1

Actualidad y futuro de la Identidad Digital

Tras semanas escribiendo en este blog sobre la identidad digital, sus riesgos, los controles que implantar y hasta noticias de actualidad, ha llegado el día en el que escribo este, mi último post. Para la ocasión he elegido varios temas con los que me gustaría terminar que iré desglosando poco a poco.

En el mundo físico cuando nos comunicamos con un interlocutor tenemos evidencias de quién es la persona como puede ser la voz o el aspecto físico del individuo. Cuando la comunicación es escrita se usa el concepto de “firma” para reconocer al emisor del mensaje. ¿Pero qué pasa cuando el medio es el más abierto y menos confiado del Mundo? Sí, estoy hablando de Internet. Sorprendentemente la solución es usar el concepto que acabo de mencionar pero en la era digital, es decir, “firma digital”. Esta tecnología se lleva usando décadas con la finalidad de proteger mensajes de carácter sensible como en la Guerra Fría. Pero la noción de la tecnología de clave pública permite una identificación y autenticación económica de mensajes y personas en la red. Las firmas digitales usan una infraestructura de clave pública (PKI) en la que las autoridades de certificación actúan como terceros de confianza para tanto identificarte como autenticarte [1].

Puede que gracias a la tecnología de “firma digital” podamos verificar quién es el emisor de un mensaje, ¿pero y si lo que queremos es demostrar nuestra identidad a las administraciones públicas o a otras personas en general en Internet? Para dar respuesta a este reto nace el concepto de “identidad universal digital” también conocido como “identidad nacional”. Las mayores barreras para este desafío son la tecnología y la política en sí mismas ya que son pocos los países que han conseguido llevar a cabo de manera eficaz la identidad nacional [2]. Veamos los casos más significativos de países que han logrado un sistema eficaz de identificación.

  • El primer caso es el de Estonia, cuyo sistema está siendo usado por el 98% de la población del país y donde el 88% usa el sistema en Internet de forma regular. En este país cada ciudadano cuenta con una ID card (nuestro DNI) que les permite identificarse en toda Europa, acceder al sistema público de salud, identificarse en sus bancos, televoto, firma digital, ver las prescripciones médicas,… Pero además, este producto físico puede usarse de forma digital con la Smart-ID o Mobile-ID, que son dos formas diferentes de autentificarse online usando nuestro dispositivo móvil [3].Aadhaar_Logo.svg
  • El segundo caso que me gustaría analizar es el de India. En este estado tienen implantado un sistema llamado Asdhaar. Este no es más que un número de 12 dígitos únicos que identifica a cada ciudadano (de la misma forma que nuestro número de DNI) pero que usa técnicas biométricas (huella dactilar y el iris) y demográficas. Este sistema está denominado como “el sistema más sofisticado de identificación del Mundo”. Como en el caso de Estonia, el método permite tener asignados datos personales como número de teléfono o domicilio pero también incluye los servicios públicos o cuentas bancarias. Cabe destacar que numerosos grupos de activistas se oponen a este sistema por considerar que perjudica a la privacidad de las personas [4].

La última tecnología de que quería hablar es la poco conocida ViDChain, basada como su propio nombre indica en Blockchain. Esta propuesta permite agregar diferentes fuentes de identidad en una cartera de atributos de identidad. Las fuentes de identidad pueden ir desde RRSS a sistemas biométricos u oficiales como el DNIe [5]. A pesar de lo prometedora que parecía esta propuesta por unificar todos nuestros perfiles, parece que no se ha terminado de hacer una realidad. Posiblemente debido a los riesgos que conlleva dicho sistema y el estado actual de la tecnología.

Para terminar me gustaría dar mi opinión personal al respecto de este tema y decir que me ha resultado muy interesante la investigación previa a la realización de esta serie de 5 posts. Considero un avance necesario e importante el uso de la biometría como forma de identificación pero creo que debe estar ligada a otros métodos. Lo que quiero decir es que la forma que veo más idónea para la identificación en Internet es la utilización de más de un sistema, combinando factores físicos (por ejemplo aceptar usando el móvil que eres tú), demográficos (parametrizar lugar de residencia y zonas habituales de acceso), contraseñas y variables biométricas. Estos sistemas se podrían usar de forma combinada para garantizar la identidad de la persona. Además, en cuanto a la identidad digital personal me gustaría recalcar que hoy en día el “yo” físico y el digital están cada vez más conectados y que debemos comprender cómo funcionan para gestionarlos correctamente.

 

 


 

[1] “Digital signatures – Security & Controls”, acceso el 27 de noviembre de 2018. https://www.isaca.org/bookstore/extras/Pages/Digital-Signatures-Security-andamp-Controls-Executive-Summary.aspx

[2] “In search of a national identity”, acceso el 27 de noviembre de 2018. https://www2.deloitte.com/uk/en/pages/financial-services/articles/in-search-of-a-national-identity.html#

[3]  “e-identity”, acceso el 27 de noviembre de 2018. https://e-estonia.com/solutions/e-identity/id-card/

[4]  “Aadhaar”, acceso el 27 de noviembre de 2018. https://en.wikipedia.org/wiki/Aadhaar

[5]  “ViDChain, el futuro de la identidad digital”, acceso el 27 de noviembre de 2018. https://www.validatedid.com/es/vidchain-el-futuro-de-la-identidad-digital/




¿Cómo dar solución a la firma de documentos en la nueva industria?

Históricamente la sociedad y los negocios se regían por la comunicación cara a cara entre las personas, y por firmar los contratos en persona y a mano alzada. De esta forma, no había ningún tipo de duda de suplantación o de que por el camino alguien interceptara el documento y realizara algún cambio en el mismo o espiara la información del mismo. En los últimos años, las relaciones interpersonales y la industria en general han cambiado completamente, hoy en día se realizan compras con un solo clic y se realizan negocios a miles de kilómetros de distancia, la llegada de Internet ha supuesto un cambio increíble y todo el mundo debe adaptarse al mismo.

Ya que se realizan negocios a distancia y por lo tanto envíos de documentos o de contractos mediante la red, surge la necesidad de poder firmar los mismos y de acreditar que los mismos no han sido alterados o espiados durante su envió por la red, debido a todas las amenazas que se presentan en la misma. En este punto, se introduce el termino de firma electrónica, que es mediante el cual se intenta dar solución a este problema. La definición de este término según el BOE es la siguiente: “Conjunto de datos en forma electrónica, consignados junto a otros o asociados con ellos, que pueden ser utilizados como medio de identificación del firmante.”. Gracias a la firma electrónica se puede validar el origen del documento y la integridad del mismo, por lo tanto, es lo que estaba buscando conseguir.

La firma electrónica es un concepto jurídico, es un método de identificación, que como hemos indicado busca tener la misma garantía que la firma manuscrita. Esta implica que una persona verifica la realización de una acción determinada a través de cualquier dispositivo electrónico, estableciendo un registro con la fecha y hora de la misma. Esto es algo que vemos todos en nuestro a día a día, cuando vamos a comprar algo a una tienda o recibimos una carta certificada en casa y firmamos sobre un dispositivo electrónico, se crea un registro con nuestra firma que verifica que hemos recibido el mismo o cuando metemos la tarjeta en el banco e introducimos nuestro PIN, todos estos casos son ejemplos de firmas electrónicas.

La firma digital es una de las más destacables dentro de la firma electrónica, ya que la misma es un tipo de firma electrónica que ofrece mucha más seguridad que la misma. La firma digital como la manuscrita es única por cada firmante y se realiza siguiendo el protocolo PKI, el cual requiere el uso de un algoritmo matemático para la creación de una clave pública y una privada. Mediante estas claves lo que se busca es la creación de una firma y la encriptación del documento y que solo se pueda abrir en el origen y en el destino del archivo, ya que de esta forma se garantiza la integridad del mismo enviando por la red el documento con esa firma digital. Se logra dar solución al problema de la firma, ya que se garantiza que el documento no ha sido modificado y nadie puede negar haberlo firmado.

procesodefirma

En el caso de España la firma electrónica está contemplada en la legislación como se puede contemplar en el Boletín Oficial del Estado (BOE) sobre el código de derecho de la ciberseguridad. En este boletín se marca cual debe ser el proceso a seguir para que sea válida la misma, como deben actuar los servicios de certificación, que dispositivos son válidos, como lograr las certificaciones necesarias y también se describen las condiciones a cumplir para aceptar como valido un documento expedido fuera de la legislación del Espacio Económico Europeo. En el caso de España aparece una nueva forma de realizar una firma electrónica que también se contempla en el BOE que es mediante el DNI, mediante el cual se puede realizar una firma que funciona como un certificado electrónico de forma sencilla.

¿Por lo tanto, porque no confiar en esta firma? Yo creo personalmente, que mediante el uso de este tipo de proceso se consigue perfectamente sustituir a la firma manuscrita y que en un mundo como el actual es totalmente necesario ya que acelera mucho los procesos administrativos y es algo que ayuda a confiar en la realización de negocios mediante medios electrónicos. Sí que es verdad que un mundo en el que la ciberseguridad está a la orden del día la gente es reticente a confiar en esto, pero este sistema hoy en día es confiable y da la posibilidad de confiar en la integridad del documento lo cual es vital. Pongámonos en el caso de que debemos enviar un contrato o un documento desde España a Rusia y optamos por enviarlo por correo, de esta forma podría ocurrir que alguien intercepte ese documento y que lo suplante o espié la información del mismo para tomar ventaja de ello. Esto mediante la firma digital no ocurre porque logramos que se garantice la integridad, entonces, ¿Por qué no usarla?

Referencias:

“Firma electrónica”, Portal administración electrónica, acceso el 8 de octubre 2016,

http://firmaelectronica.gob.es/Home/Ciudadanos/Firma-Electronica.html

“Electronic and Digital Signatures: A Global Status Report – Executive Introduction”, Isaca, acceso el 9 de octubre de 2016,

https://www.isaca.org/bookstore/extras/Pages/Electronic-and-Digital-Signatures-A-Global-Status-Report-Executive-Introduction.aspx

“Digital Signatures – Security & Controls”, Isaca, acceso el 9 de octubre de 2016,

https://www.isaca.org/bookstore/extras/Pages/Digital-Signatures-Security-andamp-Controls-Executive-Summary.aspx

“What are digital signatures?”, DocuSign, acceso el 9 de octubre de 2016,

https://www.docusign.com/how-it-works/electronic-signature/digital-signature/digital-signature-faq

BOE del Código de Derecho de la Ciberseguridad, edición actualizada a 21 de julio de 2016.