En una época en la que la cara, la voz o las palabras de cualquiera pueden ser falsificadas en segundos, es más fácil imitar a una persona en línea que demostrar que eres tú.
Los deepfakes son casi indistinguibles de los videos reales, los mensajes generados por IA pueden suplantar a compañeros de trabajo y figuras públicas, y los ladrones de identidad están evadiendo las protecciones heredadas más rápido de lo que las organizaciones pueden implementar nuevos parches. Los costos asociados con este nivel de fraude están aumentando rápidamente. Solo en 2023, $1.2 mil millones se perdieron debido a estafas de impostores en los EE. UU.
Con la revolución de la IA amenazando lo que sabemos sobre la seguridad hoy en día, estamos en medio de una crisis de confianza digital, y la identidad está en el centro de la misma. Los sistemas de seguridad se basan en la suposición de que podemos saber con certeza quién está detrás de la pantalla. En realidad, eso nunca ha sido seguro. La buena noticia es que la tecnología para cambiar eso está aquí, así que, profundicemos.
Lo que pensábamos que significaba la confianza, y por qué ya no es suficiente
Durante años, la confianza digital se parecía a los certificados SSL, las contraseñas con hash, la autenticación multifactor (MFA) y las cookies de buen comportamiento. Pero cuando se trata de probar quién es usted, necesitamos más que la Autenticación Multifactor (MFA) o preguntas de seguridad. Necesitamos pruebas.
Dado que las filtraciones relacionadas con la identidad representan el 80% de todos los incidentes de seguridad en 2023, los líderes de seguridad, encargados de proteger los activos de una organización y a su gente, necesitan confianza. Confianza en la identidad, autorización e intención de los usuarios y sistemas en los complejos ecosistemas que supervisan.
Al mismo tiempo, la confianza del usuario está disminuyendo. La fricción, los falsos positivos y las filtraciones de datos han condicionado a las personas a ser escépticas, incluso cuando los sistemas les piden que se autentiquen, verifiquen y confíen con mayor frecuencia.
¿Cómo llegamos aquí? La infraestructura no ha evolucionado al ritmo de las amenazas, o los sistemas de identidad están desactualizados (o peor, no existen). Cuando la identidad es frágil, todo lo demás se desmorona.
La mayoría de las pilas tradicionales de gestión de identidad y acceso (IAM) no se crearon para una Internet de deepfakes, exploits de día cero y atacantes impulsados por IA. Estos son algunos de los culpables:
Contraseñas débiles y fatiga de MFA: principales objetivos para el phishing, la reutilización y la ingeniería social
Bases de datos centralizadas: Objetivos jugosos para los atacantes y puntos únicos de falla
Sistemas de identidad aislados: cada plataforma tiene una versión diferente de “ti”, lo que crea riesgo y fricción
El fraude de identidad sintética, personas completamente falsas construidas a partir de datos reales parciales, es ahora una de las formas de delito financiero de más rápido crecimiento, con el potencial de costar miles de millones a nivel mundial en los próximos años. Si la seguridad relacionada con la identidad no evoluciona, los equipos de seguridad tienen una batalla cuesta arriba por delante:
Sobrecarga de señales: miles de señales de autenticación, tokens y anomalías de sesión para clasificar.
Caos de cumplimiento: Navegación por marcos en evolución como NIST 800-63, GDPR y eIDAS 2.0
Insatisfacción del usuario: inicios de sesión, restablecimientos y fricciones que impulsan el abandono y reducen la confianza.
Los sistemas heredados tratan la identidad como una simple pantalla de inicio de sesión. Pero hoy en día, la identidad debe ser una prueba viva y verificable, no solo un registro almacenado.
La verificabilidad como la nueva capa de confianza
La solución no son contraseñas más seguras o más factores. Se trata de una evolución de cómo pensamos acerca de la seguridad para incluir propiedades relevantes para el ser humano y una nueva perspectiva denominada identidad basada en pruebas.
Modelo antiguo: Confiar en el usuario
Nuevo modelo: Confiar en las matemáticas
Las credenciales digitales verificables (VDC) permiten a los usuarios, empleados y sistemas presentar pruebas de identidad, autorización, afiliación o conocimiento firmadas criptográficamente y que preservan la privacidad.
Identidad heredada | Identidad Verificable |
Reclamaciones estáticas y centrales | Credenciales digitales portátiles y criptográficamente verificables |
Confíe en el emisor | Confíe en la prueba criptográfica |
SSO federado | Carteras digitales gestionadas por el usuario |
Honeypots centrales | Confianza distribuida basada en el consentimiento |
Estos modelos eliminan la necesidad de una reverificación constante, lo que permite un control de acceso que es portátil, programable y comprobable sin exponer innecesariamente datos confidenciales.
Por qué esto importa más que nunca
Estamos entrando en un momento crucial para la maduración de las tecnologías de seguridad y las mejores prácticas para izar una identidad humana más fuerte en la esfera digital para que los servicios puedan verificar criptográficamente su identidad humana. Si no actuamos, corremos el riesgo de quedarnos aún más atrás:
La IA amenaza la identidad a escala: Los LLM pueden suplantar a personas con un realismo asombroso
El fraude está aumentando rápidamente: las estafas basadas en la identidad son cada vez más difíciles de detectar y más costosas de solucionar
Los reguladores están interviniendo: desde eIDAS 2.0 en la UE hasta la evolución de los estándares en los EE. UU., las organizaciones pronto deberán verificar más y almacenar menos
Mientras tanto, los usuarios exigen privacidad, transparencia y control sobre sus identidades digitales. El cambio a una identidad verificable y controlada por el usuario no es un lujo, sino algo inevitable.
Es hora de reforzar la capa de confianza
La buena noticia: sabemos por dónde empezar. La confianza digital no es un problema de experiencia de usuario. Es un problema estructural. Y con la IA entrando en la corriente principal, necesitamos tomar más medidas para protegernos en línea.
Necesitamos dejar de modernizar los modelos antiguos y comenzar a construir sistemas de identidad que sean seguros por diseño, portátiles por defecto y verificables en cada punto de contacto.
Las credenciales digitales verificables representan más que un nuevo conjunto de características. Son la base de un nuevo tipo de confianza en línea, uno que escala, protege y se adapta.
Regístrese para recibir actualizaciones para estar al tanto y obtener más información sobre las credenciales digitales verificables.
