En el apartado anterior se ha presentado la perspectiva descriptiva de la identidad. En este apartado se va a presentar la perspectiva de proceso. Es decir, procesos en los que la Identidad de una entidad está involucrada o, más específicamente, cómo la información de identidad es descubierta y utilizada.
La Identificación comprende un conjunto amplio de mecanismos que intervienen en el desarrollo de una interacción cuyo fin es la obtención y el descubrimiento de información de Identidad. La Identificación cubre un conjunto variado de conceptos como, por ejemplo, el anonimato, la trazabilidad o los identificadores y, normalmente, es parcial y se utiliza en contextos específicos o con propósitos concretos (acceder a un recurso, ofrecer servicios personalizados, etc.).
25
3.1.2.1 Usos de la Identificación
Los procesos de Identificación intervienen, fundamentalmente, en tres contextos: el control de acceso, la explotación de la información de identidad y la monitorización.
3.1.2.1.1 El control de acceso
Una de las principales razones de la Identificación suele ser el control de acceso a recursos o áreas restringidas por parte de personas, grupos, etc. Este tipo de control de acceso basado en la identificación comprende dos aspectos diferentes: la autenticación y la gestión de acceso. La autenticación está relacionada con la verificación de la identidad de la entidad y, en particular, asegurar que es la entidad que dice ser. Con frecuencia, la gestión de los derechos de acceso está relacionada con el rol de la entidad en el contexto y con los niveles o categorías de permisos concedidos a dicha entidad.
3.1.2.1.2 La explotación de la información de identidad
Otra de las razones importantes para identificar a una entidad es la de permitir al sistema acceder a información relevante de la misma, lo que incrementa el interés de la interacción para el sistema, pues le proporciona un determinado beneficio. Además del sistema, también la entidad identificada puede beneficiarse del acceso a la información por parte del sistema que la identifica. Por ejemplo, el acceso a la información por parte del sistema puede permitir una interacción más personalizada y efectiva entre ambos. En otros casos, el acceso a la información es una condición obligatoria para la provisión de un servicio concreto, por ejemplo servicios de diagnóstico, y no está condicionada al beneficio mutuo.
Por otro lado, el acceso a la información de la entidad puede llegar a suponer una desventaja para la misma. Es el caso, por ejemplo, de las empresas que hacen marketing directo. Este tipo de marketing utiliza la información disponible para elaborar campañas muy orientadas a las preferencias de la entidad sobre la que han obtenido la información. En otros casos, la información obtenida proporciona a su poseedor una ventaja injusta sobre la entidad que puede ser explotada, por ejemplo, en una negociación en el caso de que la entidad sea una organización o en una entrevista de trabajo en el caso de que sea una persona.
3.1.2.1.3 Monitorización y responsabilidad
La monitorización y la responsabilidad están relacionadas con la capacidad de registrar y auditar las acciones y actividades de una entidad y enlazarlas con una identidad parcial.
Esta responsabilidad puede ser utilizada en múltiples contextos. En comercio electrónico puede ser utilizada para dar soporte a diferentes aspectos de una transacción (pago, consumo, etc.) y también para ayudar a dar soporte a ciertos aspectos sociales contribuyendo, por ejemplo, a la formación de los vendedores o a la reputación de los clientes, como ocurre en el caso de portales de compraventa tipo eBay. Adicionalmente, puede ayudar a monitorizar el perfil general de los clientes que visitan un determinado sitio web. En el dominio del entretenimiento, la monitorización puede ser utilizada por ejemplo para registrar las actividades de descarga que tienen lugar en una red P2P (peer-to-peer) a través de la dirección IP de las máquinas involucradas en el intercambio. En actividades de comunicación, esta monitorización puede consistir en proporcionar información como el login, la dirección IP, etc., que pueden ser utilizadas para identificar al autor, o al menos para conocer su identidad
26
virtual. Desde la perspectiva de la seguridad, la monitorización suele consistir en la creación de logs para almacenar información con fines de auditoría e identificación de actividades sospechosas.
3.1.2.2 Riesgos asociados a la identificación incorrecta o no deseada
Es importante destacar que, como consecuencia de los procesos de Identificación, surgen una serie de riesgos. Concretamente se habla de dos tipos de riesgos, los derivados de una identificación incorrecta y los derivados de una identificación no deseada.
3.1.2.2.1 Identificación incorrecta
A menudo, una identificación incorrecta está relacionada con robos de identidad o fraudes relacionados con la identidad. Se debe tener claro que la fiabilidad de un proceso de identificación raramente es absoluta. Por ejemplo, el login y password de una persona o entidad pueden ser robados por un atacante, la dirección de correo electrónico es fácilmente suplantable, el aspecto de un sitio web, su identidad visual, es fácilmente imitable (en esto se basa el phising), etc. Las consecuencias de una identificación incorrecta pueden ser importantes y normalmente acarrean daños graves como pueden ser, por ejemplo, la revelación de información confidencial por accesos no deseados a los sistemas de información de una compañía o las pérdidas económicas como consecuencia de suplantación de sitios web, caso del phising bancario, etc.
3.1.2.2.2 Identificación no deseada
La identificación no deseada está directamente relacionada con la privacidad. Existen múltiples técnicas orientadas a la identificación no deseada, por ejemplo el spyware o el seguimiento de costumbres o hábitos de consumo. Si nos centramos en los procesos de identificación no deseada en el entorno de trabajo, el descubrimiento indebido de información relativa a un trabajador, como por ejemplo la afiliación a determinado grupo o sus contactos, su información privada en general, puede dar lugar a problemas como presiones por parte de la empresa, pérdida del trabajo, etc. Desde el punto de vista del ciudadano, la revelación no deseada de información privada como pueden ser sus tendencias políticas o de opinión puede tener consecuencias negativas similares a las anteriores.
3.1.2.3 Mecanismos de identificación
A la hora de realizar la identificación se pueden emplear múltiples técnicas pero de forma genérica las técnicas de identificación se pueden clasificar en dos grupos, las de identificación explícita y las de identificación implícita (41).
La identificación explícita es aquella en la que la persona está al tanto e incluso participa en la identificación. Esto incluye todos los mecanismos explícitos como por ejemplo las contraseñas, las tarjetas de identificación electrónica (eID cards), los elementos biométricos, etc., utilizados para identificar a una persona o entidad. También se incluyen en este grupo todos aquellos mecanismos empleados para recoger explícitamente información de identidad. Es el caso de los cuestionarios, la información contenida en las tarjetas de identificación electrónica, etc. La identificación implícita está relacionada con los procesos utilizados para identificar a una persona o entidad y obtener su información de identidad sin que sea consciente de ello. Está
27
basada en un conjunto de información disponible a partir de la cual se puede inferir o extraer la información de identidad. Esto puede incluir identificadores asociados a la persona, como por ejemplo dirección IP, apariencia visual, RFID, etc., o trazas de características, como el comportamiento, que pueden ser capturadas y analizadas empleando técnicas como la minería de datos. Como ya se ha comentado, no todos los mecanismos de identificación son iguales y, en concreto, la fiabilidad varía considerablemente de unos a otros.
Los procesos de Identificación, y más concretamente la autenticación, se apoyan normalmente en ciertas características de una entidad. De forma genérica esas características se agrupan en cuatro apartados:
Algo que la entidad es.
Algo que la entidad hace.
Algo que la entidad sabe.
Algo que la entidad posee.
La identificación también puede ser realizada a través de terceras partes de confianza, por ejemplo, una Autoridad de Certificación.
El primer mecanismo de identificación, algo que la entidad es, está relacionado con características directamente asociadas al usuario. Un ejemplo típico de esto es la identificación basada en características biométricas.
El mecanismo basado en algo que la entidad hace está relacionado con los comportamientos asociados a la entidad. Se identifica a la entidad en base a patrones de comportamiento en el entorno digital o en base a actitudes en su entorno social.
En el caso de algo que la entidad sabe se produce la identificación en base a algo que el usuario se supone que conoce. Es el caso de la identificación basada en contraseñas, PIN o determinada información privada que solo el usuario debería conocer.
El último tipo de identificación, algo que la entidad tiene o posee se basa en la posesión por parte de la entidad a identificar de un token o dispositivo utilizado de forma específica en el proceso de identificación. Son ejemplos de este tipo de token las tarjetas inteligentes, los tokens software o los certificados digitales.
Los mecanismos presentados difieren en cuanto a usabilidad y fiabilidad y se estudiarán con detenimiento en apartados posteriores.