¿Recuerda cuando un nombre de usuario y una contraseña le permitían acceder a casi todo? La seguridad de la identidad ha evolucionado considerablemente, y sigue haciéndolo, en respuesta a la continua evolución de las amenazas relacionadas con la identidad.
Desde la autenticación multifactor (AMF) hasta la autenticación basada en el riesgo y sin contraseña, surgen constantemente nuevos métodos y herramientas para proteger las identidades, a medida que los expertos en seguridad de identidades trabajan para superar el crecimiento de las amenazas. La verificación de la identidad representa un paso importante en esta evolución.
La verificación de la identidad es uno de los avances más importantes en la evolución de la seguridad de la identidad. Representa un gran paso en lo que se puede hacer para frenar el abuso de credenciales que permite el acceso no autorizado a los sistemas, aplicaciones y datos de una organización.
La verificación de la identidad va más allá de examinar y evaluar las credenciales del usuario. En su lugar, el proceso confirma si la identidad en sí es auténtica; se centra en confirmar si el usuario real o el dispositivo que solicita el acceso es genuino, y no sólo alguien o algo en posesión de esas credenciales.
Y aunque en teoría siempre ha sido posible verificar la identidad manualmente -por ejemplo, haciendo que alguien se presente en persona-, hacerlo no siempre resulta práctico, sobre todo en la era del trabajo a distancia. Ahí es donde la inscripción segura mediante la verificación de la identidad resulta esencial.
La verificación de la identidad es fundamental en los momentos clave del ciclo de vida de la seguridad de la identidad, especialmente en situaciones de alto riesgo, como cuando se incorpora un nuevo usuario o cuando es necesario restablecer o recuperar sus credenciales. Es especialmente útil en situaciones en las que no resulta práctico verificar la identidad de un usuario, como cuando un empleado, su jefe y el servicio de asistencia de TI trabajan en lugares distintos.
La inscripción segura también es esencial para confirmar que una organización está trabajando realmente con la persona que espera. Si una organización contrata, incorpora y da acceso a John, más vale que ese usuario sea realmente John: el Informe de IBM sobre el coste de la filtración de datos en 2023 descubrió que "los ataques iniciados por agentes internos malintencionados fueron los más costosos, con una media de 4,9 millones de dólares", y que las filtraciones iniciadas por un agente interno tardaron 308 días en detectarse. El informe Verizon 2024 Data Breach Investigations Report descubrió que los actores internos fueron responsables de 35% de las filtraciones de datos, "un aumento significativo desde la cifra de 20% del año pasado".
Verificar la identidad de un empleado desde el principio es crucial para la seguridad a largo plazo. Un reciente Anuncio de servicio público del FBI/IC3 puso de relieve la amenaza de que Corea del Norte aproveche a personas radicadas en Estados Unidos para conseguir empleos fraudulentos y acceder a las redes de empresas estadounidenses. El principal consejo del FBI es aplicar la verificación de la identidad durante la contratación para evitar el fraude de los candidatos, lo que subraya la importancia de contar con procesos sólidos de verificación de la identidad.
E incluso si el espionaje patrocinado por el Estado suena demasiado dramático, aún queda el menos arriesgado (pero aún espeluznante) falso candidato tendencia cuando la persona X hace una entrevista para un puesto vacante y se presenta la persona Y.
Sin verificación de identidad, es totalmente posible que un impostor obtenga credenciales o recupere las credenciales de otra persona haciéndose pasar por ella. La verificación de la identidad permite intervenir en puntos de alto riesgo cuando la identidad del usuario, el proceso de autenticación o los derechos que debería tener no están claros. En 2022, agentes de amenazas accedieron a la nube y a las cuentas de correo electrónico de una organización no gubernamental en parte mediante este proceso.
El proceso de verificación de la identidad aclara cada una de ellas, pidiendo al usuario no sólo que demuestre quién es basándose en las credenciales que porta, sino también que verifique que realmente son la persona que tiene derecho a tener esas credenciales.
Así es como funciona en los puntos clave que hemos mencionado:
- Inscripción de credenciales: La verificación de la identidad garantiza la inscripción exigiendo una prueba de identidad, como datos biométricos o un documento de identidad expedido por el gobierno, para expedir credenciales de nacimiento a los nuevos usuarios. Las plataformas en línea de hoy en día hacen que esto no sólo sea seguro, sino también cómodo y práctico. En lugar de tener que presentarse en persona con una prueba de identidad en la mano, los usuarios pueden hacerlo digitalmente utilizando la verificación de identidad. Eso ayuda a los trabajadores remotos y a sus organizaciones a trabajar de forma segura y eficaz.
- Recuperación de credenciales: Una vez que alguien tiene credenciales básicas como el nombre de usuario y la contraseña, no es raro que un mal actor intente hacerse con esas credenciales poniéndose en contacto con el servicio de asistencia y alegando que las ha olvidado. El sitio Ataques del ransomware ALPHV en complejos turísticos de Las Vegas empezaron a utilizar esa técnica y, al parecer, costaron $100 millones en daños. Exigir una prueba de identidad es esencial para detener el intento, y ahora se puede hacer de una manera que no suponga ningún problema para un usuario legítimo. Por eso RSA añadirá la recuperación de credenciales a nuestro flujo de trabajo de verificación de identidad a finales de este año.
En RSA trabajamos con ID Dataweb, líder en verificación de identidad, para permitir procesos seguros de inscripción y recuperación de credenciales para los clientes de RSA. Nuestra asociación integra estos procesos en RSA My Page, nuestra función de inicio de sesión único (SSO).
La tecnología ID Dataweb está perfectamente integrada en RSA My Page, lo que permite a los usuarios verificar su identidad digitalmente de forma rápida y segura, en lugar de tener que localizar y personarse en la oficina más cercana. La recuperación de credenciales se realiza igualmente sin esfuerzo.
"RSA sigue siendo líder en seguridad con su Plataforma de Identidad Unificada de última generación", dijo Matt Cochran, vicepresidente de Producto y Operaciones de ID Dataweb. "Mediante la integración de las inigualables capacidades de verificación de identidad de ID Dataweb, RSA dispone ahora de un despliegue sencillo, con un solo clic y sin código, para flujos de trabajo avanzados de comprobación de identidad. Integrar nuestra solución, la mejor de su clase, significa que los usuarios de RSA pueden incorporarse y ser productivos sin problemas y de forma segura."
Tanto para la inscripción como para las credenciales, la verificación de ID es un simple proceso de autenticación inicial seguido del flujo de trabajo de verificación de ID Dataweb. Este flujo de trabajo se activa mediante OpenID Connect (OIDC) de RSA conector para la verificación del usuario.
Todo ello forma parte de RSA Unified Identity Platform, que combina autenticación, acceso, gobernanza y ciclo de vida para ayudar a las organizaciones a prevenir riesgos, detectar amenazas y evolucionar más allá de IAM.
Descargue nuestro resumen de la solución para obtener más información sobre la verificación de identidad con RSA.
