Segurança no Processo de Verificação de Identidade
Índice
1. Geral
Na VU, entendemos a importância de uma segurança robusta e adaptável. Por isso, queremos destacar os seguintes aspectos do nosso serviço:
Segurança em Múltiplas Camadas: Na VU, acreditamos que nenhum mecanismo de segurança, isoladamente, pode abordar todos os riscos possíveis. Por isso, nossa estratégia abrange múltiplas camadas de proteção para oferecer um sistema de segurança completo e eficaz.
Segurança como um Processo Contínuo: Acreditamos firmemente que a segurança não é um fenômeno estático e imutável, mas sim um processo em constante evolução. Nosso enfoque está centrado na adaptação e melhoria contínuas para enfrentar ameaças emergentes e evoluir conforme as necessidades em constante mudança no campo da segurança.
Serviço Personalizado de Análise e Treinamento: O diferencial do nosso serviço é a sua capacidade de personalização. Quando você, como cliente, nos envia imagens de casos específicos, utilizamos esses dados para reprocessar e aprimorar nosso produto. Esse processo garante uma solução ajustada às suas necessidades e nos permite manter o serviço sempre atualizado e em constante evolução.
Nosso sistema de verificação de identidade foi certificado no nível 2 da iBeta.
2. Segurança em Múltiplas Camadas
Em um fluxo típico de verificação de identidade, nosso produto contempla, no mínimo, as seguintes camadas de segurança, cada uma com seus próprios mecanismos intrínsecos:
Diagrama simplificado del mecanismo de seguridad Multi-layered
3. Segurança na Captura e Análise de Documentos
Nosso produto foi desenvolvido para melhorar significativamente a segurança e a eficácia na captura de documentos de identidade, como cédulas e passaportes. Durante o processo de captura de imagens da frente e do verso desses documentos, nosso sistema implementa tecnologias avançadas para minimizar o risco de fraude. Isso é alcançado ao maximizar a probabilidade de obtenção de imagens autênticas e de alta qualidade — elementos cruciais para garantir a veracidade dos documentos.
Para atingir esse objetivo, nosso software incorpora um conjunto de componentes de captura de imagens (Software Development Kit, SDK), especialmente projetados para identificar características específicas de diferentes documentos de identidade. Esses componentes são capazes de detectar elementos únicos em cédulas, passaportes e outros documentos semelhantes, o que contribui para um processo de verificação mais robusto e confiável.
Além da sua capacidade de identificar detalhes-chave nos documentos, nosso SDK oferece opções de personalização. Isso permite adaptar o processo de captura às necessidades específicas de cada cliente, garantindo uma experiência do usuário fluida e sem complicações. Essa personalização é essencial para reduzir qualquer atrito ou inconveniente que o usuário final possa experimentar durante o processo de captura da imagem do documento.
Outra característica de destaque do nosso produto é sua habilidade para filtrar e descartar imagens de baixa qualidade ou mal iluminadas. Essa função é fundamental para maximizar a relevância e a clareza das informações capturadas na imagem. Ao aumentar a probabilidade de que apenas imagens de alta qualidade sejam processadas, nosso sistema otimiza a eficácia dos controles de segurança subsequentes. Essa abordagem não apenas melhora a precisão na verificação dos documentos, como também contribui para um processo mais rápido e eficiente.
Em resumo, nosso produto oferece uma solução integral para a captura e verificação de documentos de identidade. Com sua tecnologia avançada, personalização e eficácia na filtragem de imagens de baixa qualidade, proporciona uma ferramenta valiosa para qualquer organização que busque fortalecer suas medidas de segurança e otimizar seus processos de verificação de identidade.
4. Segurança na Prova de Vida
Prova de Vida: Ativa e Passiva
O sistema incorpora tanto a prova de vida ativa quanto a passiva — tecnologias essenciais para prevenir fraudes e garantir que a interação ocorra com uma pessoa real e presente.
Combinação ou Uso Individual de Métodos de Detecção de Vitalidade
Nosso sistema oferece flexibilidade na implementação da prova de vida. É possível utilizar ambos os métodos em conjunto para uma segurança ideal, ou individualmente, adaptando-se às necessidades e ao contexto de uso específico do cliente.
5. Integração com Dados Fornecidos por Fontes Governamentais
Nosso produto, desde seu lançamento, oferece como funcionalidade integrada a capacidade dos usuários de comparar suas informações biométricas e biográficas com os dados disponíveis em bases de dados de entidades governamentais.
Essa funcionalidade essencial possibilita uma verificação mais robusta e confiável, ao combinar e cruzar os resultados obtidos de fontes oficiais com as informações coletadas a partir da análise de documentos de identidade pessoais, como cédulas, carteiras de identidade ou passaportes.
O Onboarding Management é projetado para ser altamente compatível e se integra de forma imediata e eficiente com uma variedade de entidades governamentais.
Essa integração inclui, mas não se limita, aos seguintes órgãos e departamentos:
Argentina (RENAPER)
Bolívia (SEGIP)
Colômbia (Registraduría)
Equador (DIGERCIC)
Paraguai
Peru (RENIEC)
República Dominicana
6. Análise Antispoofing
6.1 O que é “Antispoofing”?
A falsificação biométrica facial, combinada com a alteração de documentos de identidade, representa uma forma sofisticada e potencialmente perigosa de ataque cibernético.
Essa abordagem não apenas visa enganar sistemas de reconhecimento facial, como também modificar documentos de identidade para criar uma identidade falsa ou adulterada.
Esse tipo de ataque pode ser particularmente difícil de detectar e prevenir, pois envolve dois níveis de segurança: a autenticação biométrica e a verificação documental.
No contexto da biometria facial, os atacantes podem empregar técnicas como:
-Uso de Imagens Alteradas em Documentos: Inserção de fotografias manipuladas ou de outra pessoa em documentos de identidade oficiais.
-Deepfakes em Documentação: Integração de imagens geradas por IA (inteligência artificial) que parecem realistas em documentos, dificultando a detecção da falsificação. Nosso produto é especializado na detecção de imagens como capturas de tela (screen recapture).
-Máscaras e Modelos 3D:
Utilização de máscaras ou modelos faciais 3D semelhantes à imagem do documento de identidade adulterado.
Para a adulteração de documentos de identidade, os métodos incluem:
-Falsificação de Documentos: Criação de documentos de identidade completamente falsos, utilizando técnicas avançadas de impressão e design gráfico.
-Modificação de Documentos Legítimos: Alteração de documentos reais, modificando fotos ou informações cruciais como nomes ou datas de nascimento.
Nome |
Tipo |
Descrição |
Impressões |
Estático |
Utilizam-se fotografias, fotocópias ou impressões para falsificar o rosto do cidadão |
Máscaras |
Estático |
Utilizam-se esculturas, próteses, cosméticos ou máscaras para suplantar o rosto de uma pessoa |
Postiços |
Estático |
Lentes de contato ou impressões digitais de látex são utilizadas para burlar os métodos de autenticação por íris ou impressões digitais. |
Vídeos (Screen recapture) |
Dinâmico |
Utilizam-se uma ou várias fotos em sequência ou vídeos para falsificar provas de vida. |
Malware |
Dinâmico |
São bots avançados que ajudam os agentes maliciosos a se infiltrar nos dispositivos e sistemas das vítimas. |
Man-in-the-middle |
Dinâmico |
Um golpista invade a rede Wi-Fi de um espaço público (cafeteria, praça, centro cultural, shopping, etc.) para interceptar o tráfego web entre as partes. |
Esses ataques, sejam estáticos ou dinâmicos, podem comprometer o processo de leitura e validação de um documento de identidade. Por isso, é fundamental incorporar técnicas de detecção que tornem o sistema mais robusto frente a ataques fraudulentos de falsificação de identidade.
Os mecanismos de antispoofing são uma parte crítica da segurança em sistemas que utilizam reconhecimento biométrico, como o reconhecimento facial. Seu objetivo principal é identificar e prevenir tentativas de falsificação de identidade (spoofing), nas quais um atacante tenta enganar o sistema usando uma imagem falsa ou alterada.
Nos nossos serviços, o antispoofing é baseado em técnicas avançadas de Machine Learning (ML), ideais para esse propósito devido à sua capacidade de analisar e aprender com grandes volumes de dados. Estes são os principais aspectos dos nossos mecanismos de antispoofing:
Abordagem Probabilística: Em vez de fornecer um resultado binário (autêntico ou falso), nossos modelos geram uma probabilidade que indica a chance de que uma imagem faça parte de uma tentativa de falsificação. Isso permite uma avaliação mais sutil e flexível dos riscos de segurança.
Aprendizado Contínuo: Os modelos de ML não são estáticos; eles são constantemente atualizados e aprimorados por meio de processos de avaliação, treinamento e promoção. Isso significa que nossos sistemas se adaptam e respondem a novas táticas e técnicas de spoofing à medida que surgem.
Detecção Dinâmica: Ao empregar ML, os sistemas podem identificar padrões e anomalias que não seriam evidentes para métodos tradicionais de detecção. Isso inclui a capacidade de identificar tentativas sofisticadas de spoofing, como deepfakes ou máscaras 3D.
Análise Multifacetada: Nossos modelos analisam diversos aspectos das imagens, como textura, profundidade, padrões de movimento e outros indicadores biométricos, para determinar a autenticidade.
Adaptabilidade e Escalabilidade: Os modelos de ML são escaláveis e podem ser adaptados a diferentes contextos e requisitos de segurança, o que os torna adequados para uma ampla gama de aplicações, desde segurança em dispositivos móveis até sistemas de controle de acesso em infraestruturas críticas.
Privacidade e Conformidade: Apesar de sua sofisticação, esses sistemas são projetados para estar em conformidade com as regulamentações de privacidade e proteção de dados, garantindo que as informações biométricas sejam tratadas de maneira segura e responsável.
Em resumo, nossos serviços de antispoofing baseados em Machine Learning oferecem uma solução dinâmica e avançada para combater a falsificação de identidade, adaptando-se continuamente às ameaças emergentes e reforçando a segurança dos sistemas de reconhecimento biométrico.
6.2 Testes de Antispoofing
6.2.1 Contexto
Os serviços de antispoofing são modelos de machine learning treinados com base em exemplos (aprendizado supervisionado). Dependendo do caso, são treinados com centenas, milhares ou dezenas de milhares de exemplos.
Como todo modelo desse tipo, os resultados são inferências e nunca atingem certeza absoluta.
Os erros podem ser de dois tipos:
Imagens reais que são detectadas como falsificadas
Imagens falsificadas que não são detectadas como falsas
Cada modelo se entrena para discriminar determinados casos específicos. Por ejemplo, el document antispoofing está entrenado para discriminar entre fotos reales, capturas de pantalla y fotos fotocopiadas. Pero no está entrenado para detectar un documento al que le falte el holograma o alguna otra medida de seguridad.
El proceso de entrenamiento nos da una estimación de la precisión del detector. En la vida real (producción), la precisión del detector será la misma siempre que nuestro dataset de entrenamiento se parezca al mundo real.
El proceso de entrenamiento constante tiene mucha relevancia porque el dataset nunca llega a representar perfectamente al mundo real, ya que surgen nuevos tipos de fraude, o no están representadas todas las condiciones de iluminación, o salen al mercado nuevos celulares y nuevas pantallas, etc.
El proceso de entrenamiento es iterativo y requiere de constante actualización. Razón por la cual, la colaboración de los clientes es necesaria y determinante.
Teniendo en cuenta lo anterior, para determinar si un modelo requiere un reentrenamiento necesitamos realizar una prueba amplia:
El modelo tiene un margen de error.
Puede ocurrir que se pruebe una vez y el resultado sea erróneo. Esto es poco probable, pero puede ocurrir. Es por ello por lo que es necesario realizar varias pruebas que permitan cuantificar y cualificar el margen de error. Las pruebas deben ser muchas y variadas.
Es importante determinar:
Un solo caso de error no puede tenerse en cuenta para las pruebas.
Las pruebas deben ser, al menos, 30.
Una excepción a esto es informar de una alteración o falsificación no contemplada por el modelo actual. Por ejemplo, en Face, un nuevo tipo de máscara no considerada hasta ahora. Para empezar, unos pocos ejemplos bastarían para iniciar un proceso de investigación. Sin embargo, en el siguiente paso serán necesarias más imágenes, que podremos generar nosotros o no, según el caso.
Como siempre, cuántos más ejemplos tengamos, mejor. Incorporando las pruebas u otras alteraciones similares, se realizará un reentrenamiento. Si es satisfactorio, se devolverá al cliente para que lo siga probando. Esto puede requerir algunas iteraciones.
Desde VU, nos comprometemos a utilizar las fotografías únicamente para uso interno y para mejorar nuestros productos, y a no utilizar datos personales para ningún otro fin. Asimismo, VU garantiza que el consentimiento requerido para el uso de estas imágenes será previamente solicitado de manera informada, explícita y verificable, de acuerdo con las normativas locales e internacionales de protección de datos personales. Las imágenes serán utilizadas exclusivamente con fines de mejora de producto, estarán desvinculadas de la identidad de los usuarios siempre que sea posible, y su tratamiento cumplirá con las políticas internas de retención, acceso y eliminación de datos.
Ninguna foto será publicada o compartida fuera de VU.
Necesitamos al menos 400 fotos (200 de frente y 200 de dorso) de cada documento y con distintos fondos.
Al menos 20 documentos diferentes.
Si tiene un tipo de documento migrante o temporal: ¡También nos sirve!
Las imágenes deben enviarse a través del Delivery Project Manager de VU asignado al proyecto. En cualquier caso, el uso de las imágenes se rige por el consentimiento expreso de los usuarios.
Pxelamos os dados sensíveis para proteger esses colaboradores.
Con el fin de evaluar objetivamente la solución, es recomendable responder estas preguntas así como establecer los mecanismos de obtención de información para poder visualizar las respuestas en forma de indicadores permanentes:
Atualização: Abril de 2025