Explora nuestro blog

Verificación de identidad: qué es y cuándo usarla

La verificación de identidad se ha basado durante mucho tiempo en identificaciones con foto emitidas por el gobierno, como una licencia de manejo o un pasaporte, que un agente puede examinar y comparar con la persona que está frente a ellos. Pero a medida que continuamos evolucionando hacia una sociedad más digital, nuestros métodos de verificación de identidad deben mantenerse al día.

Aquí encontrarás todo lo que necesitas saber sobre la verificación de identidad: qué es, cómo usarla, las trampas que debes evitar y cómo se aplica a las firmas electrónicas y digitales.

¿Qué es verificación de identidad?

La verificación de identidad es el método por el cual las personas prueban que son quienes dicen ser. Es un elemento fundamental de seguridad para todo tipo de organizaciones, empleadores, clientes e individuos. La verificación de identidad desempeña un papel importante en la prevención fraudes y el robo de identidad, así como en garantizar que los contratos y acuerdos sean legalmente vinculantes.

Diferencia entre verificación de identidad, autenticación y autorización

Las personas a menudo no tienen claras las diferencias entre la verificación de identidad, la autenticación y la autorización. La confusión es comprensible: todos estos son elementos complementarios para establecer confianza en interacciones remotas o digitales. En este sección, delinearemos las diferencias y cuándo se usa cada una.

Verificación

Las empresas suelen utilizar la verificación de identidad como primer paso para crear una nueva relación. Por ejemplo, la verificación de identidad se usa para configurar una cuenta de servicios financieros, un contrato de venta o un acuerdo de empleo. En cada uno de esos casos, una empresa debe verificar la identidad de la persona que inicia la relación mediante tres criterios: la identidad es genuina (no inventada); pertenece a la persona con la que está interactuando (no robado); y la persona está presente en el momento de la captura (no representada falsamente).

El proceso de verificación comprueba la legitimidad de los identificadores proporcionados en una solicitud, como el nombre, la dirección postal, el número de teléfono y la dirección de correo electrónico. Más allá de las formas físicas tradicionales de identificación, los métodos digitales pueden incluir una huella digital, un escaneo facial, una copia de una licencia de manejo, verificaciones de "vida" y otros medios.

La verificación no es necesaria para todos los acuerdos, pero es esencial para muchas transacciones de alto valor, altamente confidenciales o reguladas.

Autenticación

Una vez que se ha verificado la identidad de una persona y se ha finalizado el acuerdo o contrato correspondiente, el enfoque cambia a la autenticación para la interacción continua. El Instituto Nacional de Estándares y Tecnología (NIST)  define la autenticación digital como: "el momento en que una persona que intenta acceder a un servicio digital está bajo el control de uno o más autenticadores válidos asociados con la identidad digital de ese sujeto".

La autenticación de identidad es el proceso de probar que una persona es la misma que ha sido previamente verificada y asociada a una cuenta.

La autenticación puede ser algo tan sencillo como solicitar a una persona que ingrese su contraseña. Más recientemente, la autenticación incluye revisiones adicionales como autenticación multifactor (MFA).

Autorización

Tras la autenticación de usuario viene la autorización. La autorización de identidad implica comprobar que la persona tiene permiso para hacer las cosas que intenta hacer. Esto generalmente abarca los datos a los que pueden acceder y las acciones específicas que pueden realizar, como operaciones de creación, lectura, actualización y eliminación (CRUD).

Al observar el ciclo vital como una totalidad, podemos ver cómo cada paso se basa en los anteriores:

  • Verificación – esta cuenta es creada por una personal real que es quien dice ser.
  • Autenticación – la persona real que accede a esta cuenta o servicio es la persona que la creó.
  • Autorización – la persona real que accede a la cuenta o servicio es la personal que la creó, y tiene permiso de hacer ciertas cosas con ella.

Cuándo usar la verificación de identidad

El nivel de verificación de identidad requerido para un acuerdo o transacción depende de factores como la preferencia de la industria, los requisitos normativos, el valor financiero, las consideraciones legales y la tolerancia al riesgo de la empresa. Por lo general se requiere un nivel más alto de verificación de identidad en situaciones como:

  • Apertura de cuentas e incorporación
  • Préstamos, arrendamiento y financiamiento
  • Solicitudes de seguros
  • Pruebas de manejo y contratos de ventas
  • Ingreso de pacientes y formatos de consentimiento
  • Incorporación de personal
  • Transacciones transfronterizas
  • Gestión de reclamaciones 
  • Avisos sobre procesos jurídicos        
  • Transferencias bancarias
  • Financiamiento de equipo

Si bien la necesidad de verificación de identidad depende más del caso de uso que de la industria, la verificación de identidad es una capacidad especialmente importante para empresas en sectores como:

  • Servicios financieros
  • Seguros
  • Servicios jurídicos
  • Gobierno
  • Servicios de salud
  • Ciencias de la vida
  • Automotor
  • Servicios empresariales

¿Qué nivel de verificación de identidad se requiere?

El nivel de verificación de identidad requerido dependerá de la situación y el nivel deseado de medidas de seguridad. Para muchas interacciones de rutina, las medidas básicas de verificación son suficientes: un NIP ingresado en una terminal de punto de venta, una contraseña ingresada en un sitio de comercio electrónico, la dirección de correo electrónico de un signatario durante un proceso de firma electrónica. Otras situaciones requieren un nivel más alto de verificación de identidad, como:

  • Un proveedor de servicios de comunicación (CSP) que firma un acuerdo con un nuevo cliente
  • Un cliente que abre una cuenta bancaria o procesa una solicitud hipotecaria
  • Un agente de bienes raíces que finaliza un contrato de arrendamiento
  • Un agente de seguros que emite una nueva póliza
  • Un miembro del departamento de recursos humanos que incorpora a un nuevo empleado

Retos de la verificación de identidad

La verificación de identidad busca brindar confianza a ambas partes. Y a medida que el mundo se mueve en línea, también se requiere el mismo nivel de confianza y verificación personal en la era digital. Una verificación de identidad en línea adecuada ha sido una prioridad clave para las empresas.  Hay algunos desafíos importantes que deben abordarse para la verificación de identidad en la era digital: 

  • Integrar la verificación de identidad en procesos totalmente digitales con un alto nivel de confianza y prevención de fraude
  • Proporcionar una experiencia de verificación de identidad fluida y sin contratiempos tal como la piden los usuarios, en un entorno en el que es muy fácil que los clientes se impacienten o molesten, que es cuando probablemente abandonen una transacción o un acuerdo.
  • Apegarse a normas de la industria o regionales

Estos desafíos han impulsado la innovación continua tanto en tecnología como en políticas para crear sistemas de verificación de identidad diseñados para la vida digital moderna.

Cómo funciona la verificación de identidad

La verificación de identidad puede tomar muchas formas, desde medidas básicas suficientes para transacciones de bajo riesgo hasta métodos más avanzados que brindan un mayor nivel de confianza para interacciones más delicadas, valiosas o altamente reguladas. La verificación de identidad funciona mediante la recopilación de información y la comparación de lo que se recopila con lo que está en el archivo, para buscar una coincidencia que valide una identidad en diversos grados. Entre más puntos de coincidencia se recopilen, mayor será el grado de confianza en la verificación de identidad. La información que normalmente se recopila durante el proceso de verificación de identidad puede incluir: 

  • Dirección de correo electrónico – los signatarios ingresan su propio correo electrónico, el cual se compara con la dirección de correo electrónico registrada.
  • Código de acceso – los signatarios ingresan un código que reciben ya sea por llamada telefónica o mensaje de texto.
  • Preguntas personales – se hacen preguntas personales a los signatarios, como direcciones anteriores o tipos de vehículos que han tenido según la información recopilada de bases de datos disponibles comercialmente.
  • Credencial con fotografía – se verifica a los signatarios con una identificación con fotografía emitida por el gobierno, como pasaporte, licencia de manejo o permiso de residente.
  • Identificaciones electrónicas o bancarias – los signatarios envían sus datos de acceso a cuentas de banco o gobierno para comprobar su identidad.
  • Verificación de identidad – los signatarios muestran una identificación con fotografía emitida por el gobierno o una credencial de identificación electrónica europea y completan revisiones adicionales a distancia de verificación de identidad.

Uso de firmas electrónicas y firmas digitales para la verificación de identidad

La verificación de identidad con frecuencia se usa en el contexto de una firma electrónica o firma digital. Aunque son confusas y se usan indistintamente

Una firma electrónica es cualquier imagen de una firma, símbolo, huella digital, clic, sonido o proceso que verifica un documento y crea un registro jurídicamente vinculante en lugar de una firma tradicional "con pluma" escrita a mano. Una firma electrónica puede ser tan simple como hacer clic en un cuadro o escribir tu nombre o tus iniciales en un formulario mientras acepta que ha firmado el documento.

Una firma digital es un tipo específico de firma electrónica que cumple con estrictas normas jurídicas, brinda el más alto nivel de garantía de identidad del signatario y mejora la seguridad de una transacción. Con base en una tecnología llamada  Public Key Infrastructure (PKI), una firma digital usa algoritmos y codificación para firmar y verificar la autenticidad de un documento. Un certificado digital generado durante el proceso de firma autentica la identidad del signatario y proporciona evidencia de prueba de manipulación.

Altamente seguro, más fácil de rastrear que una firma electrónica básica y considerado el equivalente legal de una firma manuscrita en los 27 estados miembros de la Unión Europea, ciertos niveles de firma digital son una buena herramienta para datos confidenciales como registros financieros, información de identificación personal , datos regulados por la Ley de Portabilidad y Responsabilidad de Seguros Médicos (HIPAA) y otros documentos o contratos confidenciales.

Las firmas tanto electrónicas como digitales ofrecen numerosas ventajas sobre una firma física. Por ejemplo:

  • Si bien las firmas físicas pueden falsificarse y manipularse fácilmente, las firmas electrónicas y las firmas digitales cuentan con múltiples capas de seguridad y autenticación integradas.
  • Las firmas electrónicas y las firmas digitales ofrecen un registro electrónico que sirve como registro de auditoría y prueba de transacción.
  • Los certificados de finalización (CoC) que acompañan a una firma digital pueden incluir detalles específicos sobre cada signatario, como la divulgación del consumidor que indica que el signatario aceptó usar la firma electrónica, la imagen de la firma, las marcas de tiempo del evento clave y la dirección IP del signatario y otros datos de identificación.
  • Un sello generado mediante PKI indica que una firma digital es válida y que el documento no ha sido manipulado ni alterado desde la fecha de la firma.
  • Al permitir procesos de firma y documentación completamente digitales, las firmas electrónicas y las firmas digitales reducen el uso de papel, lo que ayuda a las empresas a reducir costos y cumplir con las metas de sostenibilidad. 

¿Qué significa SES, AES, QES y eIDAS 2.0 en la verificación de identidad?

Las firmas electrónicas y las firmas digitales a menudo se describen con los términos SES, AES o QES para indicar niveles ascendentes de verificación y confianza.

Firma electrónica simple (SES, por sus siglas en inglés)

El término SES se refiere a la forma más básica de firma electrónica. La SES, que es apropiada para casos de uso diario, como un acuerdo de compra y venta, se basa en las medidas de verificación más simples; por lo general, es suficiente conocer la dirección de correo electrónico del signatario o ingresar un código de acceso único.

Firma electrónica avanzada (AES, por sus siglas en inglés)

AES, que es una verdadera firma digital, proporciona pasos de autenticación adicionales para verificar las identidades de los signatarios para transacciones o acuerdos de mayor valor. El signatario generalmente usa un documento de identidad válido para confirmar que es quien dice ser, y es posible que también se le pida proporcionar un código de acceso único después del proceso de firma. AES también incluye una identificación digital basada en certificados emitida por un proveedor de servicios de confianza (TSP) y adjunto al sobre como parte de la transacción. La firma digital resultante es legalmente vinculante.

Firma electrónica adecuada (QES, por sus siglas en inglés)

QES, que también es una firma digital legalmente vinculante, ofrece el más alto nivel de confianza a través de un proceso de verificación de identidad cara a cara, o su equivalente, por parte de un proveedor de servicios de confianza adecuado (QTSP)--un nivel más alto que TSP—y la creación de un certificado digital con un dispositivo de firma electrónica. En los 27 estados miembros de la UE, se considera el equivalente jurídico a una firma manuscrita y, cuando se impugna en los tribunales, la carga de la prueba pasa a la parte que impugna.

eIDAS 2.0

A medida que las firmas digitales se vuelven más comunes en todo el mundo, la UE ha tomado la delantera en las políticas que rigen su uso. En el 2014, la UE la norma de Identificación Electrónica, Autenticación y Servicios de Confianza (eIDAS) para garantizar identificación electrónica segura y confiable, así como servicios de confianza en todos sus estados miembros. Bajo eIDAS, los TSP y QTSP deben cumplir con los más altos estándares de seguridad y confiabilidad establecidos por la UE, adherirse a requisitos más estrictos y someterse a auditorías periódicas para garantizar el cumplimiento continuo.

Se espera que la versión 2.0 de eIDAS entre en vigor en septiembre de 2023, ampliando la regulación de incluir tipos adicionales de servicios electrónicos de confianza, así como el concepto de una Cartera de Identidad de la UE, que es una plataforma digital que permite a las personas y empresas almacenar y administrar servicios de confianza y de identificación electrónica, incluyendo firmas y certificados digitales, de forma segura y conveniente.

Por qué es importante la experiencia del usuario durante la verificación de identidad

Si bien la verificación de identidad puede ser una parte fundamental de la interacción con un cliente, no se puede permitir que esté a expensas de la interacción misma. La percepción de controles excesivos o molestos para los signatarios puede aumentar las tasas de abandono y crear una impresión negativa de la empresa que los solicita. Por este motivo, la experiencia del cliente es un elemento clave de la innovación en la verificación de identidad. Los principales proveedores de soluciones están trabajando para que el proceso de verificación de identidad sea lo más fluido y sencillo posible, centrándose en estos atributos:

  • Rapidez: asegurar que el proceso se pueda completar en minutos y no en días
  • Facilidad de uso: con pasos intuitivo y guías interactivas, en una experiencia sencilla en dispositivos móviles
  • Autoservicio: evitar la necesidad de programar citas en vivo con agentes humanos
  • Accesibilidad: como un proceso basado en la nube que elimine la necesidad de descargar e instalar una aplicación por separado

Obtén más información sobre verificación de identidad para firmas electrónicas y firmas digitales.

Autor
Colaborador de Docusign
Publicado en
Temas relacionados

Ve publicaciones similares