Incode invests in privacy-first architecture and acquires Identiq.
Acomenzar

Reducción del Riesgo de Robo de Credenciales

Incode

October 27, 2022

Reducción del Riesgo de Robo de Credenciales

Cada vez se almacenan más datos digitales valiosos en línea, y a más y más actores de amenazas les encantaría tener en sus manos esos datos digitales.

Aunque hay muchas maneras para que los delincuentes accedan a datos que no son suyos, uno de los métodos más comunes es robar datos utilizando las credenciales de una persona legítima.

Desde 2008, Verizon ha compilado un Informe anual de investigaciones de violaciones de datos (DBIR). Los resultados y análisis de la edición 2022 documentan las conclusiones de más de 914.547 incidentes y 234,638 brechas de las que Verizon y sus socios tienen datos. Algunos de los resultados clave:

  • Las brechas afectan a una variedad de industrias, incluyendo servicios financieros, cuidado de la salud, venta al por menor, y otros.
  • El 80% de las brechas que resultan en un compromiso de datos provienen de fuera la organización a la que se dirige.
  • El 96% de estas brechas externas están motivadas por financiero o beneficio personal.
  • La principal variedad de brechas (más del 40% de todas las brechas) es robo de credenciales (piratería).

No es difícil para los delincuentes dedicados realizar el robo de credenciales. A veces es posible adivinar la contraseña de una persona, especialmente si la contraseña de la persona es la palabra “contraseña” (demasiadas personas hacen esto). En otras ocasiones, un delincuente puede inducir a una persona a regalar su nombre de usuario y contraseña legítimos: por ejemplo, persuadiendo a la persona para que “inicie sesión” en un sitio web falsificado que parece ser un sitio web legítimo.

Una vez que un delincuente tiene el nombre de usuario y la contraseña de una persona, el delincuente tiene acceso a todos los datos del usuario legítimo. Si el objetivo es la ganancia financiera, el saldo de la cuenta del usuario legítimo se puede drenar en segundos.

Existen alternativas a los inicios de sesión y contraseñas, por supuesto, como las claves de paso utilizadas por el Alianza FIDO y empresas como Apple. Si bien las claves de paso se consideran más seguras que las contraseñas, dependen de otras tecnologías para identificar al usuario. Por ejemplo, las claves de paso de Apple utilizan tecnologías como Touch ID y Face ID, que por supuesto utilizan la biometría.

¿Se pueden robar las credenciales biométricas?

Los ejemplos de suplantación de identidad anteriores suponen que las credenciales de cuenta utilizadas para autenticar el acceso al sistema consisten en un nombre de inicio de sesión y una contraseña de texto.

Si bien muchos sistemas aún gobiernan el acceso solo mediante inicios de sesión y contraseñas, existen otras formas de administrar el acceso al sistema. Un método emergente para controlar el acceso al sistema es mediante el uso biométrico características, como huellas dactilares, caras o iris, en lugar de o además de una contraseña de texto.

Por ejemplo, una persona que autentica el acceso a un sistema colocará su cara frente a un teléfono inteligente, quiosco o cámara de computadora, y el sistema calculará las características de la cara y las comparará con las características archivadas para el titular de la cuenta verificada. Si los dos coinciden, el sistema otorgará acceso.

Este método funciona... siempre y cuando un hacker no “robe” tus atributos biométricos de la misma manera que los hackers roban contraseñas. Y sí, es posible “robar” atributos biométricos... pero también hay formas de protegerse contra esto, como veremos.

Para las caras, el robo de credenciales podría ocurrir de una de dos maneras:

  • Un delincuente puede presentar una imagen o un video del rostro de la persona legítima y usarlo para obtener acceso al sistema. Cuando el sistema espera ver el rostro vivo de la persona, el delincuente presentaría la imagen o video de la cara de la persona en su lugar.
  • Si el criminal quiere ponerse más elegante, el criminal puede diseñar una máscara que se parezca a la cara de la persona legítima y usar esa máscara mientras intenta acceder al sistema. El sistema entonces “ve” una cara que parece ser la cara del usuario legítimo.

Sin embargo, los sistemas avanzados de autenticación biométrica son no engañados por fotos, videos o máscaras. Incluyen características que permiten la detección de instancias en las que un mal actor intenta falsificar una cara legítima. Los sistemas de autenticación biométrica correctamente diseñados solo permiten el uso de caras “vivas” para el acceso al sistema.

La detección activa de la capacidad de vida no es la mejor solución

Una de las primeras formas en que los sistemas de autenticación biométrica derrotaron al spoofing fue implementar una forma de “detección de viveza” para asegurar que el rostro presentado a la cámara fuera verdaderamente el rostro de la persona, y no solo una imagen o máscara de un rostro.

La solución original para la “vida” era pedirle a la persona que realizara movimientos faciales específicos. Después de todo, una imagen estática no puede moverse.

El método para implementar la detección de vivenza “activa” fue pedirle a la persona que realizara un conjunto de acciones al mando frente de la cámara capturando el rostro. En teoría, la persona no tenía idea de qué acciones se solicitarían, por lo que la persona no podía pregrabar un video con los movimientos faciales correctos.

Por ejemplo, el sistema de autenticación puede colocar un punto en la pantalla y pedirle a la persona que mueva su cara en el mismo patrón en el que se mueve el punto. Esto prueba que el rostro en cuestión es verdaderamente un rostro vivo y no solo una imagen estática de un rostro.

Sin embargo, hay dos inconvenientes para la detección activa de la vida:

  1. Se necesita tiempo. Los clientes desean acceder a sus cuentas lo más rápido posible. No quieren esperar varios segundos más y completar una serie de movimientos de cabeza. Quieren mirar a la cámara y acceder a su cuenta de inmediato.
  2. Puede ser difícil. En el mundo real, puede ser difícil para un usuario mover su cara en un patrón específico. Recuerdo mi frustración personal al usar algunos de los primeros sistemas activos de detección de la vida. Si no pudo mover la cara de la manera correcta, se encontrará con un error. Las fallas repetidas en el movimiento de la cara resultarían en errores repetidos. Después de demasiados errores, el usuario puede darse por vencido en frustración, abandonando la solución. (El 68% de los usuarios que inician el proceso de incorporación digital de una institución financiera lo abandonan, por razones como esta.)

¿Hay alguna manera de realizar la detección de la vivida sin tomando el tiempo para mover la cabeza en múltiples direcciones diferentes?

La solución pionera de detección pasiva de vida de Incode

Para proporcionar seguridad y, al mismo tiempo, promover la facilidad de uso, Incode fue pionero en un sistema de detección de vida pasiva al desarrollar el sistema de autenticación para los productos de Incode.

Las pruebas de vivencias pasivas detectan las faldas al examinar el movimiento o la textura de la piel en una sola imagen sin requerir que el usuario mueva la cabeza en varias direcciones. La detección de vida pasiva precisa no sólo ofrece seguridad contra el fraude, sino que al mismo tiempo mantiene una experiencia de usuario sin fricciones. El usuario accede de forma segura al sistema sin tomar demasiado tiempo ni mover la cabeza.

El 23 de agosto de 2019, iBeta anunció que había realizado pruebas de Detección de Ataque de Presentación (PAD) en la solución de Incode. A pesar de mil 500 intentos de suplantación de un rostro en vivo, 0 de los intentos fueron exitosos. Incode fue una de las primeras empresas en recibir una carta de confirmación de iBeta documentando el éxito de nuestra solución de detección de vida.

Esta capacidad de autenticar de manera confiable a un usuario en función de su cara en vivo reduce drásticamente las oportunidades para que los delincuentes accedan a datos en sistemas protegidos por InCode. Tanto los usuarios de estos sistemas como las instituciones que los implementan tienen la seguridad de que los datos de los usuarios permanecen seguros y privados.

Y hay una menor posibilidad de que los usuarios se encuentren con un titular noticioso que indique que han sido víctimas del último hackeo criminal.

Muchas organizaciones gubernamentales y entidades públicas reguladas ya confían en Incode. Hoy en día, las soluciones de identidad de Incode están impactando a las personas de todo el mundo con comodidad y una experiencia de usuario sobresaliente, proporcionando la seguridad que requieren.

Si desea obtener más información sobre cómo la tecnología de Incode puede proteger a su organización contra el robo de credenciales, comuníquese con nosotros para una demo.

Incode
Incode is a global leader in AI-driven identity and trust, with a mission to power a world of trust at the speed of AI. The platform verifies identity and age, stops fraud, and turns verification into business enablement.
Linkedin
Chapters
Abstract Incode graphic.

Suscríbase a nuestro boletín

Conquista información de expertos sobre el panorama en evolución de la identidad impulsada por la IA
verificación y prevención del fraude.

¡Gracias! ¡Su envío ha sido recibido!
¡Ups! Algo salió mal al enviar el formulario.
Al suscribirse, asíciese nuestro Politica de Privacidad
Incode Technologies, Inc.
101 Mission St, Suite 900,
San Francisco, CA 94105, EE. UU.
Tel: +1 (650) 446-3444
Incode reviews on G2 logo.
Plataforma
Explora la plataforma
Explore Platform
Orchestation Dashboard
Workflow builder
Personalización de la Ul
Decisiones y resultados
Análisis de fraude
Gestión de Casos
Integraciones de plataformas
Nuestra tecnologia
Reeconocimiento facial
Verificación de documentos
Verificación de liveness
OCR
Detección de deepfakes
Incode Network
Casos de uso
Verificación de identidad
Verificación de edad
Cumplimiento KYC/AML
Know Your Business (KYB)
Incode Workforce (KYE)
Verificación de Candidatos
Identidad Agentica
Verificación sin documentos
Industrias
Servicios financieros
Salud
Juegos en línea
Apuestas Online
E-commerce y marketplaces
Sector público
Redes sociales
Recursos
Blog
Prensa
Webinars
Centro de confianza
Asociados de negocios e integraciones
Empresa
Acerca de Incode
Carreras
Privacy Manifesto
Contáctanos
Seguridad
HIPAA
Política de privacidad
Términos de uso
Accesibilidad
SDK Y API
Informe de privacidad de datos de Washington Consumer Health
Política y aviso de datos biométricos
Manage Cookies
Incode Technologies ha sido certificado para cumplir con SOC 2 Tipo ii. Incode Technologies utiliza cifrado TLS de 256 bits
© Incode Technologies Inc. Todos los derechos reservados. Marca registrada Incode