Autenticación de Identidad

En la sección anterior hemos hablado del concepto de la Identidad Digital. Es fundamental reiterar que los elementos principales de la misma son que: es legible tanto por máquinas como por humanos, es verificable y es firmada digitalmente para asegurar que es a prueba de cualquier manipulación.

La verificación de la identidad de un usuario (también llamada autenticación) antes de cualquier transacción es una función fundamental en cualquier economía, y es la funcionalidad clave para potenciar cualquier sistema de identidad existente para que pueda funcionar como una infraestructura pública digital. Actividades cotidianas como abrir una cuenta bancaria, acceder a un servicio público, comprar una tarjeta SIM para el celular, etc., requieren cierta confianza y trazabilidad. Tradicionalmente, la verificación siempre se ha realizado mediante la entrega de copias físicas de cualquier documento gubernamental y la recepción del documento estaba en manos del individuo o entidad que prestaba el servicio. Esto resulta en un proceso poco fiable, lento y costoso.

La aplicación/adición más eficaz de cualquier identificador es utilizarlo para la autenticación electrónica en toda una economía digital por parte de cualquier actor público o privado. Esto es posible al construir una capa de autenticación digital sobre el sistema de identidad, que permita a las personas demostrar su identidad de forma online y offline.

La autenticación de identidad es el proceso por el cual se utiliza un número de identidad o un token, combinado con un tipo de factor de autenticación para verificar la identidad de un ciudadano. Se manda una consulta al sistema de identidad que dará una respuesta de Sí/No a la pregunta: “¿Es usted quien dice ser?”

Existen algunos tipos clave de autenticación:

1. Demográfico; verifica nombre, dirección, fecha de nacimiento u otros campos de información de una persona

2. Biométrico; verifica las huellas dactilares o iris de una persona

3. Autenticación facial; verifica la foto de la cara de una persona

4. Contraseña única; se envía una contraseña de un solo uso a un número celular o correo electrónico registrados.

La autenticación de identidad provee un mecanismo de autenticación basado en APIs para que las instituciones puedan validar a las personas. En cada uno de los casos mencionados, el número de identidad y un dato se envían a la base de datos de la autoridad de esa identificación para realizar la comprobación, y luego, la autoridad verifica la veracidad de los datos enviados, o la ausencia de la misma.

Adicionalmente, se puede realizar la autenticación local offline de la identidad si la autoridad de la identidad provee un elemento firmado digitalmente, por ejemplo, un documento JSON/XML (en formato de archivo o código QR) con una identidad fundacional/funcional o un alias, foto, y cualquier otra información mínima requerida para la validación de prestar un servicio.

Dependiendo de la robustez de la verificación requerida, también puede considerarse la autenticación de dos pasos. En cualquiera de estos casos, se supone que el ciudadano ha dado su consentimiento al proceso de verificación.

La autenticación debe plantearse en tres factores clave:

• Evidencia: ¿Qué intenta probar la autenticación? ¿Es una evidencia de documento, una evidencia de identidad o una evidencia de existencia?

• Canales asistidos y autoasistidos

• Formatos online y offline

Construir esta capa de autenticación sobre la identidad y abrirla a proveedores de servicios públicos y privados con licencia es un gran paso hacia la innovación y la inclusión. La autenticación online, asequible y casi instantánea impulsará el auge de una clase nueva de aplicaciones y aumentará la confianza hacia la economía digital.

Retos y soluciones probables:

1. Infraestructura, conectividad y cobertura: La adquisición de hardware especializado para la autenticación puede resultar excesivamente cara a escala nacional. Esto y las limitaciones de accesibilidad pueden impedir la prestación de servicios en zonas rurales y remotas.

• Una opción que cualquier gobierno puede tomar al respecto es permitir que los actores privados se conviertan en proveedores de servicios de autenticación electrónica tras formación y certificación adecuadas. Si se opta por publicar todos los estándares de hardware, podrá entrar a competir el mercado lo cual se traduciría en precios competitivos para todos.

• Ofrecer autenticación offline en el móvil puede ahorrar la necesidad de que los verificadores a pequeña escala adquieran hardware caro, como lectores de tarjetas inteligentes o escáneres biométricos.

2. Inclusión y escala: No todos los sectores de la población pueden utilizar la biometría debido a factores como la edad o la discapacidad. Además, no todos tienen la capacidad digital para adquirir o utilizar un teléfono móvil. Ignorar estas realidades puede resultar en excluir a grupos vulnerables del acceso a servicios vitales.

• Facilitar la autenticación multimodal (a través de OTP, códigos QR, biométrica y facial) y offline podrá resolver la inclusión a escala, aumentando la cobertura de los servicios.

3. Seguridad y privacidad de los datos: Dudas sobre la seguridad de los datos y el posible uso indebido de la información compartida.

• Corresponde al gobierno equilibrar la innovación y al mismo tiempo garantizar que nadie tenga acceso descontrolado a datos privados. Los departamentos gubernamentales correspondientes pueden optar por identificar a los proveedores de servicios autorizados tras la concesión de licencias y la realización de pruebas. Estos mismos deben llevar un registro de los datos a los que acceden, porque luego podrían ser examinados por los reguladores.

La identidad digital sirve como una llave para un amplio abanico de servicios que abarcan la inclusión financiera, la protección social y la prestación eficiente de servicios. Una verificación de usuario sencilla y económica puede impulsar múltiples casos de uso dentro y fuera del estado. Por ejemplo:

• Autenticación para entrega de prestaciones como:

- Pagos de gobierno a personas (G2P)

- Cobertura del seguro médico

- Inscripción a programas de becas

- Distribución de subsidios

• Registro para votar

• Asistencia biométrica para funcionarios gubernamentales o programas

• Autenticación para obtención de datos (como las credenciales)

• Autenticación facial para garantizar que la persona está en vivo

Referencias:

1. https://docs.mosip.io/1.2.0/modules/id-authentication-services

2. https://govstack.gitbook.io/bb-identity/3-terminology

3. Rebooting India - Nandan Nilekani & Viral Shah