Una mirada profunda a la verificación electrónica de identidad (eIDV)

Hoy en día, la experiencia del cliente que implica girar el rostro frente a la cámara de su teléfono o tomarle una foto a su documento de identidad es más común que nunca. La verificación electrónica de identidad (eIDV) está ganando terreno, pero aún está lejos de una adopción universal. Según una encuesta de 2024 encargada por Regula, el 46 % de las empresas en todo el mundo todavía verifica las identificaciones de manera manual, incluso en escenarios de incorporación remota,por ejemplo, mediante videollamadas o revisiones humanas de documentos escaneados.

Es evidente que estamos en una fase de transición: aunque la tecnología eIDV ya está disponible, no todas las organizaciones confían plenamente en ella o la han integrado por completo. Y la propia tecnología, aunque avanzada, aún no es perfecta, si es que alguna vez lo será.

Pero, ¿qué es exactamente esta tecnología? ¿Qué la hace funcionar y por qué está reemplazando de forma constante a la verificación de identidad tradicional? En este artículo responderemos esas preguntas y más, con un análisis detallado de la naturaleza de la eIDV, sus componentes y las novedades más recientes en la industria.

La verificación electrónica de identidad puede entenderse como una evolución de los controles tradicionales de identificación, ya que emplea software y dispositivos en lugar de personas para validar documentos de identidad y datos personales. Un sistema eIDV completo hoy en día suele incluir tanto la verificación de documentos de identidad como la verificación biométrica.

Verificación de documentos: revisa la autenticidad del documento. Con la ayuda de software como Regula Document Reader SDK, el sistema puede reconocer automáticamente el tipo de documento y el país de emisión, verificar si es un documento real y físicamente presente, leer sus datos (incluyendo el chip RFID de pasaportes o tarjetas de identidad) y detectar anomalías o signos de manipulación.

Verificación biométrica: se centra en la persona, confirmando que quien presenta el documento está vivo y que corresponde al titular del documento. Usualmente involucra tecnología de reconocimiento de rostros que compara una selfie en vivo con la foto del documento. Cada vez más, también se utilizan huellas dactilares o biometría de iris como capa adicional de seguridad.

La verificación tradicional consiste en que una persona inspeccione un documento físico, revisando elementos de seguridad (hologramas, marcas de agua, etc.) y comparando la foto con el titular. Cada año, este método pierde terreno frente a los procesos automatizados, que ofrecen ventajas claras:

• Mayor eficiencia: los procesos electrónicos verifican documentos en segundos, mientras que la revisión manual puede tardar minutos por cliente. Por ejemplo, leer un pasaporte con chip RFID mediante NFC es casi instantáneo, lo que permite que puertas automáticas en aeropuertos agilicen el paso mucho más que un oficial humano.

• Lectura completa de elementos de DNIs modernos: Hoy en día, cada vez hay más eIDs e identificaciones digitales en circulación que usan protecciones criptográficas que la inspección manual no puede validar. Un humano puede detectar un documento falso por apariencia, pero un servicio eIDV valida de forma definitiva los datos del chip contra las firmas de la autoridad emisora.

• Comparación biométrica precisa: las comprobaciones tradicionales se basan en el criterio de una persona para comparar la foto del documento de identidad con el rostro del titular. La verificación electrónica de la identidad puede realizar una comparación biométrica automatizada para comparar una selfie en vivo del titular con la foto almacenada en el chip del documento. Algunos eIDs también contienen huellas dactilares o datos del iris que pueden ser comparados por lectores autorizados, algo que no se puede hacer solo con una inspección visual.

• Verificación remota: El eIDV permite la verificación remota de la identidad: las empresas pueden verificar la identidad de un cliente en línea pidiéndole que suba escaneos o utilice una aplicación móvil para leer su documento, sin necesidad de estar físicamente presente. Ahora, las personas pueden autenticarse desde casa escaneando un documento de identidad electrónico y dejando que el sistema realice una verificación de identidad electrónica en bases de datos y registros de chips.

• Mayor seguridad: Las implementaciones de eIDV suelen adoptar un modelo de seguridad de confianza cero, lo que significa que los datos leídos desde los dispositivos de los usuarios no se consideran automáticamente fiables. En su lugar, todas las comprobaciones de autenticidad críticas (verificación del chip RFID y validación de la firma criptográfica) se repiten en servidores backend seguros.

El potencial de la eIDV se aprovecha al máximo cuando se necesita autenticar formas modernas de documentos de identidad. Con “documentos modernos” nos referimos a aquellos que dependen de seguridad criptográfica: pueden ser físicos (ePassports, eIDs) o digitales (licencias de conducir móviles, IDs digitales, credenciales de viaje digitales).

Veamos qué es lo que hace funcionar a la eIDV.

La mayoría de los documentos electrónicos incorporan un chip RFID sin contacto que almacena los datos personales y biométricos del titular. Por ejemplo, el chip de un pasaporte electrónico contiene la misma información impresa en el pasaporte (nombre, fecha de nacimiento, número de pasaporte, etc.) y datos adicionales como una foto digitalizada del pasaporte y, en muchos casos, huellas digitales. Estos chips cumplen con estándares internacionales (OACI Doc 9303 para pasaportes e ISO 18013 para licencias de conducir) y se comunican mediante NFC a una frecuencia de 13.56 MHz.

Esto es muy importante, ya que permite establecer diferentes niveles de acceso: cualquiera que verifique una identificación puede leer la información básica y la foto, pero solo las autoridades fronterizas pueden acceder a las huellas digitales en el chip.

Además de los chips RFID, un sistema eIDV suele escanear la zona legible por máquina (MRZ) impresa en el documento—las dos o tres líneas de texto con separadores en forma de chevron (<<) visibles en pasaportes y tarjetas de identidad. La MRZ cumple dos propósitos cruciales: proveer los datos básicos de identidad en forma óptica y derivar las claves de acceso al chip. Escanear la MRZ con una cámara o un OCR permite obtener información como el número del documento, el nombre del titular, la fecha de nacimiento y una suma de verificación de la MRZ. Más importante aún, en el caso de los pasaportes electrónicos, los datos de la MRZ se usan para calcular las claves de cifrado necesarias para comunicarse con el chip RFID. Esto constituye la base del protocolo de Control de Acceso Básico (BAC), nuestro siguiente tema.

Antes de que un chip RFID comparta cualquier dato personal, el lector debe establecer un canal seguro. En sus primeras implementaciones, los documentos electrónicos utilizaron el Control de Acceso Básico (BAC) para cumplir con este propósito. En el BAC, la clave para desbloquear el chip se deriva del texto impreso en la MRZ del documento. La lógica es simple: si Usted tiene el documento físicamente (y puede leer la MRZ impresa), entonces puede acceder al chip, lo cual ayuda a probar que el documento está presente y no es solo una copia interceptada. Una vez que el lector calcula la clave a partir de la MRZ y abre con éxito una sesión segura, se puede leer la información del chip.

Sin embargo, el BAC tiene limitaciones: utiliza criptografía simétrica y claves relativamente cortas, lo que lo hace vulnerable si alguien puede adivinar o forzar la clave derivada de la MRZ. Por eso, los documentos más nuevos han adoptado el Establecimiento de Conexión Autenticada por Contraseña (PACE, por sus siglas en inglés). PACE es un protocolo mejorado que utiliza criptografía asimétrica más fuerte, pero sigue basándose en algo conocido por el portador (los datos de la MRZ o un código impreso más corto llamado Número de Acceso a la Tarjeta, CAN) para establecer la conexión.

Leer los datos del chip es solo la mitad del proceso de verificación electrónica de identidad: el siguiente paso es confirmar la autenticidad de esa información. Todos los datos del chip de un documento electrónico están firmados digitalmente por la autoridad emisora, por lo que se crea un archivo de Objeto de Seguridad del Documento (SOD) en el chip que contiene la firma y los hashes (sumas de control) de todos los grupos de datos.

El firmado se realiza con la ayuda de dos certificados críticos: el certificado de Firmante de Documento (DS) y el certificado de Autoridad de Certificación de Firma del País (CSCA). Cada país tiene su propia CSCA confiable que emite el certificado DS, el cual luego se usa para firmar digitalmente el SOD durante la emisión.

La Autenticación Pasiva es el proceso de validar la firma para confirmar que los datos en el chip no han sido alterados y provienen efectivamente de una fuente legítima. El software recalcula los hashes de cada grupo de datos (DG1, DG2, etc.) y los compara con los almacenados en el SOD. Después, verifica la firma del SOD con la clave pública del DS, la cual a su vez se valida contra el certificado CSCA confiable.

Aunque la autenticación pasiva asegura la integridad de los datos, no garantiza por sí misma que el chip sea original. Por eso los eIDs también incorporan la Autenticación Activa como mecanismo anti-clonación. Esto implica que el chip pruebe su unicidad mediante una prueba de desafío-respuesta. Durante la Autenticación Activa, el lector envía un desafío aleatorio al chip, que debe firmarlo con una clave privada almacenada internamente y nunca expuesta. El lector entonces verifica esa firma contra la clave pública del chip.

Más aún, un mecanismo más nuevo llamado Autenticación de Chip está reemplazando a la Autenticación Activa en muchos eIDs. La Autenticación de Chip va más allá: no solo detecta clonaciones, sino que también establece una nueva clave de sesión para un intercambio de información más seguro.

Por último, pero no menos importante, la comparación biométrica es una parte fundamental de la eIDV cuando el objetivo es confirmar que el verdadero titular del documento está presente. La biometría más común utilizada es la imagen facial: los eIDs almacenan una foto digital de alta calidad (a menudo en formato JPEG2000) en el chip RFID.

A la persona que se somete a la verificación se le pide que proporcione una captura facial en vivo, ya sea mirando a la cámara en una puerta automatizada o usando su teléfono para tomarse una selfie. El sistema luego realiza un reconocimiento de rostros entre la captura en vivo y la foto almacenada en el chip, para garantizar que se trata de la misma persona. Las soluciones más avanzadas, como Regula Face SDK, también incorporan prueba de vida durante este paso, lo que significa que verifican que la imagen provenga efectivamente de una persona real presente en ese momento (y no de una foto del documento ni de una reproducción en pantalla).

Para ilustrar un flujo típico de verificación electrónica de identidad, podemos usar como ejemplo la incorporación remota de un cliente mediante un pasaporte electrónico (ePassport):

1. Captura del documento:
   El usuario escanea la MRZ de su pasaporte con la cámara de su teléfono o ingresa los datos del pasaporte. La solución eIDV lee la MRZ para derivar la clave de acceso al chip y establecer un canal de comunicación seguro (mediante BAC o PACE). Alternativamente, algunos documentos utilizan un Número de Acceso a la Tarjeta (CAN) impreso por separado en el documento, que también puede escanearse con ese propósito.

2. Lectura del chip:
   El usuario acerca el pasaporte a su teléfono (o utiliza un lector externo). La aplicación establece una conexión segura con el chip RFID utilizando protocolos BAC o PACE, evitando cualquier intento de interceptación. Luego se leen los datos del chip (información personal, foto, etc.).

3. Autenticación pasiva:
   La solución ejecuta la Autenticación pasiva, verificando la firma del archivo SOD y los hashes con las claves públicas de la autoridad emisora. Esto confirma que los datos no han sido modificados.

4. Autenticación Activa / de Chip:
   La solución comprueba que el chip no esté clonado realizando una prueba de Autenticación Activa o un intercambio de Autenticación de Chip (si es compatible). Una coincidencia indica que el chip es original y que los datos son genuinos.

5. Comprobación biométrica:
   Se le solicita al usuario tomarse una selfie. El sistema compara el rostro en vivo con la foto almacenada en el chip (después de ejecutar la prueba de vida). Si la comparación de rostros arroja un alto nivel de confianza, se confirma que la persona es el titular del documento.

6. Resultado de la verificación:
   Si todas las comprobaciones se superan—el documento es auténtico y válido, y los datos biométricos coinciden—la identidad queda verificada. Si alguna comprobación falla (por ejemplo, una firma de chip incorrecta o un desajuste facial), el proceso se detiene o se marca para revisión manual. Para mayor seguridad, todos los datos de verificación capturados también pueden transmitirse a un servidor backend. Allí, pueden procesarse de nuevo para confirmar que los datos no se han modificado en ningún momento en el lado del cliente.

La verificación electrónica de identidad está pasando rápidamente de ser una tecnología de nicho a convertirse en una parte esencial de los negocios modernos—y estamos viendo cómo el mundo se transforma a su alrededor. En los últimos años han surgido nuevos conceptos de identificación, marcos regulatorios y lineamientos de la industria que pronto serán comunes.

En lo que respecta a documentos de viaje como los pasaportes electrónicos (ePassports), el estándar de oro lo establece el Doc 9303 de la OACI, que define las especificaciones para documentos de viaje legibles por máquina (MRTD), incluyendo el formato de datos de los chips, la infraestructura de clave pública (PKI) para firmas de pasaportes y los protocolos de seguridad requeridos.

Sobre esa base, la OACI y los gobiernos nacionales están explorando las Credenciales de Viaje Digitales (DTC) como complemento o eventual reemplazo de los pasaportes físicos. En 2023–2024, la OACI publicó especificaciones para diferentes tipos de DTC:

• Tipo 1: permite que los viajeros generen un clon digital de su pasaporte en su teléfono extrayendo los datos del chip del pasaporte físico (con la condición de que el documento físico aún debe llevarse como respaldo).

• Tipo 2 y Tipo 3: implican la emisión de un pasaporte digital por parte de las autoridades, siendo el Tipo 3 un pasaporte totalmente digital que podría, algún día, eliminar la necesidad del cuadernillo físico.

Se ha informado que las pruebas para los DTC Tipo 1, 2 y 3 están en marcha; sin embargo, los resultados variados sugieren que un escenario de viajes completamente sin pasaporte físico aún no está en el horizonte de los próximos años.

De manera similar, otra tendencia importante es la creciente presencia de credenciales de identidad digital más allá del ámbito de los viajes. Con un ID digital a su disposición, un usuario puede simplemente compartir un código QR o una prueba criptográfica desde su teléfono para prácticamente cualquier procedimiento de verificación de identidad.

Esta tendencia se ha acelerado con iniciativas como el nuevo Marco de Identidad Digital de la Unión Europea (eIDAS 2.0). El reglamento actualizado de la UE entró en vigor en mayo de 2024 y exige que todos los estados miembros proporcionen a ciudadanos y residentes una billetera de identidad digital europea (una aplicación móvil para ID digital oficial) antes de 2026. Estas billeteras permitirán a las personas identificarse ante servicios públicos y privados en toda Europa, así como almacenar y compartir documentos electrónicos (por ejemplo, diplomas o licencias) de manera segura. Muchos otros países en todo el mundo también están lanzando o ampliando programas de identidad digital, desde aplicaciones nacionales de ID en smartphones hasta licencias de conducir móviles (mDLs) emitidas por el estado en Estados Unidos.

Para las empresas, esto significa un futuro en el que más clientes presentarán una credencial digital en lugar de un documento en papel o plástico. La diferencia clave aquí es que la verificación de un ID digital puede depender menos de la inspección forense del documento y más de la validación criptográfica: comprobar que la credencial fue emitida por una autoridad confiable y que no ha sido revocada ni manipulada.

Estados Unidos, a través del NIST, publica las influyentes Directrices de Identidad Digital (SP 800-63), que impactan la manera en que gobiernos e industrias abordan la verificación electrónica de identidad (eIDV).

Entre 2023 y 2024, el NIST actualizó estas directrices a la Revisión 4, con cambios notables para adaptarse a la verificación remota de identidad y a nuevas tecnologías como IDs móviles y billeteras digitales. Por ejemplo, se añadieron recomendaciones sobre cómo confiar en credenciales de billeteras digitales (en SP 800-63C para identidad federada) y sobre el uso combinado de comprobaciones de autenticidad de documentos junto con comparación biométrica para alcanzar un alto nivel de confianza en escenarios remotos.

En general, el aspecto más relevante de las guías del NIST es desalentar la dependencia exclusiva de un solo método. Una correspondencia de selfie en vivo por sí sola podría no ser suficiente; la combinación de autenticación documental con verificación biométrica de la persona es el método preferido. Aunque las guías del NIST no son leyes, se sabe que influyen de manera significativa en las mejores prácticas y en los requisitos regulatorios.

Es probable que en los próximos años la verificación electrónica de identidad se vuelva aún más común. Con regulaciones como eIDAS 2.0 impulsando billeteras digitales y el despliegue de licencias de conducir móviles y credenciales digitales de viaje, las personas tendrán opciones más convenientes para identificarse electrónicamente.

Regula se enorgullece de ser parte de esta innovación, ofreciendo soluciones integrales de eIDV para todas las organizaciones, combinando forensia documental, lectura de chips y reconocimiento de rostros.

Regula Document Reader SDK procesa imágenes de documentos y verifica su presencia real (comprobación liveness de documento) y autenticidad. El software identifica el tipo de documento, extrae toda la información necesaria y confirma si el documento es genuino. Además, el SDK aprovecha la verificación móvil NFC y la verificación completa del lado del servidor para confirmar la autenticidad del chip RFID.

Regula Face SDK realiza reconocimiento de rostros instantáneo y previene ataques de presentación fraudulentos, como el uso de imágenes estáticas del rostro, fotos impresas, reproducción de videos, inyecciones de video o máscaras.

Regula cuenta con una base de datos de más de 15,000 documentos de identidad de 251 países y territorios, lo que permite que sus soluciones admitan muchos eIDs y IDs digitales conocidos. También ofrece el servicio único NFC TestKit, que proporciona muestras de ID con chips NFC para pruebas más eficientes y tiempos de lanzamiento al mercado más cortos.

Impulsemos el futuro. Llámenos para conocer nuestras soluciones.