Resumen del verano de 2025: Las noticias más destacadas sobre verificación de identidad

El Reino Unido tuvo no uno, sino dos hitos importantes en IDV este verano.

Primero, el 19 de junio, la Data (Use and Access) Act 2025 recibió la Aprobación Real. La ley creó un marco legal para:

• Servicios de verificación digital.

• Un registro gestionado por el gobierno.

• Un sello de confianza para los servicios que superen la certificación.

• Un canal de información que permitirá a los organismos públicos compartir datos específicos con los proveedores registrados para verificaciones de identidad o de elegibilidad.

Los documentos gubernamentales y los informes legales apuntan todos en la misma dirección, y la Oficina del Comisionado de Información (ICO) inició las fases de implementación en agosto. Con esta ley, los proveedores de IDV que operan en el Reino Unido deben estar certificados según el marco de confianza y figurar en el registro antes de poder declararse conformes. Al mismo tiempo, los compradores deberían añadir un requisito estricto de “estar en el registro” para cualquier servicio relacionado con el derecho al trabajo, el derecho al alquiler o las verificaciones DBS, y verificar la inscripción en la lista gubernamental.

Segundo, desde el 25 de julio, entró en vigor Online Safety Act, que exige a los servicios que alojan o publican material pornográfico implementar verificaciones de edad altamente efectivas para los usuarios del Reino Unido. El regulador, Ofcom, explicó qué significa exactamente esto, estableció un programa de cumplimiento y recordó a los proveedores que los tribunales pueden ordenar el bloqueo de sitios que se nieguen a cumplir.

El efecto dominó fue inmediato: los observadores de redes registraron un aumento repentino en las suscripciones a VPN en el Reino Unido el día en que entraron en vigor las reglas, incluyendo una afirmación de Proton VPN de un incremento del 1.400% respecto a la línea base.

Y no solo los sitios pornográficos se vieron obligados a hacer la transición: por ejemplo, la plataforma de redes sociales Bluesky también lanzó públicamente opciones de verificación de edad específicas para el Reino Unido, con alternativas que incluyen carga de documento de identidad, verificación mediante tarjeta o estimación facial de la edad. Estas medidas son una combinación que Ofcom califica como “altamente efectiva” cuando se configura correctamente, y deberíamos esperar que otros servicios de gran alcance adopten rutas similares.

El 15 de julio entraron en vigor las medidas de la Administración del Ciberespacio de China (publicadas conjuntamente con otros ministerios), lo que dio inicio a un servicio estatal de identidad digital en línea. El Servicio Público Nacional de Autenticación de Identidad en Línea, conocido comúnmente como Cyberspace ID, proporcionará a los usuarios registrados un certificado digital que podrá presentarse en sitios web y aplicaciones.

Lo importante es que las plataformas que acepten este método de verificación no deben almacenar los datos reales de identidad del usuario cuando se utiliza ese certificado. Los sitios solo reciben una verificación de sí/no en lugar de atributos completos del documento, a menos que la ley disponga lo contrario y el usuario dé su consentimiento. La normativa también introduce un principio de uso voluntario: se anima a las plataformas a conectarse al sistema y los usuarios pueden optar por usarlo, con la expectativa de que los métodos de registro actuales sigan disponibles.

La postura del gobierno es que esto reduce las cargas de carga repetida de documentos de identidad y disminuye la cantidad de datos personales dispersos en bases de datos privadas. Sin embargo, los críticos del sistema afirman que la centralización aumenta el riesgo de una supervisión excesiva y otorga a las autoridades un “interruptor único” capaz de cortar el acceso a muchos servicios si las credenciales son restringidas.

Las empresas que quieran participar en este programa deben planificar una nueva opción de inicio de sesión que llame al servicio nacional, verifique el token y lo vincule a una cuenta local. Además, algunas aplicaciones globales necesitarán una integración modular activada solo para usuarios de China y ubicada dentro de su infraestructura dedicada a China por razones de localización.

La Comisión Europea impulsó piezas legales y técnicas clave para la European Digital Identity Wallet (EUDI Wallet), culminando con los actos adoptados en mayo que ya han entrado en vigor. Además, el Reglamento eIDAS (UE) 2024/1183 se modificó para incorporar la Wallet, establecer normas de registro y seguridad para las entidades usuarias (relying parties) y exigir que cada Estado miembro ofrezca al menos una Wallet.

Bruselas dedicó el verano a convertir el programa de la wallet en algo que los implementadores puedan utilizar directamente, y estos actos ya están en el Diario Oficial, lo que significa que ahora son jurídicamente vinculantes. En la práctica, esto significa que los proveedores de wallets y las autoridades nacionales pueden comenzar a planificar integraciones en lugar de adivinar qué especificaciones seguir.

Un texto especialmente importante es el Reglamento de Ejecución (UE) 2025/849 de la Comisión, que establece el mecanismo para que los Estados miembros proporcionen a la Comisión los datos necesarios para elaborar una lista pública de wallets certificadas. Esto significa que, a septiembre de 2025, no existe aún una “lista final” de wallets certificadas, y el proceso de solicitud sigue en curso.

Junto con el texto legal, la Comisión publicó un “blueprint” de verificación de edad (AV) de marca blanca, con código de referencia para Android e iOS. Está diseñado para cubrir el período previo a la adopción generalizada de las wallets y encajar posteriormente en la arquitectura de las mismas una vez que se emitan las wallets nacionales. Los reglamentos muestran cómo emitir y verificar una acreditación de “mayor de 18” preservando la privacidad, sin enviar la fecha de nacimiento. Esto ofrece a los sitios con control de edad una forma de reducir la cantidad de datos personales que manejan.

La Comisión también abrió otros tres actos de ejecución para comentarios el 23 de junio. Estos se centran en la infraestructura de confianza de la wallet: la acreditación de los organismos de evaluación de la conformidad, las expectativas para la gestión de riesgos y el lugar de los servicios de confianza cualificados en el modelo. Ese período de consulta se extendió hasta julio y ya está archivado en las páginas oficiales de la wallet.

En definitiva, puede decirse que la contratación pública está pasando de “esperar y observar” a “construir conforme a la normativa”. Sin embargo, se espera que la adopción de la wallet avance de manera desigual entre los Estados miembros, ya que muchas organizaciones siguen siendo escépticas. Por lo tanto, seguiremos viendo documentos físicos y sistemas nacionales de identificación electrónica durante un tiempo.

Al igual que la UE, el verano de 2025 ofreció a los implementadores en Estados Unidos algo sólido con lo que trabajar: una referencia final para identidad digital por parte del NIST, aceptación en vivo de IDs móviles en puntos de control de la TSA y una serie de leyes estatales sobre verificación de edad respaldadas ahora por una decisión del Tribunal Supremo. Vamos a revisarlas una por una.

Primero, NIST publicó las SP 800-63-4 Digital Identity Guidelines a principios de agosto de 2025, con los cuatro volúmenes disponibles en las páginas de CSRC y Publications (63-0 visión general, 63-A verificación de identidad, 63-B autenticación, 63-C federación). Esta publicación cierra un vacío de ocho años desde la última revisión completa e incorpora realidades actuales como licencias de conducir móviles, passkeys, medios falsificados y ataques por inyección.

Los proveedores de IDV ahora pueden mapear su conjunto de controles con un documento federal definitivo, y sus equipos de cumplimiento pueden indicar a los examinadores las secciones exactas que implementaron, mostrando luego evidencia de prueba. Además, la verificación remota de identidad ahora debe tratar los ataques de presentación como problemas de primera categoría, empleando prueba de vida avanzada para contrarrestarlos. Para afirmar que una solución está alineada con SP 800-63-4, la evidencia debe vincularse a las secciones pertinentes de 63-A y 63-B, a los métodos anti-falsificación específicos utilizados y a los resultados de pruebas de laboratorio.

Segundo, la TSA continuó implementando la aceptación de IDs móviles en aeropuertos estadounidenses. Por ejemplo, el 19 de agosto, la TSA anunció que los residentes con IDs de Montana pueden agregarlos a Apple Wallet y presentarlos en los controles de seguridad de la TSA. Las declaraciones de la TSA describen el objetivo de verificación y mantienen una lista actualizada de dónde estos procedimientos están activos.

Tercero, el 27 de junio, la Corte Suprema de EE. UU. permitió a Texas aplicar su ley de verificación de edad para sitios web pornográficos. Este caso tiene implicaciones para todo el país, ya que se espera que más estados adopten medidas similares siguiendo el ejemplo de Texas. Sin embargo, debe mencionarse que no todas las leyes sobreviven al primer contacto con un juez federal, como ocurrió con la ley de prueba de edad en redes sociales de Georgia, que fue bloqueada antes de entrar en vigor por preocupaciones sobre la libertad de expresión y la concesión de una medida cautelar preliminar.

En junio, iBeta anunció un nuevo nivel 3 para evaluaciones de detección de ataques de presentación (PAD) basadas en ISO/IEC 30107-3. El Nivel 3 va más allá de los conjuntos de prueba familiares de Nivel 1 y Nivel 2, incluyendo falsificaciones más difíciles, como máscaras personalizadas y artefactos más sofisticados. Los propios criterios de iBeta también reducen las tolerancias de error: los sistemas que busquen Nivel 3 deben mantener los errores bona fide (BPCER) o errores de coincidencia (FNMR) en un máximo del 10 % durante las pruebas, además de bloquear todos los ataques de presentación utilizados en la evaluación.

En la práctica, aprobar el Nivel 3 requerirá mejor detección de artefactos, controles más estrictos de integridad de cámara y un manejo cuidadoso de casos límite.

Con los marcos legales volviéndose cada vez más complejos, es fundamental contar con una herramienta de verificación de identidad que no solo sea potente, sino también cumpla con todas las leyes aplicables.

Por ejemplo, soluciones como Regula Document Reader SDK y Regula Face SDK están certificadas por muchas organizaciones líderes de la industria y han sido implementadas con éxito en numerosos entornos regulatorios estrictos.

Regula Document Reader SDK es una solución robusta para la verificación de documentos de identidad, respaldada por la mayor base de plantillas del mundo, con 16,000 documentos de 254 países y territorios.

Con Regula Document Reader SDK, podrá:

• Autenticar miles de documentos de identidad de todo el mundo.

• Leer zonas legibles por máquina (MRZ) y códigos de barras.

• Leer y autenticar chips RFID conforme a los estándares ICAO Doc 9303.

• Verificar firmas digitales integradas en códigos de barras (Visible Digital Seals, VDS) según ICAO.

• Comprobar la liveness de documentos verificando elementos de seguridad dinámicas, incluyendo hologramas y tintas ópticamente variables (OVI).

• Y más.
  
  

Por su parte, Regula Face SDK realiza reconocimiento facial instantáneo con comprobación de liveness, usando detección pasiva y activa, y previene ataques de presentación fraudulentos como uso de imágenes estáticas, fotos impresas, reproducciones de video, inyecciones de video o máscaras.

Impulsemos el futuro—juntos. Agende una llamada para conocer más sobre nuestras soluciones.