- Bogota D.C - Calle 67 N° 7-94 Oficina 604
- 3138834959 - 601 7953297 Ext. 120
Menú
Según el más reciente estudio ‘Tendencias Cibercrimen Colombia 2019-2020’, de la Cámara Colombiana de Informática y Telecomunicaciones -CCIT-, los principales vectores de engaño en la web en 2019 fueron:
• Correos fraudulentos personalizados: 80%
• Suplantación de identidad: 60%
• Enmascaramiento de correos (Spoofing): 58%
• Infección de sitios frecuentemente visitados por empleados (Watering Hole): 37%
Por lo anterior, es importante que en el país le prestemos mayor atención a la autenticación digital, es decir, al proceso de validación de identidad de un cliente, entidad o usuario por medios digitales. Todas las entidades que prestan algún servicio, comercializan o distribuyen algún bien, deben surtir con su cliente un proceso de validación de identidad para, por ejemplo, abrir una cuenta de ahorros o corriente, asignar un cupo de crédito, entregar una tarjeta de crédito, vender un celular, efectuar un giro nacional o internacional, tramitar la licencia de conducción o sacar la libreta militar.
Todos estos trámites se realizan, por lo general, de manera presencial, aunque en los últimos años se ha tenido avances en seguridad muy importantes como la biometría dactilar consultando las bases de datos de la Registraduría Nacional. El Sistema Automatizado de Identificación Dactilar Colombiano (AFIS por sus siglas en inglés) es una base de datos que sirve para verificar la identidad de una persona a través de las características de sus huellas dactilares.
El reto que tiene el país, y que se vio acentuado ante la pandemia, es realizar todos estos trámites de manera virtual sin necesidad de acudir físicamente a las instalaciones del prestador del servicio, banco, empresa de telecomunicaciones, entidad del estado, etc. En este escenario es donde la autenticación digital y la identidad digital han cobrado especial importancia.
Para lograr una identificación digital segura, se necesitan mecanismos fuertes de autenticación que deben ser combinados simultáneamente. Estos son:
• Algo que se sabe: contraseña o PIN
• Algo que se tiene: token físico o dispositivo móvil
• Algo que se es: rasgos biométricos, huellas dactilares, rostro, iris, etc.
La Circular 029 de 2019 de la Superintendencia Financiera precisó que los mecanismos fuertes de identificación digital son los siguientes:
• Biometría
• Certificados de firma digital
• OTP (One time password)
• Tarjetas que cumplan el estándar EMV
Biometría: Las huellas dactilares, retina, iris, patrones faciales, venas de la mano o geometría de la palma de la mano representan ejemplos de características físicas (estáticas), mientras que entre los ejemplos de características del comportamiento se incluye la firma, el paso y el tecleo (dinámicas). Algunos rasgos biométricos, como la voz, comparten aspectos físicos y del comportamiento.
Certificados de firma digital: La Ley 527 de 1999 creó las Entidades de Certificación como terceros de absoluta confianza en el entorno digital, con el fin de que estas entidades, como Camerfirma Colombia, acreditas por el Organismo Nacional de Acreditación en Colombia (Onac), sean las encargadas de emitir las firmas digitales de las personas. Este es un mecanismo digital de firma de documentos (contratos, resoluciones, notificaciones etc.), sustituyendo la tradicional firma manuscrita, con el valor agregado que dicho mecanismo goza de una presunción legal de autenticidad e integridad y por tanto de no repudio que le otorga la ley.
Tarjetas que cumplan el estándar EMV: Son las tarjetas con chip. En Colombia llegaron ya hace varios años y remplazaron las que tenían banda magnética. Con ello se eliminó el fraude del “cambiazo” o la “clonación de la información de la banda magnética”. Ahora los delincuentes emplean otras técnicas para engañar al usuario haciéndole creer que debe cambiar el plástico y cuando recogen el plástico, supuestamente obsoleto, extraen la información del chip.
Recientemente se expidió el Decreto 620 de 2020 y la Ley 2052 de 2020, donde se regula el modelo de servicios ciudadanos digitales que regirá en el país, y en donde la autenticación digital es uno de los servicios base del modelo que está enfocado, precisamente, en niveles de confianza donde en los niveles bajo y medio se encuentran las firmas electrónicas como pueden ser las claves y contraseñas, y en los niveles alto y muy alto, encontramos los certificados de firma digital, biometría facial y cédula de ciudadanía digital, siendo dichas normas concordantes con los lineamientos que en ese sentido ha emitido la Superintendencia Financiera de Colombia.
Si bien es cierto que los mecanismos fuertes de identificación como la biometría son recomendables, e incluso obligatorios para ciertos sectores, éstos también están sujetos a fraudes. Así las cosas, a pesar de que se utilice biometría de iris o de la palma de la mano o comportamental, siempre existe la posibilidad de fraude si la fuente (base de datos) contra la que se coteja no es altamente segura o confiable.
Para realizar una biometría altamente segura la recomendación es hacer uso de bases de datos públicas, confiables y altamente seguras. Estas son las bases de datos de la Registraduría Nacional: el Archivo Nacional de Identificación (ANI) y las bases de datos biométricas de huella (AFIS) y facial (ABIS), así como bases de datos financieras, y empresariales como el Registro Único Empresarial (RUES).
Es importante precisar que la registraduría solo administra base de datos facial y dactilar, no posee bases de datos de iris o de la voz. Así las cosas, cuando los trámites son presenciales, se puede hacer uso de la biometría de huella o facial. En cambio, para trámites virtuales, se impone la biometría facial en combinación con otros factores de autenticación, siempre consultando bases de datos públicas, fiables, actualizadas y seguras.
Para finalizar, un número importante de entidades financieras ha implementado la biometría facial, pero las bases de datos contra la que se coteja la información no son altamente confiables. Algunas están enrolando a sus clientes y cotejan su rostro frente a la foto de la cédula o la foto de la huella frente a la que aparece en la cédula. No obstante, aquí se presentan los siguientes inconvenientes:
1. Si la cédula es falsa, la entidad no tendrá cómo corroborar la verdadera identidad de la persona.
2. Es sumamente riesgoso que se almacenen datos personales biométricos de alta sensibilidad.
3. No se está haciendo uso de certificados de firma digital o firma electrónica certificada, sino de firma electrónica simple (un solo factor de autenticación), lo que representa riesgos en la seguridad y la posible fuga de datos sensibles.
