La autenticación digital está referida al proceso de validación de identidad de un cliente, entidad o usuario. Todas las entidades que prestan algún servicio o comercializan, o distribuyen algún bien, deben surtir con su cliente un proceso de validación de identidad para, por ejemplo, abrir una cuenta de ahorros o corriente, asignar un cupo de crédito, entregar una tarjeta de crédito, vender un celular, efectuar un giro nacional o internacional, tramitar la licencia de conducción o sacar la libreta militar.

Todos estos trámites se realizan, por lo general, de manera presencial, aunque en los últimos años se ha tenido avances en seguridad muy importantes como la biometría dactilar consultando las bases de datos de la Registraduría Nacional. El Sistema Automatizado de Identificación Dactilar Colombiano (AFIS por sus siglas en inglés) es una base de datos que sirve para verificar la identidad de una persona a través de las características de sus huellas dactilares.

El reto que tiene el país, y que se vio acentuado ante la pandemia, es realizar todos estos trámites de manera virtual sin necesidad de acudir físicamente a las instalaciones del prestador del servicio, banco, empresa de telecomunicaciones, entidad del estado, etc. En este escenario es donde la autenticación digital y la identidad digital han cobrado especial importancia.

Mecanismos fuertes de autenticación digital

Son aquellos que combinan los tres factores de autenticación que son: algo que se sabe, como una contraseña o PIN; algo que se tiene, como un token físico o un dispositivo móvil; y algo que se es, como los rasgos biométricos, huellas dactilares, rostro, iris, etc. La combinación de factores de autenticación es determinante para establecer el grado de seguridad del proceso de validación de identidad y conocer si estamos frente a un sistema robusto de autenticación.

La Circular 029 de 2019 de la Superintendencia Financiera precisó que los mecanismos fuertes de identificación digital son los siguientes:

  • Biometría
  • Certificados de firma digital
  • OTP (One time password)
  • Tarjetas que cumplan el estándar EMV

Biometría: Las huellas dactilares, retina, iris, patrones faciales, venas de la mano o geometría de la palma de la mano representan ejemplos de características físicas (estáticas), mientras que entre los ejemplos de características del comportamiento se incluye la firma, el paso y el tecleo (dinámicas). Algunos rasgos biométricos, como la voz, comparten aspectos físicos y del comportamiento.

Los certificados de firma digital: La Ley 527 de 1999 creó las Entidades de Certificación como terceros de absoluta confianza en el entorno digital, con el fin de que estas entidades, como Camerfirma Colombia, acreditas por el Organismo Nacional de Acreditación en Colombia (ONAC), sean las encargadas de emitir las firmas digitales de las personas. Este es un mecanismo digital de firma de documentos (contratos, resoluciones, notificaciones etc.), sustituyendo la tradicional firma manuscrita, con el valor agregado que dicho mecanismo goza de una presunción legal de autenticidad e integridad y por tanto de no repudio que le otorga la ley.

Tarjetas que cumplan el estándar EMV: Son las tarjetas con chip. En Colombia llegaron ya hace varios años y remplazaron las que tenían banda magnética. Con ello se eliminó el fraude del “cambiazo” o la “clonación de la información de la banda magnética”. Ahora los delincuentes emplean otras técnicas para engañar al usuario haciéndole creer que debe cambiar el plástico y cuando recogen el plástico, supuestamente obsoleto, extraen la información del chip.

La importancia de la base de datos con la que se verifique la identidad

Si bien es cierto que los mecanismos fuertes de identificación como la biometría son recomendables, e incluso obligatorios para ciertos sectores, éstos también están sujetos a fraudes. Así las cosas, a pesar de que se utilice biometría de iris o de la palma de la mano o comportamental, siempre existe la posibilidad de fraude si la fuente (base de datos) contra la que se coteja no es altamente segura o confiable.

Para realizar una biometría altamente segura la recomendación es hacer uso de bases de datos públicas, confiables y altamente seguras. Estas son las bases de datos de la Registraduría Nacional: el Archivo Nacional de Identificación (ANI) y las bases de datos biométricas de huella (AFIS) y facial (ABIS), así como bases de datos financieras, entre otros como caso de las empresas con el Registro Único Empresarial (RUES).

Es importante precisar que la registraduría solo administra base de datos facial y dactilar, no posee bases de datos de iris o de la voz. Así las cosas, cuando los trámites son presenciales, se puede hacer uso de la biometría de huella o facial. En cambio, para trámites virtuales, se podrá hacer uso de la biometría facial en combinación con otro factor de autenticación, siempre consultando las bases de datos públicas.

Para finalizar, un número importante de entidades financieras han implementado la biometría facial, pero las bases de datos contra la que se coteja la información no son altamente confiables. Algunas están enrolando a sus clientes y cotejan su rostro frente a la foto de la cédula o la huella frente a la que aparece en la cédula. No obstante, aquí se presentan los siguientes inconvenientes:

  1. Si la cédula es falsa, la entidad no tendrá cómo corroborar la verdadera identidad de la persona.
  2. Es sumamente riesgoso que se almacenen datos personales biométricos de alta sensibilidad.
  3. No se está haciendo uso de certificados de firma digital o firma electrónica certificada, sino de firma electrónica simple (un solo factor de autenticación), lo que representa riesgos en la seguridad y la posible fuga de datos sensibles.

Por: Héctor José García Santiago, Director Observatorio Gobierno y TIC, Universidad Javeriana. Presidente Camerfirma Colombia.