Introducción

A medida que aumentan las amenazas de deepfake, está claro que la calidad de las distintas soluciones de detección de liveness varía. Obtener la certificación en normas mundiales, como la ISO/IEC 30107-3, es importante. Ayuda a distinguir las soluciones biométricas reales de los reclamos de marketing. Comprender esta diferencia es la clave para lograr una verdadera seguridad biométrica.

Qué cubre ISO/IEC 30107-3 (y por qué es importante)

La norma ISO/IEC 30107-3 constituye la referencia internacional para la detección de ataques a la presentación (PAD). Proporciona una guía clara para probar los sistemas biométricos que utilizan el reconocimiento facial. Esto incluye la comprobación de intentos falsos, como máscaras, repeticiones de vídeo e imágenes impresas. La norma se centra en dos métricas de error importantes:

● APCER (Attack Presentation Classification Error Rate): Mide la frecuencia con la que un ataque de suplantación de identidad se acepta incorrectamente como auténtico.

● BPCER (Bona Fide Presentation Classification Error Rate): Mide la frecuencia con la que un usuario legítimo es rechazado incorrectamente.

Para garantizar la imparcialidad, laboratorios independientes como iBetaacreditados por NIST/NVLAP, realizan esta rigurosa prueba de vitalidad para proporcionar una verificación biométrica fiable por parte de terceros. Las pruebas se estratifican en:

● Nivel 1: Pruebas contra ataques básicos de suplantación de identidad mediante artefactos sencillos y asequibles.

● Nivel 2: Pruebas contra ataques de suplantación de identidad muy realistas y sofisticados.

● Nivel 3: El nivel más estricto, pruebas contra métodos de ataque de última generación.

Para que un sistema supere el nivel 2, debe mantener un BPCER/FNMR (False Non-Match Rate) inferior al 15%.

Principales ventajas de la certificación

● Confianza tangible: Un sistema certificado valida la eficacia de sus métodos de autenticación biométrica, ofreciendo una resistencia probada a la suplantación, fundamental en sectores como las finanzas, la sanidad y la administración pública.

● Ventaja regulatoria: la certificación le ayuda a cumplir estrictos mandatos de conformidad como GDPR, eIDAS y KYC, aliviando la carga regulatoria.

● Mejor experiencia de usuario y eficiencia: Los sistemas certificados de detección pasiva de la vitalidad facilitan la autenticación biométrica. Reducen las revisiones manuales, lo que acelera la incorporación y aumenta las tasas de conversión.

Qué buscar en un proveedor

Al evaluar un proveedor de detección de actividad, utilice la siguiente lista de comprobación:

1. Nivel de certificación: El proveedor debe estar certificado para ISO 30107-3 Nivel 2 o superior.

2. Credenciales de laboratorio: Asegúrese de que las pruebas han sido realizadas por un laboratorio independiente y acreditado como iBeta.

3. Transparencia de la tasa de error: El proveedor debe ser transparente sobre sus tasas APCER y BPCER.

4. Experiencia de usuario sin fisuras: Dé prioridad a los proveedores que ofrezcan métodos pasivos para garantizar una alta adopción por parte del usuario. También es esencial un SDK biométrico fácil de integrar.

5. Validación continua: Elija soluciones que se actualicen continuamente para contrarrestar las técnicas de suplantación nuevas y en evolución.

Elegir una solución de detección de actividad basada en certificaciones y no en afirmaciones de marketing no sólo es prudente, sino esencial. Pida pruebas, insista en la transparencia y adapte sus decisiones de seguridad a las normas acreditadas.

La presión normativa: Por qué la validación independiente ya no es opcional

En respuesta a la escalada de amenazas, los reguladores de todo el mundo están endureciendo los requisitos para la verificación de la identidad digital. Marcos como el GDPR europeo y las directivas mundiales contra el blanqueo de capitales (AML) exigen procesos sólidos de conocimiento del cliente (KYC).

El Instituto Nacional de Normalización y Tecnología de Estados Unidos (NIST ) lidera el establecimiento de normas técnicas. Sus directrices, como Publicación Especial 800-63-3establecen las mejores prácticas para la comprobación y autenticación de la identidad. El mensaje es claro: las declaraciones de seguridad autoevaluadas ya no son suficientes. El mercado exige pruebas.

En esta situación, utilizar el reconocimiento facial básico en línea o comprobaciones manuales sin una comprobación adecuada de la vitalidad es arriesgado. El mercado exige ahora un reconocimiento facial en tiempo real que sea verificablemente seguro. Para generar y mantener la confianza, necesitamos una sólida detección de la vitalidad. Esta tecnología comprueba si una persona real está presente en cada interacción.

En OZ, proporcionamos pruebas en lugar de garantías. Nuestra tecnología ha obtenido las certificaciones iBeta PAD Nivel 1 y Nivel 2, lo que demuestra su capacidad para gestionar diversas formas de ataques de presentación.

Nuestra solución ofrece una seguridad sólida y cuenta con la certificación de las principales autoridades. Esto le garantiza que podrá ofrecer una experiencia de usuario fluida al tiempo que mantiene una protección de alto nivel.