News America Digital
Miles de empresas son víctimas de ransomware, miles de millones de dólares se pierden por fraude y las redes sociales estallan alimentando disturbios y agitación
¿Es la identidad digital la solución?
La identidad es una parte fundamental de cualquier sistema en funcionamiento. Basta mirar a la naturaleza, el cuerpo humano distingue los cuerpos extraños como los virus de sus propias células para destruir infecciones, prevenir cánceres y evitar atacarse a sí mismo. Las aves tienen huevos con patrones distintivos para asegurar que los padres puedan identificar sus propios huevos, una estrategia que otras aves han evolucionado y logrado derrotar. Los pingüinos pueden identificar la llamada de sus polluelos entre miles.
Ningún sistema complejo puede sobrevivir sin capas de identificación que operen en todos los niveles; a medida que evoluciona el universo digital, puede aprender del universo biológico que es mucho más complejo y que tiene una ventaja de unos pocos miles de millones de años.
La historia humana misma está repleta de historias de fallas de identidad. Uno de los castillos más fuertes de los cruzados fue Krak des Chevaliers; resistió numerosos asedios para sucumbir por una carta falsificada supuestamente del Gran Maestre de los Caballeros ordenándoles que se rindieran.
Pero, ¿por qué la repentina urgencia con la identidad digital? Los problemas no son nuevos, incluso en los viejos tiempos del arranque desde diskettes, los virus de bloqueo de arranque y los virus de fin de archivo posteriores aún lograron barrer todo el mundo llegando a computadoras desconectadas independientes.
La aparición de Internet es, por supuesto, el gran catalizador; A medida que evolucionó desde el acceso telefónico a estar siempre conectado, a dispositivos teléfonos celulares y tablets, a Wi-Fi gratuito, 5G y ahora Internet de las cosas, el ámbito y el alcance se han incrementado exponencialmente.
Igualmente importante, los servicios han evolucionado en esta red, servicios críticos que son fundamentales para nuestra vida digital. En resumen, el panorama digital ha evolucionado en complejidad y conectividad, Internet se ha convertido en un organismo gigante.
Hay una industria que ha estado resolviendo estos desafíos mucho antes que nadie y esa industria es, apropiadamente, la industria de pagos.
3DSecure una solución de identidad digital para comercio electrónico
Los esquemas de tarjetas operan redes globales para pagos que son anteriores a Internet en muchas décadas; esencialmente crearon su propia Internet privada. El comercio electrónico nació el día en que nació Internet y los problemas de identidad han plagado los pagos en línea desde el principio.
La seguridad dependía de la posesión física de una tarjeta de plástico, bastante inútil para las transacciones en línea. El propio plástico necesitaba pasar a la era digital, lo que hizo con la introducción de Chip y Pin. Chip y Pin han logrado detener la pérdida de miles de millones de dólares por fraude. Décadas antes de que los pasaportes tuvieran chips integrados, la industria de las tarjetas fue pionera en esta tecnología.
A la misma industria también se le ocurrió una solución para la identidad digital en línea. Esta solución se llama 3DSecure, que esencialmente significa seguridad en 3 dominios, que son el dominio del comerciante / adquirente, el dominio del emisor / titular de la tarjeta y el dominio de interoperabilidad (infraestructura de esquemas de tarjetas).
Las especificaciones para el protocolo original datan de 1999 y 3DSecure se ha adoptado hoy ampliamente en todo el mundo, siendo los pagos en línea 3DSecure la norma durante más de una década. 3DSecure ahora se ha actualizado para el siglo XXI con el lanzamiento de 3DSecure 2.0, que está evolucionando rápidamente con el lanzamiento de las especificaciones 2.1, 2.2 y próximamente 2.3.
3DSecure se basa en los mismos conceptos que las especificaciones originales, lo que permite a los titulares de tarjetas identificarse en todo el mundo en segundos y en todos los dominios para eliminar y prevenir el fraude; 3DSecure protege al titular de la tarjeta y al comerciante y proporciona la confianza requerida por los bancos para procesar una transacción.
3DSecure 2.0 ha sido de gran ayuda por el hecho de que el EEE / UE ha ordenado el uso de la autenticación sólida del consumidor para los pagos digitales. Los esquemas, a su vez, han exigido 3DSecure en el resto del mundo, un paso necesario en un mundo interconectado.
Pero 3DSecure 2.0 ofrece mucho más que una simple actualización. Los teléfonos móviles hacen posible la biometría y son dispositivos personalizados conectados a Internet utilizados exclusivamente por un individuo además de tener capacidades de ubicación y ahora un elemento seguro (SE) en forma de un chip de microprocesador que puede almacenar datos confidenciales y ejecutar aplicaciones seguras.
Las contraseñas estáticas son obsoletas, reemplazadas por contraseñas de un solo uso a través de SMS y las aplicaciones bancarias que pueden aprovechar las capacidades biométricas de los teléfonos móviles ofrecen una alternativa a los SMS a través de la autenticación fuera de banda.
También está la cuestión de la conveniencia del consumidor y el tiempo necesario para completar una transacción; esto es fundamental para el éxito de cualquier sistema de pago. Es la razón por la que las tarjetas de crédito son mucho más convenientes que, por ejemplo, una transferencia bancaria.
La industria privada opera en un entorno altamente competitivo y no puede imponer un comportamiento al consumidor, algo que todos los gobiernos tienden a hacer.
Esta es la fuerza impulsora detrás de la autenticación sin fricciones; se basa en el análisis de datos y los algoritmos de inteligencia artificial para identificar todos aquellos casos en los que se requiere un desafío mayor para que el consumidor complete activamente la autenticación. En el resto de los casos, hasta un 90% de los mismos, la autenticación se logra de forma pasiva.
¿Qué están haciendo otras industrias para resolver el desafío de la identidad digital?
Hay muchos estándares en uso. Por lo general, estos estándares han evolucionado para resolver diferentes problemas, pero ahora están ampliando su alcance original, lo que lleva a la convergencia y, en muchos casos, a una competencia feroz. Entre estos muchos estándares se destacan OAuth2, OpenID, Fido y eIDAS.
OAUTH2 y OpenID
OAuth2 es familiar para las personas que inician sesión con su cuenta de Google, Apple o Facebook. Muestra que las Big Tech también han creado su propia solución de identidad digital y ven el valor de permitir que otras empresas aprovechen su infraestructura. OAuth2 está diseñado como una solución de autorización, no como una solución de autenticación: otorga acceso a un servidor de recursos.
La extensión OpenID agrega autenticación con un pequeño esfuerzo adicional a este estándar. Esta tecnología resuelve un problema fundamental: cómo se puede otorgar acceso a un tercero o servicio de modo que este último pueda acceder a un recurso que reside en un servidor de recursos remoto, sin compartir su contraseña o ceder todo el control a un tercero. Otorgar acceso a su correo electrónico de Google u otorgar acceso a su banca en línea a una aplicación de terceros, todos esos casos entran en esta categoría
FIDO
Otro estándar importante es FIDO, que significa Fast Identity Online. FIDO se basa en una configuración de criptografía de clave pública-privada estándar (asimétrica) con la clave privada incrustada en un módulo de hardware (Módulo seguro de hardware, Elemento seguro en teléfonos móviles o Módulo de plataforma segura), por lo que no se puede copiar. Luego, un protocolo de mensajería permite que Fido reemplace las contraseñas y garantice una vinculación estricta con el dispositivo clave.
La interacción del usuario con el hardware, incluida la biometría, complementa las capacidades de autenticación multifactor de esta configuración. Lo que ha hecho a Fido famoso es la adopción de su estándar WebAuthn por parte del World Wide Web Consortium (W3C) y el respaldo de los gigantes tecnológicos y la industria de pagos. Esto significa que WebAuthn ahora funciona sin problemas en su navegador o dispositivo móvil y el autenticador, que es una parte integral de esta configuración, será proporcionado por Microsoft, Apple, Google, otras plataformas en línea o cualquier autenticador existente basado en hardware. El autenticador es la parte que controla la clave privada, interactúa con el usuario y genera los mensajes de afirmación y atestación.
¿Qué pasa con los gobiernos?
La identidad siempre ha sido dominio de los gobiernos. Después de todo, la idea moderna de identidad está muy ligada al documento o número asignado por un gobierno a una persona desde el momento en que nace.
Los gobiernos también tienen los mismos requisitos que la industria privada; ellos también quieren proporcionar servicios digitales en línea, también enfrentan problemas para establecer una identidad de forma remota y quieren apoyar la actividad económica, en particular, en aquellas economías donde la industria privada no puede avanzar por sí sola.
Sin embargo, en general, es un juego de recuperación motivado más que nada por la necesidad de los gobiernos de seguir siendo relevantes e imponerse en un mundo donde los gigantes tecnológicos ahora tienen un alcance global y son vistos como desafiantes para la influencia y el control.
Al ser gobierno, siempre hay dos opciones abiertas para la acción: una es regular y la otra es operar. Un excelente ejemplo de regulación es el mandato de SCA dentro del área EEE / UE que luego permite a las industrias competir en el desarrollo de las mejores soluciones e impulsar la innovación. La otra opción es operar, el enfoque adoptado con el eIDAS europeo.
Hay muchas iniciativas de identificación electrónica en todo el mundo; la mayoría de ellos están pensados como esquemas nacionales. El eIDAS europeo es único en el sentido de que es un estándar destinado a ser adoptado por más de 28 países.
En realidad, muy pocos países han adoptado eIDAS; la adopción también ha sido inconsistente, algunos países han restringido eIDAS únicamente a los servicios gubernamentales y han reaccionado con hostilidad y sospecha hacia la industria privada; otros países han permitido que la industria privada desarrolle servicios en torno a eIDAS.
Otro problema que persiste es, por ejemplo, que cada país ha seleccionado típicamente una empresa para la prestación de estos servicios creando un monopolio efectivo en contraste con el entorno competitivo impulsado por la innovación adoptada por la industria privada.
El sistema eIDAS existente es esencialmente un estándar SAML anticuado, por lo que hay disponibles nuevas especificaciones para una actualización. La emocionante novedad es el anuncio de una billetera de identidad digital europea que se concibe como una aplicación que los ciudadanos de la UE descargan en sus teléfonos inteligentes para almacenar formularios de identificación digital y documentos oficiales, como una licencia de conducir y una tarjeta de identificación.
De confianza, democracia y libertad personal
La cuestión clave en torno a la identidad es siempre la de establecer la confianza entre todas las partes implicadas. Es bien sabido que las “big tech” rastrean cada una de nuestras acciones y luego buscan monetizar esta información.
La mayoría de la gente ve esta intrusión como benigna, incluso si esta suposición se basa en una falta de comprensión sobre el verdadero alcance de esta información.
Cuando se trata de la capacidad de los gobiernos para rastrear todas nuestras actividades, la aprensión se establece rápidamente. Nadie piensa que el hecho de que el gobierno rastree cada uno de nuestros movimientos puede ser benigno, ni que sea posible excluirse. Hay un dicho en el periodismo que dice que «el conocimiento nos mantiene libres», pero el exacto opuesto es cierto para el individuo que «la privacidad nos mantiene libres».
Entonces, cuando se trata de confianza, las “big tech” disfrutan de más confianza que los gobiernos. También hay iniciativas que buscan mantener al individuo en control de su identidad digital y trabajar de una manera que garantice la privacidad sin dejar de proporcionar identidad. Estos parecen ser objetivos irreconciliables, pero no es necesariamente así. Esta visión vé más allá de una imagen bonita con un consumidor en el centro, rodeado de servicios, un verdadero sistema que visualiza a cada individuo como una bóveda digital inexpugnable.
Nos encontramos en una encrucijada
Claramente, se necesitan con urgencia soluciones para la identidad digital. Vivimos en una era de caos digital. Los enormes ataques de ransomware solo son posibles debido a la incontrolabilidad de las criptomonedas y el caos de las redes sociales está igualmente impulsado por el anonimato, lo que significa que lo que tomas como un hecho puede haber sido fabricado para sembrar discordia y confusión en tu mente; la fuente de información no es identificable.
Pero al mismo tiempo, también está la pregunta de ‘¿A qué precio?’ El riesgo de un ‘muro digital’ es un peligro claro y actual que haría imposible vivir en un país sin una identidad digital y privilegios como comprar un billete de tren, pueden retenerse; no se trata de escenarios hipotéticos que suceden en otros países, sino de un posible futuro en nuestras propias democracias.
¿Dónde se encuentra Endeavour en todo esto?
Endeavour ha estado proporcionando servicios 3DSecure durante más de una década, sirviendo a clientes en todo el mundo. Creemos firmemente en lo que hacemos y estamos orgullosos de ser parte de un esfuerzo global para construir un futuro mejor para todos. La recompensa inmediata es que podemos trabajar con personas verdaderamente maravillosas, dedicadas y trabajadoras en muchas industrias en esta búsqueda.
Además de la industria de pagos, Endeavour tiene soluciones en beta para Fido y para Oauth2 como soluciones independientes. Igualmente interesante es la convergencia de estas diferentes soluciones de identidad con los pagos. Endeavour es el proveedor de referencia para brindar la experiencia y la tecnología necesarias para impulsar esta convergencia.