La 'autenticación electrónica es el proceso de establecer confianza en las identidades de los usuarios presentadas electrónicamente ante un sistema de información. La autenticación electrónica es muy importante y es necesaria siempre que ambas partes privadas pacten un acuerdo en el comercio electrónico; no tiene nada que ver con el cifrado o la confidencialidad de la información, sólo identifica el remitente de la información y verifica que la información provenga de esta parte. La autenticación ayuda a mantener la confianza de los usuarios en los sistemas de información electrónicos al permitir detener los estafadores[1]
La expresión autenticación digital o e-autenticación se puede utilizar como sinónimo cuando se hace referencia al proceso de autenticación que confirma o certifica la identidad y las obras de una persona. Cuando se utiliza conjuntamente con una firma electrónica, puede proporcionar pruebas de si las datos recibidos han sido manipuladas después de ser firmadas por su remitente original. La autenticación electrónica puede reducir el riesgo de fraude y robo de identidad en verificar que una persona es quien dice que es cuando realiza transacciones en línea.[2]
Se pueden utilizar varios métodos de autenticación electrónica para autenticar la identificación de un usuario, desde una contraseña hasta niveles más altos de seguridad que utilizan la autenticación multifactor (MFA).[3] En función del nivel de seguridad utilizado, es posible que el usuario tenga que demostrar su identidad mediante el uso de fichas de seguridad, preguntas de desafío o estar en posesión de un certificado de una autoridad de certificación de terceros que acredite su identidad.[4]
Aparte de los servicios gubernamentales, la autenticación electrónica también se utiliza ampliamente en otras tecnologías e industrias. Estas nuevas aplicaciones combinan las características de autorización de identidades en bases de datos tradicionales y nueva tecnología para proporcionar un uso más seguro y diverso de la autenticación electrónica. A continuación se describen algunos ejemplos.
La autenticación móvil es la verificación de la identidad de un usuario mediante el uso de un dispositivo móvil. Puede tratarse como un campo independiente o también se puede aplicar con otros esquemas de autenticación multifactor en el campo de autenticación electrónica.[5]
Para la autenticación móvil, hay cinco niveles de sensibilidad de la aplicación desde el Nivel 0 al Nivel 4. El nivel 0 es para uso público en un dispositivo móvil y no requiere autenticaciones de identidad, mientras que el nivel 4 tiene la mayoría de los procedimientos múltiples para identificar a los usuarios.[6] Para cualquier nivel, la autenticación móvil es relativamente fácil de procesar. En primer lugar, los usuarios envían una contraseña de un solo uso (OTP) a través de canales fuera de línea. Luego, un servidor identifica la información y realiza ajustes en la base de datos. Dado que solo el usuario tiene acceso a un código PIN y puede enviar información a través de sus dispositivos móviles, existe un bajo riesgo de ataques.[7]
A principios de la década de 1980, se implementaron los sistemas de intercambio electrónico de datos (EDI), que se consideró como uno de los primeros representantes del comercio electrónico. Pero garantizar su seguridad no es un problema importante, ya que todos los sistemas están construidos alrededor de redes cerradas. Sin embargo, más recientemente, las transacciones entre empresas y consumidores se han transformado. Las partes que realizan transacciones remotas han forzado la implementación de sistemas de autenticación de comercio electrónico.[8]
En términos generales, los enfoques adoptados en la autenticación de comercio electrónico son básicamente los mismos que los de la autenticación electrónica. La diferencia es que la autenticación de comercio electrónico es un campo más limitado que se centra en las transacciones entre clientes y proveedores. Un ejemplo sencillo de autenticación de comercio electrónico incluye a un cliente que se comunica con un servidor comercial a través de Internet. El servidor comercial generalmente utiliza un servidor web para aceptar las solicitudes de los clientes, un sistema de administración de base de datos para administrar los datos y una pasarela de pago para proporcionar servicios de pago en línea.[9]