Logo

Recomendaciones para el Fortalecimiento de Procesos de Validación de Identidad Digital

Índice 

  1. Introducción.
  2. Recomendaciones Técnicas.
  3. Consideración Especial sobre Imágenes Generadas por IA..
  4. Consideraciones legales y responsabilidades.
  5. Conclusiones.

 

1. Introducción

En atención al creciente uso de herramientas de inteligencia artificial (IA) para la generación y manipulación de imágenes, recomendamos el seguimiento de estas prácticas para fortalecer los flujos de verificación de identidad. Las mismas, se orientan a incrementar la probabilidad de intercepción de ataques de sustitución de identidad.

Adicionalmente, se recomienda la lectura del documento complementario: VU - Seguridad en proceso de verificación de identidad

2. Recomendaciones Técnicas

2.1   Limitación de reintentos

Con el fin de evitar ataques por fuerza bruta o instancias de aprendizaje de un eventual atacante, se recomienda enfáticamente limitar la cantidad de reintentos por usuario y por dispositivo.

2.2   Actualización de Software

Verificar que las versiones implementadas (componentes de servidor y SDK en las plataformas web o móviles) estén actualizados a sus versiones más recientes, garantizando así acceso a las últimas funcionalidades de seguridad.

 2.3   Captura directa de imágenes

Incrementar la probabilidad que la captura de documentos de identidad y selfies neutrales se realice a través de los SDKs web o móviles mediante el uso de cámara, evitando la carga de archivos desde la galería o almacenamiento local o utilizando métodos alternativos de captura por cámara. 

2.4   Calidad de imágenes

Garantizar que las imágenes capturadas y enviadas mantengan la máxima calidad habilitadas por los dispositivos para su análisis y validación. 

2.5   Prevención de ataques tipo Man-in-the-Middle (MITM)

Para mitigar posibles interceptaciones de las solicitudes, se recomienda que los clientes que utilicen la versión 2.10.0 de Onboarding o superior, activen la funcionalidad de Body Integrity Check. 

2.6   Chequeo completo de ID

Los clientes que cuenten con la versión 2.17.0 o superior de Onboarding Management, pueden mejorar la validación activando el control de chequeo completo del documento de identidad.

2.7   Control de bordes para selfies

A partir de la versión 2.21.1 de Onboarding Management, se sugiere habilitar el control de bordes para selfies neutrales, a fin de evitar manipulaciones visuales en el encuadre.

2.8   Integración con servicios externos

Onboarding Management permite la integración con fuentes de datos externas para la validación de información personal y/o biométrica, contribuyendo así a fortalecer los mecanismos antifraude.

 2.9   Validación biométrica 1:N

En aquellos casos donde se cuente con información biométrica relacionada con intentos de fraude, es posible activar el módulo de validación biométrica 1:N, aplicable Face, Face +ID o ambos

2.10 Flujo Asincrónico

Onboarding Management soporta la implementación de flujos asincrónicos con validación manual de las operaciones a través de un Case Management integrado al backoffice. En este tipo de flujos, las identidades son verificadas provisionalmente hasta la intervención de un operador humano que verifica la identidad de manera definitiva tras la inspección de la información aportada por el usuario final. Luego de aprobada la operación, Onboarding Management puede notificar a terceros servicios para que se continúe con el flujo de negocio requerido. Es recomendable implementar alternativamente este tipo de flujos ante la eventualidad de ataques direccionados con impacto reducido en el negocio.

 

3. Consideración Especial sobre Imágenes Generadas por IA

Onboarding Management implementa un mecanismo de seguridad de múltiples capas (multi-layered) en el cual cada componente es determinante para la obtención de verdaderos positivos (aceptaciones) y verdaderos negativos (rechazos).

En el caso de ataques por sustitución de identidad en los cuales se utilizan imágenes generadas por inteligencia artificial, Onboarding Management hace uso de sus capacidades de prueba de vida activa (liveness detection) y pasiva (detección de pantallas o screen-recapture).

4. Consideraciones legales y responsabilidades

Para asegurar la correcta aplicación de estas recomendaciones desde una perspectiva regulatoria y de seguridad:

  • Los clientes deben asegurarse de contar con una base legal adecuada para la recolección y procesamiento de imágenes faciales y documentos de identidad, incluyendo el consentimiento explícito cuando sea requerido por las normativas locales o internacionales.
  • La activación y configuración de las funcionalidades sugeridas en este documento es responsabilidad del cliente. La eficacia del sistema de verificación depende de la correcta implementación de estas medidas técnicas.
  • Se recomienda monitorear indicadores clave como la tasa de reintentos fallidos, la frecuencia de bloqueos por sospecha de fraude, o la tasa de detecciones positivas para evaluar la eficacia de los controles y realizar ajustes necesarios.

 5. Conclusiones

Agradecemos su colaboración en la aplicación de estas recomendaciones, cuyo objetivo es proteger la integridad de los procesos de identificación digital. Para cualquier consulta adicional o asistencia técnica, nuestro equipo de soporte estará disponible para brindar el acompañamiento necesario.

 

 

Actualización: Abril 2025