1

Importancia de la identidad digital en el ámbito empresarial

unboundid-digital-identity

En este segundo post me centraré en analizar la importancia que tiene la identidad digital en el mundo empresarial. Para ello, haré referencia a noticias y artículos que ratifiquen que el tema en cuestión es de plena actualidad.

Lo primero de todo, destacar la importancia que tienen hoy en día los datos. Estamos siendo bombardeados diariamente por términos como Big Data o IoT y esto se debe a que las empresas están comprendiendo el valor que tiene el uso de los datos. En el ámbito empresarial, los datos personales son considerados el nuevo petróleo [1]. Esto se debe a que los datos son cruciales en cualquier organización y su gestión un quebradero de cabeza para quienes tratan de garantizar la seguridad.

Precisamente hoy, 12 de noviembre, aparece una noticia en El Correo que bajo el título “Uno de cada dos robos de datos es mediante suplantación de identidad” nos muestra que el phising sigue siendo hoy la modalidad de ataque más sencilla y preferida por los atacantes. Mandando un email a la víctima que simula ser de su banco, pide sus credenciales y terminan apropiándose de su identidad digital. Es importante la concienciación de los trabajadores para evitar esta práctica pero también tomar acciones por parte de la empresa como configurarlos sistemas de red de manera robusta. Esto evita que los atacantes puedan obtener direcciones de correo electrónico e, incluso, nombres de usuarios [2].

Otra noticia relacionada con la identidad digital es la obra que se ha estrenado en Valencia llamada “Alexandria” que pretende hacer reflexionar al espectador sobre la información de publicamos en Internet y sus consecuencias. Es evidente que con todos los datos que cuentan de nosotros mismos los gigantes de la red, son capaces de crear perfiles de nosotros mismos. Es ahí donde la obra teatral realiza una crítica al respecto y plantea si realmente estos perfiles son una representación de lo que nosotros somos [3]. Relacionado con este último concepto de “perfil social” que se genera en Internet de nosotros mismos, el diario ABC publica que “el 35% de las empresas ha rechazado a un candidato por la imagen que ofrece en Internet” [4]. En este mismo artículo se muestra que el 83% de las organizaciones consulta las redes sociales de sus candidatos para conocer más información de ellos.

La identificación dentro de una organización puede llevarse a cabo mediante diferentes sistemas dependiendo de cuál sea el objetivo. Por un lado, existe la identificación física que se realiza mediante componentes físicos o la presencia del sujeto. Estos componentes pueden ser, por ejemplo, tarjetas de identificación RFID que funcionan mediante radiofrecuencias. Además del desgaste mínimo que sufren son muy difíciles de falsificar y pueden personalizarse para, por ejemplo, dar acceso a un empleado a un área determinado [5]. También se puede usar la identificación biométrica empleando por ejemplo la huella dactilar del empleado.

Por otro lado, el acceso a sistemas de información se realiza habitualmente mediante sistemas IAM (Identity and Access Management) que son en cuestión la mayor brecha de seguridad para una organización. Para realizar una buena gestión de este ámbito se establecen métricas en tres áreas: cobertura, actuación y comunidades de usuarios.

  • La cobertura mide cómo el sistema afronta los diferentes riesgos y el impacto de los mismos.
  • La actuación consiste en monitorizar los sistemas IAM y nos muestra su confiabilidad.
  • Es importante que el administrador de los sistemas IAM comprenda las comunidades de usuarios presentes en la organización. Del mismo modo, debe comprender sus respectivos perfiles de riesgo, países o hasta incluso las fuentes de datos autorizadas [6].

Por lo tanto, es esencial que los sistemas de autenticación sean meticulosos y precisos. A pesar de existir la autenticación física y electrónica, combinar ambas puede ser positivo en algunas ocasiones. Esto permitiría a los ciberatacantes no disponer de esa “llave” física. En el caso de que el atacante sea parte de nuestra entidad (insider threats) este método no solucionaría el problema pero este tema ya está siendo tratado en el Blog por uno de mis compañeros.

En los próximos post estudiaré a fondo los riesgos que conlleva este fascinante y espeluznante área de la identidad digital y analizaré qué controles existen mediante la auditoría para garantizar la seguridad de los sistemas.

 

 


 

[1] “Identidad digital – ISACA”, acceso el 12 de noviembre de 2018. https://www.isaca.org/Journal/archives/2017/Volume-6/Pages/digital-identity-will-the-new-oil-create-fuel-or-fire-in-todays-economy-spanish.aspx

[2] “Uno de cada dos robos de datos es mediante suplantación de identidad – El Correo”, acceso el 12 de noviembre de 2018. https://www.elcorreo.com/tecnologia/internet/robos-datos-mediante-20181112172924-ntrc.html

[3] “’Alexandria’, una reflexión sobre la identidad digital – Las Provincias”, acceso el 12 de noviembre de 2018. https://www.lasprovincias.es/culturas/teatro/alexandria-reflexion-sobre-20181109011300-ntvo.html

[4]  “Identidad digital, el factor que marca distancias en la carrera por el empleo – ABC”, acceso el 12 de noviembre de 2018. https://www.abc.es/economia/abci-identidad-digital-factor-marca-distancias-carrera-empleo-201810290301_noticia.html

[5] “¿Qué son y para qué sirven las tarjetas RFID?”, acceso el 12 de noviembre de 2018. https://www.inditar.com/blog/que-son-para-que-sirven-tarjetas-rfid

[6] “Obtain Greater Clarity Into Identity and Access Management by Establishing and Tracking Metrics – KnowledgeLeader”, acceso el 12 de noviembre de 2018. https://www.knowledgeleader.com/knowledgeleader/content.nsf/web+content/articleobtaingreaterclarityidentityaccessmanagement




Riesgos de la identidad digital

La Real Academia Española (RAE) define “identidad” como el “conjunto de rasgos propios de un individuo o de una colectividad que los caracterizan frente a los demás” [1]. La necesidad de demostrar nuestra identidad es algo a lo que estamos acostumbrados, por ejemplo, cuando queremos depositar nuestro voto en una urna o hasta para comprar una bebida alcohólica en un establecimiento y demostrar nuestra mayoría de edad. El Documento Nacional de Identidad (DNI) actúa como “llave” o estándar de confianza para verificar que somos quien decimos ser. La identidad, además de ser algo básico, es un derecho contemplado en la Convención sobre los Derechos del Niño, más concretamente en el Artículo 8 donde los Estados Partes “se comprometen a respetar el derecho del niño a preservar su identidad…”[2].

Ahora bien, el tema que voy a tratar en este y los próximos posts va a ser la identidad digital y los riesgos que esta conlleva. Pero, ¿qué es la identidad digital? Este término se utiliza para referirse a todo lo que se manifiesta en el ciberespacio sobre un individuo u organización. Todas las actuaciones dentro del entorno digital (imágenes, comentarios, links visitados, etc.) conforman la denominada identidad o perfil digital [3].

A nivel personal y de manera general, los seres humanos tendemos al positivismo y a tratar de mostrar lo mejor de nosotros. La repercusión de esto con las redes sociales y la era digital crece de forma exponencial al mostrar nuestra información a más gente de la que a priori podemos pensar. Hoy en día publicamos prácticamente todo lo que hacemos y realizando una sencilla búsqueda en google se puede crear un perfil tipo de cualquier persona; tenemos en nuestro perfil de LinkedIn nuestra cara más profesional, con nuestra formación y experiencia laboral, usamos Instagram para mostrar nuestros viajes y pasión por la fotografía, en Facebook aglutinamos como “amigos” a todo aquel que pase por nuestra vida, Twitter nos sirve para desahogarnos y en YouTube vemos a nuestros cantantes favoritos o aprendemos cómo hacer el nudo de una corbata. Todo lo que realizamos en la red deja una huella imborrable que nos perseguirá de por vida y que, como mucho, podremos eliminar de los buscadores ejerciendo el polémico “derecho al olvido”.

El problema existente con la identidad digital a nivel personal no es que la gente comparta lo “mona” que puede parecer su tortuga nadando en la bañera, sino que hay otro tipo de perfiles en la red cuyos fines no son otros que realizar actos ilegales. Estos actos incluyen, por ejemplo, el ciberacoso y engloba otros como el grooming, sextorsión, sexting o hasta cyberbullying. Las infracciones con fines sexuales están regulados en el Código Penal en España desde 2013 con penas de entre seis meses a cuatro años de prisión en caso de que se atente contra la integridad sexual de un menor[4]. Otro delito común en la red es la suplantación de identidad, es decir, cuando una persona se hace pasar por otra con el fin de obtener un beneficio[5]. Esta práctica es muy común debido a lo accesible que están hoy en día los contenidos en la red. La identidad personal digital es tan importante como la física y debemos de prestar especial atención y denunciar en caso de que se infrinja la ley.

La evidente necesidad de identificarte en los diferentes servicios web se logra generalmente mediante el tradicional alias y contraseña. Según una encuesta realizada por Accenture a 24.000 consumidores de 24 países, el 60% de los internautas considera que el método usuario clave es incómodo y molesto[6]. En los últimos años se han dado pasos en este ámbito desarrollando diferentes maneras de iniciar sesión usando incluso, contraseñas biométricas, pero la seguridad de dicho sistema menoscaba la comodidad del mismo.

Dejando de lado la identidad personal en el ámbito digital, los próximos posts girarán en torno al riesgo de la identidad digital en el ámbito empresarial. De la misma manera que los individuos, las organizaciones deben también proteger su identidad para evitar problemas mayores y salvaguardar la reputación de la entidad. Analizaré las evidencias de la relevancia que tiene este aspecto en la industria y hablaré de los controles y la forma de auditar en torno a la identidad digital.

 


[1] «Diccionario de la lengua española», acceso el 22 de octubre de 2018. http://dle.rae.es/srv/search?m=30&w=identidad

[2] «Convención sobre los Derechos del Niño», acceso el 22 de octubre de 2018. http://www.un.org/es/events/childrenday/pdf/derechos.pdf

[3] Avendaño, Eduardo, David Pérez Lázaro, and Bárbara Queizán. 2016. MEDIOS DE PAGO, SEGURIDAD E IDENTIDAD DIGITAL. Papeles de Economía Española., https://search-proquest-com.proxy-oceano.deusto.es/docview/1920753615?accountid=14529 (acceso el 22 de octubre de 2018).

[4] «Ciberacoso, código penal y leyes al acoso», acceso el 22 de octubre de 2018. https://ciberintocables.com/ciberacoso-codigo-penal/ 

[5] «El delito de suplantación de identidad», acceso el 22 de octubre de 2018. https://juiciopenal.com/delitos/suplantacion/delito-suplantacion-identidad/

[6] «Los consumidores proclives a alternativas a contraseñas», acceso el 22 de octubre de 2018. https://www.accenture.com/es-es/company-alternativas-a-contrasena




¿ViDChain: el futuro de la identidad digital?

Para este último post me ha parecido interesante dar a conocer un nuevo proyecto llamado ViDChain: una solución de gestión y validación de identidades basada en tecnología Blockchain. Actualmente está en fase beta y se dará a conocer durante esta semana de la mano de la organización Validated ID, la cual es además miembro de la Decentralized Identity Foundation (DIF), pero vayamos por partes. [1]

Resultado de imagen de validated IDValidated ID nació en 2012 de la mano de varios entusiastas del mundo de la identidad digital y la firma electrónica. Cuando empezaron su objetivo era desplegar servicios en los que premiase la sencillez, pero con los niveles más altos de seguridad técnica y jurídica y con un modelo de negocio claro de prestación de servicios, no de producto. Hoy en día, centran sus esfuerzos en la creación de nuevos sistemas de identificación y firma aplicable a entornos de contratación que incorporan diversas tecnologías y pretenden facilitar la vida tanto a compradores como a vendedores. [2]

Resultado de imagen de Decentralized Identity FoundationPor otro lado, la Decentralized Identity Foundation (DIF) de la cual forma parte la organización Validated ID y empresas como Microsoft, IBM o Accenture, es una fundación que crea un ecosistema de identidad descentralizada de fuente abierta para personas, organizaciones, aplicaciones y dispositivos. Es decir, la DIF está construyendo tecnología y estándares de identidad descentralizados. [3]

Ahora que ya estamos situados voy a explicar de qué trata ViDChain. Este proyecto es una apuesta decidida que abre el camino en el ecosistema de la identidad digital ligada a Blockchain. Se basa en agregar diferentes fuentes de identidad en una cartera de atributos de identidad. O sea, el usuario puede completar su cartera de identidad (identity wallet) con atributos muy variados y con distinto grado de confianza, desde fuentes relativamente poco confiables (redes sociales) a sistemas robustos (biometría). Todos estos atributos son válidos para operaciones distintas con distintos requerimientos de seguridad y en su conjunto permiten conformar una identidad digital amplia en función de los usos que se pretendan. Al tratarse de un proyecto en fase beta, la organización esta centrada en lanzar distintos pilotos a los potenciales consumidores, como universidades, bancos, administraciones públicas o aquellas empresas de servicios con especial interés en la gestión de usuarios. [1]

Y puede que os estéis preguntado… ¿Y qué aporta el Blockchain a la verificación de la identidad?

Resultado de imagen de blockchain hdPrimero tenemos que entender qué es el Blockchain: es un conjunto de tecnologías (P2P, sellado de tiempo, criptografía, etc.) que combinadas hacen posible que ordenadores y otros dispositivos puedan gestionar su información compartiendo un registro distribuido, descentralizado y sincronizado entre todos ellos, sustituyendo así a las tradicionales bases de datos. [4] Por lo que, esta tecnología permite que una vez introducidos códigos en ella permanezcan allí para siempre y “den fe” de una transacción, un acuerdo o una identidad, que puede ser encriptada en la parte que afecta a la privacidad.

Según Santiago Casas, el consejero delegado de Validated ID, en el futuro esta tecnología permitirá avanzar hacia una “identidad digital” en el que todas las personas tengan un documento que acredite su identidad sin necesidad de papeles. No obstante, ha reconocido que en el futuro una de las “guerras” estará en cómo se gestionan esos datos, con las grandes compañías de la Red implicadas en ser sus depositarios. [5]

Por lo tanto, lo que está claro es que, gracias a esta tecnología, y, sobre todo, gracias al peso que tiene el Blockchain en ella, los diferentes consumidores de la identidad digital (administraciones públicas, bancos, etc.) tendrán los datos de una forma más segura y ordenada. Y, además de que nosotros, los usuarios, no tengamos que ir de un lado para otro con los diferentes papeles, ellos podrán comunicarse de una forma más sencilla, teniendo concentrados todos los datos en un mismo sitio. Y lo que es más importante, nosotros mismos gestionamos nuestra cartera de identidad, lo cual nos hace sentir más seguros al conocer las medidas de seguridad empleadas. Pero quizás, como ya prevé Santiago Casas, el problema será cuando las distintas organizaciones tengan que gestionar los datos conjuntamente, ¿se podrá asegurar la integridad de los datos? ¿y su coherencia interna?

 

 


 

[1] ValidateID. <<ViDChain, el futuro de la identidad digital>>. Acceso el 25 de noviembre de 2017, https://www.validatedid.com/es/vidchain-el-futuro-de-la-identidad-digital/

[2] ValidateID. <<Nuestra historia>>. Acceso el 25 de noviembre de 2017, https://www.validatedid.com/es/empresa/

[3] DIF. Acceso el 25 de noviembre de 2017, http://identity.foundation/

[4] CTIC. <<Qué es el “blockchain” del que todo el mundo habla?>>. Acceso el 26 de noviembre de 2017, http://www.fundacionctic.org/ctic/articulos-y-otras-publicaciones/que-es-el-blockchain-del-que-todo-el-mundo-habla?gclid=EAIaIQobChMItduwg6jc1wIVZyjTCh3tegyCEAAYASAAEgKaz_D_BwE

[5] EFE: Emprende. <<Blockchain, en el futuro de la firma electrónica y la identidad digital>>. Acceso el 27 de noviembre de 2017, http://www.efeemprende.com/noticia/blockchain-futuro-identidad-digital/