Identidad reutilizable: ¿el próximo paso en la verificación de identidad?

Una identidad reutilizable es una identidad digital portátil que contiene información verificada sobre una persona, la cual puede presentarse bajo demanda a diferentes entidades. En términos prácticos, generalmente toma la forma de una credencial digital almacenada en una billetera de identidad digital. Por ejemplo, después de que un usuario completa una verificación de identidad una vez con un proveedor confiable, recibe una credencial digital firmada criptográficamente. El usuario puede luego presentar esta credencial a otras organizaciones sin necesidad de enviar documentos e información personal una y otra vez.

Las identidades reutilizables suelen implementarse mediante Credenciales Verificables y una arquitectura de identidad descentralizada. En el modelo estándar, existen tres roles: el emisor (una autoridad que emite la credencial), el titular (el usuario que guarda la credencial en su billetera) y el verificador (cualquier servicio que necesite comprobar la identidad). Los sistemas modernos de identidad reutilizable emplean criptografía de clave pública para que los verificadores puedan autenticar las credenciales al instante, ya sea sin conexión o mediante consultas a blockchain o registros, sin tener que contactar al emisor original cada vez.

Cabe destacar que las credenciales de identidad reutilizable están controladas por el propio usuario: los datos personales se almacenan en el dispositivo del usuario o en la nube bajo su control, en lugar de estar dispersos en múltiples bases de datos de proveedores. Una identidad digital reutilizable podría almacenarse en una aplicación de billetera en el teléfono inteligente, protegida mediante biometría o un PIN del usuario, y cuando se necesite una prueba de identidad, el usuario puede revelar selectivamente solo la información relevante.

Recientemente, hemos visto avances significativos y programas piloto en materia de identidad reutilizable en todo el mundo. En primer lugar, los estándares han madurado: el modelo de datos de Credenciales Verificables del W3C se actualizó a la versión 2.0 en marzo de 2025, con mejoras técnicas como una semántica más clara y la separación del modelo de datos central de los mecanismos de prueba.

En segundo lugar, las iniciativas gubernamentales para la gestión de identidades digitales se han convertido en un motor importante de progreso: por ejemplo, en Europa, la última versión del marco eIDAS y la Cartera de Identidad Digital Europea (EUDI Wallet) marcan el camino en cuanto a identidad reutilizable. La EUDI Wallet (prevista para los ciudadanos de la UE hacia finales de la década de 2020) permitirá a las personas almacenar credenciales digitales emitidas por el gobierno y compartir atributos verificados con servicios tanto públicos como privados. En otras regiones, se observan esfuerzos similares, como en el caso de Singpass Mobile en Singapur, donde millones de ciudadanos ya poseen identidades digitales reutilizables que pueden usarse para acceder a múltiples servicios.

En tercer lugar, la tecnología biométrica también ha avanzado para respaldar adecuadamente las iniciativas de identidad reutilizable. En los últimos años, proveedores como Regula han mejorado sus sistemas para detectar identidades sintéticas y vídeos manipulados, abordando así las preocupaciones de que los estafadores intenten engañar la etapa de “verificación única”. Esto es fundamental, ya que la detección liveness de documentos y el reconocimiento de rostros resistente a deepfakes pueden integrarse en el proceso de emisión de credenciales y utilizarse para prevenir fraudes.

No necesariamente debe plantearse una contraposición entre la identidad reutilizable y la verificación de identidad tradicional, ya que ambas pueden acelerar y automatizar en gran medida el proceso de verificación de identidad. Sin mencionar que el mejor marco de verificación de identidad debería incluir ambas opciones (aunque hablaremos más sobre esto en una sección posterior).

Ahora veamos más de cerca algunas de las principales diferencias entre ambas y qué compromisos se pueden esperar:

En la verificación de identidad tradicional, cada organización suele realizar la validación de identidad por separado. Cuando una persona se registra para una nueva cuenta bancaria o servicio, esa empresa (o su proveedor de verificación de identidad) recopila los documentos de identidad del usuario, realiza comprobaciones (autenticidad del documento, consultas a bases de datos, etc.) y almacena los datos o resultados necesarios. Luego, el proceso se repite: su identidad se verifica nuevamente para cada nueva relación—la verificación de un banco no es automáticamente aceptada por otro banco, a menos que exista un acuerdo específico. La ausencia de confianza mutua puede considerarse una ventaja, ya que no hay dependencia de marcos de confianza de emisores externos.

Por el contrario, un sistema de identidad digital reutilizable utiliza una arquitectura basada en credenciales. Después de la verificación inicial, el usuario posee una credencial que puede ser reconocida por múltiples partes. El flujo de datos es centrado en el usuario: los datos verificados se entregan al usuario (en forma de credencial) en lugar de permanecer únicamente con el verificador. Cuando el usuario necesita demostrar su identidad ante un nuevo servicio, transmite la credencial directamente a ese servicio, generalmente a través de una presentación cifrada o escaneo de un código QR, en lugar de volver a cargar documentos. El verificador entonces utiliza la firma digital de la credencial para comprobar su autenticidad, y puede consultar un registro público para las claves públicas del emisor o el estado de revocación.

Los riesgos en la verificación de identidad tradicional pueden describirse como “contenidos”: cada organización evalúa al usuario de forma independiente, por lo que si una verificación es engañada con una identificación falsa o un deepfake, solo afecta a esa organización en particular. Sin embargo, el inconveniente es que los datos personales del usuario se envían y almacenan en muchos lugares, lo que aumenta la superficie de ataque ante posibles brechas. Exigir que cada servicio mantenga copias de los documentos de identidad genera múltiples objetivos para los hackers, y de hecho, han ocurrido muchas filtraciones de bases de datos de identidad o imágenes de documentos. Además, los usuarios a menudo deben compartir más datos de los necesarios (por ejemplo, enviar una copia completa del documento de identidad solo para verificar un atributo).

La identidad reutilizable pone énfasis en la minimización de datos y la seguridad criptográfica: las credenciales de identidad están firmadas digitalmente y son a prueba de manipulaciones. También existe la posibilidad de reducir los datos compartidos: una credencial reutilizable puede configurarse para revelar únicamente los atributos necesarios para una transacción específica. Además, como los datos permanecen con el usuario hasta que se necesiten, las organizaciones no tienen que conservar tanta información personal. Sin embargo, estos beneficios implican una gran desventaja: una única credencial comprometida puede tener un impacto mucho mayor. Si una credencial digital reutilizable cae en manos no autorizadas, esa misma credencial podría ser aceptada por múltiples partes que confían en ella. 

La verificación tradicional implica completar formularios, cargar documentos o presentarse en persona cada vez que usted se registra en un nuevo servicio. Estos procesos de incorporación tienden a ser más sencillos en comparación con la configuración de una billetera digital para una identidad reutilizable, especialmente con la ayuda de soluciones automatizadas de verificación de identidad. Por otro lado, una billetera de identidad digital solo necesita configurarse una vez, y todos los servicios estarán disponibles a partir de entonces. Además, con la verificación tradicional, los usuarios a menudo no tienen control sobre qué datos conserva la empresa: entregan una copia completa de su documento de identidad y otra información, que luego la empresa almacena.

La identidad reutilizable hace que la verificación de identidad sea prácticamente instantánea después del registro inicial. Una vez que el usuario tiene esa credencial en su billetera digital, registrarse en un nuevo servicio puede ser tan simple como hacer clic en “Compartir mi identificación”. En cuanto al control de los datos, si un usuario deja de utilizar un servicio, puede revocar el acceso de dicho servicio a su credencial. Además, los usuarios pueden mantener la custodia de sus datos localmente en lugar de confiar en que cada empresa los proteja.

Cuando se implementa correctamente, la identidad reutilizable ofrece una situación en la que todos ganan: los usuarios dedican menos tiempo a demostrar quiénes son y conservan una mayor privacidad, mientras que las empresas e instituciones obtienen pruebas de identidad de alta fiabilidad con menor fricción.

Las empresas pueden incorporar a los clientes mucho más rápido cuando estos ya tienen una “identidad confiable” que presentar, lo que normalmente se traduce en mayores tasas de conversión y menos abandonos. Un estudio citó que casi 1 de cada 4 potenciales clientes bancarios abandona durante el proceso de incorporación tradicional; una identidad reutilizable puede reducir los pasos tediosos que contribuyen a ese abandono. Esto también se extiende a las interacciones continuas: si un usuario necesita volver a verificar su identidad para una transacción de alto riesgo o recuperación de cuenta, contar con una credencial permite realizar una verificación ágil sin necesidad de repetir el proceso completo de verificación de identidad.

Las firmas digitales en las credenciales las hacen evidentes a manipulaciones: cualquier alteración invalida la firma. Las credenciales también pueden incluir comprobaciones como pruebas criptográficas del emisor: por ejemplo, un gobierno que emite una credencial de identidad nacional puede firmarla con su clave privada, y los verificadores pueden usar esa clave para confirmar la autenticidad. Además, dado que las credenciales suelen incluir metadatos sobre cómo fueron verificadas (por ejemplo, si se realizó una comparación biométrica y qué nivel de seguridad se alcanzó), los verificadores obtienen una señal de riesgo rica y legible por máquinas. Y si una credencial es identificada como fraudulenta o comprometida, puede ser revocada o marcada, y múltiples partes que dependen de ella se benefician de ese conocimiento, en lugar de que el fraude pase desapercibido.

Los usuarios se benefician al compartir menos datos y tener mayor control: por ejemplo, un sistema de identidad digital reutilizable puede emplear verificación basada en atributos, donde el usuario puede probar “tengo más de 21 años” o “tengo una licencia de conducir válida” sin revelar detalles no relacionados. Esto representa una mejora práctica en privacidad y reduce la cantidad de información personal que circula. Además, la capacidad de los usuarios para revocar el consentimiento o limitar el uso de sus credenciales brinda mayor protección contra el uso indebido.

Con una identidad reutilizable, una sola credencial puede desbloquear el acceso a muchos servicios. Esto es conveniente (no se necesita gestionar decenas de credenciales de acceso) y también puede fomentar la inclusión. De este modo, una persona que haya obtenido una identidad digital emitida por el gobierno podría usarla para acceder a servicios financieros que antes estaban fuera de su alcance por la falta de documentos tradicionales. En regiones en desarrollo, una identidad digital verificada almacenada en un teléfono inteligente podría permitir que las personas se identifiquen incluso si están lejos de la autoridad emisora o no tienen documentos físicos a la mano.

El concepto de identidad digital reutilizable no implica que la autenticación de documentos o las verificaciones biométricas ya no sean necesarias; simplemente cambia el momento y la forma en que estos elementos tradicionales de verificación de identidad entran en juego.

Para crear credenciales de identidad reutilizables con alto nivel de confianza, primero se debe verificar la identidad real de la persona, a menudo utilizando los mismos métodos que el KYC convencional. Esto implica verificar un documento de identidad emitido por el gobierno (como un pasaporte, una cédula o una licencia de conducir) y comparar el rostro en vivo de la persona con la foto del documento. Para este propósito, un proveedor de verificación de identidad puede utilizar soluciones como Regula Document Reader SDK, que verifica la autenticidad del documento (detectando falsificaciones y leyendo sus elementos de seguridad) y luego emplea un software de coincidencia facial para comparar la selfie del usuario con la foto del pasaporte. Una vez que se confirma que el documento es genuino y pertenece al usuario, los datos personales verificados pueden empaquetarse en una credencial digital. En resumen, las verificaciones sólidas de documentos y biometría garantizan que el “verificar una vez” establezca correctamente la identidad.

Muchos esquemas nacionales de identificación digital también siguen este modelo: cuando los gobiernos emiten identificaciones digitales, a menudo requieren que la persona escanee su documento físico y se someta a una verificación biométrica a través de una aplicación o en un centro de enrolamiento. De este modo, no se elimina la verificación del documento físico; simplemente se usa como complemento de la credencial digital.

Cuando una persona necesita utilizar una credencial reutilizable para identificarse, puede haber un paso biométrico involucrado para autenticar al usuario. Por ejemplo, si tiene una identificación digital en su billetera móvil, es posible que deba desbloquearla mediante una huella dactilar para compartirla. En escenarios de alta seguridad, la parte que verifica incluso podría solicitar una selfie en vivo adicional para compararla con la foto que fue verificada originalmente. Esto es similar a cómo algunas aplicaciones de pago móvil requieren una verificación biométrica, aunque la tarjeta ya esté almacenada. Una solución como Regula Face SDK facilita este proceso, ya que puede realizar reconocimiento facial avanzado con prueba de vida para verificar a los usuarios y prevenir el fraude. 

Otra necesidad emergente es la verificación de documentos digitales en sí, como una licencia de conducir móvil o un pasaporte digital (conocido como Credencial de viaje digital). Muchos proveedores de verificación de identidad han respondido actualizando su software para manejar estos casos—por ejemplo, leyendo un código de barras 2D o un chip NFC de una identificación digital para validar la firma del emisor. De manera similar, el conjunto de herramientas de Regula puede autenticar los elementos de seguridad de un documento físico, y también puede ampliarse para verificar las firmas digitales de un mDL u otra credencial. Además, Regula Document Reader SDK puede generar activamente el Componente Virtual de una DTC (DTC-VC) al extraer los datos de un chip RFID y crear una réplica digital del documento físico.

La identidad reutilizable está redefiniendo la manera en que se gestiona la verificación de identidad, pero no se trata de descartar por completo los métodos tradicionales; más bien, se construye sobre ellos. Los documentos físicos de identidad y la verificación biométrica forman la base de la confianza inicial, la cual se encapsula en credenciales digitales reutilizables.

Este procedimiento de verificación de identidad biométrica puede llevarse a cabo mediante soluciones como Regula Document Reader SDK y Regula Face SDK, que se integran fácilmente en sus aplicaciones móviles o web existentes.

Regula Document Reader SDK procesa imágenes de documentos y verifica su presencia real (liveness) y autenticidad. El software identifica el tipo de documento, extrae toda la información necesaria y confirma si el documento es genuino.

Al mismo tiempo, Regula Face SDK realiza un reconocimiento facial instantáneo y previene ataques de suplantación, tales como el uso de imágenes faciales estáticas, fotos impresas, repeticiones de video, inyecciones de video o máscaras.

Regula está aquí para ayudarle a hacer que su verificación de identidad sea conforme, segura y centrada en el cliente. Agende una llamada para conocer más sobre nuestras soluciones.