¿Cómo se certifica la validez de un documento de identidad?

En 2016, en el informe del Eurobarómetro (EN) se hablaba sobre la falsificación documental y los problemas para la identificación de personas en aeropuertos y demás lugares de riesgo. Según el PCI SSC, la autoridad global sobre la protección de datos de pagos, las infracciones de carácter digital le han costado a las empresas españolas 65.000 millones de euros (ES) en lo que va de año. Apenas hace un par de semanas, el CCN-CERT afirmaba que el 2017 se salda con más de 26.500 ataques (ES) al sector público y a empresas críticas para el país, lo que supone un 26% más que el año pasado. 

Queda patente entonces que las empresas que ofrecían servicios de verificación documental no estaban cumpliendo con los objetivos marcados (seguridad), si bien servían y sirven de complemento perfecto para transcribir los datos a un soporte estructurado (un elemento crítico para cualquier sistema de reconocimiento de patrones).

Recientemente coincidía con un experto en documentoscopia en un congreso de seguridad de la capital. Su startup, FOXid.eu (ES), se dedica precisamente a digitalizar el trabajo que llevan haciendo a mano estas últimas décadas. Es decir, certificar que un documento de identidad es o no verdadero. Y aprovechando la ocasión me pareció interesante que me hiciera una demo de su producto con mi DNIe.

Para ello se sirvió tan solo de un móvil (aunque también me enseñó la aplicación en tablet y cuentan con una versión más profesional en escritorio) y apenas unos minutos. Un tema que creo que la mayoría desconocemos. Lo suficiente, al menos, para trasladarlo por estos lares en una nueva pieza de #MundoHacker.

Si quiere saber las técnicas que existen a día de hoy para identificar documentos falsos, comprender el ecosistema normativo alrededor de la documentoscopia, y ver cómo todo este proceso, antaño en manos únicamente del experto, está siendo poco a poco portado a entornos digitales, siga leyendo. Le aseguro que no se va a arrepentir.

Estandarización frente a realidad en cada Estado

Como bien sabe, existen varias tipologías de documentos de identidad. Los DNI, los pasaportes, los de conducción, los visados, e incluso otros que aún sin ser oficiales para algunos derroteros se utilizan como herramienta de identificación.

En el caso de Europa, por ejemplo, los DNI cumplen con la normativa ICAO (EN/DOC 9303), diferente en cada caso dependiendo del tipo de documento. Pero luego cada país hace lo que le da la real gana (me contaba que por ejemplo el de Portugal no la cumple al 100%), y para colmo existen muchísimas otras excepciones (los visados, al expedirse desde cualquier lugar, no siempre siguen la normativa adecuadamente).

La cosa se complica aún más cuando salimos de Europa, como se podrá imaginar.

Esto hace que lo que en un principio podría parecer un simple trabajo de identificar el tipo de documento, conocer las especificaciones de la normativa de turno, y ver si el documento las cumple, se vuelva un verdadero dolor de… cabeza. Ya no solo vale con identificar el tipo de documento, sino que también hay que saber si el país de origen y/o donde fue expedido cumple adecuadamente con la normativa que le toca, y aplicar para cada caso una serie de comprobaciones distintas.

La mayoría de servicios que ofrecen como en el caso de FoxID la verificación de documentos, se centran, por tanto, en un universo finito de documentación: Generalmente los DNI. Y no suele ser habitual que tengan en cuenta las excepciones de cada localización, lo que al final se traduce en un volumen de falsos positivos relativamente alto (documentos considerados falsos cuando realmente es que no cumple el estándar oportuno).

¿Por qué se funciona de esta manera? Porque muchos de estos servicios no han nacido de base con el objetivo de certificar la legitimidad del documento, sino que han llegado a ello desde otros mercados aledaños(documentoscopia genérica, por poner un ejemplo típico).

Procesos para verificar la legitimidad de un documento

FoxID aplica tres capas en el análisis, reduciendo así el margen de error hasta que es prácticamente despreciable. Tanto como para atreverse a emitir un certificado (lo que quiere decir que el cliente, en caso de fraude ante un falso positivo o viceversa, tiene un seguro al que recurrir) de que en efecto el documento o bien es auténtico, o bien es falso.

Cierto es que también se han encontrado con documentos de los cuales no pueden asegurar ni lo uno ni lo otro (imágenes defectuosas, información insuficiente…), pero viendo las analíticas de los más de 5.000 documentos reales (obviando todos aquellos utilizados para el entrenamiento de la máquina de IA) que han analizado estos últimos meses, este número era realmente bajo (hablábamos de apenas una treintena de casos).

Decía que los chicos habían habilitado tres capas, siguiendo a pies juntillas la Biblia del analista (capa de la máquina, capa del usuario y capa del experto). Vamos a verlos al detalle:

Verificación experta automátizada 

Es el que todos los aquí presentes estamos pensando. El primer paso que te pide la aplicación es que saques una foto al documento (la frontal en el caso de los pasaportes, la frontal y la posterior en el caso de los carnets). Aquí entra en juego la magia de la tecnología, que identifica en primera instancia el tipo de documento, para en base a la normativa adecuada recopilar los datos oportunos que sirvan para certificar su legitimidad.

En el caso del documento de identidad español, por ejemplo, cobran mucho protagonismo esas tres líneas de caracteres que tenemos en la parte posterior inferior del carnet (código MRZ), donde entre varios otros datos, se especifica el tipo de documento, el país de origen…

Los nuevos documentos ya cuentan con un chip de RFID (y/o NFC, según el caso), y ésta, de hecho, era una de la funcionalidades que están trabajando a día de hoy, sobre todo con el objetivo de habilitar este tipo de herramientas en los sistemas de onboarding (ES/PDF) que cada vez se están ofreciendo más en el sector bancario y en el sector servicios (realizar acciones críticas únicamente desde medios digitales, como puede ser abrirse una cuenta bancaria o contratar una póliza de seguro).

La idea pasa por leer también el chip, y utilizar por ejemplo la imagen de la foto que tiene normalmente almacenada en su interior para compulsarla con una foto recién sacada al usuario, además de asegurarse de que el chip es único y no ha sido clonado.

Puede parecer una tontería, pero hablamos de que en el momento en el que vayamos a alquilar un coche, el dependiente nos saque una foto y pasando el documento por el lector NFC sepa al momento ya no solo que el documento es (o no) legítimo, sino que además nosotros somos (o no) quienes decimos ser.

El resultado de esta primera fase, que apenas le lleva al usuario unos 20 segundos (sacar una o dos fotos y esperar unos segundos a que el sistema de IA reconozca el documento y emita su juicio), es una pantalla en la que la herramienta saca la información crítica del documento (lectura mediante OCR (ES), por si se lo pregunta), y devuelve un válido, un no válido o un no hay datos suficientes.

Según el caso, se pedirá o se ofrecerá la posibilidad al usuario de pasar el resto de pruebas.

Verificación experta guiada

Se basa en, una vez reconocido el tipo de documento, acompañar con pantallas de tipo tutorial al usuario para que éste pueda saber si está ante un documento legítimo o no. Las típicas validaciones que pasarían desapercibidas en una imagen, como es la de tocar con el dedo el margen inferior derecho del DNIe para asegurarse que tenga un grosor distinto o que se vea el logotipo al cambio de luz moviendo el carnet delante nuestro.

De nuevo, hablamos ya no solo de digitalizar una serie de normativas, sino de ser capaces de identificarlas y para cada caso, siendo conscientes de la ideosincrasia de cada documento y de cada país, ofrecer un tutorial para que sea el usuario capaz de en apenas dos o tres pasos informar al sistema si en efecto se cumplen o no las verificaciones.

Me gustó además mucho que el margen de riesgo con el que trabaja el sistema depende de cada documento, de cada país y del sector donde se vaya a utilizar.

No es lo mismo legitimar un documento español en una tienda en España que hacer lo propio con un documento ruso en la Costa del Sol, o con un documento español necesario para abrirse una cuenta bancaria. Según el entorno donde vaya a ser usado, lo mismo la verificación automática, aunque salga positiva, te fuerza a pasar la asistida e incluso también la del experto.

Validación experta

Llegamos así a la guinda del pastel. Tanto si es por obligación (el sistema no puede verificar la legitimidad del documento o considera que hay un riesgo no asumible), o el usuario así lo requiere, entra en juego el papel del experto. Esto es, enviarle la información a los analistas de la compañía y que ellos emitan un veredicto.

Hicimos una prueba mientras hablábamos, y la respuesta fue tan rápida que no tuvo tiempo a enseñarme cómo trabajaría el experto (tienen otra app para este cometido). Hicimos la petición, entró en la app maestra donde me explicó cómo el experto tenía acceso a los datos e imágenes del documento pero sin capacidad para descargarlo en el terminal (temas de privacidad y cumplimiento de la normativa de protección de datos, ya sabe), y cuando se puso a emitir un juicio sobre mi DNIe ya se le habían adelantado y aparecía como resuelto.

Debieron tardar apenas un minuto. ¡Olé!

Todo el proceso, presuponiendo que el usuario pase por las tres verificaciones, no debería llevar más de tres o cuatro minutos, siendo sin lugar a dudas el más lento el asistido. Al menos, las primeras veces (entiendo que una vez estás harto de enfrentarte en tu negocio a los mismos documentos, solo revisarás el tutorial para cuando te llega un documento de otro país al que nunca te has enfrentado).

Conclusiones

¿Qué me llevo de esa mañana? Sobre todo aprendizaje de un mundo que hasta el momento se me antojaba totalmente desconocido.

Las soluciones actuales no cubren el problema de la seguridad. Y en este sentido, el trabajo de los chicos de FoxID puede ayudar ya no solo a luchar contra el problema del fraude documental, sino también a democratizar un ecosistema que lleva ya tiempo demandando herramientas de este tipo.

Entre sus clientes están fuerzas y cuerpos de seguridad del Estado, ministerios, lo que lo que al parecer se llaman “sujetos obligados” (casinos, joyerías, locales de cambios de divisa… en definitiva, negocios que por ley están obligados a identificar a sus clientes), y, por supuesto, empresas que corren el riesgo habitualmente de recibir fraudes (hablábamos antes de alquileres de coche y segunda mano, pero en la práctica casi cualquier negocio de cara al público).

Le comenté si habían valorado la posibilidad de ofrecer su servicio a todas aquellas organizaciones que además de estar interesadas en reducir el riesgo de sufrir un fraude, podrían estar interesadas en obtener información de la tipología de clientes que tienen, y para variar, ya están en ello.

Junto con la factura incluyen un reporting básico, y la idea es ir mejorando este aspecto hasta transformarlo en un dashboard digital consultable por el cliente y, por supuesto, totalmente opcional (en la aplicación puedes o no permitir que se utilicen los datos con fines estadísticos).

Algunos de sus clientes lo utilizan para automatizar, por ejemplo la segmentación de usuarios (sexo, nombre…), pero como todo, entra en juego la reticencia al cambio de algunos de sus potenciales clientes (vaya usted a decirle a la administración pública que tiene la posibilidad de utilizar una herramienta como ésta, pensada para garantía y seguridad, para que además les ayude a optimizar sus procesos internos en base a la recopilación y tratamiento de datos estadísticos…).

No obstante, los aplicativos que de ello se desprende son, sencilla y llanamente, jugosísimos:

Podríamos saber, por ejemplo, que en esta zona en particular hay más fraude con documentos chinos (ergo, destinar de forma más óptima recursos específicamente entrenados para reconocer documentación falsa de este país), o que en esta provincia tenemos más mujeres, pudiendo lanzar campañas de concienciación específicamente enfocadas a éste target.

Al final todo se trata de ver cómo se trabaja con los datos. Ya sabemos que no hay sistema estadístico 100% no identificable, pero con el ruido suficiente y siguiendo estrategias de anonimización adecuadas, con la separación lógica de los datos y un tratamiento exclusivo para cada cliente, podríamos tener entre manos una herramienta que mata varios pájaros de un tiro, reduciendo costes y mejorando con ello los procesos de una organización.

Sea ésta un negocio, sea ésta una administración pública.

Fuente: https://www.pabloyglesias.com/identificacion-digital-documentos/

________