La economía y la sociedad avanzan muy rápido hacia un sistema en el que las interacciones son cada vez más digitales. La capacidad de demostrar que eres quien dices ser, es decir tu identidad digital, representa una pieza fundamental del desarrollo económico, financiero y social del siglo XXI.
Nuestros sistemas actuales de gestión de identidades y seguridad de los datos son claramente ineficientes, debido a que todavía están basados en el mundo físico. Las empresas privadas, los gobiernos y los reguladores a nivel global buscan soluciones integrales que permitan a clientes y ciudadanos identificarse en el nuevo espacio.
Identidad digital y su gestión
La identidad digital es la versión on-line de la identidad física de una persona, su representación digital. La OCDE define la gestión de la identidad como el “conjunto de reglas, procedimientos y componentes técnicos que implementan las políticas de una organización relacionadas con el establecimiento, uso e intercambio de información de la identidad digital”.
Los enfoques tradicionales para la gestión de la identidad digital se han centrado principalmente en la creación de identidades estáticas, basadas en herramientas criptográficas, como firmas y certificados digitales. Algunos de los problemas de estas tecnologías están relacionados con su falta de integración con los servicios basados en Internet, y también con la necesidad de una constante revisión después de un largo período de tiempo, ya que deben verificarse periódicamente para que sigan siendo fiables.
El segundo enfoque es la verificación dinámica, basada en procesos iterativos. Esta identidad digital se nutre de múltiples fuentes, tales como el teléfono móvil del usuario, su actividad en las redes sociales, geolocalización, etc. A fin de reforzar el nivel de seguridad de este sistema, la evaluación y la supervisión constantes resultan esenciales. Estas identidades se basan en los datos o atributos comunicados por el propio usuario, por lo que el nivel de seguridad es bajo. Las tendencias actuales se orientan hacia una combinación de ambos enfoques, estableciendo una identidad única para cada individuo en función de sus características físicas, algún elemento que conocen, algo que poseen y sus patrones de comportamiento.
Proveedores de identidades digitales
El elemento clave que nos permite operar con nuestra identidad digital es la validez que otros otorgan a la veracidad de los atributos de nuestra identidad digital.
Una identidad digital necesita de un proveedor y, dado que no existe un proveedor global universalmente aceptado, actualmente los principales proveedores son, por un lado, las autoridades públicas (gobiernos) que emiten identidades nacionales para permitir el acceso de los ciudadanos a servicios públicos en línea, y por otro lado, las empresas privadas, que convierten a los individuos en usuarios autorizados de sus sistemas o servicios, creando sus propias credenciales (por ejemplo, un usuario de banca en línea o un consumidor de servicios de una tienda en Internet).
Dada la creciente aparición de diferentes servicios que requieren la validación de la identidad on-line, el panorama actual requiere de sistemas que sean capaces de administrar identidades y credenciales para múltiples proveedores de servicios: son los denominados sistemas de identidad federados, en los que la información sobre la identidad de los usuarios se desarrolla y comparte entre varias entidades y diferentes dominios de confianza. Los modelos de cooperación varían según el tipo de producto o servicio y el alcance de la colaboración entre el sector público y el privado.
Entidades financieras y sistemas de identidad
Para las entidades financieras, la identidad ha desempeñado tradicionalmente un papel importante en su actividad. En este momento de transición, es necesario que los bancos sean capaces de ofrecer un modelo de identidad robusto, fiable y totalmente digital que pueda respaldar su tradicional experiencia verificando identidades en el mundo analógico. Debido a la elevada presión regulatoria que sufren, los bancos ya tienen una dilatada práctica en la verificación de la identidad de los clientes, mediante procesos exhaustivos exigidos en las normativas anti blanqueo de capitales. La necesidad de cumplir con estas legislaciones ha supuesto un gran esfuerzo para las entidades, tanto en términos económicos como de recursos internos dedicados a esta tarea.
Hay muchos obstáculos en el camino para adaptar el modelo de identidad física a la digital: la falta de seguridad informática, la escasa interoperabilidad de los sistemas, los ataques cibernéticos, la falta de control del usuario sobre los datos, etc.
Las entidades financieras están empezando a participar en el negocio de la identidad digital como posibles socios de confianza en sistemas federados: un ejemplo en Europa es BankID, una solución desarrollada en Suecia por sus principales bancos y que puede ser utilizada por ciudadanos, autoridades y empresas para el acceso a diferentes servicios, tanto públicos como privados.
A largo plazo, en la medida en que la normativa siga adaptándose, los bancos podrían convertirse en proveedores de identidad digital, ya que para ellos supone una inversión en sus relaciones de confianza con los clientes y además les permitiría aprovechar la oportunidad de convertirse en proveedores fiables para otros sectores, debido que los consumidores suelen confiar más en los bancos que en otras empresas. Después de los gobiernos, en el sector privado, los bancos son las entidades que más confianza inspiran en los usuarios. Además, debido a que el sector financiero está muy regulado, los bancos están acostumbrados a tratar con elevados estándares de cumplimiento normativo y pueden ofrecer a los diferentes actores de otros sectores su experiencia en la gestión de identidad en el mundo virtual.
Desafíos de la identidad digital
A medida que los usuarios comparten cada vez más información de su vida privada y profesional en las redes sociales, permanecer al margen de estas nuevas formas de comunicación ya no es una opción realista. Muchas veces los ciudadanos no son conscientes de hasta qué punto sus datos y comportamientos están siendo almacenados y utilizados, por lo que se produce una falta de control del usuario de su identidad digital.
La seguridad también se está convirtiendo en una importante fuente de preocupación para las empresas. Actualmente, los sistemas de gestión de identidades están sujetos a serias amenazas, tales como el robo de datos, la pérdida o el descifrado de contraseñas, las responsabilidades de robo de tokens, la vigilancia ilícita de las comunicaciones y las suplantaciones de identidad (phishing).
En 2016, las denuncias de infracciones relacionadas con la sustracción de datos aumentaron en un 40%, lo que marcó un récord en EE. UU. Cada vez son más habituales los ataques de piratería de gran magnitud, que sacan a la luz información privada, siendo el robo de identidad una práctica ya generalizada. Empresas como Yahoo! anunciaron el mayor robo de datos de la historia, que afectó a más de mil millones de cuentas.
Hay proyectos en marcha en todo el mundo para tratar de encontrar soluciones de identidad digital más fiables y se espera que estos esfuerzos se intensifiquen en los próximos años. Por un lado, el número de actores que participarán en el mercado digital crecerá de forma exponencial en los próximos años y por otro lado, el desarrollo de nuevas tecnologías, como el fenómeno de Internet de las Cosas, se traducirá en la presencia creciente de objetos conectados, desde frigoríficos hasta contenedores. Si todos ellos comienzan a operar de manera integrada, será necesario establecer sistemas de gestión que nos permitan verificar su identidad de alguna forma.
Cuestiones legales
La seguridad jurídica es importante no solo para asegurar la interoperabilidad de los distintos servicios de gestión de identidad (en diferentes países e industrias) y una experiencia de usuario homogénea, sino también para proporcionar entornos fiables en los que las empresas puedan operar de forma eficiente y en un marco de competencia justa. La legislación deberá favorecer el despliegue de estas empresas así como fomentar la innovación y el crecimiento del mercado. Los reguladores también deben adoptar medidas para proteger a los consumidores, ya que la protección de datos constituye un pilar crucial para garantizar un marco de identidad digital robusto y seguro. Es necesario que los gobiernos creen entornos de confianza, mediante la regulación de los diferentes componentes de la gestión de la identidad digital, tales como especificaciones técnicas, estándares y procedimientos.
Conclusión
La transición a una economía digital requiere la adopción de diferentes sistemas de identidad con distintas finalidades y niveles de seguridad. Las personas y las empresas necesitan soluciones que les permitan identificarse de forma eficiente y válida para todos los servicios, mercados, estándares y tecnologías.
Las nuevas tecnologías como blockchain, la biometría y la inteligencia artificial pueden ayudar a la prestación de servicios de identidad seguros y fiables, con proveedores tales como gobiernos y entidades financieras, y las soluciones deben cumplir el doble objetivo de garantizar la seguridad y mejorar la experiencia del usuario.
Dado que las identidades públicas han sido creadas por diferentes autoridades, y que la opción de una identidad pública digital global no es viable a corto plazo, la interoperabilidad o la posibilidad de que identidades generadas en diferentes sistemas sean reconocidas por otros sistemas, así como la colaboración entre el sector privado y pública para ofrecer soluciones completas resulta crucial. A la larga, convertirse en un proveedor de identidad de confianza válido para diferentes sectores podría representar una gran oportunidad comercial para las entidades financieras.
El intercambio de datos personales de una forma privada, controlada, segura y cómoda es un factor esencial para el desarrollo de la identidad digital en el futuro.
Fuente: BBVA Research – Situación Económica Digital
Adaptado por la División Consultoría de EvaluandoSoftware.com