Nueva Zelanda ha lanzado un marco de confianza para la identidad digital, un paso crucial hacia la transformación digital del país.
Branddocs VideoID evita ataques como los últimos atribuidos al CCC – Chaos Computer Club
U
n informe de la mayor asociación de hackers de Europa, el CCC- Chaos Computer Club, en el que se aseguraba que habían burlado varios sistemas de identificación por vídeo, ha provocado la prohibición del uso de esta tecnología de reconocimiento en Alemania en el sector sanitario. Branddocs, en su compromiso con la seguridad y el respeto a la privacidad, desarrolla tecnología que impide que sus clientes sufran las consecuencias de ataques similares.
Salvar las barreras del proveedor de asistencia por vídeo de los servicios de salud alemanes y completar el registro de una ePA, o tarjeta electrónica de paciente. Esto es lo que aseguraba haber conseguido el Chaos Computer Club, en un informe publicado el pasado mes de agosto y firmado por uno de sus principales integrantes, el experto en seguridad de la información Martin Tschirsich. Esta organización, también conocida simplemente como CCC, tiene su origen en Alemania a principios de los años 80, y actualmente es la asociación de piratas éticos informáticos más importante de Europa. Su actividad se centra, según su propia página web, en la divulgación, la organización de eventos y congresos que promuevan la libertad de información.
Tschirsich aseguró en su informe que burlar el servicio de VideoID para realizar el alta de la tarjeta sanitaria fue muy fácil y barato, utilizando la combinación de diferentes fuentes de vídeo. Gracias a su operación, el CCC pudo acceder a información médica confidencial, incluyendo recetas, certificados de incapacidad, diagnósticos, etc. El ataque, considerando que se produjese tal y como describe el CCC, implicó no solo un fallo tecnológico sino también un error humano necesario, ya que el agente responsable de la verificación no analizó el documento con la suficiente profundidad.
El CCC afirmó que a partir de esta primera operación consiguió llevar a cabo variantes del ataque y saltarse los controles de hasta 6 proveedores de Video Id diferentes, en las modalidades tanto asistida como desasistida, con sencillos trucos como la combinación de distintas partes de varios documentos de identidad que se muestran ante la cámara (por ejemplo, la capa donde está la información personal con la capa donde está la foto), y forman un “nuevo” documento. El informe detallaba las distintas técnicas utilizadas y hacía referencia a brechas de datos que se detectaron durante los procedimientos, generadas por errores humanos, que permitieron el acceso a contratos de crédito y otros documentos con información privada: direcciones, fechas de nacimiento, contratos bancarios, etc. El dossier sostenía que en ningún caso dichos ataques llamaron la atención de los responsables del servicio proveedor y que, a fecha de publicación del informe, los accesos abiertos no habían sido bloqueados.
Ante la difusión de la memoria del CCC, el gobierno federal manifestó que no tenía conocimiento “de un incidente de seguridad concreto en estos momentos”, si bien Gematik, la agencia nacional para la digitalización de los sistemas de salud prohibió, en un comunicado oficial publicado un día después del lanzamiento del informe de Tschirsich, el uso de tecnología de Video Id para registros telemáticos con carácter inmediato y “hasta nuevo aviso”. Gematik abría la puerta a la reactivación de estos servicios cuando los proveedores demostrasen que sus procedimientos “ya no son susceptibles a las debilidades mostradas”. Por su parte, las Autoridad Federal de Supervisión Financiera (BaFin, por sus siglas en alemán), que supervisa unos 2700 bancos, 800 empresas de servicios de inversión y unas 700 empresas de seguros, está estudiando el caso y, de momento, no ha tomado medidas especiales.
Branddocs, en su férreo compromiso con la seguridad de sus clientes, trabaja intensa y constantemente para perfeccionar sus protocolos de seguridad. La plataforma VideoID de Branddocs impide que ataques de este tipo puedan producirse. En el caso de los descritos en el informe del CCC, se infiere que los proveedores afectados no estaban implementando los niveles de seguridad adecuados. Conscientes de que los procesos de videoidentificación pueden presentar ciertas debilidades que permitan una verificación incorrecta o una suplantación, la solución de Branddocs está edificada sobre una potente serie de medidas que refuerzan progresivamente la seguridad del sistema. Tanto en la modalidad asistida como en la desasistida, estas medidas de seguridad crean nuevas capas de protección que van aumentando la fiabilidad de la plataforma. Este proceso es lo que se conoce como “Pila de fiabilidad” o Reliability Stack. Estas medidas que se van superponiendo comienzan en una calidad mínima de flujo del vídeo, el análisis mediante Inteligencia Artificial de un documento de identidad válido, el análisis humano de la documentación aportada y las comprobaciones biométricas, pasan por las pruebas de vida y en tiempo real, para acabar con contraseñas de un solo uso, la verificación de la titularidad de la línea de teléfono móvil y la autenticación multifactor a partir de certificados digitales y credenciales verificables.
Branddocs VideoID ha desarrollado asimismo mecanismos para evitar deepfakes y Redes Generativas Antagónicas o Generatives Adversarial Networks (GANs, por sus siglas en inglés), una técnica que permite crear imágenes sintéticas que pueden parecer reales a ojos humanos. Estos mecanismos son, principalmente, la grabación de audio y vídeo durante todo el proceso de verificación sin posibilidad de manipulación, un servicio de backoffice gestionado por agentes especializados y la utilización de varias soluciones de IA y de fraude documental.
Branddocs VideoID es una plataforma segura y fiable, en continua evolución, que impide que ataques como los últimos que ha declarado el CCC haber cometido tengan lugar. En cualquier caso, conscientes de las preocupaciones que puede generar una información de este tipo, la compañía trabaja estrechamente con expertos en ciberseguridad para elaborar un extenso informe de auditoría, que estará disponible en las próximas semanas y que podrá servir de guía para incrementar las medidas de seguridad en los procesos de vídeo identificación para todos sus clientes.