Un organismo de control federal dice que el gobierno debería dejar de confiar en las agencias de crédito para verificar la identidad de las personas que utilizan los servicios gubernamentales.
En un informe publicado esta semana, la Oficina de Responsabilidad del Gobierno dijo que varios departamentos gubernamentales todavía dependen de las agencias de crédito (Equifax, Experian y TransUnion) para verificar si una persona es quien dice ser antes de poder acceder a sus servicios en línea.
Las agencias como el Servicio Postal de EE. UU., La Administración del Seguro Social, Asuntos de Veteranos y los Centros de Servicios de Medicare y Medicaid hacen varias preguntas a un nuevo usuario y comparan sus respuestas con la información contenida en el archivo de crédito de una persona. La lógica es que estos archivos de crédito tienen información que solo la persona que se suscribe a los servicios puede conocer.
Pero luego de la violación de Equifax en 2017, esas respuestas ya no son seguras, dijo el organismo de control.
La violación de Equifax resultó en el robo de 148 millones de consumidores. Gran parte de los datos financieros de los consumidores se habían recopilado sin el permiso explícito de aquellos cuyos datos contenían. Una investigación más tarde descubrió que la violación era "totalmente prevenible" si la agencia de crédito empleaba medidas de seguridad básicas.
“El riesgo de que un atacante pueda obtener y usar la información personal de un individuo para responder preguntas de verificación basadas en el conocimiento y hacerse pasar por ese individuo llevó al Instituto Nacional de Estándares y Tecnología (NIST) a emitir una guía en 2017 que prohíbe efectivamente a las agencias utilizar el conocimiento basado en el conocimiento. "Verificación de aplicaciones sensibles", escribió el perro guardián.
En respuesta, las agencias nombradas dijeron que el costo de los nuevos sistemas de verificación es demasiado alto y puede excluir ciertos datos demográficos de la población.
Solo Veterans Affairs implementó un nuevo sistema, pero aún depende de la verificación basada en el conocimiento en algunos casos.
El otro inconveniente es que si no tiene crédito, simplemente no se presenta en estos sistemas. Necesita una tarjeta de crédito o algún tipo de préstamo para “aparecer” a los ojos de las agencias de crédito. Ese es un problema importante para los millones que no tienen un archivo de crédito, como los extranjeros que trabajan en los Estados Unidos con una visa. En 2015, se estimó que unos 26 millones de personas eran "crédito invisible".
"Sin embargo, hasta que estas agencias tomen medidas para eliminar el uso de la verificación basada en el conocimiento, las personas a las que prestan servicios seguirán teniendo un mayor riesgo de fraude de identidad", escribió el regulador.
