El pasado año el Departamento de Comercio de EEUU anunció tres programas piloto como apoyo a la Estrategia Nacional de Identidades de Confianza en el Ciberespacio (NSTIC). Se distribuyen $3 millones en subvenciones entre tres beneficiarios – MorphoTrust, Confyrm y GSMA – ya que estos desarrollan programas pilotos de soluciones explorando dispositivos móviles en lugar de contraseñas para la autenticación en línea, minimización de pérdidas por robo de identidad, y mejoras en el acceso a servicios estatales. Esta es la tercera ronda de programas pilotos NSTIC, con siete premiados en 2013 y cinco en 2012.

MorphoTrust: Fuerte identidad para residentes de Carolina del Norte

Mediante su reciente subvención, MorphoTrust está creando una identificación electrónica para ayudar a los ciudadanos de Carolina del Norte a acceder a servicios en línea.

El objetivo es autenticar la identidad en línea con la misma seguridad y protección a la privacidad que existe en las transacciones en persona, utilizando una identificación virtual que es confiable, económica y fácilmente disponible, como lo es una licencia de conducir.

Cuarenta y dos estados utilizan soluciones MorphoTrust para los programas de licencias de conducir y credenciales estatales de identificación. Esa firma también provee soluciones de reconocimiento facial, huellas digitales e iris para el gobierno federal. Su división de servicios de inscripción registra personas a nivel de todo el país para una diversidad de programas, incluyendo TWIC (Credencial de Identificación de Trabajador del Transporte).

El programa piloto NSTIC de MorphoTrust tuvo su origen en una serie de problemas específicos que la compañía consideró podía resolver.

“Pensamos que podíamos ayudar a verificar que las personas son quienes dicen ser en línea”, explica Mark DiFraia, director senior de estrategia de soluciones en MorphoTrust. “Si el problema puede aliviarse, obviamente ha de reducirse el riesgo asociado con las transacciones en línea, pero además puede abrir las puertas para muchas más cosas que es posible lograr en línea”.

La propuesta de MorphoTrust tiene tres objetivos principales:

• Demostrar que puede crearse una identificación electrónica que goce de la confianza de una credencial segura y que pueda utilizarse para eliminar los requerimientos de verificación de una comprobación de identidad en persona.

• Demostrar la elevación de la confianza mediante el uso de autenticación biométrica multifactor

*Definir un esquema mediante el cual las entidades estatales y comerciales pueden confiar en cada identificación electrónica en sus transacciones

El programa piloto de dos años de duración y con un valor de $1.5 millones, será desarrollado en colaboración con el Departamento de Transporte, y el Departamento de Salud y Servicios Humanos de Carolina del Norte. Otros asociados en el programa son el Centro de Identidad de la Universidad de Texas en Austin, Gluu, Toopher, miiCard y la ingeniera en privacidad Debra Diener. El programa emitirá una identidad electrónica a los residentes de Carolina del Norte cuando reciban su licencia de conducir, dice James Varga, director general y fundador de miiCard, un servicio de identidad en línea. “MiiCard no es una tarjeta física, es una tarjeta digital. Piensen en ella como un pasaporte digital o una versión virtual de su licencia de conducir que usarían en la misma forma en que utilizan una cuenta de Facebook o LinkedIn para conectarse a un sitio”, explica Varga. “Como usuario de miiCard, usted puede decidir qué quiere compartir y qué no. Ese es uno de los principales objetivos para nosotros: volver a situar a los consumidores en control de su identidad”.

Una meta es probar que la identidad que los usuarios de Salud y Servicios Humanos tienen en línea puede extenderse para casos de uso comercial común. “Entonces todos los que participan en la comunidad en línea pueden ver cómo esos tipos de identidades de confianza pueden ser aprovechados para una amplia variedad de usos”, señala DiFraia.

La participación en programas de licencia de conducir en todo el país es posiblemente una razón para el triunfo del programa piloto, opina DiFraia. “Además, estamos resolviendo un problema muy real en Carolina del Norte ayudando a que las personas puedan entrar en línea, a través de nuevos canales, al programa de Servicios de Alimentos y Nutrición del Departamento de Salud y Servicios Humanos”, añade. “Si podemos demostrar que este canal es viable y seguro, esto aporta un nuevo nivel de eficiencia”.

Si el programa piloto tiene éxito, DiFraia dice que probablemente se ampliará hacia otras agencias de Carolina del Norte, otros estados y al sector comercial.

“Permite que el gobierno utilice de manera segura las identidades fuertes para solucionar problemas propios”, señala DiFraia. ”Y le proporciona al consumidor el control del token de identidad en línea, que es altamente confiable”.

“El proyecto tiene la oportunidad de irrumpir en un umbral de confianza que hasta el momento ha sido elusivo en el mundo en línea”, expresa DiFraia. “Estamos esperanzados en que podamos tener ese tipo de impacto trascendental sobre el modo en que la gente hará los negocios en Internet en el futuro”.

Confyrm: Evitando las pérdidas ocasionadas por apropiación fraudulenta de cuentas

La firma británica de identidad Confyrm, a los dos años de creada ya está teniendo un gran impacto como ganadora en la tercera ronda de subvenciones de NSTIC.

Confyrm recibió $2.4 millones para trabajar en mostrar vías para minimizar las pérdidas cuando los delincuentes crean cuentas falsas o toman control de cuentas en línea. Una barrera importante para la identidad federal – en la que un proveedor de identidad avala a un individuo en otros sitios – es la preocupación de que las cuentas usadas puedan no ser legítimas o que no estén bajo el control de su verdadero dueño.

Los compromisos de las cuentas y el consecuente abuso de la identidad, suelen resultar en la destrucción de información personal, daño a la reputación individual y pérdida financiera. Confyrm ha de mostrar cómo un modelo de “señales compartidas” puede mitigar el impacto de las apropiaciones fraudulentas de las cuentas mediante una temprana detección y notificación del fraude, señala Andrew Nash, fundador y director general de Confyrm.

Nash dice que ya están creadas a nivel de prototipo la infraestructura, el software y las tecnologías fundamentales. El dinero de la subvención se utilizará para mostrar cómo las compañías y los consumidores pueden minimizar las pérdidas ocasionadas por la apropiación fraudulenta de cuentas o creación de cuentas falsas por parte de delincuentes.

“Tienes que pulsar la tecla de restablecimiento de contraseña para regresar a tu cuenta financiera en línea”, explica Nash. “La dirección de email o la dirección de SMS que está registrada para ti, asociada con esa cuenta, se utiliza como un canal de comunicación de confianza”.

Cuando hace clic en el enlace incluido en ese mensaje, el usuario regresa al sitio, proporcionando un nivel de confianza muy alto de que el usuario es el dueño de la cuenta.

“Todo esto funciona bien hasta el punto en que la cuenta de email ha sido afectada. Si alguien más está en control de su cuenta de email, la persona que le da a la tecla de restablecimiento de contraseña es también la persona que está a punto de ganar control sobre la cuenta financiera”, señala Nash. “Estamos creando un mecanismo compartido para pasar información sobre cuentas entre varios participantes para detectar estos tipos de problemas”.

Confyrm no está revelando aún información sobre su media docena de socios en este proyecto piloto. Pero sí se conoce que la compañía está trabajando con un proveedor de correo electrónico, un operador móvil y múltiples sitios de comercio electrónico. “Estamos conformando una serie de casos de uso para ver cómo podemos compartir información entre estos participantes”, explica Nash.

La intención es mantener control de los detalles sobre quién publica el evento en privado con el fin de hacer que los participantes se sientan cómodos compartiendo información. Es esencial asegurar que la privacidad del usuario se preserve y se mantenga separada de la comunicación, porque no hay forma de estar seguro si el usuario es el verdadero dueño de la cuenta o un estafador.

Una de las primeras entregas de la compañía fue un libro blanco para Open Identity Exchange (OIX) titulado “El modelo compartido de señales”.

“Hemos estado trabajando en base a ese modelo para proponer mecanismos concretos y discutir acerca de la forma en que puede compartirse la información de identidad entre los participantes, de manera que permita que las partes comprendan lo que está pasando en todo el ecosistema”, explica Nash.

Como Confyrm trabajó en proyectos de descubrimiento con el gobierno británico, este Modelo Compartido de Señales se mantuvo como parte del concepto de intercambio de tecnología entre gobiernos, señala. Explica que a las personas de NSTIC le llamó la atención y estimularon a Confyrm a que solicitara la subvención para el programa piloto.

“Inicialmente estuve un poco reticente”, expresa, porque sabían que la solicitud de subvención sería un complejo procedimiento. Pero ahora afirma que eso representa una oportunidad para producir cambios en el mundo real.

Él da otro ejemplo de ese cambio en el mundo real.

“Imagine que usted ha utilizado un proveedor de identidad y usted decide cambiar su contraseña con ese proveedor, pero aún le quedan sesiones abiertas con otras partes confiantes”, dice Nash. “De momento no hay forma de informarle a las partes confiantes que se ha producido un restablecimiento de contraseña y que deben poner fin a esas sesiones y restablecerlas”.

Es crucial asegurar que todas las partes estén conscientes del cambio. “Algo que ocurra en Apple puede en última instancia afectar su cuenta de Twitter en términos de toma de control”, explica Nash. “De modo que poder compartir esa información para evitar esos tipos de ataques en cascada, es realmente útil”.

Nash dice que los socios están entusiasmados por el potencial de tener un impacto trascendental en mejorar la confianza y los mecanismos de privacidad en el espacio de la identidad. “Necesitamos lograr que esto se convierta en una realidad operacional”, expresa. “Tenemos muchísimo que aprender, pero pensamos que hemos alcanzado algunos puntos de partida excelentes”.

GSMA: Uniendo a los operadores de EEUU en un esquema de identidad móvil

GSMA se ha asociado con los cuatro principales operadores de red móvil de Estados Unidos con vistas a probar un enfoque común – interoperable para los cuatro operadores – que permitirá que los consumidores y los negocios utilicen dispositivos móviles para una gestión segura de identidad y acceso, que habrá de fortalecer la privacidad.

La iniciativa global Mobile Connect Initiative de GSMA es la base para el programa piloto. La iniciativa será fortalecida en los EEUU para ponerla en sintonía con NSTIC. Al hacer posible que cualquier organización acepte fácilmente las soluciones de identidad de cualquiera de los cuatro operadores, la solución reduciría importantes obstáculos para que los proveedores de servicios en línea puedan aceptar credenciales basadas en móviles. GSMA también desarrollará interfaz de usuario, experiencia de usuario, soluciones para los desafíos en cuanto a seguridad y privacidad, todo ello con el criterio de lograr soluciones de fácil empleo para los consumidores.

Al cierre de esta edición, la GSMA no tenía posibilidades de proporcionar más detalles sobre el programa piloto.