Directrices NIST 800-63-4: un llamamiento a la acción en materia de identidad

El Instituto Nacional de Estándares y Tecnología (NIST) de EE. UU. ha publicado su Publicación Especial (SP) 800-63-4, la última revisión de sus Directrices sobre identidad digital.

La nueva versión 2025 representa un replanteamiento fundamental de lo que significa «identidad digital segura» en una era de vídeos generados por IA, mercados de delitos como servicio, identidades sintéticasy ataques digitalmente sofisticados. Si usted es responsable de la verificación de identidad, la autenticación o la confianza digital, estas directrices no son solo un recurso fundamental, sino una llamada a la acción.

Este artículo analiza qué ha cambiado, por qué es importante y qué significa para su estrategia de identidad y criterios de solución.

Por qué el NIST reescribió las normas (el panorama de amenazas ha cambiado por completo)

Esta es la primera actualización de las Directrices sobre identidad digital del NIST desde 2017, anterior a la transformación masiva del panorama de amenazas con la explosión de la IA generativa y la democratización de sofisticadas herramientas de ataque dirigidas a los sistemas de identidad digital.

De hecho, el panorama de amenazas para 2025 es irreconocible en comparación con el de 2017:

• Las herramientas de generación de deepfakes están ampliamente disponibles y mejoran constantemente.
• Las identidades sintéticas generadas por IA pueden ser indistinguibles de las personas reales.
• Los deepfakes se transmiten en tiempo real a plataformas de videoconferencia como Zoom y Teams, lo que permite a los atacantes suplantar la identidad de compañeros de trabajo y ejecutivos durante llamadas en directo o eludir la verificación de videollamadas.
• Las cámaras virtuales, la manipulación de dispositivos y los ataques de inyección pueden eludir por completo la detección de vitalidad deficiente.

El NIST afirma explícitamente que estas directrices abordan el «cambiante panorama digital» y el auge de amenazas sofisticadas impulsadas por la inteligencia artificial. Y todo esto ocurre en un momento en el que cada vez más servicios tradicionales presenciales se han trasladado a Internet.

El Centro de Operaciones de Seguridad de iProov (iSOC) documentó un aumento del 704 % en los ataques de intercambio de rostros entre la primera y la segunda mitad de 2023, con un nuevo aumento del 300 % en 2024.

La lección es clara: las organizaciones ya no pueden confiar en modelos de seguridad diseñados antes de la explosión de la IA generativa. 

Un cambio fundamental: elevar el listón del PAD e introducir el IAD

La norma NIST SP 800-63-4 establece la detección de ataques de presentación (PAD) obligatoria para casos de uso de alta seguridad bajo IAL2 y AAL2.

Las normas y directrices sobre identidad digital se han centrado históricamente en el PAD, que no detecta si alguien está físicamente presente, sino que detecta artefactos de presentación (fotos, reproducciones de vídeo o máscaras) para determinar: ¿Es este un rostro real o falso?

Esto es lo que ha cambiado: la definición del NIST de PAD adecuado ahora abarca mucho más que las comprobaciones de vida. El NIST exige ahora tanto la PAD como protecciones contra ataques de inyección (ciberataques que eluden la cámara de un dispositivo o se inyectan en un flujo de datos) como requisitos separados y complementarios. Las directrices exigen a los verificadores «determinar el rendimiento, la integridad y la autenticidad del sensor y del punto final». El listón ha cambiado radicalmente, ya que ahora las organizaciones deben abordar tanto la PAD como la IAD.

El listón ha cambiado radicalmente, ya que ahora las organizaciones deben abordar tanto la PAD como la IAD.

La mayoría de las soluciones biométricas pueden gestionar ataques de presentación básicos, es un requisito mínimo. Muy pocas pueden detectar cuándo todo el flujo de datos se ha visto comprometido a nivel digital o sustituido dentro de flujos de vídeo nativos, que es exactamente lo que el NIST exige ahora y lo que están haciendo los atacantes sofisticados.

La conversación ha evolucionado de «¿dispone de detección de vida?» a «¿puede demostrar que la persona adecuada está realmente presente en el momento de la captura Y que es capaz de frustrar sofisticados ataques de inyección?».

¿Qué recomienda el NIST en sus directrices actualizadas?

La norma NIST SP 800-63-4 introduce controles específicos que cambian las reglas del juego:

• Para el nivel 2 de garantía de identidad (IAL2): Las organizaciones que utilicen la verificación de identidad remota asíncrona deben implementar la detección de ataques de presentación y analizar los medios en busca de firmas de contenido generado por IA y deepfakes.
• Para el nivel de garantía de autenticación 2 (AAL2): Los sistemas de autenticación que utilicen la verificación facial deberán implementar PAD. Es fundamental que los verificadores determinen el rendimiento y la integridad del sensor y su punto final asociado para detectar ataques de inyección.
• Para el Nivel 2 de Garantía de la Federación (FAL2): Los sistemas deben proteger contra afirmaciones falsas y ataques de inyección, concretamente «un atacante que proporcione medios no fiables, como un vídeo falsificado de un usuario».

El NIST ha trazado una línea clara entre las comprobaciones básicas de vitalidad y la garantía de presencia auténtica, que incluye la protección contra ataques de inyección y medios falsificados.

Entonces, ¿cómo puede determinar si su solución cumple con las actualizaciones de las directrices de identidad digital del NIST?

Validación independiente: Norma CEN para IAD

Si bien el NIST establece los requisitos, se necesitan pruebas estándar del sector para validar las afirmaciones de los proveedores más allá de la autocertificación. Esa norma ya existe: CEN TS 18099 para la detección de ataques de inyección, la única norma de prueba diseñada específicamente para evaluar la capacidad de los sistemas biométricos para detectar y neutralizar las amenazas basadas en inyección.

A principios de este año, iProov obtuvo la certificación CEN TS 18099 Nivel 2 (Alto), otorgada por Ingenium Biometric Laboratories, un laboratorio independiente acreditado por la norma ISO/IEC 17025. Fuimos los primeros en superar la evaluación de Ingenium, ya que nuestra arquitectura se diseñó específicamente para hacer frente a los ataques de medios falsificados e inyección.

La coincidencia entre las directrices del NIST y el CEN no es casual. Cuando dos autoridades independientes coinciden en el mismo modelo de amenazas, una estableciendo nuevos requisitos y otra proporcionando normas de ensayo, se confirma que las amenazas basadas en inyecciones son reales, sofisticadas y requieren defensas probadas de forma independiente. La norma CEN TS 18099 proporciona un respaldo objetivo y externo a las exigencias del NIST: protección contra ataques de inyección y medios falsificados.

Haz esta pregunta...

A continuación, se explica cómo identificar proveedores de identidad resistentes a las amenazas de IA:

«¿Se puede demostrar que un sujeto vivo está realmente presente en el momento de la captura Y protegerlo contra una serie de sofisticados métodos/instrumentos de ataque por inyección?».

La detección básica de actividad y la prevención de suplantación física por sí solas no son suficientes para cumplir con las directrices del NIST. La prueba debe provenir de una certificación, validada por laboratorios de pruebas acreditados. Asegúrese de que el proveedor pueda demostrar:

• Cómo protegen la integridad de todo el flujo de datos y verifican la integridad de los sensores/terminales para detectar ataques de inyección, tal y como recomienda el NIST.
• ¿Qué pruebas estandarizadas superaron para la detección de ataques de inyección, y no solo lo que se afirma? 
• Su tasa de aceptación de ataques de impostores (IAPAR) y cómo se compara con los umbrales del NIST.

Cómo se alinea la arquitectura de iProov

El enfoque de iProov combina tres capas que se corresponden directamente con las normas explícitas del NIST:

• Vitalidad dinámica® con Flashmark™  proporciona la tecnología avanzada PAD e IAD exigida por el NIST, lo que confirma la presencia real de una persona en tiempo real en el momento de la captura. Flashmark crea datos biométricos únicos para cada verificación que no pueden replicarse, robarse ni reutilizarse. Hemos logrado la la conformidad iBeta PAD con ISO/IEC 30107-3 niveles 1 y 2 (0 % de tasa de éxito de los ataques) y la la certificación FIDO Face Verification, con una tasa de aceptación de presentaciones de ataques de impostores (IAPAR) del 0 %. 
• La plataforma biométrica basada en la ciencia de iProov analiza todo el flujo de datos en busca de signos de inyección, reproducción y medios generados por IA, lo que responde directamente al requisito del NIST de proteger contra los «vídeos falsificados» y los ataques de inyección. Cumple con la norma CEN TS 18099, la única norma mundial para la detección de ataques de inyección. 
• iSOC proporciona inteligencia y supervisión de amenazas las 24 horas del día, los 7 días de la semana, la vigilancia continua que recomienda el NIST para detectar las amenazas basadas en la inteligencia artificial en constante evolución.

La siguiente tabla muestra la correspondencia entre las pruebas de alineación y las directrices específicas: 

Esta arquitectura demuestra cómo iProov es el primer y único proveedor que cumple los requisitos de verificación biométrica incluidos en las nuevas directrices del NIST.

¿Qué pasará después?

La publicación de la norma NIST SP 800-63-4 ya está influyendo directamente en los procesos de adquisición.

Los arquitectos de seguridad deben auditar los flujos de trabajo actuales en función de estas directrices. Los equipos de compras y los responsables de la toma de decisiones deben comprender los requisitos tecnológicos tanto para PAD como para IAD. El plan ha cambiado y ahora las organizaciones están facultadas para hacer preguntas informadas a sus proveedores de biometría. 

En nuestra próxima publicación de esta serie, le proporcionaremos un marco práctico para auditar su solución biométrica actual o futura según la norma NIST SP 800-63-4.

¿Cómo se compara su actual medida de verificación de identidad? 

• Utilice nuestra herramienta interactiva de evaluación de proveedores Liveness.
• Descargue nuestro libro electrónico gratuito libro electrónico «Cómo evaluar a un proveedor de soluciones biométricas». 
• Reserve una demostración consultiva con uno de nuestros expertos para obtener asesoramiento especializado.