2020-09-21T20:22:40+01:0021/09/2020|Etiquetas: , , , , , , |

Las bases de datos centralizadas con información personal son una amenaza inminente para la seguridad de la identificación móvil

14 de septiembre de 2020

Por Kevin Freiburger, Director de Programas de Identidad de Valid

Se prevé que el mercado de verificación de ID alcanzará los USD 12.800 millones en el año 2024. Varios estados estadounidenses se han sumado al movimiento de uso de licencias de conducir en formato móvil, al igual que otros mercados, como el de la educación superior, que también adopta la identificación móvil para controlar el acceso físico a las instalaciones en sus campus universitarios, así como el acceso lógico a recursos de red y ordenadores y a la funcionalidad de las tarjetas de pago.

Esta rápida adopción y los numerosos casos de uso en el sector público han hecho que la seguridad de los datos que sustenta la tecnología de la identificación móvil sea un tema delicado. Muchas implementaciones se basan en un almacén centralizado de datos que es gestionado por el emisor de la credencial de identificación, el cual protege la Información de Identificación Personal (PII) confidencial mediante la utilización de un enfoque avanzado con varios niveles, incluidos el cifrado y otras técnicas.

Sin embargo, incluso esos métodos de seguridad más robustos están en riesgo debido a los avances de las habilidades de actores malintencionados. De hecho, el 72% de los gestores de riesgos consideran que están surgiendo riesgos más complejos a una velocidad superior a la que ellos mismos avanzan en desarrollar sus habilidades, lo que pone en peligro la Información de Identificación Personal de millones de personas.

Los datos cifrados y centralizados pueden verse amenazados por la computación cuántica y otras vulnerabilidades

El cifrado es un pilar de la seguridad de los datos de la ID móvil. Para poder descifrar los algoritmos de cifrado con el fin de obtener acceso a la Información de Identificación Personal se necesitan altos niveles de potencia informática, por lo que los recursos de cálculo computacional de hoy en día limitan ese acceso.

Los ordenadores clásicos «piensan» en 1 y 0, y solo pueden tener uno de esos estados a la vez. Esta tecnología limita la potencia computacional de las máquinas de hoy en día porque dificulta su escalabilidad, situación en la que el cifrado es más seguro. Es extremadamente caro y difícil crear la potencia de cálculo necesaria para romper el cifrado de protección de los datos que las instituciones gubernamentales y otros emisores de credenciales de identidad alojan y almacenan. Sin embargo, no todos los cifrados son creados igualmente y la computación cuántica es una amenaza a la vulnerabilidad de los cifrados más débiles.

La computación cuántica puede tener estados simultáneos (1 y 0 al mismo tiempo). Esta tecnología permite niveles enormemente altos de potencia de cálculo. Por ejemplo, los investigadores de Google afirmaron que su ordenador cuántico realizó un cálculo en tres minutos y 20 segundos, un cálculo que a otros ordenadores les tomaría aproximadamente 10.000 años para completar. En teoría, contar con ese nivel de poder podría dar a los hackers una oportunidad real de romper los algoritmos de cifrado más débiles y obtener acceso a los sistemas que almacenan la información de identificación personal.

La computación cuántica será un riesgo en el futuro, pero hay muchos otros vectores de ataque que existen hoy en día que pueden exponer accidentalmente la información de identificación personal. Esos vectores incluyen redes y firewalls mal configurados, servidores y software sin parche y amenazas internas ejecutadas por el personal de la organización emisora.

¿Cómo pueden los sistemas que verifican la identificación frustrar esas amenazas existentes y emergentes?

Para mitigar las vulnerabilidades actuales y prepararse para el surgimiento de la computación cuántica (y la inevitabilidad de que esa tecnología termine en manos de actores malintencionados), los sistemas que verifican la identidad pueden seguir dos enfoques.

  1. Almacenar la Información de Identificación Personal fuera de las bases de datos centrales. Existen varias opciones de implementación que eliminan a los emisores como gestores de la información personal. Sin embargo, la opción blockchain solo es aplicable en el almacenamiento descentralizado de datos para poder contar con una verdadera identidad descentralizada en que el titular de la credencial posee control total. Microsoft trabaja actualmente en un producto de este tipo y otras empresas también han puesto en marcha iniciativas similares. Este enfoque único descentraliza a los emisores, verificadores, titulares de credenciales e incluso a Microsoft dentro de ese ecosistema. Solo quien es propietario de la credencial puede administrar su información personal confidencial.

Los verificadores de credenciales, como por ejemplo la agencia de sistemas de seguridad de aeropuertos, las fuerzas del orden público, minoristas, entre otros, pueden confiar en la credencial que verifican gracias a la tecnología de certificados digitales y a las cadenas blockchain. Los verificadores pueden garantizar que la identificación es auténtica si el emisor utiliza un certificado digital, que actúa como una firma o huella dactilar única que «firma» cada dato. Los titulares de IDs móviles gestionan los datos confidenciales en un dispositivo seguro como una cartera móvil y únicamente los comparten con los verificadores que elijan. El propietario de una credencial comparte sus datos con un verificador y éste puede autenticar el certificado digital del propietario y cualquier certificado digital del emisor utilizando una tecnología ya probada que se denomina infraestructura de clave pública, que ha existido durante años. Es perfecto para el titular de la credencial móvil, el verificador y el emisor de la credencial móvil.

  1. Autenticar las credenciales mediante biometría. Almacenar Información de Identificación Personal fuera de la cadena resuelve solo una parte de los problemas. ¿Cómo se autentica de manera segura al titular de la credencial que presenta la credencial digital? Al añadir biometría al proceso.

Un tipo de uso permite que el titular añada seguridad adicional para proteger su credencial digital. Por ejemplo, las carteras digitales podrían requerir que el titular de la credencial presente una verificación facial o huellas dactilares para desbloquear la cartera antes de compartir cualquier credencial.

Otro tipo de uso agrega confiabilidad para los verificadores. Los emisores pueden incluir una foto en la credencial digital al emitirla y «firmar» la foto con un certificado digital. Los verificadores pueden capturar una foto de la persona que presenta la credencial y compararla con la foto emitida para la credencial digital. Si la biometría coincide, queda verificada la persona que presentó la credencial. Y con la Inteligencia Artificial (IA), que sigue imitando incluso más de lo que sería la respuesta humana exacta al CAPTCHA, quizás la seguridad de los datos de ID móvil comenzará a utilizar la biometría fisiológica, con métodos como el latido del corazón o la voz, que los robots no pueden imitar.

Las ID móviles adquieren más popularidad con el tiempo y su presencia aumentará a medida que se expanda su utilización. Aun así, la seguridad debe ocupar un lugar de prioridad máxima para quienes tienen la responsabilidad de llevar y difundir esa tecnología al público. El cifrado es fundamental, pero sabemos que la IA y las amenazas cuánticas están surgiendo y que ya existen otras vulnerabilidades. Es más importante que nunca considerar otras soluciones para proteger la información de identificación personal, y el primer paso es eliminar esa información de las bases centralizadas de datos.

Acerca del autor

Kevin Freiberger es Director de Programas de Identidad y Gestión de Productos en Valid, donde dirige un equipo que crea y entrega soluciones de gestión a larga escala y de correspondencia biometría a empresas públicas y privadas.

DESCARGO DE RESPONSABILIDAD: Se trata de contenidos enviados y sometidos a Biometric Update. Las opiniones expresadas en esta publicación son las del autor y no reflejan necesariamente las opiniones de Biometric Update.

 

Haga clic aqui para ver el artículo original (solo en inglés)