verificación vía OCR sobre documentos de identidad, no es lo mismo aplicar OCR sobre documentos europeos que de países terceros.
• ¿Admite la solución diferentes niveles de garantía de identidad (LOA-3 y superior)?
• ¿El proveedor está certificado como tercero de confianza cualificado o no cualificado?
• ¿Los tiempos de respuesta están por debajo de la media de cada tipo de verificación?
• ¿Me garantizan un SLA (Service Level Agreement) claro para cumplir con los tiempos de respuesta?
• ¿Tiene el proveedor un plan de resiliencia de su servicio?
• ¿El proveedor acepta auditorías de terceros y garantiza la privacidad de los datos capturados? ¿Dispone de certificaciones al respecto (ISO-27001, ENS, etc.)?
• ¿La solución es adaptable a las preferencias de usuario a identificar?
• ¿La solución ofrece una experiencia de usuario optimizada para todo tipo de dispositivos?
• Hay que tener en cuenta las regulaciones que cumple el proveedor, sobre todo para transacciones con intervinientes extracomunitarios.
• Valorar el coste unitario y por tramo de las validaciones.
• ¿La solución cuenta con una destrucción certificada de datos y documentos?

La importancia de seguir invirtiendo

Es importante seguir investigando e invirtiendo en las soluciones de verificación de identidad digital, por varias razones:

• Eficiencia operativa y funcional: reducción de tiempos de espera y plazos de tramites innecesarios.
• Importante ahorro de costes: menos intervención humana.
• Cumplimiento regulatorio: sobre todo si se utilizan soluciones adheridas a regulaciones como AML (Anti Money Laundering) y GDPR (siglas en inglés del Reglamento General de Protección de Datos).
• Beneficio ecológico: cumplimiento con normativas como Paperless.
• Seguridad mejorada: tanto del nivel de protección de datos como de la lucha contra el fraude.
• Escalabilidad: soluciones válidas para la mayoría de los sectores y fácilmente integrables con tecnologías emergentes.

Retos y desafíos

Esta disciplina enfrenta bastantes retos y desafíos tanto por su sensibilidad como complejidad. Entre ellos podemos resaltar los siguientes:

• Protección de datos y privacidad: cada vez es más retador y complejo el hecho de garantizar una protección 100% segura de los datos de las partes intervinientes.
• Papel de la Inteligencia Artificial: almacenamiento inseguro de datos biométricos y fraudes sofisticados, como los deepfakes, que pueden suplantar personas con suma facilidad. También hay que tener en cuenta que los algoritmos de IA (tanto aprendizaje supervisado como no supervisado) pueden tener sesgos raciales, de género o de edad si no son entrenados con datos diversos y reales. Este hecho puede generar falsas validaciones o rechazo de identidades correctas.
• Complejidad y evolución constante del marco legal normativo: las normativas evolucionan constantemente.
• Situación geográfica del interviniente: ofrecer soluciones multipaís.
• Garantizar una experiencia de usuario fluida: buscar el equilibrio ente privacidad y operabilidad.
• Integración e interoperabilidad entre sistemas: disponer de una interfaz mínima de integración con los sistemas del cliente. Lo más práctico es el uso de API.

En definitiva, el mercado de la verificación de la identidad digital seguirá evolucionando y creciendo, impulsado por las continuas y cada vez más restrictivas actualizaciones de las normativas vigentes de autenticación digital y protección de datos; la digitalización global; la irrupción de nuevas tecnologías basadas en IA y Blockchain, y la necesidad de mayor seguridad y fehaciencia en lo que se refiere a identidades en línea.