Monitor Software
Las medidas anti deepfakes
Publicación:15-05-2021
TEMA: #Software
El Gobierno regula la expedición de certificados electrónicos cualificados en remoto por videollamada.
El Gobierno acaba de publicar una orden ministerial que regula la expedición de certificados electrónicos cualificados en remoto por videollamada, tales como el de firma electrónica necesario para hacer trámites con la Administración del Estado online. El texto legal, disponible en el Boletín Oficial del Estado (BOE), especifica, entre otras cosas, las condiciones y requisitos técnicos para verificar la identidad a distancia y evitar intentos de suplantación usando tecnologías como las deepfakes.
Entre las medidas técnicas incluidas para evitar la suplantación de identidad, el texto señala que la herramienta de identificación usada debe garantizar que el proceso se ejecuta en directo por parte del solicitante del certificado, y en una sola vez, de tal forma que se evite la edición de vídeo pregrabado. El archivo audiovisual sólo podrá ser grabado por parte de la empresa o Administración que expida el certificado con el fin de poder revisarlo más tarde.
La herramienta, además, debe permitir al agente que la use, tanto en directo como a posteriori, analizar las características biométricas del solicitante y su correspondencia con la información incluida en el documento de identidad.
El sistema biométrico de comparación facial debe haber sido evaluado por el Face Recognition Vendor Test del Instituto Nacional de Estándares y Tecnología de los Estados Unidos y haber obtenido la categoría VISABORDER, con la que se garantiza la alta seguridad del sistema de reconocimiento, y haber obtenido una tasa falsos positivos igual o menor al 5%, siguiendo las instrucciones del Anexo F.11 de la Taxonomía de productos del Servicio de las Tecnologías de la Información y las Comunicaciones del Centro Criptológico Nacional.
La herramienta también debe poder asegurar que la retransmisión y todo el proceso de identificación se están realizando desde un mismo dispositivo y tendrá que incluir medidas procedimentales que puedan poner de manifiesto posibles manipulaciones con la introducción de un código único, aleatorio, impredecible y de un solo uso generado en el momento y remitido al solicitante.
Control humano
Además de las funciones de reconocimiento biométrico, de verificación de identidad y de detección de manipulaciones, como la edición de vídeo, la orden señala que será indispensable la intervención humana en cada uno de estos procesos, ya sea en el mismo momento por videollamada con el solicitante o a posteriori, mediante la revisión del operador del vídeo grabado por el sistema de la entidad que expedirá el certificado.
Las empresas que realicen estas tareas tendrán que asegurar la formación específica de los operadores en métodos de identificación, en las técnicas comunes de falsificación y en herramientas de verificación de identidad. Asimismo, están obligadas a renovar su capacitación con cursos periódicos, como mínimo una vez al año.
Estos operadores tendrán la obligación de interrumpir o invalidar el proceso de identificación personal si existen indicios de uso de archivos pregrabados, de que se ha usado más de un dispositivo para la transmisión de vídeos o de que la videollamada del solicitante no se ha realizado de una sola vez y en tiempo real. Asimismo, tampoco será válido si hay sospechas de que la persona que pide el certificado actúa bajo coacción o intimidación de terceros.
El texto legal no sólo hace referencia al vídeo. También señala que los operarios deben comprobar la validez y autenticidad de los documentos oficiales presentados, como el DNI, para la obtención del certificado, e invalidar el proceso si hay indicios de que estos han sido modificados. Igualmente, la solicitud puede considerarse nula si la calidad del sonido o la imagen impiden verificar la identidad de la persona, la autenticidad de la documentación o la correspondencia entre el titular de ésta y el solicitante.
Controles periódicos e instalaciones
Los prestadores de estos servicios se tendrán que someter a análisis de riesgos periódicos, como mínimo una vez al año, o siempre que se produzca un cambio en el sistema, en los procedimientos organizativos, en el estado de la tecnología o en cualquier aspecto que pudiese poner el peligro el proceso de verificación de la identidad. De tal forma que certifiquen que el sistema se encuentra actualizado y que han reducido al mínimo el peligro de fraude.
En cuanto a las instalaciones, las empresas y organismos públicos que expidan certificados electrónicos cualificados en remoto por videollamada deben asegurarse de que los servidores y equipamientos que se utilicen para el proceso de verificación se encuentran en estancias protegidas con acceso restringido al personal autorizado.
En estas instalaciones, los prestadores del servicio están obligados a conservar el vídeo y la documentación del proceso de verificación por un periodo de tiempo mínimo de 15 años, algo de lo que los operadores tendrán que haber informado a los solicitantes. La orden recoge que este archivo tendrá que cumplir con la Ley Orgánica de Protección de Datos.
La orden entrará en vigor, y por tanto será de obligado cumplimiento, el día siguiente de su publicación en el BOE, es decir, a partir de mañana.
Consolidación de medidas extraordinarias
Esta orden ministerial viene a consolidar un procedimiento de verificación de identidad para la expedición de certificados electrónicos cualificados que se empezó a realizar a raíz de la declaración del estado de alarma por la pandemia de coronavirus. Antes, para conseguir este tipo de certificados era inexcusable personarse en una Oficina de Registro de la Fábrica Nacional de Moneda y Timbre.
Un procedimiento que era incompatible con las medidas de confinamiento y distancia de seguridad dictadas por el Gobierno en marzo de 2020, por lo que el Ejecutivo dictó una disposición extraordinaria, mediante el Real Decreto-ley por el que se adoptaban medidas urgentes complementarias en el ámbito social y económico para hacer frente al COVID-19, para que estos certificados se pudiesen expedir por videollamada.
Así, la disposición adicional undécima del citado Real Decreto-ley establecía que “el organismo supervisor aceptará aquellos métodos de identificación por videoconferencia basados en los procedimientos autorizados por el Servicio Ejecutivo de la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias o reconocidos para la expedición de certificados cualificados por otro Estado miembro de la Unión Europea”.
Sin embargo, esta medida extraordinaria también especificaba que los certificados así remitidos dejarían de tener validez una vez hubiese finalizado el estado de alarma, circunstancia que tuvo lugar el pasado 9 de mayo, y que su uso se limitaría exclusivamente a las relaciones entre el titular y las Administraciones públicas.
De modo que la orden publicada hoy consolida la opción de solicitar certificados electrónicos cualificados en remoto por videollamada en circunstancias normales y la extiende al sector privado.
« Especial »