Introducción

Ante el aumento de las amenazas de falsificación, no todas las soluciones de detección de actividad son iguales. La certificación -especialmente la norma ISO/IEC 30107-3- es la única forma fiable de distinguir los sistemas robustos y probados en combate de las afirmaciones superficiales. Esto es lo que hay que saber.

Qué cubre ISO/IEC 30107-3 (y por qué es importante)

La norma ISO/IEC 30107-3 establece el punto de referencia internacional para la detección de ataques de presentación (PAD), definiendo cómo probar los sistemas de vida utilizando intentos de suplantación realistas, como máscaras, repeticiones de vídeo y ataques de impresión. Especifica las métricas de error:
- APCER (Attack Presentation Classification Error Rate) para la detección de falsificaciones,
- BPCER (Bona Fide Presentation Classification Error Rate) para el rechazo de usuarios legítimos.

Laboratorios independientes como iBeta, acreditados por NIST/NVLAP, llevan a cabo rigurosas evaluaciones de PAD según la norma ISO 30107-3. Las pruebas se estratifican en:
- Nivel 1: Defensas de suplantación básicas utilizando artefactos asequibles.
- Nivel 2: Ataques de suplantación muy realistas. Los sistemas evaluados deben mantener un BPCER/FNMR inferior al 15% para superar la prueba;

- El nivel 3, en su caso, exige menos del 10%.

Principales ventajas de la certificación

- Confianza tangible: Un sistema certificado demuestra una resistencia validada a la suplantación de identidad, algo fundamental en sectores como las finanzas, la sanidad y la administración pública.

- Ventaja normativa: la certificación se ajusta a los mandatos GDPR, eIDAS y KYC, lo que alivia las cargas de cumplimiento.

- UX + Eficiencia: Los sistemas pasivos y certificados reducen las necesidades de revisión manual, aceleran la incorporación y mejoran la conversión.

Qué buscar en un proveedor

a. Nivel de certificación: Preferiblemente ISO 30107-3 Nivel 2 o superior.

b. Credenciales de laboratorio: Asegúrese de que las pruebas han sido realizadas por laboratorios independientes y acreditados (por ejemplo, iBeta).

c. Transparencia de errores: El proveedor debe revelar los índices APCER/BPCER o FNMR/FMR.

d. Experiencia sin fisuras: Insistir en métodos activos pasivos o ligeros para una alta adopción por parte del usuario.

e. Validación continua: Es imprescindible buscar soluciones que se actualicen continuamente para contrarrestar las nuevas técnicas de suplantación de identidad.

Ejemplo: Oz Liveness ha aprobado

Elegir una solución de detección de actividad basada en certificaciones y no en afirmaciones de marketing no es sólo prudente, es esencial. Pida pruebas, insista en la transparencia y alinee sus decisiones de seguridad con las normas acreditadas.

La presión normativa: Por qué la validación independiente ya no es opcional

En respuesta a la escalada de amenazas, los reguladores de todo el mundo están endureciendo los requisitos para la verificación de la identidad digital. Marcos como el GDPR europeo y las directivas mundiales contra el blanqueo de capitales (AML ) exigen procesos sólidos de conocimiento del cliente (KYC).

El Instituto Nacional de Normalización y Tecnología de Estados Unidos (NIST) lidera el establecimiento de normas técnicas. Sus directrices, como Publicación Especial 800-63-3establecen las mejores prácticas para la comprobación y autenticación de la identidad. El mensaje es claro: las declaraciones de seguridad autoevaluadas ya no bastan. El mercado exige pruebas.

En este contexto, confiar únicamente en el reconocimiento facial o en comprobaciones manuales es un riesgo. La única forma de restablecer la confianza es mediante una sólida detección de la vitalidad, una tecnología que confirme que detrás de cada interacción hay una persona real y viva.