La transformación digital de Europa ha alcanzado un momento culminante. Con la entrada en vigor del Reglamento europeo sobre identidad digital en mayo de 2024, el reloj avanza hacia un ecosistema de identidad digital unificado. Para 2026, todos los Estados miembros de la UE deberán ofrecer a sus ciudadanos una cartera de identidad digital europea (EUDI). Para 2027, los principales servicios del sector privado, desde los bancos hasta las grandes plataformas en línea, deberán aceptarla.

Para los gobiernos y las empresas, no se trata solo de una fecha límite para cumplir con la normativa, sino de un cambio en la forma de establecer la confianza en Internet. El éxito de EUDI Wallet depende de un factor fundamental: la seguridad. En una era de IA generativa y fraude a escala industrial, ¿cómo podemos garantizar que la persona que posee la cartera digital es el propietario legítimo?

La respuesta está en la biometría de última generación, capaz de salvar la brecha entre la seguridad y la interoperabilidad.

La línea temporal: una carrera contra el fraude sintético

El calendario establecido por la Comisión Europea es ambicioso. Tras la adopción de las especificaciones técnicas a finales de 2024, los Estados miembros dispondrán de 24 meses para poner en marcha sus carteras certificadas.

● Para 2026 (Estados miembros): todos los países de la UE deben proporcionar al menos una cartera de identidad digital a sus ciudadanos. Esta cartera debe cumplir con el estándar de «nivel de seguridad alto», que exige los protocolos de seguridad más estrictos disponibles.

● Para 2027 (sector privado): En virtud del artículo 5f, las «partes confiables» privadas están obligadas por ley a utilizar la autenticación reforzada de clientes (SCA), como los bancos, las empresas de telecomunicaciones y los servicios de transporte para la identificación.

● Plataformas en línea muy grandes (VLOP): Los gigantes tecnológicos designados como VLOP (como Amazon o Facebook) también están obligados a aceptar el monedero para garantizar la privacidad de los usuarios y la verificación de la edad.

Fiable y más segura, la biometría facial es posiblemente el método de autenticación preferido para la cartera. Sin embargo, su implantación coincide con un drástico aumento de las amenazas. La democratización de las herramientas de IA ha provocado un aumento de los fraudes de identidad sintética, con ataques deepfake cada cinco minutos en 2024. Los estafadores están atacando el proceso de verificación mediante sofisticados ataques de inyección y ataques de presentación.

Para que la cartera EUDI alcance su objetivo de alto nivel de garantía (LoA), el mecanismo de vinculación biométrica debe ser impenetrable.

Los dos frentes de defensa: PAD e IAD

Para garantizar la seguridad del ecosistema EUDI Wallet, no basta con disponer de datos biométricos «suficientemente buenos». El Marco de Referencia y Arquitectura (ARF) y las normas emergentes, como ETSI TS 119 461, exigen una defensa rigurosa y multicapa.

1. Derrotar los ataques de presentación (PAD)

La primera línea de defensa es la detección de ataques de presentación (PAD). Esta protege contra «falsificaciones» presentadas físicamente ante la cámara, como fotos de alta resolución, reproducciones de vídeo en tabletas o máscaras 3D.

La referencia mundial en este ámbito es la norma ISO/IEC 30107-3. Para actuar como guardián fiable de la cartera EUDI, una solución biométrica debe estar certificada de forma independiente con el nivel 2 (que demuestra su resistencia frente a artefactos sofisticados).

2. Derrotar los ataques de inyección (IAD)

En un ataque de inyección, el estafador elude por completo la cámara. Mediante el uso de software de cámara virtual o emuladores, «inyectan» un deepfake digital directamente en el flujo de datos de la aplicación.

La detección tradicional de presencia humana suele fallar en este caso, ya que la transmisión de vídeo inyectada puede ser matemáticamente perfecta.

Por este motivo, la UE ha sido pionera en la creación de una nueva norma: CEN/TS 18099. Esta especificación técnica define los requisitos para detectar la inyección de datos biométricos. Oz cuenta con la certificación de BixeLab según las normas de CEN/TS 18099.

Para un emisor de carteras o una parte confiable (como un banco), cumplir con eIDAS 2.0 significa garantizar que su proveedor de datos biométricos esté preparado para ambas amenazas.

El reto de la interoperabilidad: confianza transfronteriza

Una de las promesas fundamentales de la cartera EUDI es la interoperabilidad transfronteriza. Un estudiante de Portugal debe poder utilizar su cartera para alquilar un apartamento en Berlín; un ciudadano francés debe poder abrir una cuenta bancaria en España.

Esto requiere un enfoque estandarizado para la verificación biométrica. Si cada país utiliza un estándar propio diferente, las fricciones impedirán su adopción. El uso de Passive Liveness se está imponiendo como el estándar preferido para garantizar esta interoperabilidad sin sacrificar la experiencia del usuario.

A diferencia de la «actividad» activa, que requiere que los usuarios realicen gestos específicos que crean fricción, la actividad pasiva funciona en segundo plano. Ofrece una experiencia fluida que es universalmente accesible, lo cual es crucial para cumplir el objetivo de la UE de alcanzar una adopción del 80 % por parte de los ciudadanos para 2030.

Preparación para 2027: una hoja de ruta para el sector privado

Para las partes confiables, especialmente los bancos, las empresas de telecomunicaciones y las plataformas en línea de gran tamaño (VLOP), la obligación de aceptar la cartera EUDI para 2027 es una llamada a la acción.

Las organizaciones no deben considerar esto simplemente como una carga normativa. La integración de EUDI Wallet ofrece una gran oportunidad para reducir el coste de los procesos de «Conozca a su cliente» (KYC). Al aceptar una identidad digital verificada por el gobierno, las empresas pueden descargar la pesada tarea de verificar la identidad al emisor de la cartera.

Pasos estratégicos para la preparación:

● Audite su pila biométrica: ¿Su flujo de incorporación actual protege contra los ataques de inyección? Si su proveedor no realiza pruebas según los criterios CEN/TS 18099, usted es vulnerable a los deepfakes.

● Priorizar NFC: Para obtener el máximo nivel de seguridad, combine la biometría facial con la lectura de chips NFC de documentos físicos. Esto garantiza que los datos de origen estén firmados criptográficamente por el estado emisor.

● Adopte la verificación pasiva de la vitalidad: para garantizar que su servicio sea accesible a todos los ciudadanos de la UE, independientemente de sus conocimientos tecnológicos o su capacidad física, abandone los intrusivos retos de verificación activa de la vitalidad.

Si su pila biométrica actual no puede demostrar que es capaz de detener los ataques de inyección, no cumplirá con el nivel de confianza alto (LoA High), incluso si supera las auditorías sobre el papel.

Conclusión: Construir una fortaleza de confianza 🔒

La cartera EUDI está llamada a convertirse en el estándar de referencia para la identidad digital a nivel mundial. Pero una cartera solo es tan segura como el candado que la protege.

En Oz Forensics, entendemos que el cumplimiento normativo es solo el punto de partida. La verdadera seguridad requiere adelantarse a las amenazas. Por eso nuestra tecnología se somete a rigurosas pruebas para cumplir con los más altos estándares internacionales, incluida la norma ISO 30107-3 para ataques de presentación y protocolos avanzados para detectar ataques de inyección y deepfakes.

A medida que Europa avanza hacia 2026, las organizaciones que tendrán éxito serán aquellas que construyan su infraestructura digital sobre una base de confianza biométrica verificable y certificada.

Si su organización depende de la incorporación digital, ahora es el momento de poner a prueba su seguridad biométrica. Póngase en contacto con Oz Forensics para descubrir cómo nuestras soluciones compatibles con NIST y con certificación ISO pueden preparar a su organización para la era de EUDI Wallet.