En este seminario web, un especialista en garantía de identidad del gobierno de EE.UU. y un experto en identidad del sector privado analizaron cómo compartir información de forma segura en todo el gobierno y por qué, en un panorama tecnológico que cambia rápidamente, la colaboración es clave.
por Global Government Forum
El intercambio de información es vital para la labor del gobierno moderno. Puede catalizar una mejor colaboración entre organismos, facilitar mejores servicios a la ciudadanía y mejorar la seguridad nacional.
En un seminario web del Foro de Gobierno Global, el Dr. Babur Kohy, director de la división de garantía de identidad y acceso confiable de la Oficina de Política Tecnológica de la Administración de Servicios Generales de EE. UU., y Kelvin Brewer, de Ping Identity, socio de conocimiento del seminario, analizaron cómo el gobierno puede implementar políticas y procesos sólidos para garantizar la seguridad del intercambio de datos. Este debate incluyó los principios de una estrategia de seguridad de “confianza cero”; el potencial de la IA como herramienta para cometer fraude de identidad y para protegerse contra él; y cómo construir sistemas más invulnerables.
Como destacó el Dr. Kohy al comienzo del seminario web: “No faltan oportunidades en todo el gobierno para un mejor intercambio de información”.
Estos enfoques pueden mejorar las operaciones y los servicios gubernamentales para los ciudadanos, así como también servir mejor a los empleados. En su puesto en la GSA —que presta servicios a los más de 60 departamentos y agencias federales del gobierno—, uno de sus objetivos es facilitar que los más de 2,3 millones de empleados civiles del gobierno accedan al trabajo, las prestaciones y otros servicios relacionados con el empleo desde un único lugar.
Sin embargo, en un gobierno tan complejo como el de Estados Unidos, con una enorme cantidad de agencias, cada una con sus diferentes misiones, el intercambio de información debe orquestarse cuidadosamente para garantizar que la información correcta llegue a las manos adecuadas y que la seguridad nacional esté protegida.
Facilitar el intercambio seguro de información entre agencias a través de “arquitecturas de inquilino único” es uno de los enfoques de Ping Identity, como también lo es ayudar a las agencias a determinar quién entre empleados, ciudadanos y socios debe tener acceso a los datos, dijo Brewer, quien es director de ingeniería de ventas para la rama del sector público estadounidense de la compañía.
Asegurar la seguridad de los datos de las agencias es un punto de partida “vital”, afirmó, y destacó que, de los numerosos desafíos relacionados con la tecnología, garantizar la seguridad de la implementación en la nube es “uno de los que creo que es más importante tener en cuenta”.
Retomando el punto de Brewer sobre la nube, Kohy dijo que los “aspectos humanos” de la gestión de la configuración de la nube son clave para impulsar la ciberseguridad, dado que la mayoría de las veces “los datos se exponen en función de algún tipo de error humano”.
“No creo que nadie esté dejando puertas abiertas intencionalmente, pero el adversario [que intenta robar datos] tiene que tener razón solo una vez… y nosotros tenemos que tener razón el 100% del tiempo”, dijo.
Agregó que la GSA está trabajando con socios de la industria para asegurar todos sus activos y hacerlos no sólo resistentes sino también “irrompibles”.
“La resiliencia no parece ser suficiente, o no lo será”, a medida que avanza el uso de la tecnología, afirmó.
“Los sistemas de identidad por sí solos son un componente fundamental de la tecnología, pero por sí solos, su capacidad de acción es limitada”.
Para mejorar la detección del fraude de identidad, el equipo de Kohy ha contribuido a la Guía de Detección del Fraude de Identidad. Disponible en el sitio web de Gestión de Identidad del gobierno federal, esta guía proporciona una comprensión fundamental de las técnicas, los métodos de detección y las estrategias de mitigación del fraude de identidad, con especial énfasis en amenazas como los medios sintéticos.
Respondiendo a las señales de riesgo
Uno de los objetivos del manual es que las personas sean conscientes y puedan detectar las señales de riesgo.
Como explicó Brewer, esto ayuda a cambiar el enfoque de identificar el fraude una vez que se ha realizado una transacción (ya sea una transacción financiera, una transferencia de datos o alguien que obtiene acceso a algo a lo que no debería tener acceso a través de ingeniería social) a otro donde los intentos de cometer fraude se detectan antes, durante los procesos de autenticación y autorización.
Este cambio hacia una postura más proactiva es algo en lo que las empresas de identidad se están centrando, dijo.
Para detectar actividades inusuales de forma temprana, Ping Identity está examinando una serie de vectores diferentes (los métodos y vías que utilizan los cibercriminales para obtener acceso no autorizado a datos o sistemas) para identificar las señales de riesgo que indican que un actor malicioso podría estar en juego.
Una vez identificado un riesgo, una agencia puede decidir cómo proceder: bloquear una transacción, por ejemplo, o agregar algo de fricción al sistema, como pedirle a alguien que vuelva a verificar su identidad o volver a solicitar la autenticación multifactor.
Sin embargo, Brewer reconoció el riesgo de “fatiga por fricción” entre ciudadanos y empresas bienintencionados que podrían desvincularse de los servicios gubernamentales si sienten que deben sortear obstáculos para acceder a lo que necesitan. Por lo tanto, es importante realizar una rigurosa verificación inicial, de modo que la fricción solo se produzca más adelante si se identifica una señal de riesgo.
Los beneficios y desafíos de la IA
En cuanto a la detección del fraude, la conversación se centró en la inteligencia artificial, que según Kohy puede ser “un facilitador o un deshabilitador [del fraude de identidad]; simplemente depende de la intención”.
Se han utilizado herramientas de IA ampliamente disponibles para generar videos de una persona real mostrando su licencia de conducir para pasar una verificación de identidad, explicó Brewer. “Esto plantea desafíos muy singulares para las medidas que creemos que evitarán el fraude”.
¿Podemos evitar que la tecnología avance en esa dirección? No, no podemos. Por eso, como proveedores, estamos buscando cómo reconocer el fraude generado por la IA: cuáles son las diferencias, cuáles son los indicadores, y luego dar a una agencia la capacidad de añadir algún tipo de fricción al sistema que la IA no podría superar.
Las tecnologías que pueden posibilitar esto aún están en desarrollo, dijo, pero la IA generativa ya se está utilizando para ayudar a reconocer señales de riesgo que una persona podría pasar por alto.
Para combatir los riesgos que plantean los medios sintéticos, Kohy y su equipo han estado ayudando a una agencia a utilizar la detección de texto para identificar falsificaciones de documentos, incluidas tarjetas de identidad, y pretenden extender su solución a todo el gobierno.
Interrogando la Matriz FICAM
Kohy también dio el ejemplo del uso de herramientas de IA para extraer información de decenas de documentos dentro de la matriz de Gestión de Identidad, Credenciales y Acceso Federal.
La matriz es un recurso integral que organiza y visualiza las leyes, políticas y estándares relacionados con la gestión de identidad dentro del gobierno federal, como parte del programa de gestión de identidad, credenciales y acceso de la GSA.
Incluye cientos de páginas de documentos que pueden llevar meses a los analistas revisar y comparar. Por ello, su división está experimentando con el uso de grandes modelos de lenguaje (LLM) para agilizar el proceso. Ahora, podría bastar con dos minutos para encontrar la respuesta a una pregunta relacionada con la identidad.
Otra ventaja es que los LLM, que reciben los mismos documentos, siempre interpretarán el control de seguridad de la identidad de la misma manera, a diferencia de las personas, que son susceptibles a la subjetividad. “Por lo tanto, en esos casos, los LLM son muy eficaces”, afirmó Kohy.
La IA agente, que puede usarse para realizar una transacción en nombre de una persona y plantea riesgos adicionales, “va a cambiar las reglas del juego”, dijo, por lo que comenzar temprano y experimentar con pruebas de concepto de esta manera y luego compartirlas con el gobierno y con socios de la industria es clave.
Como resumió Brewer: «La IA nos ofrece algunas ventajas y aumenta la seguridad, pero también conlleva muchos riesgos a los que aún estamos intentando saber cómo reaccionar. Aún no estamos lo suficientemente avanzados como para que sea un reto insalvable, pero queremos asegurarnos de estar a la vanguardia a medida que evoluciona».
Confianza cero
Para ayudar a proteger a Estados Unidos de amenazas cibernéticas cada vez más sofisticadas, la Casa Blanca emitió una orden ejecutiva en 2021 que requiere que las agencias federales y sus proveedores “modernicen [su] enfoque en materia de ciberseguridad” acelerando la transición hacia servicios en la nube seguros e implementando una arquitectura de “confianza cero”.
La estrategia de seguridad de confianza cero tiene tres principios fundamentales: “verificar explícitamente”; “utilizar los privilegios mínimos”, es decir, brindar a cada usuario solo el nivel mínimo de acceso necesario para completar una tarea; y “asumir la violación”: anticipar de manera proactiva los ciberataques asumiendo que los usuarios, dispositivos y sistemas ya están comprometidos.
Para Kohy, los controles de acceso básicos relacionados con el principio de mínimo privilegio son la base del marco de confianza cero, y si bien existen “muchas oportunidades para alcanzar la madurez de la confianza cero más rápidamente mediante el uso de tecnologías que ya existen… todavía no he visto una sola tecnología que tenga todas las respuestas”.
Proveedores como Ping Identity entienden la importancia de crear un paquete tecnológico que satisfaga las necesidades de sus clientes, dijo Brewer, aunque señaló que este objetivo es un “objetivo en movimiento” debido a las innovaciones y los avances en IA.
Mientras tanto, dijo que una de las tecnologías que ha sido pionera en la confianza cero son aquellas que orquestan procesos que vigilan las señales de riesgo y pueden reducir o aumentar la fricción.
La orquestación es fundamental porque permite a los administradores crear rápidamente procesos que siguen un estándar y se pueden probar fácilmente, en lugar de tener que escribir scripts y código que nos permiten definir cómo trabajamos con las identidades, qué procesos deben seguir y por qué. Esto es clave para gestionar esto.
Una orquestación eficaz permite aprovechar las nuevas tecnologías (y responder a ellas) a medida que surgen, y puede conducir a menos errores.
“Esta será una innovación continua que debe mejorar y que impactará en la confianza cero. Prácticamente todo lo que hemos estado hablando se centra en la capacidad de orquestar procesos fáciles de gestionar e implementar, con un impacto inmediato en la seguridad de una organización”, afirmó Brewer.
Una mirada al futuro
Al final del seminario web, Brewer y Kohy analizaron qué depara el futuro al intercambio seguro de información en todo el gobierno y coincidieron en que la colaboración es crucial.
Brewer afirmó que el poder de la colaboración no debería movilizarse solo entre agencias y equipos gubernamentales, sino también entre empresas tecnológicas que tradicionalmente se considerarían competidoras. Lograr esto a través de grupos de trabajo y similares «es fundamental para mejorar la identidad como una plataforma tecnológica… y para identificar problemas reales y encontrar soluciones concretas», afirmó.
Kohy coincidió. «Probablemente lo más importante sea colaborar e intercambiar ideas con otros miembros de la comunidad, ya sea del gobierno, la academia, organizaciones sin fines de lucro o la industria».
Espera que el gobierno de Estados Unidos pueda desempeñar un papel en unir a la gente, facilitar el intercambio de conocimientos y proporcionar “una plataforma de lanzamiento para que las agencias transformen su conjunto de tecnologías”.
Reiteró el punto que había planteado Brewer sobre la necesidad de un cambio de mentalidad hacia una gestión proactiva y de aprovechar las oportunidades que existen para impulsar la modernización y la transformación digital.
Y concluyó sobre la necesidad de sistemas indestructibles. «La resiliencia no será suficiente debido a los avances en IA, las criptomonedas y tecnologías emergentes como la computación cuántica. La indestructibilidad de la IA es lo más importante; creo que será un tema importante en los próximos cinco o diez años».
El seminario web «Cómo hacer llegar la información a las personas adecuadas en el momento oportuno: cómo los sistemas de identidad conectan al gobierno» se celebró el 5 de junio de 2025. Fue organizado por el Foro de Gobierno Global con el apoyo de Ping Identity.
Vea el seminario web completo aquí para escuchar a Brewer y Kohy responder a preguntas como:
– Cómo implementar soluciones de identidad en diferentes entornos y agencias, cada una con diferentes tecnologías.
– Cómo los humanos pueden diseñar sistemas de ciberseguridad cuando son ellos mismos quienes intentan descifrarlos.
– Si un enfoque más estricto en la ciberseguridad puede impulsar la mejora de las tecnologías en todo el gobierno y, en última instancia, la mejora de los servicios para los ciudadanos y los propios funcionarios.