Identificaciones en Apple Wallet
En el iPhone 8 o modelos posteriores con iOS 15.4 o versiones posteriores, y en el Apple Watch Series 4 o modelos posteriores con watchOS 8.4 o versiones posteriores, los usuarios pueden agregar su identificación estatal o su permiso de conducir a Apple Wallet y tocar su iPhone o Apple Watch para presentarlo de forma segura y sencilla en los establecimientos participantes.
Nota: esta función sólo está disponible en los estados participantes de EE. UU.
Las identificaciones en Apple Wallet utilizan funciones de seguridad integradas en el hardware y el software del dispositivo del usuario para ayudar a proteger su identidad y ayudar a mantener segura su información personal.
Agregar un permiso de conducir o una identificación estatal a Apple Wallet
En el iPhone, los usuarios pueden simplemente tocar el botón Agregar (+) en la parte superior de la pantalla de Apple Wallet para empezar a agregar su licencia o identificación. Si los usuarios tienen un Apple Watch enlazado durante la configuración, se les pide que también agreguen su permiso de conducir o su identificación a Apple Wallet en el Apple Watch.
Primero se pide a los usuarios que usen su iPhone para escanear ambas caras de su tarjeta física de permiso de conducir o identificación estatal. El iPhone evalúa la calidad y el tipo de imágenes para ayudar a garantizar que las imágenes proporcionadas son aceptables para la autoridad emisora estatal. Estas imágenes de la tarjeta de identificación se encriptan con la clave de la autoridad emisora estatal en el dispositivo y luego se envían a la autoridad emisora estatal.
A continuación, se pide al usuario que realice una serie de movimientos faciales y de la cabeza. Estos movimientos son evaluados por el dispositivo del usuario y por Apple para ayudar a reducir el riesgo de que alguien utilice una fotografía, un video o una máscara para intentar agregar la identificación de otra persona a Apple Wallet. Los resultados del análisis de estos movimientos se envían a la autoridad emisora estatal, pero no el video de los movimientos.
Para ayudar a garantizar que la persona que agrega la tarjeta de identificación a Apple Wallet es la misma persona de la identificación, se pide a los usuarios que se tomen un selfie. Antes de enviar la foto del usuario a la autoridad emisora estatal, los servidores de Apple y el dispositivo del usuario comparan la foto con el aspecto de la persona que realizó la serie de movimientos faciales y de la cabeza, y ayuda a garantizar que la foto que se envía es de una persona viva con el mismo aspecto que el de la identificación. Una vez realizada la comparación, la foto se encripta en el dispositivo y se envía a la autoridad emisora estatal para que se compare con la imagen que se tiene archivada para su identificación.
Por último, se pide a los usuarios que realicen una autenticación con Face ID o Touch ID. El dispositivo del usuario vincula esta coincidencia biométrica única de Face ID o Touch ID con la identificación estatal para ayudar a garantizar que sólo la persona que agregó la identificación a este iPhone pueda presentarla; y que no se pueda usar otra información biométrica inscrita para autorizar la presentación de la identificación. La autenticación se hace estrictamente en el dispositivo, y no se envía a la autoridad emisora estatal.
La autoridad emisora estatal recibirá la información necesaria para crear la identificación digital. Esto incluye las imágenes de la cara y el reverso de la identificación del usuario, los datos leídos del código de barras PDF417, así como el selfie que el usuario se tomó como parte del proceso de verificación de la identificación. El estado emisor también recibe un valor de un solo dígito, utilizado para ayudar a prevenir el fraude, que se basa en los patrones de uso del dispositivo del usuario, los datos de configuración, e información sobre su Apple ID personal. En última instancia, el estado emisor decide si se aprueba o rechaza la identificación que se agrega a Apple Wallet.
Después de que la autoridad emisora estatal autoriza la adición de la identificación o el permiso de conducir estatal a Apple Wallet, se genera un par de claves en el Secure Element del iPhone que vincula la identificación del usuario a ese dispositivo. Si se agrega al Apple Watch, el Apple Watch genera un par de claves en el Secure Element.
Una vez que la identificación está en el iPhone, la información reflejada en la identificación del usuario en Apple Wallet se almacena en un formato encriptado y protegido por el Secure Enclave.
Usar un permiso de conducir o identificación estatal almacenado en Apple Wallet
Para usar su identificación en Apple Wallet, el usuario debe autenticarse utilizando el dispositivo con Face ID o Touch ID asociado a la identificación en Apple Wallet antes de que el iPhone presente la información al lector de identidad.
Para usar su identificación en Apple Wallet en el Apple Watch, el usuario necesita desbloquear su iPhone utilizando el aspecto de Face ID asociado o la huella dactilar Touch ID asociada cada vez que se ponga el Apple Watch. Posteriormente, el usuario puede usar su identificación en Apple Wallet sin autenticarse hasta que se quite el Apple Watch. Esta capacidad aprovecha las funciones fundamentales del desbloqueo automático detalladas en la sección Seguridad del sistema para watchOS.
Cuando el usuario sostiene su iPhone o Apple Watch cerca del lector de identidad, el dispositivo muestra al usuario qué información específica se está solicitando, quién la solicita, y si se tiene la intención de almacenarla. Después de autorizar con Face ID o Touch ID, la información de identidad solicitada se envía del dispositivo.
Importante: los usuarios no necesitan desbloquear, mostrar o entregar su dispositivo para presentar su identificación.
Si el usuario tiene una función de accesibilidad activada, como Control por voz, Control por botón, o Assistive Touch, en lugar de activar Face ID o Touch ID, puede usar su código para acceder y presentar su información.
La transmisión de datos de identidad al lector de identidad cumple con el estándar ISO/IEC 18013-5, el cual proporciona varios mecanismos de seguridad capaces de detectar, disuadir y mitigar riesgos de seguridad. Estos consisten en la integridad de los datos de identidad y la antifalsificación, la vinculación del dispositivo, el consentimiento informado y la confidencialidad de los datos del usuario a través de enlaces de radio.
Integridad de datos de identidad y antifalsificación
Las identificaciones en Apple Wallet utilizan una firma proporcionada por el emisor para permitir que cualquier lector compatible con el estándar ISO/IEC 18013-5 verifique la identificación de un usuario en Apple Wallet. Además, cada elemento de datos de la identificación en Apple Wallet está protegido individualmente contra la falsificación. Esto permite que el lector de identidad solicite un subconjunto específico de elementos de datos disponibles en la identificación en Apple Wallet y que la identificación en Apple Wallet responda sólo con el subconjunto solicitado, compartiendo así sólo los datos solicitados y maximizando la privacidad del usuario.
Vinculación del dispositivo
Las identificaciones en la autenticación de Apple Wallet utilizan una firma de dispositivo para protegerse contra la clonación de identificaciones y la repetición de una transacción de identidad. Al almacenar la clave privada para la autenticación de la identificación en el Secure Element del iPhone, la identificación queda vinculada al mismo dispositivo para el cual la autoridad emisora estatal creó la identificación.
Consentimiento informado
Las identificaciones en la autenticación de lectores de Apple Wallet autentican el lector de identidad utilizando el protocolo definido en el estándar ISO/IEC 18013-5. Durante la presentación, se muestra un ícono derivado del certificado del lector para dar al usuario la seguridad de que está interactuando con la parte prevista.
Confidencialidad de los datos del usuario durante los enlaces de radio
La encriptación de la sesión ayuda a garantizar que toda la información personal identificable (PII) que se intercambia entre la identificación en Apple Wallet y el lector de identidad está encriptada. La encriptación la realiza la capa de la aplicación. Esto significa que la seguridad de la encriptación de la sesión no depende de la seguridad proporcionada por la capa de transmisión (por ejemplo, NFC, Bluetooth y Wi-Fi).
Las identificaciones en Apple Wallet ayudan a salvaguardar la privacidad de la información de los usuarios
Las identificaciones en Apple Wallet se adhieren al proceso de “obtención en el dispositivo” descrito en el estándar ISO/IEC 18013-5. La obtención en el dispositivo evita la necesidad de hacer llamadas al servidor durante la presentación, lo cual protege a los usuarios de ser rastreados por Apple y el emisor.