Durante la última década, se ha observado una aceleración en la transformación digital, la cual ha proporcionado numerosos beneficios a la sociedad y la economía europea al facilitar el comercio y la prestación de servicios, crear nuevas oportunidades para las empresas, y aumentar la productividad y la ganancia económica. Además, la pandemia ha resaltado la importancia de procesos de identificación remota bien regulados y estandarizados, junto con identidades digitales confiables en las que puedan confiar las organizaciones del sector público y privado. Estos elementos también se enfatizan en la revisión planeada de eIDAS (eIDAS 2.0), que proporcionará a todos los ciudadanos de la UE un acceso seguro y transparente a una nueva generación de servicios electrónicos, incluida la cartera de identidad digital de la UE (EUDIW). Estos desarrollos forman parte de la visión más amplia de la Comisión para la transformación digital de Europa, la Década Digital de Europa, que establece objetivos y metas concretas para una transformación digital segura, sostenible y centrada en las personas para 2030. La identidad digital y la verificación de identidad son funciones clave en la mayoría de los servicios previstos en el contexto anterior. Por lo tanto, la necesidad de servicios seguros y confiables de comprobación de identidad, desplegables rápidamente, a escala y de manera rentable, se intensifica, dado que es un habilitador clave para transacciones electrónicas en el Mercado Digital Único, y debido al aumento en el volumen y sofisticación de los ataques. Se consideraron la naturaleza y los desarrollos relacionados con los ataques deepfake y los enfoques relacionados en aspectos ofensivos y defensivos. A continuación, se analizaron y propusieron contramedidas aplicables como un conjunto de buenas prácticas en los dominios de los controles ambientales, procedimentales, organizativos y técnicos. La tasa y sofisticación de las nuevas amenazas requieren una mentalidad de defensa revisada, que incorpore enfoques preventivos y detectivos. El informe examina brevemente los ataques relacionados con documentos de identidad que tienen lugar durante la validación de evidencia y la vinculación de información de RIDP. Las dos prácticas más destacadas para defender los documentos de identidad fueron las consultas de estado en varios registros de documentos de identidad y el escaneo del chip de comunicación de campo cercano (NFC, por sus siglas en inglés) (cuando está disponible). Ambas prácticas tienen sus propios obstáculos en el curso de su plena realización. Muchos de los registros de documentos de identidad se mantienen de manera voluntaria y no existe actualmente un registro central y actualizado con todas las últimas versiones de documentos de cada Estado miembro. Por otro lado, aunque escanear el chip NFC para verificar la información personal y la foto biométrica del titular podría eliminar varios de los ataques sintéticos, actualmente no está legalmente permitido de manera consistente para entidades privadas (proveedores de servicios de confianza (TSP), proveedores de RIDP) en toda la UE. 

El estado inconsistente de la lectura NFC se puede considerar como parte del paisaje regulatorio más amplio y disperso en toda la UE relacionado con el reconocimiento de la naturaleza remota de la comprobación de identidad y el nivel de seguridad que puede proporcionar. Finalmente, el informe destaca preocupaciones más amplias del paisaje, no relacionadas con ataques o temas técnicos, pero capaces de afectar la adopción segura y la ejecución de los métodos de RIDP en toda la UE. El propósito de este estudio es basarse en estudios anteriores de la ENISA sobre RIDP y centrarse en nuevos desarrollos, recomendaciones de seguridad y buenas prácticas, cuando se utiliza RIDP en el contexto del reglamento eIDAS, la sexta directiva de la UE sobre prevención del blanqueo de capitales o cualquier otro contexto en el que la confianza en la identidad de una persona natural o jurídica sea esencial. La verificación de identidad en Europa está experimentando un período de intensa transformación. Desde el brote de la pandemia de COVID-19, RIDP ha estado bajo una intensa evolución; desde la verificación presencial en tiendas hasta la verificación remota de documentos de identidad y biometría de forma sincrónica y asincrónica que también puede procesarse automáticamente. La próxima regulación eIDAS 2.0 y la introducción de la EUDIW, con la ambición de que el 80 % de los ciudadanos de la UE utilicen regularmente la cartera para 2030, ampliarán los casos que requieren verificación de identidad con un alto nivel de seguridad. Desarrollos similares también están teniendo lugar a nivel global, con numerosos esfuerzos para diseñar y desarrollar carteras de identidad digital descentralizadas. La recopilación y análisis de información fue de suma importancia en este estudio. Esto requería inventariar fuentes de información y posibles participantes/contribuyentes en función de sus roles y responsabilidades, experiencia en los temas, roles activos en el desarrollo de nuevos medios tecnológicos para combatir intentos de suplantación y publicaciones disponibles que demuestren experiencia real en este campo relevante, garantizando una revisión crítica de la información recopilada por el equipo de estudio y aplicando métodos adecuados de aseguramiento de calidad. 

Por estas razones, el equipo del proyecto preparó las herramientas necesarias para respaldar su enfoque y metodología, es decir, la creación de bases de datos de fuentes de información y partes interesadas, el diseño e implementación del cuestionario para la encuesta, la recopilación de comentarios sobre los entregables preliminares y los comentarios recibidos durante el taller y permitir la trazabilidad de extremo a extremo de la información recopilada e incorporada en este informe. Se utilizó una combinación de investigación de escritorio, entrevistas, encuestas y talleres para recopilar datos. La gran cantidad de información se obtuvo a través de una encuesta en línea. Los resultados se analizaron y agregaron en base a métodos cualitativos y cuantitativos, redactando así percepciones preliminares y asegurando la confidencialidad de la información. Se realizaron entrevistas de seguimiento con partes interesadas de diferentes categorías (proveedores de RIDP, TSP, organismos de evaluación de conformidad, laboratorios, etc). Se utilizaron preguntas personalizadas durante las entrevistas para recopilar su experiencia especializada; esto permitió un análisis más detallado de nuevos escenarios de amenazas y posibles contramedidas según lo percibido por expertos en el campo. Nuevas regulaciones se introducen de manera bastante regular, lo que requiere que los proveedores y otras partes interesadas actualicen continuamente sus prácticas para cumplir con los requisitos. Sin embargo, la rapidez de los cambios en la tecnología y el panorama de amenazas supera el ritmo legislativo. Esta situación conduce a regulaciones o normas con una vida útil relativamente corta que deben actualizarse regularmente para mantenerse al día con la tecnología y la evolución de las amenazas actuales. Además, se ejerce una presión adicional sobre los proveedores de servicios para cumplir, dado que las expectativas de los usuarios evolucionan y surgen nuevas preocupaciones de seguridad. Otra preocupación clave es la discrepancia en las regulaciones nacionales entre los Estados miembros. A pesar de estar bajo el paraguas de las regulaciones de la UE, los Estados miembros aún tienen diferentes esquemas de certificación para TSP, lo que lleva a un paisaje regulatorio y de estandarización fragmentado, lo que los lleva a buscar formas alternativas y certificarse donde los requisitos sean más favorables. Este fue uno de los conocimientos clave obtenidos a través del taller de la ENISA en Ámsterdam y las encuestas posteriores y las entrevistas cara a cara durante la fase de recopilación de información de este informe.

La estructura lógica de este informe comienza con una descripción general actualizada de los métodos de RIDP existentes y la revisión de la literatura sobre desarrollos recientes en la legislación nacional en toda la UE y las normas aplicables (Capítulo 2). El informe continúa presentando una visión actualizada sobre los métodos de ataque RIDP basados en el estado actual del panorama de amenazas (Capítulo 3), seguido de contramedidas propuestas (Capítulo 4). Finalmente, se redactan conclusiones y preocupaciones más amplias del panorama, no relacionadas con ataques o temas técnicos pero capaces de afectar la adopción segura y la ejecución de los métodos de RIDP en toda la UE y conclusiones, en el último capítulo (Capítulo 5). El informe aborda la importancia de establecer prácticas sólidas para la verificación remota de identidad (ID Proofing) en entornos digitales. El documento destaca que la ID Proofing es un proceso crítico para garantizar la seguridad y la privacidad en las transacciones en línea, especialmente en sectores como la banca, el comercio electrónico y los servicios gubernamentales en línea. La verificación remota de identidad se ha vuelto aún más relevante con el aumento del trabajo y las transacciones en línea debido a la pandemia de COVID-19. El informe identifica una serie de buenas prácticas para la ID Proofing remota, que incluyen la necesidad de adoptar un enfoque holístico que considere aspectos técnicos, organizativos y legales. Se destaca la importancia de contar con políticas y procedimientos claros y actualizados para la ID Proofing, así como con la capacitación adecuada para el personal involucrado en estos procesos. También se hace hincapié en la necesidad de utilizar múltiples fuentes de información para verificar la identidad de un individuo, como bases de datos gubernamentales, registros públicos y datos biométricos. El informe también resalta la importancia de garantizar la privacidad y la protección de datos durante la ID Proofing remota, sugiriendo el uso de técnicas como el cifrado de extremo a extremo y la anonimización de datos. Además, se recomienda realizar evaluaciones periódicas de riesgos y vulnerabilidades en los procesos de ID Proofing remota, así como implementar medidas de seguridad robustas, como la autenticación de múltiples factores, para mitigar posibles amenazas. En resumen, el informe de ENISA sobre buenas prácticas para la ID Proofing remota destaca la importancia de adoptar un enfoque integral y seguro para verificar la identidad en entornos digitales, con el objetivo de garantizar la seguridad, la privacidad y la confianza en línea.