Trusona gana el premio Best in Show en Finovate 2018
¿Cómo demuestras que eres quien dices ser? Puede parecer una pregunta fácil de responder, pero en un mundo donde su información más personal y privada puede ser recolectado de su agencia de crédito o cuenta de red social, esa facilidad es un problema. Los estafadores y delincuentes también pueden demostrar que son usted utilizando sorprendentemente poca información.
Ese es el enigma que Ori Eisen espera resolver con el Autenticación sin contraseña de Trusona sistema. Ofrece servicios de validación de intermediarios a empresas de todo el mundo, con la esperanza de mejorar la protección de los datos digitales de todos. Está utilizando la experiencia de 20th Estafadores del siglo XIX como Frank Abagnale, famoso en la película Atrápame si puedes, para reforzar nuestras modernas defensas digitales contra las tácticas clásicas de ingeniería social.
Vídeos recomendados
Tendencias digitales: Frank Abagnale probablemente sea conocido por la mayoría como el tema de la película de 2002 Atrápame si puedes basado en sus aventuras en los años 60 con el fraude de cheques y la suplantación de identidad. ¿Cómo se involucraron ustedes dos?
Ori Eisen: La versión corta es que mientras trabajaba para una de las compañías de tarjetas de crédito más grandes, me pidieron además a mis responsabilidades en internet, para aprender todo sobre la falsificación de tarjetas, que no sabía nada acerca de. No hay ningún libro ni título universitario sobre ese tema, entonces pregunté ¿quién me puede enseñar? El nombre de Frank Abagnale surgió una y otra vez, lo que pasa es que no acepta nuevos estudiantes.
Los “Hombres del Dinero” de visita @FairFX -Con el único Frank Abagnale. Deja el #SinContraseñas Comienza la revolución. @trusona_incpic.twitter.com/soAYZ3Vn7u
—Ori Eisen (@orieisen) 7 de diciembre de 2017
Le rogué durante meses y meses que se reuniera conmigo y me ayudara porque a través de mí él podría ayudar a frenar el crimen porque yo tomaría sus conocimientos e iría a vencer a los malos. Finalmente aceptó la reunión y hemos estado trabajando juntos desde entonces.
aunque hoy Abagnale gestiona una empresa de consultoría, su experiencia proviene de una época en la que las computadoras eran increíblemente raras e incomparables con el mundo mejorado digitalmente que disfrutamos hoy. ¿Cómo son útiles sus aportaciones en la era moderna?
La palabra "Trusona" es una fusión de Verdadero y Persona y para saber quién es la verdadera persona, hay que pasar por un proceso llamado prueba de identidad. Primero establezcamos quién es usted como persona [porque...] no hay autenticación sin prueba de identidad. ¿Cómo puedo autenticar que eres tú si no lo pruebo para empezar?
"No hay autenticación sin prueba de identidad".
Frank es realmente bueno ayudándonos a pensar en ese momento cuando realizas pruebas de identidad, cómo detectar un documento falso. Cómo un chico malo reemplazaría una foto de Frank con una foto de Steven Spielberg. ¿Cómo superarías el certificado o cómo superarías la tinta negra del documento o toda la microimpresión fina? Realmente sabe mucho sobre esos documentos porque los gobiernos los utilizan en ese proceso.
En el viaje de idear una manera de descubrir quién es la verdadera persona, en muchos casos en los que se nos habría ocurrido una solución, básicamente nos mostró cómo se podía vencer muy fácilmente. Entonces fue como jugar al ajedrez hasta que llegas al punto en que no podía vencer lo que estábamos haciendo.
¿Qué tipo de sistemas desarrolló que estuvieran protegidos contra el tipo de ataques de ingeniería social que Frank Abagnale implementa con tanta eficacia?
Cuando Trusona debutó, lo lanzamos con una curva que dice qué estás tratando de proteger y ese es el nivel de servicio que brindamos. En todos ellos no habrá ningún tipo de contraseña.
Diferentes niveles de servicio requieren diferentes niveles de revelación. Nuestro nivel básico, llamado "Esencial", solo le solicita que proporcione una dirección de correo electrónico a la que le enviamos un correo electrónico para verificar que realmente tiene acceso a ella. No hay documentos involucrados, ni fotografías, nada de eso. Eso puede vincularlo a una cuenta, para transmisión de medios o similar. Porque es lo suficientemente bueno. Todavía usa nuestra tecnología anti-repetición, de modo que incluso si los malos lo estuvieran escuchando, no podrían reutilizarlo.
Tecnología antirrepetición de Trusona
Nuestro siguiente nivel es "Ejecutivo". Ese nivel dice: "Está bien, todavía puedes estar en tu casa, pero además de tu correo electrónico, quiero que escanees". remotamente, ya sea un pasaporte o un permiso de conducir”. No es Trusona quien te dice que lo hagas, sólo estamos completando la solicitud de nuestro socios. Entonces, usted está tratando de hacer algo con su banco o con su atención médica, y lo hacemos en su nombre. Trusona no almacena ninguno de estos datos porque no queremos convertirnos en la próxima patata caliente de un tipo malo.
El tercer nivel se llama “Élite” y te pide un correo electrónico, escanear tu documento de forma remota y presentarte en persona. Sólo le pedimos que lo haga una vez para conectarlo a una credencial muy sólida. No es que cada vez necesites tomarte una selfie o un video, porque ese es el único nivel que asegurará un asegurador. No es para el mercado masivo, es para situaciones únicas, pero esa es la única manera de conocer la verdadera persona, que es de lo que se trata nuestro negocio.
¿Qué pasa con el crecimiento en Deepfakes y software de manipulación de vídeo impulsado por IA ¿Eso hace posible crear vídeos e imágenes realistas de personas sobre la marcha? ¿Eso representa una amenaza para tu nivel “Élite”?
Empresas como Adobe lanzaron el equivalente de Photoshop para vídeos en directo. Puede imitar la voz y el rostro […] Para ir más allá, habría que empezar con la identidad en persona. pruebas, lo que significa que necesito reunirme con usted en la vida real y con sus documentos para establecer que es tú. No puedes hacerlo de forma remota. Pero no todos los casos de uso requieren eso. Realmente depende de lo que estés tratando de proteger. Si HBO quiere permitirte ver una película, no necesitan ese nivel de seguridad. Pero si Goldman Sachs quiere mover 50 millones de dólares por Steven Spielberg, podría necesitar ese nivel de seguridad.
¿Alguna vez Frank Abagnale intentó hacer ingeniería social con los empleados de Trusona?
Para convertirnos en la primera empresa autenticada del mundo (nadie más ha dado estos pasos, porque no es sencillo) primero tenemos que proteger nuestros propios datos de nuestros propios empleados. ¿Qué pasaría si secuestraras a uno de ellos y nos dijeras: "Solo los liberaré si me das acceso a las llaves?"
Desde el principio, pasamos un año en modo sigiloso y diseñamos un sistema que incluso si me pones un arma en la cabeza no puedo ayudarte. Eso incluye a nuestro jefe de ingeniería y a todos los que construyeron el sistema, porque les expliqué, Para proteger al mundo de los malos, no podemos ser el eslabón más débil de la cadena y ellos entender. Por eso tenemos que llevar personas muy especiales para que se apunten a esta misión.
“[Nosotros] diseñamos un sistema en el que incluso si me pones un arma en la cabeza, no puedo ayudarte”
Tampoco almacenamos patatas calientes. Si nos pirateaste hoy y hemos realizado muchas pruebas de penetración con diferentes empresas, todo lo que obtendrás será un hash de datos unidireccional. Si tomé tu correo electrónico, es un hash unidireccional. Si tomo algo sobre una transacción, es unidireccional, por lo que nunca podrás revertirlo a los datos porque no sabemos cuál es el valor bruto.
Si fuéramos hackeados por un estado nación, lo cual espero que suceda en cualquier momento, encontrarían algo que fuera inútil. Anunciamos nuestro seguro el 6 de mayo de 2016, hace dos años. Desde entonces, el 13 por ciento de nuestras visitas a la web proceden de Rusia. Y no tenemos un solo cliente allí, no tenemos un solo vendedor allí. ¡Eso es mucho para las personas con las que no hacemos negocios!
El tercero es el entrenamiento. Puedo decirles que incluso nuestro chico de soporte, que atiende llamadas de soporte […] los capacitamos para atender llamadas de personas como 'Donald Trump”. Somos muy expertos en falsificar llamadas telefónicas y hacer que parezcan realmente legítimas, para que parezca que el presidente está llamando. tú. Sabemos cómo hacerlo porque somos hackers. Son los pasos, las preguntas, no solo decir sí a todo, lo que nos hace tan fuertes como podemos ser. Porque nos damos cuenta de que cuanto más omnipresentes nos volvemos, nosotros mismos nos convertimos en un objetivo.
¿Qué pasa con las demandas legítimas de las agencias gubernamentales? ¿Están los datos de Trusona protegidos del verdadero Donald Trump?
Hemos tenido muchos tratos con agencias de tres letras, pero el diseño es tal que no puedo hacerlo aunque tú quisieras. No sé cuáles son los datos. Puedes citarme hoy y decirme que te dé todos los datos de [un cliente]. Ok, recibiré la citación y le responderé. Si puede decirme cuáles de nuestros registros son suyos, entonces podrá quedárselos, pero no lo sé.
Uno de los sistemas digitales más comentados en los últimos años ha sido tecnología cadena de bloques. Hoy en día lo utilizan gobiernos y organizaciones para proteger la veracidad de los datos. ¿Es también una herramienta eficaz para mejorar la privacidad y la protección de datos?
La tecnología Blockchain es uno de los inventos más sorprendentes de nuestro tiempo, difícil. Sin embargo, mucha gente establece el vínculo de que si es matemáticamente correcto, son inmutables en la vida real y ahí es donde Frank Abagnale simplemente se reirá de ti.
Si hago un documento falso de Jon Martindale y voy a un banco, lo solicito y lo ponen en una cadena de bloques, por Cuando descubras que no fuiste tú y trates de deshacerlo, ¿cómo lo borrarás de la memoria? ¿cadena de bloques? Es el principio “GIGO”, basura dentro, basura afuera.
Crear una tecnología que sea matemáticamente perfecta es maravilloso. De hecho, creo que todos los que compran una casa deberían tenerla en una cadena de bloques para que nunca puedan perderla. Hay muchas buenas aplicaciones para esto, pero decir que resolverá el problema central de la identidad es una falsedad. El problema nunca fue cómo almacenar los datos, sino: ¿Cómo sé quién es quién en el zoológico?
Con tantos hackeos y robos de datos importantes, es fácil que las personas se sientan impotentes a la hora de proteger sus datos. ¿Tiene alguna recomendación de seguridad para nuestros lectores que puedan utilizar para protegerse?
Les daré un consejo muy sencillo. Hasta que vivamos en un mundo sin contraseñas, mi único consejo es cambiar las contraseñas. No te cuesta nada. Incluso si ayer te robaron las contraseñas, cambiarlas es como cambiar la cerradura de tu puerta. Para las cosas más importantes de su vida, su banco, su atención médica, coloque una entrada en el calendario y cada mes, cada trimestre, como mínimo una vez al año, cambie sus contraseñas. El hecho de que seamos criaturas de hábitos juega en nuestra contra.
