Seguridad en el proceso de Verificación de Identidad
Índice
En VU entendemos la importancia de una seguridad robusta y adaptable. Por ello, queremos destacar los siguientes aspectos de nuestro servicio:
Nuestro sistema de verificación de identidad ha sido certificado en el nivel 2 de iBeta.
En un flujo típico de verificación de identidad, nuestro producto admite como mínimo las siguientes capas de seguridad, cada una con sus propios mecanismos intrínsecos:
Diagrama simplificado del mecanismo de seguridad Multi-layered
Nuestro producto está diseñado para mejorar significativamente la seguridad y eficacia en la captura de documentos de identidad, como cédulas y pasaportes. Durante el proceso de captura de imágenes del frente y dorso de estos documentos, nuestro sistema implementa tecnologías avanzadas para minimizar el riesgo de fraude. Esto se logra maximizando la probabilidad de obtener imágenes auténticas y de alta calidad, elementos cruciales para garantizar la veracidad de los documentos.
Para alcanzar este objetivo, nuestro software incorpora un conjunto de componentes de captura de imágenes (Software Development Kit, SDK), especialmente diseñados para identificar características específicas de distintos documentos de identidad. Estos componentes son capaces de detectar elementos únicos en cédulas, pasaportes y otros documentos similares, lo que contribuye a un proceso de verificación más robusto y confiable.
Además de su capacidad para identificar detalles clave en los documentos, nuestro SDK ofrece opciones de personalización. Esto permite adaptar el proceso de captura a las necesidades específicas de cada cliente, asegurando una experiencia de usuario fluida y libre de complicaciones. Esta personalización es esencial para reducir cualquier fricción o inconveniente que el usuario final pueda experimentar durante el proceso de captura de la imagen del documento.
Otra característica destacada de nuestro producto es su habilidad para filtrar y descartar imágenes de baja calidad o mal iluminadas. Esta función es clave para maximizar la relevancia y claridad de la información capturada en la imagen. Al incrementar la probabilidad de que solo las imágenes de alta calidad sean procesadas, nuestro sistema optimiza la eficacia de los controles de seguridad posteriores. Este enfoque no solo mejora la precisión en la verificación de los documentos, sino que también contribuye a un proceso más rápido y eficiente.
En resumen, nuestro producto ofrece una solución integral para la captura y verificación de documentos de identidad. Con su avanzada tecnología, personalización y eficacia en filtrar imágenes de baja calidad, proporciona una herramienta valiosa para cualquier organización que busque fortalecer sus medidas de seguridad y optimizar sus procesos de verificación de identidad.
Prueba de vida: Activa y Pasiva
El sistema incorpora tanto la prueba de vida activa como pasiva, tecnologías clave para prevenir el fraude y garantizar que la interacción sea con una persona real y presente.
Combinación o Uso Individual de Métodos de Detección de Vitalidad
Nuestro sistema ofrece flexibilidad en la implementación de la prueba de vida. Se pueden utilizar ambos métodos en conjunto para una seguridad óptima, o de manera individual, adaptándose a las necesidades y al contexto de uso específico del cliente.
Nuestro producto, como una funcionalidad integrada desde su lanzamiento, ofrece a los usuarios la capacidad de comparar su información biométrica y biográfica con los datos disponibles en las bases de datos de entidades gubernamentales.
Esta característica clave facilita una verificación más robusta y fiable, ya que combina y contrasta los resultados obtenidos de las fuentes oficiales del gobierno con la información recogida a partir del análisis de documentos de identidad personales como la cédula, el documento nacional de identidad, o el pasaporte.
Onboarding Management está diseñado para ser altamente compatible y se integra de manera inmediata y eficiente con una variedad de entidades gubernamentales.
Esta integración incluye, pero no se limita a, los siguientes organismos y departamentos:
La suplantación biométrica facial, combinada con la alteración de documentos de identidad, representa una forma sofisticada y potencialmente peligrosa de ciberataque.
Este enfoque no solo implica engañar a los sistemas de reconocimiento facial, sino también modificar documentos de identidad para crear una identidad falsa o alterada.
Este tipo de ataque puede ser particularmente desafiante de detectar y prevenir, ya que involucra dos niveles de seguridad: la autenticación biométrica y la verificación documental.
En el contexto de la biometría facial, los atacantes pueden emplear técnicas como:
Para la alteración de documentos de identidad, los métodos incluyen:
Nombre |
Tipo |
Descripción |
Impresiones |
Estático |
Se utilizan fotografías, fotocopias o impresiones para falsificar el rostro del ciudadano. |
Máscaras |
Estático |
Se utilizan esculturas, prótesis, cosméticos o máscaras para suplantar el rostro de una persona. |
Postizos |
Estático |
Las lentes de contacto o las huellas dactilares de látex se utilizan para eludir los métodos de autenticación del iris o de las huellas dactilares. |
Videos (Screen recapture) |
Dinámico |
Se utilizan una o varias fotos en una secuencia o vídeos para falsificar pruebas de vida. |
Malware |
Dinámico |
Son bots avanzados que ayudan a los actores maliciosos a infiltrarse en los dispositivos y sistemas de las víctimas. |
Man-in-the-middle |
Dinámico |
Un estafador piratea la red WiFi de un espacio público (cafetería, plaza, centro cultural, centro comercial, etc.) para interceptar el tráfico web entre las partes. |
Estos ataques, ya sean estáticos o dinámicos, pueden vulnerar el proceso de lectura y validación de un documento de identidad. Por ello, es importante incorporar técnicas de detección que hagan el sistema más robusto frente a los ataques fraudulentos de usurpación de identidad.
Los mecanismos de antispoofing son una parte crítica de la seguridad en sistemas que utilizan reconocimiento biométrico, como el reconocimiento facial. Su objetivo principal es identificar y prevenir intentos de suplantación de identidad (spoofing), donde un atacante intenta engañar al sistema usando una imagen falsa o alterada.
En nuestros servicios, el antispoofing se basa en técnicas avanzadas de Machine Learning (ML), que son ideales para este propósito debido a su capacidad para analizar y aprender de grandes cantidades de datos. Estos son los aspectos clave de nuestros mecanismos de antispoofing:
En resumen, nuestros servicios de antispoofing basados en Machine Learning ofrecen una solución dinámica y avanzada para combatir la suplantación de identidad, adaptándose continuamente a las amenazas emergentes y mejorando la seguridad de los sistemas de reconocimiento biométrico.
Los servicios de antispoofing son modelos de machine learning entrenados en base a ejemplos (aprendizaje supervisado). Según los casos, se entrenan con cientos, miles o decenas de miles de ejemplos.
Como todo modelo de este tipo, los resultados son inferencias y nunca alcanzan la certeza absoluta.
Los errores pueden ser de dos tipos:
Cada modelo se entrena para discriminar determinados casos específicos. Por ejemplo, el document antispoofing está entrenado para discriminar entre fotos reales, capturas de pantalla y fotos fotocopiadas. Pero no está entrenado para detectar un documento al que le falte el holograma o alguna otra medida de seguridad.
El proceso de entrenamiento nos da una estimación de la precisión del detector. En la vida real (producción), la precisión del detector será la misma siempre que nuestro dataset de entrenamiento se parezca al mundo real.
El proceso de entrenamiento constante tiene mucha relevancia porque el dataset nunca llega a representar perfectamente al mundo real, ya que surgen nuevos tipos de fraude, o no están representadas todas las condiciones de iluminación, o salen al mercado nuevos celulares y nuevas pantallas, etc.
El proceso de entrenamiento es iterativo y requiere de constante actualización. Razón por la cual, la colaboración de los clientes es necesaria y determinante.
Teniendo en cuenta lo anterior, para determinar si un modelo requiere un reentrenamiento necesitamos realizar una prueba amplia:
El modelo tiene un margen de error.
Puede ocurrir que se pruebe una vez y el resultado sea erróneo. Esto es poco probable, pero puede ocurrir. Es por ello por lo que es necesario realizar varias pruebas que permitan cuantificar y cualificar el margen de error. Las pruebas deben ser muchas y variadas.
Es importante determinar:
Un solo caso de error no puede tenerse en cuenta para las pruebas.
Las pruebas deben ser, al menos, 30.
Una excepción a esto es informar de una alteración o falsificación no contemplada por el modelo actual. Por ejemplo, en Face, un nuevo tipo de máscara no considerada hasta ahora. Para empezar, unos pocos ejemplos bastarían para iniciar un proceso de investigación. Sin embargo, en el siguiente paso serán necesarias más imágenes, que podremos generar nosotros o no, según el caso.
Como siempre, cuántos más ejemplos tengamos, mejor. Incorporando las pruebas u otras alteraciones similares, se realizará un reentrenamiento. Si es satisfactorio, se devolverá al cliente para que lo siga probando. Esto puede requerir algunas iteraciones.
Desde VU, nos comprometemos a utilizar las fotografías únicamente para uso interno y para mejorar nuestros productos, y a no utilizar datos personales para ningún otro fin. Asimismo, VU garantiza que el consentimiento requerido para el uso de estas imágenes será previamente solicitado de manera informada, explícita y verificable, de acuerdo con las normativas locales e internacionales de protección de datos personales. Las imágenes serán utilizadas exclusivamente con fines de mejora de producto, estarán desvinculadas de la identidad de los usuarios siempre que sea posible, y su tratamiento cumplirá con las políticas internas de retención, acceso y eliminación de datos.
Ninguna foto será publicada o compartida fuera de VU.
Necesitamos al menos 400 fotos (200 de frente y 200 de dorso) de cada documento y con distintos fondos.
Al menos 20 documentos diferentes.
Si tiene un tipo de documento migrante o temporal: ¡También nos sirve!
Las imágenes deben enviarse a través del Delivery Project Manager de VU asignado al proyecto. En cualquier caso, el uso de las imágenes se rige por el consentimiento expreso de los usuarios.
Hemos pixelado los datos sensibles para proteger a estos colaboradores.
Con el fin de evaluar objetivamente la solución, es recomendable responder estas preguntas así como establecer los mecanismos de obtención de información para poder visualizar las respuestas en forma de indicadores permanentes:
Actualización: Abril 2025