4 de noviembre de 2022

La semana pasada, en el Foro de Servicios Fiduciarios de ENISA, se debatió mucho sobre los retos técnicos y la importancia de acordar una norma adecuada. Foro de Servicios de Confianza de ENISA en Berlín. Andrew Bud, Consejero Delegado de iProov, expuso la naturaleza cambiante del entorno de amenazas y la importancia de un enfoque centrado en el usuario para crear un monedero digital que no solo sea accesible y fácil de usar, sino también seguro.

Billetera digital de la UE 

Europa y la economía europea pueden obtener un gran premio si nosotros, como industria de la identidad digital, junto con los grupos de consumidores y los responsables políticos, somos capaces de colaborar con éxito para construir, desplegar y adoptar plataformas más convenientes para apoyar transacciones digitales seguras y fiables. Un monedero digital tiene muchos usos potenciales y podría ser una forma de realizar pagos seguros, facilitar el proceso de sustitución de documentos oficiales, como el permiso de conducir, y agilizar el paso por los controles fronterizos en aeropuertos y puertos. Por ejemplo, McKinsey calcula que los usuarios de los servicios públicos podrían ahorrar hasta 110.000 millones de horas agilizando los servicios públicos en línea de forma segura.

La UE lidera el mundo con un ambicioso marco legislativo que permite un sistema de Monederos Digitales de la UE. Nos complace formar parte del proyecto NOBID para que la Comisión Europea financie un sistema piloto de monederos digitales. La propuesta NOBID cuenta con un gran apoyo profesional, con socios experimentados y un caso de uso atractivo (servicios de pago). Sin embargo, nuestro informe de investigación recientemente publicado sobre la monedero digital de la UE de la UE pone de relieve la importancia de los obstáculos a la adopción. Para que los beneficios se materialicen, son esenciales una inscripción a gran escala, la asimilación por parte de las organizaciones y pruebas de un uso continuado.

Lo más importante es que la magnitud del premio, con un mercado potencial de 447 millones de usuarios, atraerá también a los delincuentes. 

La amenaza y el papel de la biometría facial

Para que sea aceptable, la inscripción debe proteger contra toda la gama de ataques de suplantación, presentación e ataques de inyección digitalque coincidan con los tipos de patrones que hemos observado a través de nuestra capacidad única capacidad iSOC. Las organizaciones deben estar seguras de que el usuario es quien dice ser y de que tiene derecho a acceder a la información del monedero, de que el usuario es una persona real y de que se está autenticando en tiempo real.

Los criminales que están detrás de los ataques cuentan con muchos recursos, son muy hábiles y actúan estratégicamente cuando han identificado un objetivo muy preciado. Nuestra propia experiencia coincide con los consejos que recibimos de una agencia de seguridad europea sobre la estrategia de prueba y aprendizaje de los delincuentes, que atacan un objetivo, aprenden de la experiencia y adaptan su técnica antes de atacar el siguiente. 

El suministro de falsificaciones sofisticadas también es una atractiva oportunidad de negocio para quienes tienen capacidad de IA. Europol informó recientemente del crecimiento de los deepfakes como servicio, con un actor de amenazas que ofrecía 16.000 dólares por un deepfake que presumiblemente se utilizaría con fines ilícitos o dañinos. Estamos asistiendo a la evolución de la delincuencia como servicio.

Mantener la confianza de los usuarios y la accesibilidad

La forma en que abordamos las amenazas biométricas es importante si queremos mantener la confianza de los usuarios en los monederos digitales, y la comunidad de la ciberpolítica tiene un papel fundamental a la hora de garantizar que nuestro enfoque no sólo sea técnicamente sólido y ágil, sino que siga principios de diseño centrados en el usuario. 

Es de vital importancia que utilicemos la inteligencia de los métodos de ataque que tenemos y nuestra comprensión de los usuarios que tenemos para garantizar que el marco de la política de seguridad que se está desarrollando, ya sea la Ley de IA, la Ley de Resiliencia Cibernética o NIS2 se construye en torno a las necesidades, vulnerabilidades y capacidades de los usuarios. Un enfoque basado en la suposición de que la educación de los usuarios resolverá las carencias de capacidades fracasará.  

En iProov, defendemos el principio de un enfoque centrado en el usuario para el diseño de soluciones, inspirado en el trabajo en este campo de la profesora Angela Strasse. Los servicios de autenticación y verificación de identidad deben basarse en algunos principios sencillos, pero fundamentales, centrados en el usuario. El cumplimiento de las WCAG 2.1 AA debe ser un requisito mínimo. No debe excluirse a nadie, ya sea por discapacidad o por no tener el último smartphone o tableta. No se puede esperar que los usuarios tengan que volver a inscribirse cada vez que cambian o sustituyen sus dispositivos.

Tenemos que reconocer que los dispositivos son un punto débil en la cadena de vulnerabilidad y evitar confiar en ellos para la seguridad. Muchos de los smartphones de uso cotidiano ya no reciben soporte y sus usuarios no instalan necesariamente los últimos parches de seguridad disponibles.  

¿Qué objetivos debe perseguir la política?

  • Inclusión por elección del usuario: Sin imposición ni requisito de hardware o sensores especiales para el dispositivo. Posibilidad de autenticarse de forma segura en cualquier dispositivo con una cámara orientada hacia el usuario.
  • Inclusión a través de la accesibilidad: Agnosticismo de dispositivos y plataformas para incluir a todos los usuarios;sólida supervisión del rendimiento y los prejuicios; entrega basada en la nube.
  • Vías de elección sólidas: La opción de inscripción no biométrica debe ser igual de segura... aunque se sacrifique la comodidad.
  • Mitigación del riesgo de los dispositivos: La seguridad no depende de los dispositivos de los usuarios. Mitiga el riesgo de dispositivos sintéticos o comprometidos.
  • Recuperación de la identidad: No debe exigirse a los usuarios que vuelvan a inscribirse cuando se cambien o sustituyan los dispositivos.
  • Integridad de la verificación: Utilizar un procesamiento inaccesible para evitar la ingeniería inversa por parte de los atacantes. Mitigar la amenaza de ataques de adversarios.
  • Liberar a los usuarios de la carga de la responsabilidad: La implantación de nuevos algoritmos de detección no debe depender del usuario ni obligarle a actualizar su dispositivo personal.
  • Respuesta ágil: Inteligencia continua sobre amenazas para hacer evolucionar las defensas.

Como operadores, debemos aceptar el deber de cuidar de los usuarios y asumir la responsabilidad de su seguridad siempre que sea posible.

Política de ciberseguridad de ENISA - Verificación facial biométrica