¿Qué es la tecnología de validación de documentos de identidad (IDVT)? Una explicación breve

La tecnología de validación de documentos de identidad es el instrumento utilizado para establecer la autenticidad de los documentos presentados con fines de verificación de identidad. Por lo general, combina un dispositivo de captura (una cámara de teléfono inteligente, una cámara web o un lector dedicado) con un software que verifica y compara los datos personales de la zona visual, el MRZ y el NFC, comprueba los patrones del documento y las características de seguridad, y luego agrega los resultados para emitir una decisión.

Esta operación es importante porque constituye la base de muchos de los procedimientos de verificación de identidad actuales. Cada vez que un usuario envía una fotografía de un documento, como un pasaporte, una tarjeta de identidad o una licencia de conducir, el servicio debe validarlo antes de continuar con el siguiente paso del proceso de incorporación. Sin esta tecnología, que es completamente automatizada, los equipos dependerían en gran medida de la verificación manual o asumirían más riesgos de los que perciben.

Una verificación IDVT se entiende mejor como un proceso en etapas. Cada paso produce determinadas señales, y el resultado final es una decisión con evidencia de respaldo que puede revisarse posteriormente.

La captura es el punto donde muchas verificaciones pueden fallar, y no siempre porque el documento sea falso, sino porque la imagen no es utilizable. El reflejo en el laminado, el desenfoque, la oclusión y los bordes recortados pueden hacer que la entrada sea "débil", lo que a su vez hará que cada paso posterior sea poco confiable; por ello, la mayoría de los sistemas IDVT solicitarán volver a capturar la imagen en estos casos.

También vale la pena mencionar que existen dos estilos de captura diferenciables:

• Captura pasiva: el usuario envía una imagen fija (o un escaneo básico) y el sistema trabaja con lo que recibe.

• Captura activa: el proceso solicita al usuario que realice alguna acción que aporte más evidencia, como inclinar el documento, cambiar la distancia o grabar un breve segmento de video. La captura activa se utiliza frecuentemente cuando el objetivo incluye verificar la prueba de vida y los elementos de seguridad dinámicos que se comportan de manera diferente al cambiar el ángulo.

Una vez que la imagen capturada parece utilizable, el sistema identifica el tipo de documento: país, serie, diseño y características que debería tener. Esto es importante porque los diseños de documentos cambian con frecuencia, y diferentes series pueden tener distintos conjuntos de características de seguridad incluso dentro del mismo país y categoría de documento.

Un motor IDVT típico compara la imagen enviada con una biblioteca de plantillas; y cuanto más precisa sea la coincidencia, más exactas podrán ser las verificaciones. Para las verificaciones de identidad internacionales, este paso es uno de los factores determinantes más importantes de la fiabilidad.

Por ejemplo, el SDK Regula Document Reader utiliza la biblioteca más grande del mundo de este tipo, con más de 16,000 plantillas de documentos de 254 países y territorios.

La extracción obtiene los datos de identidad de las zonas y canales disponibles: la zona de inspección visual (campos impresos), el MRZ, los códigos de barras y, cuando están disponibles, los chips RFID.

El punto clave no es la extracción en sí, sino la verificación cruzada. Ahí es donde la validación de documentos de identidad realmente entra en acción:

• Si los dígitos de verificación del MRZ fallan, puede ser un problema de captura, pero también puede ser una señal de manipulación.

• Si los datos del código de barras entran en conflicto con lo que está impreso, la evidencia del documento es inconsistente.

• Si los datos del chip no coinciden con los detalles impresos, se trata de una discrepancia de alto impacto.

Gran parte del fraude remoto no es necesariamente una falsificación, sino un ataque de presentación: un escaneo impreso, una reproducción en pantalla, o un flujo de video o imagen inyectado. Por eso, algunos flujos de trabajo de IDVT incluyen verificaciones de tipo prueba de vida en el lado del documento, orientadas a confirmar que se está presentando un documento físico durante la captura.

Por muy buena que sea la automatización, algunos casos serán inciertos: series de documentos poco frecuentes, calidad de captura en el límite o señales contradictorias. Por eso, muchos sistemas combinan los resultados de las verificaciones individuales en una puntuación o decisión general, a menudo con códigos de motivo que explican qué falló o qué resultó sospechoso.

Esto hace que los casos límite sean más rápidos de revisar y ayuda a las organizaciones a ajustar sus políticas sin necesidad de conjeturas.

Vale la pena mencionar que muchas personas utilizan estas denominaciones de manera intercambiable (más sobre esto a continuación). Una de las formas más fiables de mantener un lenguaje preciso es relacionarlo con las tres preguntas que el sistema debe responder en distintos momentos del proceso:

1. ¿El documento en sí es fiable?

2. ¿La persona que lo presenta es el titular legítimo (o la evidencia respalda la identidad declarada)?

3. ¿Puede el mismo usuario obtener acceso nuevamente sin volver a verificar los documentos de identidad?

En la mayoría de los contextos de verificación de identidad (IDV), la validación de identidad equivale en la práctica a la validación del documento. Se centra en el documento como objeto y en los datos que contiene, no en la persona que lo presenta.

La pregunta es: ¿este documento de identidad parece un documento emitido genuinamente y su contenido es coherente en todas las fuentes que el sistema puede leer?

En la práctica, la validación suele incluir tres niveles:

1. Reconocimiento del tipo de documento. El sistema identifica la clase y la serie del documento para saber qué aspecto "normal" tiene ese documento específico y qué elementos de seguridad deben estar presentes.

2. Señales de autenticidad e integridad. Estas verificaciones buscan indicios de producción fraudulenta o alteración. Lo que es posible depende de la captura: una fotografía fija admite menos verificaciones que una captura guiada, y un lector dedicado admite más, incluida la inspección UV/IR y la confirmación basada en chip cuando está disponible.

3. Extracción de datos y verificación cruzada. El sistema lee lo que puede de los campos impresos y las fuentes legibles por máquina (MRZ, códigos de barras, chip RFID/NFC). El objetivo no es "obtener los campos", sino detectar discrepancias y anomalías que sugieran un problema de captura o una manipulación.

A continuación, dos aspectos que debe tener en cuenta:

• Lo que la validación de identidad puede confirmar: el documento parece fiable en función de la evidencia.

• Lo que no puede confirmar: que la persona que lo presenta sea el titular legítimo.

La verificación de identidad va más allá del documento y evalúa la declaración: ¿la evidencia respalda que esta persona es quien dice ser? Es el paso que intenta cerrar la brecha entre "documento fiable" y "solicitante fiable".

La verificación suele comenzar con la evidencia del documento validado y luego añade verificaciones que vinculan el documento con la persona presente en la sesión. Los componentes habituales incluyen:

• Vinculación con el titular: comparar la foto del titular con una selfie o una captura en vivo para reducir el riesgo de que alguien utilice un documento robado.

• Controles de integridad de la captura: verificaciones destinadas a reducir la reproducción, inyección u otras formas de enviar medios de otra persona en lugar de una captura genuina.

• Corroboración basada en el contexto: según el caso de uso, pueden utilizarse señales adicionales para respaldar la declaración de identidad.

La forma más sencilla de enmarcar la diferencia entre validación y verificación de identidad es la siguiente: la validación evalúa el documento como evidencia; la verificación evalúa la declaración de identidad y si la evidencia corresponde a la persona que la presenta.

La autenticación es el paso que se utiliza después del proceso de incorporación, cuando un usuario regresa y necesita acceder nuevamente. No busca volver a demostrar quién es la persona en el sentido de la incorporación, sino responder una pregunta más acotada y operativa: ¿puede este usuario demostrar que debe tener acceso a esta cuenta en este momento?

La autenticación generalmente se basa en elementos de autenticación como claves de acceso, credenciales vinculadas al dispositivo, aplicaciones de autenticación u otros factores de posesión y conocimiento. Una diferencia clave es que la autenticación está diseñada para ser repetible y ágil, por lo que generalmente evita volver a verificar los documentos de identidad.

Los documentos de identidad pueden reaparecer solo cuando algo ha cambiado en el panorama de riesgos, por ejemplo, la recuperación de una cuenta, actividad sospechosa o una política que requiera una re-verificación periódica.

Dicho esto, los términos mencionados anteriormente se utilizan de manera bastante inconsistente en los distintos mercados y categorías de productos, por lo que depender únicamente de las denominaciones es arriesgado y puede generar confusión. Algunos ejemplos del uso intercambiable de estos términos incluyen, entre otros:

• "Verificación de identidad" como frase genérica para la verificación de documentos más la comprobación de los rostros, O bien únicamente para la lectura de campos a partir de una fotografía de pasaporte.

• "Validación de documentos" como verificación de "no vencido y campos presentes", sin una evaluación genuina, O bien como una verificación de integridad completa de la zona de inspección visual, el MRZ, el código de barras y el chip.

En términos prácticos de negocio, la IDVT es una forma de convertir un documento enviado en evidencia que deberá utilizarse durante las verificaciones de identidad. Una buena tecnología de validación de documentos de identidad aumenta la confianza cuando el documento es genuino, señala los casos que requieren atención y deja un registro que los auditores pueden comprender.