Cómo crear un sistema de verificación de identidad

El primer paso para crear su sistema de verificación de identidad es establecer un método seguro para recopilar datos de identidad de sus clientes. Este proceso fundamental marca el tono de todo el sistema e influye en su precisión, seguridad y fiabilidad.

La pregunta principal es:

¿Cómo recopilar exactamente los datos necesarios para el proceso de verificación?

Existen dos vías principales para hacerlo: pedir a los usuarios que envíen sus fotos y escaneos de sus documentos de identidad, o integrar componentes especializados en su aplicación para la captura de datos en tiempo real.

Aunque este método parece sencillo, introduce un desafío importante: la falta de control sobre cómo se obtuvieron los datos. Esto se convierte en una preocupación crítica al garantizar la liveness de los documentos y la autenticidad de la persona detrás de ellos.

Cuando los datos se envían desde fuentes externas, por ejemplo, escaneos de pasaporte simplemente enviados por correo electrónico, la probabilidad de intentos de fraude aumenta significativamente. Con un editor visual, plantillas de documentos disponibles en la web y herramientas de IA, es fácil crear una imagen convincente de un documento que sea indistinguible de uno real. Es un problema que va de la mano con los avances técnicos.

Sin un entorno de captura controlado, es imposible garantizar la fiabilidad de los datos y, en consecuencia, la integridad de todo el proceso.

Este enfoque proporciona un entorno más controlado, lo que garantiza que los datos se recopilen instantáneamente mientras los usuarios los presentan. Tenga en cuenta que si necesita obtener alguna certificación oficial, por ejemplo, si debe cumplir con los requisitos de comprobación de identidad de ETSI, la captura de datos en tiempo real es una función imprescindible para usted.

Normalmente, la captura en tiempo real va de la mano con las comprobaciones de liveness. Esto significa que debe confirmar tres cosas: que su cliente es una persona real existente, que sus documentos de identidad son documentos reales (no reimpresiones editadas) y que realmente pertenecen a ese cliente.

Integrar funcionalidad de captura en tiempo real de ID y biometría facial en su app requiere planificación e implementación cuidadosas.

Para quienes prefieren hacerlo por cuenta propia, la opción más obvia sería implementar alguna funcionalidad OCR. Sin embargo, el OCR común ayuda poco cuando se trata de documentos de identidad. La razón es que los documentos de identidad contienen numerosas fuentes de datos que no son texto, como códigos de barras y chips RFID.

Además, si planea desarrollar su propio sistema de verificación de identidad internamente, es crucial considerar desde el inicio qué canales usarán sus usuarios para completar la verificación. Esto implica diseñar una estrategia y visualizar cómo funcionará su solución en web y móvil. La compatibilidad multiplataforma es muy valiosa, pero requiere recursos para desarrollarla y mantenerla.

Otro desafío radica en que no puede confiar en ningún resultado de verificación obtenido en el dispositivo de un usuario. Como está fuera de su control directo, es demasiado fácil manipular los resultados de verificación y, por lo tanto, comprometer todo el proceso.

Por eso deberá garantizar el transporte seguro de datos desde el dispositivo del usuario hasta su backend, donde luego serán procesados. Esto tampoco es una tarea sencilla, ya que necesita proteger los datos durante el tránsito y mitigar el riesgo de interceptación.

También deberá pensar en los escenarios de verificación para distintos tipos de documentos de identidad: los que tienen un chip electrónico y los que no.

Si sus usuarios envían documentos electrónicos (eMRTD), como pasaportes y tarjetas de identidad con un chip RFID integrado, se gestionará todo el proceso de verificación, desde verificar hasta volver a verificar los datos del chip.

En ausencia de un chip, los pasos de procesamiento en el backend se vuelven más complejos. Las medidas dinámicas de protección del documento y las comprobaciones de liveness pasan a primer plano. También es vital recopilar metadatos sobre el envío del documento por parte del usuario: detalles como dónde y cuándo se capturó el documento, el número de intentos realizados y las interacciones históricas con el sistema.

Una vez recopilados los datos de identidad, la decisión clave de almacenarlos o descartarlos pasa al centro de la escena. Esto implica establecer una infraestructura de base de datos robusta, políticas de almacenamiento y consideraciones geográficas para garantizar cumplimiento, seguridad y accesibilidad global sin fricciones.

La ubicación geográfica de su empresa y de sus clientes desempeña aquí un papel fundamental. Distintas regiones tienen leyes y regulaciones de protección de datos diferentes, como el GDPR en Europa o la CCPA en California. Si su negocio atiende a usuarios de diversas ubicaciones, deberá abordar dos preocupaciones importantes:

• Optimización del rendimiento: la distribución geográfica de instancias de bases de datos mejora los tiempos de respuesta para los usuarios que acceden al sistema desde distintas partes del mundo. Esto garantiza una experiencia fluida y eficiente, un factor crítico para la satisfacción del usuario.

• Cumplimiento de residencia de datos: ciertas regiones exigen que los datos de sus residentes se almacenen y procesen dentro de sus límites geográficos. Al establecer instancias en distintas regiones, evitará posibles infracciones y complicaciones legales relacionadas con los requisitos de residencia de datos.

Distribuir estratégicamente las instancias de bases de datos mitiga estos riesgos, garantizando un equilibrio armonioso entre eficiencia y cumplimiento.

Los documentos de identidad, como licencias de conducir y pasaportes, se actualizan regularmente con nuevas medidas de seguridad para mantenerse por delante de los falsificadores. La otra cara de esto es que mantener su sistema actualizado también representa un desafío.

Para abordarlo, debería establecer un proceso para actualizar regularmente su sistema con la información más reciente sobre nuevos IDs y reconocer las medidas de seguridad más recientes.

En esta área en particular, cualquier tipo de enfoque DIY difícilmente es posible. El proceso suele implicar cooperación con agencias gubernamentales u organizaciones de terceros que puedan proporcionar las actualizaciones y la información necesarias.

Crear un sistema interno de verificación de identidad no es una tarea de una sola vez. Requiere monitoreo continuo y mejora constante para seguir siendo efectivo y seguro.

Una de las tareas más desafiantes en este paso es establecer umbrales y ajustar los marcos de decisión usados para categorizar los resultados de verificación.

Todos los resultados pueden dividirse en tres grupos convencionales:

• Auténtico — Todas las comprobaciones se han superado y no hay necesidad de revisar manualmente el caso.

• Falso — Alguna comprobación sensible ha fallado y no tiene mucho sentido volver a comprobarlo manualmente.

• No seguro — Todo lo que queda en medio, cuando el sistema no puede estar 100% seguro de si el resultado es auténtico o falso. Estos casos requieren revisión manual.

Un sistema de IDV adecuado debería darle capacidades para gestionar este proceso. Puede presentarse como un panel de operador donde estos intentos “no seguros” se envían para inspección manual adicional, lo que permite agilizar este proceso.

Además, algún tipo de recurso de referencia para los operadores encargados de la revisión sería de gran ayuda. También resulta útil cuando su sistema puede realizar una comprobación rápida para ver si alguien más usó antes la misma foto o envió los mismos documentos, pero con la foto de otra persona.

Este paso no es específico de la verificación de identidad, sino más bien habitual para la mayoría de las soluciones de IT. En un mundo donde un millón de usuarios puede inundar su sistema en cualquier momento, la escalabilidad es importante para la fiabilidad de cualquier sistema de IDV, no menos que los mecanismos de autenticación.

El desafío no está solo en escalar, sino en hacerlo con criterio.

Idealmente, necesita asignar recursos dinámicamente según la demanda, escalando hacia arriba o hacia abajo según sea necesario. Esto implica introducir reglas inteligentes de escalado basadas en parámetros como la carga de CPU, o incluso preparar instancias de forma proactiva antes de picos de tráfico esperados. El objetivo es garantizar un rendimiento óptimo durante las horas de uso máximo, pero evitar gastos innecesarios durante los periodos más tranquilos.

Si opera globalmente, también necesita distribuir su sistema entre regiones para minimizar retrasos para los usuarios que acceden a los servicios desde distintas partes del mundo.

Dicen que si quiere ir rápido, vaya solo. Pero este es un mal consejo cuando se trata de implementar verificación de identidad. Al ser una tarea de alto impacto, la verificación de identidad requiere un conjunto de habilidades único y una experiencia profunda en campos especializados, como la forensia documental y las comprobaciones biométricas. Por eso creemos que elegir un socio confiable que ya conozca el campo a fondo es clave para el éxito.

Si trata la verificación de identidad como algo más que una simple casilla por marcar, busque un proveedor confiable de SDK o API con un historial comprobado en verificación de identidad. Esta elección puede ayudarle a evitar distintos riesgos, desde no tener que ponerse al día manualmente con una gran cantidad de datos hasta detectar impostores y otros tipos de fraude de identidad.

Otro beneficio de optar por una solución lista para usar es la compatibilidad multiplataforma. Esto significa que puede evitar gastos adicionales asociados con el desarrollo de soluciones separadas para plataformas web y móviles.

Si desea saber más sobre cómo puede crear un proceso de verificación de identidad con Regula y qué lo convierte en un cambio decisivo, póngase en contacto con nosotros hoy y agende una demo personalizada.