Recientemente, en Digitalis informamos de que Microsoft Azure Active Directory, el servicio de identidad empresarial de Microsoft, había puesto a disposición de sus usuarios un nuevo sistema de identidad descentralizada digital que evita la necesidad de recopilar datos personales gracias al uso de tecnología blockchain.
Este logro ha sido posible gracias a la tecnología desarrollada por VU Security, compañía de ciberseguridad enfocada en prevención de fraude y protección de la identidad a través de tecnologías como el reconocimiento de voz, el reconocimiento facial y otras opciones de autenticación. La compañía ya opera con clientes de 25 países, y ha elegido España como su HQ en Europa. Hoy hablamos con su CEO, Sebastián Stranieri, para que nos cuente la situación de la compañía y el enorme cambió que implica la utilización de sus tecnologías en aspectos como la protección de datos.
P: Llevas 16 años al frente VU Security. ¿Cómo ha evolucionado la compañía? ¿Qué tiene que hacer una empresa como la vuestra para adaptarse a los cambios tecnológicos que requiere estar a la vanguardia de la ciberseguridad?
R: Nacimos como una startup, y más de una década después somos una compañía con alcance global. Los cambios estuvieron y seguirán estando. La evolución se fue dando casi de manera natural, incorporando talentos que nos ayudaron a potenciar nuestras habilidades, a llegar a nuevas comunidades y a construir productos útiles, acordes a las necesidades de nuestros clientes.
Lo que más rescato es que seguimos haciendo productos para las personas, esa es nuestra misión. El desafío obviamente ahora pasa por seguir creciendo sin perder la esencia, y adaptarnos constantemente a un mundo en el que la tecnología nos permite hacer cada vez más y mejores cosas. El camino tiene que seguir siendo el mismo: reinventarnos, innovar, estar un paso adelante en materia de ciberseguridad. Y concienciar más a las personas sobre el resigo de no estar preparados para lo que se viene.
«En el mundo hay un déficit de especialistas en ciberseguridad. Para encontrar profesionales, hemos desarrollado VU University»
P: ¿Qué perfiles laborales demandáis actualmente en VU Security? ¿Podéis cubrir la demanda, o se trata de un sector en el que la necesidad de una cualificación específica dificulta encontrar profesionales?
R: En el mundo, hay un déficit de especialistas en ciberseguridad de 3,5 millones. En VU tenemos múltiples vacantes abiertas tanto para profesionales con experiencia como para personas que desean introducirse en la industria de la seguridad informática, ya sean estudiantes o personas que están cambiando de rumbo. Para resolver el «problema del faltante», hemos desarrollado el proyecto VU University, a través del cual esperamos capacitar a 300 personas en los próximos 3 años.
P: ¿Cuáles crees que son los mayores fallos que suelen cometer las empresas en el campo de la ciberseguridad? ¿Y los ciudadanos de a pie?
R: El primer error es creer que no va a suceder, lo cual es un problema tanto para organizaciones como para ciudadanos, que no tomarán las precauciones necesarias para reconocer y/o prevenir posibles ataques.
El segundo error, que continúa siendo el principal motivo de ciberataques a nivel global, es el error humano. Es indispensable capacitar y educar a todos los miembros de una compañía en cuestiones como son reconocer un phishing, qué hacer ante un ataque de ransomware o cómo utilizar múltiples factores de autenticación.
P: Sois expertos en el uso de marcadores biométricos, como la voz o el rostro, para gestionar la seguridad. ¿Existe alguna reticencia a usar estos marcadores por parte de algunos usuarios? ¿Crees que, igual que hay a quien no le gusta dar su número de teléfono, le preocupa que puedan registrar su huella digital o su voz?
R: Como ocurre con todo lo que es nuevo, y en especial con cuestiones que tienen que ver con datos sensibles de los usuarios, siempre existe un grupo de personas que, por diferentes motivos, desconfía o tiene cierto rechazo. Así como antes sucedía con la dirección de correo electrónico, también sucede con los datos biométricos.
«El reconocimiento facial se basa en cientos de puntos del rostro de la persona, incluyendo medidas entre ellos como la distancia entre los ojos, a qué altura de la cara se encuentran, etc»
P: En el caso de reconocimiento facial, ya no solo se tiene en cuenta la forma de la cara, sino que también se identifican guiños, gestos… ¿Qué tipo de tecnología se utiliza en este caso y cómo tiene el usuario que “entrenar” a la herramienta para que reconozca estos parámetros?
Para que el usuario final registre sus datos biométricos, el procedimiento es muy similar al que se da a la hora de registrar un correo electrónico y contraseña. En una primera instancia, la persona indica al sistema cuándo desea darse de alta, y es ahí cuando el sistema graba en su base de datos la información capturada como credenciales de acceso del usuario.
De esta manera, una vez que el usuario ya está dado de alta y desea iniciar sesión utilizando el reconocimiento facial, el sistema hará la comparación entre la persona que intenta iniciar sesión y el registro que tiene guardado en su base de datos. Para identificarla, el sistema se basa en cientos de puntos del rostro de la persona, incluyendo medidas entre ellos como, por ejemplo, la distancia entre los ojos, a qué altura de la cara se encuentran, el color del cabello, etc.
«NUestra solución VU Fraud Analysis aprende los hábitos del usuario. Cuando una operación se sale de estos parámetros, se pide una validación adicional»
P: En el campo de la suplantación de la identidad digital, VU Fraud Analysis resulta un producto muy interesante. Analiza el comportamiento de los usuarios y los canales que se utilizan para detectar y prevenir fraude. ¿Puedes explicarnos cómo funciona esta tecnología? ¿Qué tipo de pautas pueden revelar un fraude de identidad?
R: VU Fraud Analysis es una solución que se basa en el análisis del comportamiento del usuario para detectar y prevenir el fraude. Para ello, cada cliente, por ejemplo un banco, puede elegir qué parámetros considerar para sus usuarios: puede ser el monto por transacción, la geolocalización del dispositivo desde el cual se realiza la operación, la frecuencia o la cantidad de transacciones, entre otras.
Gracias al machine learning, el sistema sigue la actividad del usuario final y aprende de sus hábitos. Cuándo suele pagar el alquiler de su piso, cuánto gasta con la tarjeta de crédito, en qué país… De esta manera, cuando una operación sale de esos parámetros que el sistema identificó como “normales”, la aplicación pedirá una validación de identidad adicional y, de resultar negativa, la bloqueará.
P: Otro de vuestros servicios es Liintu, que administra todas las contraseñas de un usuario en un solo lugar. ¿Qué garantía de seguridad ofrece al usuario para que sus contraseñas no se filtren?
R: A diferencia de otros gestores de contraseñas, Liintu no guarda la información completa.
P: Hablando de contraseñas, son tan necesarias como engorrosas, pero parece que poco a poco se avanza en alternativas seguras. ¿Vamos a un futuro sin contraseñas? ¿Crees que podremos llegar a él a medio plazo?
R: En el medio plazo, no creo que desaparezcan por completo. Las contraseñas coexistirán con otros métodos de autenticación basados en lo que la persona es, en vez de tomar como referencia lo que la persona tiene.
«Con la identidad descentralizada digital, el usuario solo presenta las credenciales verificables y jamás los datos personales que se utilizaron para crear dichas credenciales».
P: Recientemente anunciasteis que Microsoft Azure Active Directory comenzaba a usar vuestro sistema de identidad descentralizada digital. El usuario escanea un documento de identidad y se hace un selfie. Mediante tecnología de cadena de datos, estas imágenes se unen en una credencial que es lo que el organismo al que enviamos los datos debe usar para verificar nuestra identidad, ¿no?
R: Correcto. VU Security es uno de los 10 partners que Microsoft eligió para acompañarlos en el lanzamiento de este proyecto como uno de los proveedores para el registro de la persona y el documento que desea convertir en credencial verificable. Esto significa que si, por ejemplo, una persona desea presentarse como candidata para un puesto de trabajo y necesita mostrar su diploma académico, puede armar una credencial verificable con dicho diploma, lo que le permitirá al usuario compartirlo desde su móvil, decidir quién tiene acceso y por cuánto tiempo.
La institución a la cual el usuario le presenta las credenciales verificables solo accede a dicha credencial, jamás a nuestros datos personales que se utilizaron para crear dichas credenciales.
P: ¿Se están adaptando los organismos rápidamente a los sistemas de identidad descentralizada?
R: El piloto del sistema de identidad descentralizada desarrollado por Microsoft ya está siendo utilizado en la Universidad de Keio en Tokio, el gobierno de Flandes en Bélgica y el Servicio Nacional de Salud del Reino Unido.
En este último caso, las aseguradoras pueden pedir acceso a certificaciones profesionales de trabajadores quienes pueden, a su vez, elegir quién accede. Y no solo eso, una vez que la organización o entidad ya vio lo que necesitaba, la persona puede revocar el acceso a esa credencial. Esto hace que cada trabajador pueda comenzar a tratar pacientes de manera inmediata al registrarse en el hospital; antes el proceso de verificación de las credenciales de cada trabajador llevaba meses.
P: ¿Cómo es el momento actual de VU Security a nivel internacional? ¿Cuáles son vuestros planes de expansión y qué lugar ocupan en ellos Europa en general y España en particular?
R: VU Security se encuentra en pleno crecimiento. En 2021 buscamos consolidar nuestra presencia en América Latina, haciendo foco en Brasil y México, y extender nuestro alcance en Europa, partiendo desde España y el Reino Unido. En España ya tenemos clientes y es donde estará el HQ europeo, mientras que Buenos Aires será el HQ de Latinoamérica. Este año, el equipo español sumará 5 personas.
