Transformando el aula virtual: la IAG como catalizador de innovación en el diseño instruccional universitario
marzo 6, 2024
Aviación civil: en la era de la IA y la ciberseguridad
marzo 6, 2024

Desafíos de la ciberseguridad para el onboarding digital

El proceso de onboarding digital implica la incorporación de un cliente nuevo o de un cliente existente a los servicios digitales de una empresa por primera vez. Este proceso en sí mismo requiere la verificación de la identidad de este cliente por parte de la empresa, antes de permitirle acceso a sus servicios digitales. De ahí que los desafíos de ciberseguridad sean de los primeros obstáculos a vencer para lograr poner en operación este proceso. La inteligencia artificial en manos de los malhechores puede poner a su disposición capacidades más sofisticadas que les permita violar la seguridad de un proceso de onboarding digital.

 

¿Qué es onboarding digital?

El término onboarding digital puede tener varias interpretaciones de acuerdo con el contexto sobre el cual se utiliza. Por tal razón, vamos a definir el término de la siguiente manera para los fines de este ensayo: Es el proceso mediante el cual cliente o no clientes de una empresa se registran por primera vez a los servicios o productos de dicha empresa. Este proceso se realiza en línea desde Internet, desde cualquier lugar y a cualquier hora, sin necesidad de que el cliente tenga que pasar por las oficinas para hacer uso de estos servicios o productos. Definitivamente, los servicios financieros de la banca múltiple son los primeros en aprovechar las bondades de un proceso de onboarding digital como lo hemos definido. Para las empresas de intermediación financiera estos procesos les beneficia grandemente en cuanto a los objetivos de crecer su base de clientes y una mayor bancarización nacional. De esta manera incorporan una mayor cantidad de clientes en menor tiempo, listos para utilizar sus productos financieros, con mayor agilidad y menor costo, a través de los servicios digitales de la entidad.

 

¿Por qué es importante la ciberseguridad para el onboarding digital?

Debido a que este proceso se realiza de manera remota y no presencial en las oficinas de la empresa, es lo más común que sea realizado a través del Internet. De esta manera, para que la empresa pueda ofrecer un servicio de onboarding digital, tendrá que exponer sus sistemas al Internet, donde la ciberseguridad siempre es importante. De esa forma la empresa se expone a una serie de riesgos que ponen en peligro sus activos, a la vez que el servicio de onboarding digital se expone a riesgos en sí mismo. Mientras, en el caso de la industria financiera, por ejemplo, las empresas deben asegurarse de continuar el cumplimiento con los reglamentos o leyes vigentes y aplicables a su sector. De acuerdo estadísticas publicadas por Astra (Astra Cyber Security Statistics), el promedio de ataques de software maliciosos durante todo el 2023 fue de 11.5 ataques por minuto. Incluyendo 1.7 por minuto que responden a software maliciosos nuevos, nunca vistos. Como resultado de la realidad que se vive en el ciberespacio todos los días, no es posible publicar servicios a Internet sin entender que serán blanco de ataques en muy poco tiempo.

 

Impacto de la ciberseguridad en el onboarding digital

El principal riesgo que enfrentan estos servicios se trata de la usurpación de identidad. Reflexionemos sobre el posible impacto de la materialización de este riesgo en dos diferentes casos de uso. En el caso de uso donde un cliente existente se registra por primera vez para hacer uso de los servicios digitales de la empresa, una usurpación de identidad es de mayor impacto. En este caso, el usurpador podrá tener acceso a todos los bienes, servicios, productos y hasta fondos de la víctima cuya identidad fue usurpada. El impacto en este caso podría ser mayor de acuerdo con el tipo de cliente que cae víctima del ataque. La ejecución exitosa de estos ataques conlleva un impacto significativo de diferentes maneras:

• Pérdida financiera para la empresa, el cliente o ambos

• Disgustos e inconvenientes para el cliente

• Costos operativos para la empresa

• Costo reputacional para la empresa

• Costo de imagen para la empresa

• Entre otros, de acuerdo con el sector al que pertenece la empresa

 

Estos ataques son más comunes porque a la vez son más lucrativos para los delincuentes. Debemos saber que los ciberdelincuentes persiguen monetizar sus ataques de toda manera que sea posible, por encima de todas las cosas. El constante incremento en los ataques y víctimas de ramsonware es una muestra de esta realidad. Por otro lado, en el caso de uso donde un cliente potencial se registra por primera vez como cliente de la empresa, para el consumo de sus productos o servicios, tenemos principalmente impacto dirigido a la empresa. En este caso, el usurpador podrá tener acceso a los bienes, servicios y productos de la empresa en nombre de otra persona, escondiendo su verdadera identidad en todo momento. La ejecución exitosa de estos ataques conlleva un impacto significativo para la empresa de diferentes maneras:

• Pérdida financiera para la empresa

• Costos operativos para la empresa

• Costo reputacional para la empresa

• Costo de imagen para la empresa

• Costos en procesos administrativos y legales

• Para las empresas reguladas, puede significar incumplimiento y sanciones

• Entre otros, de acuerdo con el sector al que pertenece la empresa

El impacto en estos casos depende mucho de los tipos de servicios o productos que la empresa pone a disposición de los clientes recientemente registrados a través del proceso de onboarding digital. De esta manera, para reducir este impacto es importante que las empresas interesadas en habilitar un proceso de onboarding digital, otorguen servicios y productos de menor valor primero a los clientes recién registrados.

En la medida que la relación con el cliente se solidifica, se valida su identidad y sus intenciones, entonces se puede incrementar el valor de los productos y servicios disponibles para el mismo cliente. En otro orden, tal como mencionamos arriba, toda empresa que habilita un proceso de onboarding digital deberá publicar ciertos servicios a Internet para el acceso de las personas interesadas.

Sin importar desde dónde se publiquen estos servicios, sea de un ambiente en nube o de un centro de datos, sea privado, público o una combinación de ambos, esos servicios estarán exponiendo activos de información importantes para la empresa. De esta manera, estos activos estarán expuestos a múltiples tipos de ataques desde el Internet. La empresa deberá invertir lo necesario en ciberseguridad para proteger estos servicios.

La inversión en ciberseguridad será proporcional al valor que tengan los activos de información que se encuentran expuestos detrás de estos servicios. En este sentido, el impacto que pudiera tener una empresa ante un ataque exitoso a través de los servicios publicados a Internet puede ser mucho mayor al impacto mencionado en los casos anteriores. Esto debido a que el valor de los activos expuestos puede ser proporcionalmente mucho mayor.

Es importante para la empresa evaluar su situación antes de iniciar la publicación de servicios a Internet para los fines de habilitar un proceso de onboarding digital. Si la empresa es nueva o joven en la gestión de ciberseguridad o tiene pocos activos y de poco valor expuestos a Internet, entonces es preferible que la empresa utilice una infraestructura separada de sus principales activos de información para hacer la publicación de estos servicios. Si por, el contrario, la empresa ya es madura en la gestión de la ciberseguridad, tiene ya varios activos de importante valor expuestos a Internet, entonces está en posición de aprovechar estos recursos y experiencia para publicar estos nuevos servicios a Internet y facilitar el onboarding digital. El auge que ha tenido la Inteligencia Artificial en todo el mundo se extiende también al uso malicioso.

De esta manera, ya existe tecnología que explota la Inteligencia Artificial con la intensión de burlar los mecanismos de autenticación biométricos, Deepfakes por ejemplo, en especial el reconocimiento facial y de voz. Aunque las soluciones más avanzadas y utilizadas para hacer autenticación biométrica por reconocimiento facial y de voz ya tienen incorporadas tecnología y mecanismos para detectar cuándo se trata de una cara o voz generada por inteligencia artificial y permitir así su bloqueo preventivo, la realidad es que esta tecnología seguirá avanzando y haciéndose cada vez más humana y por lo tanto más difícil de identificar y bloquear por un mecanismo de autenticación.

La empresa se expone a una serie de riesgos que ponen en peligro sus activos, a la vez que el servicio de onboarding digital se expone a riesgos en sí mismo

 

 

La empresa se expone a una serie de riesgos que ponen en peligro sus activos,
a la vez que el servicio de onboarding digital se expone a riesgos en sí mismo

Desafíos Autenticación del Desconocido

“La autenticación o autentificación es el acto o proceso de confirmar que algo (o alguien) es quien dice ser.” (Wikipedia) Para los fines de un proceso de onboarding digital, así como los servicios y productos digitales de una empresa, el cliente o no cliente que ejecuta el proceso es de identidad desconocida. Entonces, ¿cómo puedo confirmar que es quién dice ser? Sin una adecuada identificación y autenticación de la persona que inicia el proceso de onboarding digital, no será posible registrarlo en los servicios o productos digitales de la empresa.

Si el paso de identificación y autenticación no se hace de forma correcta y segura, entonces nos enfrentamos a los impactos mencionados anteriormente. En este caso, y con el fin de mantener el proceso de onboarding digital auto atendido, seguro, por Internet, desde cualquier lugar y a cualquier hora, solo queda la posibilidad de confiar en un tercero para la identificación y la autenticación de la persona que se registra. En República Dominicana tenemos un tercero que ofrece los servicios de identificación y autenticación para los ciudadanos dominicanos. Este es el caso de la Junta Central Electoral (JCE), que otorga la cédula de identidad a todos los ciudadanos y que ofrece la autenticación de los ciudadanos a través de la validación de rasgos biométricos.

 

Integridad y actualidad de los datos

La integridad de los datos desde el momento que una persona inicia el proceso de onboarding digital, hasta que concluye su registro, garantiza que los datos capturados de dicha persona se mantendrán íntegros, sin variación durante todo el proceso. La posibilidad de alterar estos datos durante el proceso, e inclusive después, permitiría a delincuentes registrarse o luego autenticarse frente a los servicios y productos digitales de la empresa, usurpando la identidad de otra persona o cliente.

Esto se logra aplicando una serie de medidas de seguridad desde la captura de los datos, su transmisión y almacenamiento, tanto en las empresas como en la JCE. Igualmente, estas medidas de seguridad aplican no solamente a los datos biométricos, también a los datos demográficos de los clientes durante y después de su proceso de onboarding digital. Mantener los datos actualizados es igualmente importante, tanto antes como después de un proceso de onboarding digital.

Por ejemplo, el estatus de una persona fallecida deberá actualizarse de inmediato en la base de datos de la JCE, para garantizar que ningún delincuente acuda a registrarse usurpando la identidad de dicha persona. Datos actualizados de las personas registradas por un proceso de onboarding digital, permitirá luego a la empresa fortalecer la relación con el cliente, validar su identidad y sus intenciones, y luego ofrecer o permitir el consumo de servicios y productos de mayor valor a estos clientes. Esto se logra con la implementación de procesos seguros para la actualización de los datos del cliente, que garanticen en toda la medida posible que sólo el propio cliente podrá hacer actualizaciones a sus datos.

 

Acceso a los servicios de la JCE

En vista que la Ley 4-23 establece que sólo la JCE está autorizada para almacenar y, por ende, validar los datos biométricos de los ciudadanos, el acceso a estos servicios relacionados debe ser otorgado sólo después de un cuidadoso proceso de depuración, que permita validar la necesidad real y demostrable que tiene el solicitante de consumir estos servicios. Es importante aplicar las medidas de control que garanticen, en todo lo posible, que únicamente las empresas o personas autorizadas tengan el acceso a consumir estos servicios. Esto se logra con una serie de medidas de seguridad aplicadas a la infraestructura a través de la cual se publican estos servicios y otras disposiciones que se les requerirá a toda entidad autorizada a consumirlos. El acceso no autorizado al consumo de estos servicios podrá permitir a un ciberdelincuente abusar del mismo para obtener información que luego le permita ejecutar ataques más sofisticados. Además, contando con este acceso no autorizado el ciberdelincuente estará mucho más cerca de acceder a todos los datos del ciudadano, incluyendo sus datos biométricos.

 

Protección de los datos biométricos

 

Este es el desafío más importante de todos. Los datos biométricos de los ciudadanos deben mantenerse bajo la mayor seguridad disponible. ¿Cómo la mayoría de nosotros hemos pasado por la necesidad de reiniciar la contraseña de cualquiera de nuestros servicios digitales? Dígase nuestro correo electrónico, redes sociales, acceso a la página de nuestro servicio en línea favorito, etc. Si se nos olvidó la contraseña, simplemente, la reiniciamos y utilizamos una nueva contraseña, esperando que esta vez ya no se nos vuelva a olvidar. Ese mismo proceso exigirá hacer el proveedor de esos servicios digitales, si sospecha que tu contraseña se pudo haber comprometido, ya sea un reinicio de la contraseña o un cambio de contraseña será suficiente en esos casos también. ¿Qué sucede si algún astuto ciberdelincuente logra robar los datos biométricos de los ciudadanos? No hay nada que pueda hacerse para evitar una posible usurpación de la identidad utilizando la autenticación biométrica. Lamentablemente, no podemos cambiarles la cara o las huellas dactilares a los ciudadanos. Entonces el impacto podría ser enorme, en caso de ser robada esta información. La JCE es la única entidad autorizada para almacenar los datos biométricos de los ciudadanos y, por ende, brindar el servicio de validación o autenticación biométrica. Al ser el único repositorio para estos datos biométricos, se deberá poner todo el esfuerzo e inversión posible para proteger debidamente dichos datos. Para la protección de los datos biométricos de los ciudadanos no se debe escatimar esfuerzos o dinero, ya que un robo de esta información podría tener un impacto irreversible. Es necesaria una protección basada en capas con varios mecanismos avanzados de protección y múltiples capas en la seguridad de acceso. La credibilidad de un proceso de onboarding digital seguro y de la autenticación biométrica de los ciudadanos dominicanos depende de este nivel de protección. La seguridad digital de los ciudadanos depende de que se apliquen las debidas medidas de protección e integridad a los servicios de consulta y autenticación biométrica, así como al consumo de estos.

 

JOSÉ RAFAEL GUERRERO
JOSÉ RAFAEL GUERRERO
jrg212@hotmail.com &bnsp;&bnsp;&bnsp;&bnsp;&bnsp; Ingeniero de Sistemas de la PUCMM, maestría en ciencias en Telecomunicación de Datos de la University of Maryland. Más de 22 años de experiencia en Seguridad de Información, más de 17 años dirigiendo la seguridad de los Banco más grandes del país. VP Product Management para una empresa extranjera. Fundador de dos empresas exitosas y entre las certificaciones internacionales están NIST NCSP, CISSP, ISO 27005, entre otras.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *