Qué dice la guía ENISA de verificación de identidad remota (y por qué el NFC importa)

Análisis · 5 min de lectura · Basado en el informe de ENISA «Remote ID Proofing — Good Practices» (marzo de 2024)

ENISA, la Agencia de la Unión Europea para la Ciberseguridad, publicó en 2024 una guía de buenas prácticas para la verificación remota de identidad (remote ID proofing). Es lectura obligada para cualquier empresa que dé de alta clientes en remoto: explica cómo han evolucionado los ataques —deepfakes incluidos— y qué controles funcionan. Te resumimos lo esencial y por qué la lectura del chip NFC del documento ocupa un lugar central.

Qué es y por qué se publicó

El informe amplía un trabajo previo de ENISA de 2022 sobre ataques y contramedidas, y responde a un cambio de fondo: desde la pandemia, la verificación de identidad ha pasado del mostrador a procesos remotos, automáticos y a distancia. Con la llegada de eIDAS 2.0 y la cartera de identidad europea (EUDI Wallet) —con la ambición de que el 80% de la ciudadanía la use con regularidad en 2030— crecerán los casos que exigen un nivel de garantía alto. La verificación remota también es clave para cumplir con la normativa antiblanqueo.

El problema: ataques cada vez más sofisticados

El análisis de ENISA identifica dos grandes familias de ataques contra la verificación remota:

Contra el rostro de la persona: ataques de presentación e inyección sobre la biometría facial, donde los deepfakes se han convertido en una de las amenazas principales.
Contra el documento de identidad: presentación o inyección de documentos manipulados o sintéticos.

Frente a esto, ENISA propone un conjunto de buenas prácticas organizadas en cuatro dominios de control: ambientales, de proceso, organizativos y técnicos. La idea de fondo: el ritmo y la sofisticación de las nuevas amenazas obligan a combinar prevención y detección, no a confiar en un único control.

La defensa del documento: registros y, sobre todo, el chip NFC

Aquí está el punto que más nos interesa. Para validar el documento de identidad, ENISA señala dos buenas prácticas como las más destacadas:

Consultar el estado del documento en registros oficiales.
Escanear el chip NFC del documento, cuando está disponible.

Sobre el NFC, el informe es concreto: leer el chip para verificar los datos personales y la foto biométrica del titular permite eliminar varios de los ataques sintéticos (documentos falsos, deepfakes inyectados). Es, en la práctica, una de las defensas más sólidas contra la suplantación, porque los datos del chip están firmados criptográficamente y son extremadamente difíciles de falsificar.

ENISA matiza —y conviene decirlo con honestidad— que la lectura del chip NFC todavía no está permitida de forma uniforme para proveedores privados en toda la UE, y que los registros oficiales de documentos siguen siendo voluntarios e incompletos. Esa inconsistencia regulatoria es, precisamente, una de las cosas que el marco europeo (eIDAS 2) está llamado a ordenar.

Dicho de otro modo: el NFC no es una bala de plata aislada, sino una de las dos mejores prácticas para blindar el documento, dentro de un enfoque por capas. Y todo apunta a que su papel irá a más conforme el marco europeo lo habilite y normalice.

Qué significa para tu empresa

Si verificas identidades en remoto —onboarding bancario, fintech, seguros, firma, alta de clientes—, el mensaje práctico de ENISA es claro:

No confíes solo en una foto del documento (OCR): es justo lo que los ataques sintéticos saben falsear.
Prioriza controles que verifiquen el documento en origen: la lectura del chip NFC es el ejemplo más potente y accesible hoy.
Combínalo con detección de prueba de vida y de inyección en la parte biométrica, para cerrar el flanco de los deepfakes.

YOiD lee el chip NFC del DNI

ID Verify captura los datos del DNI o NIE leyendo el chip por NFC, con verificación criptográfica de la firma del documento — exactamente la práctica que ENISA destaca. Con opción de validación biométrica con prueba de vida.

Ver cómo funciona ID Verify →

Preguntas frecuentes

¿ENISA dice que el NFC es el método más seguro?

ENISA lo señala como una de las dos buenas prácticas más destacadas para validar el documento de identidad, capaz de eliminar varios ataques sintéticos. No lo presenta como solución única, sino como una capa muy sólida dentro de un enfoque por capas, y advierte de que su uso aún no está permitido de forma uniforme para proveedores privados en toda la UE.

¿Qué es la verificación remota de identidad (remote ID proofing)?

Es el proceso de comprobar a distancia que una persona es quien dice ser, normalmente combinando la verificación del documento de identidad con la verificación biométrica del rostro, sin presencia física.

¿Por qué son tan relevantes los deepfakes en este informe?

Porque los ataques de presentación e inyección sobre el rostro —deepfakes incluidos— se han situado entre las amenazas principales. Por eso ENISA recomienda reforzar tanto la verificación del documento (chip NFC) como la detección de ataques en la captura biométrica.

Sigue leyendo

KYC y onboarding digital: métodos de verificación → Qué es un AISP y para qué sirve →

Fuente: ENISA, Remote ID Proofing — Good Practices (marzo de 2024). Informe completo en enisa.europa.eu. Este resumen es divulgativo y no sustituye a la lectura del informe original.