“La identidad descentralizada va a ser una realidad antes de lo que creemos”

La plataforma de Ping Identity ofrece seguridad robusta basada en identidad, garantizando que usuarios, empleados y proveedores accedan con autenticación multifactor, biometría y políticas de Zero Trust. Hablamos con Guillermo Arias sobre la propuesta que tiene esta compañía.

Entrevista con Guillermo Arias, strategic account executive de Ping Identity

¿Cuál ha sido la evolución de Ping Identity y cómo valoran el posicionamiento de la compañía desde la fusión de Ping con ForgeRock?

La fusión de ambas compañías que se finalizó el 1 de enero de 2024 dio lugar a una combinación perfecta de capacidades que ha seguido recogiendo las alabanzas de los analistas de las que ya eran merecedoras por separado. El portfolio integra lo mejor de ambas en los contextos de gestión de identidades de clientes (CIAM), empleados (Workforce) y business partners.

Funciones avanzadas como prevención de fraude, verificación de identidad, autorización de grano fino, gobierno y administración de identidades (IGA) son nuestras capacidades clave. Y todo ello combinado por nuestra capacidad de despliegues híbridos que van desde escenarios on-prem hasta SaaS puros tanto en versión multi-tenant como de tenant dedicado.

¿Cuáles son los retos que detectan que tienen las compañías en materia de gestión de identidades?

Podríamos sintetizar los desafíos en:

• Entornos con múltiples identidades para un mismo usuario. Muchas empresas usan múltiples soluciones de IAM para diferentes usuarios o aplicaciones con la consiguiente duplicación de datos y riesgo operativo.
• Escalabilidad de los entornos CIAM. Las compañías que gestionan millones de usuarios externos necesitan sistemas escalables, con alta disponibilidad y baja latencia.
• Cumplimiento normativo. La presión por cumplir normativamente con las regulaciones es cada día más alta.
• Experiencia de usuario vs. seguridad: Las organizaciones deben equilibrar una experiencia de acceso fluida con medidas de seguridad sólidas. El exceso de fricción (como múltiples autenticaciones) puede dañar la conversión de clientes o la productividad interna.
• Prevención del fraude. Las amenazas basadas en identidad (phishing, bots, cuentas falsas) van en aumento. Es clave detectar anomalías sin bloquear usuarios legítimos.

El concepto de identidad descentralizada está teniendo cada vez más valor para los departamentos de ciberseguridad. ¿Cómo define Ping Identity este concepto?

Así es y desde Ping Identity creemos que será una realidad en el mercado español mucho antes de lo que creemos. Según lo vemos nosotros, la identidad descentralizada pasa por un control absoluto del usuario ya que los datos de identidad se almacenan en un wallet digital personal en el dispositivo móvil del usuario. Este almacén genera claves públicas/privadas que permiten compartir solo la información estrictamente necesaria para una transacción, sin revelar datos irrelevantes (p. e. compartir solo la edad y no la fecha de nacimiento).

Asimismo el paradigma se basa en un modelo de credenciales verificables que las organizaciones emiten al usuario firmadas criptográficamente. El usuario almacena estas credenciales en su wallet, y cuando sea necesario, las presenta directamente al verificador, quien puede validar su autenticidad sin contactar al emisor.

Por último, a diferencia de los modelos de federación de identidades, donde emisor y verificador deben conocerse mutuamente, la identidad descentralizada permite que el verificador confíe plenamente en la credencial emitida, sin necesidad de acudir al emisor, tal y como sucede en escenarios de autenticación física.

¿Qué ventajas ofrece frente a los modelos tradicionales de identidad?

Fundamentalmente la minimización de datos y mayor privacidad. El usuario se convierte en dueño y administrador de su identidad siendo el proveedor de la misma y únicamente comparte las variables requeridas directamente al verificador. En los anteriores modelos el usuario debía solicitar al proveedor de identidad que se la facilitase en toda su extensión al verificador con lo que el control sobre la misma era mínimo.

¿Cómo se garantiza la privacidad del usuario en un modelo descentralizado?

Actualmente, el control de acceso a los servicios digitales se basa principalmente en un modelo de federación. En este esquema, el control es delegado a «terceros de confianza», como los proveedores de identidades (IdP), que actúan de intermediarios entre el usuario y el proveedor de servicios al que intenta acceder. Esto sitúa al usuario en una posición periférica, sin conocimiento exacto de los datos compartidos entre el IdP y el proveedor de servicios. Además, la naturaleza intrínseca de esta arquitectura federada permite que este intermediario rastree cada transacción del usuario.

La descentralización de esta arquitectura mejora la privacidad al transferir el control de la identidad digital de estas entidades terceras a individuos. Los usuarios pueden compartir selectivamente sólo la información necesaria, y sus datos no se almacenan en una única ubicación, lo que los hace más seguros y difíciles de vulnerar. Este enfoque, a menudo vinculado con la identidad auto-soberana (SSI), permite a las personas gestionar sus propias identidades y controlar el acceso a su información personal.

¿Cómo se integra la identidad descentralizada con sistemas de IAM tradicionales?

Integrar la identidad descentralizada no implica necesariamente reemplazar los sistemas de IAM existentes. Las organizaciones tienen la opción de implementar un modelo híbrido en el que la identidad descentralizada actúe como un complemento a la IAM tradicional, lo que resulta en una mejora de la seguridad y de la experiencia del usuario en ámbitos específicos.

La identidad descentralizada puede complementar las implementaciones de IAM existentes proporcionando métodos de autenticación sin contraseña, mejorando la confianza y los procesos de verificación de identidad, reduciendo la fricción durante los procesos de incorporación y registro de usuarios, y reduciendo la superficie de ataque ante filtraciones de datos.

Las organizaciones pueden introducir gradualmente funciones de identidad descentralizada en sus flujos de trabajo, comenzando con proyectos piloto y ampliándose a medida que los usuarios y los sistemas se adaptan al nuevo paradigma.

En esta materia, ¿en qué se diferencia la propuesta de Ping con respecto a otros competidores?

La propuesta de Ping Identity en este ámbito, llamada PingOne Neo, agrupa las capacidades requeridas para la implementación de este tipo de esquemas de gestión de identidades y accesos.

PingOne Neo ofrece verificación de identidad (identity proofing), además de la emisión y la verificación de credenciales digitales, para que las organizaciones puedan garantizar al instante que los usuarios son quienes dicen ser. Permite la optimización de tiempos al garantizar al instante el origen, la validez y la certeza de las credenciales, y reduce los costes asociados con la emisión de credenciales físicas, la gestión de cuentas y preferencias personales, la gestión de la elegibilidad y la mitigación del robo de identidad.

Los recorridos de los usuarios se pueden diseñar mediante el motor de orquestado de nuestra solución, integrables en cualquier canal de cliente mediante APIs y SDKs.

En resumen, Neo previene las transacciones fraudulentas, impide el robo de cuentas y refuerza la confianza al otorgar a los usuarios el control de su información verificada.