Conclusiones clave
- El IRS ha abandonado los planes para utilizar el reconocimiento facial para autenticar a los contribuyentes.
- El departamento ahora es consciente de las implicaciones de seguridad/privacidad de su plan ahora retirado.
-
Los expertos en seguridad y privacidad han sugerido varias alternativas viables que respetan la privacidad.
Usar el reconocimiento facial para verificar la identidad de una persona, según el plan ahora recordado del IRS, nunca fue el enfoque correcto, afirman los expertos en seguridad y privacidad.
La medida del IRS generó críticas de los defensores de la privacidad desde el momento en que se anunció. El 7 de febrero de 2022, varios legisladores se unieron al coro instando al IRS a revertir su decisión, lo que el departamento hizo poco después y prometió explorar otras opciones.
"El IRS toma en serio la privacidad y la seguridad de los contribuyentes, y entendemos las preocupaciones que se han planteado", señaló el comisionado del IRS, Chuck Rettig, al retractarse de la decisión. "Todos deben sentirse cómodos con la forma en que se protege su información personal, y estamos buscando rápidamente opciones a corto plazo que no impliquen el reconocimiento facial".
Salvando las apariencias
La agencia planeaba utilizar la tecnología de autenticación de ID.me y había pedido a los usuarios que enviaran selfies en video a la empresa para acceder a sus cuentas en línea.
Jay Paz, director sénior de Entrega en Cob alt, le dijo a Lifewire por correo electrónico que, si bien la biometría se ha convertido en parte de nuestra vida diaria, gracias a los teléfonos inteligentes y los dispositivos inteligentes, su uso para la autenticación ha sido voluntario.
“Para sistemas y datos más confidenciales, como a los que tiene acceso el IRS, es vital tener transparencia en la tecnología y los procesos que salvaguardarán los datos de los usuarios”, señaló Paz.
Tim Erlin, vicepresidente de estrategia de Tripwire, estuvo de acuerdo y le dijo a Lifewire por correo electrónico que, si bien la tecnología de reconocimiento facial está polarizando en general, para muchos, la idea de confiar en un tercero para administrar dichos datos personales es inaceptable.
"Si Estados Unidos tuviera una ley de privacidad sólida que protegiera la información biométrica de las personas, sería una situación diferente. Sin embargo, sin ninguna protección para los datos de los ciudadanos estadounidenses, adoptar esta tecnología a esta escala sería negligencia en la privacidad ", Lecio DePaula Jr., vicepresidente de protección de datos en KnowBe4, le dijo a Lifewire por correo electrónico.
Luego está el hecho de que no todas las personas tienen acceso a capacidades de autenticación biométrica, algo que Paul Laudanski, jefe de inteligencia de amenazas en Tessian, señaló a Lifewire por correo electrónico. Razonó que esto podría deberse a varios factores, como la f alta de acceso a servicios de Internet confiables o dispositivos con cámaras y sensores compatibles.
Alternativas viables
DePaula Jr. cree que el plan del IRS fue una de esas situaciones en las que el fin no justifica los medios.
"El portal puede ser igual de seguro si se aprovechan los requisitos de contraseña segura y la autenticación de dos factores para los usuarios finales, que es una forma mucho más económica, menos intrusiva e imparcial de proteger el portal sin necesidad de para aprovechar a un tercero ", opinó.
Paz también está a favor de tales métodos secundarios de verificación de identidad, especialmente el uso de aplicaciones de contraseñas de un solo uso basadas en el tiempo, como Google Authenticator. Alternativamente, sugirió que el IRS también puede intentar usar números de teléfono verificados para enviar un código SMS a los usuarios, que es quizás la solución más accesible disponible para prácticamente todos los usuarios de todas las edades.
"Para sistemas y datos más confidenciales… es vital tener transparencia en la tecnología y los procesos que salvaguardarán los datos de los usuarios".
Sin embargo, antes de que se concentre en una solución, Darren Cooper, CTO de Egress, explicó a Lifewire por correo electrónico que el IRS tendrá que asegurarse de que el mecanismo que seleccione pueda proteger los datos de los contribuyentes sin introducir problemas de accesibilidad.
Él sugirió que si el departamento desea priorizar un mayor nivel de seguridad, podrían usar medios físicos de autenticación personal, como un llavero de seguridad RSA. Este método, sin embargo, es logísticamente complejo. La autenticación por SMS es una opción potencialmente menos compleja, pero Cooper agregó que solo funcionará si el departamento tiene un número de teléfono móvil conocido para todos.
"El IRS también debe considerar un requisito de interacción previa con el usuario para confirmar su identidad antes de que pueda acceder al servicio. Por ejemplo, podría exigir que los contribuyentes ingresen detalles de identificación únicos, como números de seguro social o pasaporte, que el IRS puede verificar internamente antes de que se emita un inicio de sesión en línea. La sobrecarga logística aquí es mayor, pero garantiza que se pueda lograr un mayor nivel de seguridad ", sugirió Cooper.
Si bien el IRS no ha enumerado las alternativas que está explorando, claramente no hay escasez de opciones.
Incluso cuando elogiaron colectivamente al IRS por revertir su decisión, los expertos en seguridad señalan que otros en el gobierno, sobre todo el Departamento de Asuntos de Veteranos, siguen usando el mismo servicio de reconocimiento facial subyacente para propósitos de verificación de identidad.
Esto es algo de lo que DePaula Jr. es muy consciente y espera que el IRS "comience a encaminarse en la dirección correcta, porque una vez que una agencia gubernamental adopta un estándar, otros comienzan a seguirlo".
