La importancia de la correcta identificación/autenticación “a distancia” de trabajadores protegidos por la Mutua

Dado que no siempre es posible la identificación presencial de los trabajadores protegidos por la Mutua, especialmente en el contexto actual derivado de la pandemia, cobran vital importancia los procesos de identificación/autenticación “a distancia”.

Estos mecanismos, generalmente a través de medios telemáticos, permiten identificar a los usuarios de forma no presencial, garantizando en todo momento la autenticidad de los mismos, minimizando de esta forma los riesgos de accesos no autorizados a recursos, servicios o información.

Un claro ejemplo de situación comprometida podría ser la usurpación de identidad: si un atacante logra que se modifiquen algunos de los datos de contacto (email, móvil, domicilio, etc.) de un trabajador sin las debidas garantías de autenticidad (por ejemplo, a partir de una llamada telefónica o un email), posteriormente podría finalizar el registro en AOV simulando ser el trabajador “usurpado”. De esta forma podría tener acceso a información de forma ilegítima, así como efectuar trámites en nombre del trabajador.

Otro ejemplo podría estar relacionado con la modificación de la cuenta bancaria de un trabajador (o incluso de un proveedor). Con esta acción el atacante podría llegar a ser el beneficiario ilegítimo del abono de una prestación (o el pago de una factura).

Con la finalidad de minimizar los riesgos derivados de este tipo de situaciones, y al margen de otros controles o verificaciones que se puedan hacer, los únicos mecanismos que se contemplan para la identificación “a distancia” de un trabajador son los siguientes:

  • Acceso con certificado electrónico a AOV.

  • Correo electrónico con documento firmado electrónicamente.

El certificado electrónico es actualmente el único medio legal del que dispone la Mutua para identificar una persona por medios electrónicos, a los efectos de realizar solicitudes y demás trámites en materia de prestaciones de la Seguridad Social y, por tanto, es un requisito imprescindible para que los accesos “a distancia” sean seguros.

 

Para más información podéis consultar los siguientes manuales/protocolos relacionados:

 

P-015 Política de Protección de Datos Seguridad de la Información.

M-1329 Normativa de Seguridad de la Información.

M-1092 Guía Sistema Electrónico de acceso.

R-001  Claves de acceso para pacientes y usuarios a AOV y App «mi Asepeyo».

E-005 Guía para el autorregistro AOV-mi Asepeyo (perfil Trabajador).