1

Actualidad y futuro de la Identidad Digital

Tras semanas escribiendo en este blog sobre la identidad digital, sus riesgos, los controles que implantar y hasta noticias de actualidad, ha llegado el día en el que escribo este, mi último post. Para la ocasión he elegido varios temas con los que me gustaría terminar que iré desglosando poco a poco.

En el mundo físico cuando nos comunicamos con un interlocutor tenemos evidencias de quién es la persona como puede ser la voz o el aspecto físico del individuo. Cuando la comunicación es escrita se usa el concepto de “firma” para reconocer al emisor del mensaje. ¿Pero qué pasa cuando el medio es el más abierto y menos confiado del Mundo? Sí, estoy hablando de Internet. Sorprendentemente la solución es usar el concepto que acabo de mencionar pero en la era digital, es decir, “firma digital”. Esta tecnología se lleva usando décadas con la finalidad de proteger mensajes de carácter sensible como en la Guerra Fría. Pero la noción de la tecnología de clave pública permite una identificación y autenticación económica de mensajes y personas en la red. Las firmas digitales usan una infraestructura de clave pública (PKI) en la que las autoridades de certificación actúan como terceros de confianza para tanto identificarte como autenticarte [1].

Puede que gracias a la tecnología de “firma digital” podamos verificar quién es el emisor de un mensaje, ¿pero y si lo que queremos es demostrar nuestra identidad a las administraciones públicas o a otras personas en general en Internet? Para dar respuesta a este reto nace el concepto de “identidad universal digital” también conocido como “identidad nacional”. Las mayores barreras para este desafío son la tecnología y la política en sí mismas ya que son pocos los países que han conseguido llevar a cabo de manera eficaz la identidad nacional [2]. Veamos los casos más significativos de países que han logrado un sistema eficaz de identificación.

  • El primer caso es el de Estonia, cuyo sistema está siendo usado por el 98% de la población del país y donde el 88% usa el sistema en Internet de forma regular. En este país cada ciudadano cuenta con una ID card (nuestro DNI) que les permite identificarse en toda Europa, acceder al sistema público de salud, identificarse en sus bancos, televoto, firma digital, ver las prescripciones médicas,… Pero además, este producto físico puede usarse de forma digital con la Smart-ID o Mobile-ID, que son dos formas diferentes de autentificarse online usando nuestro dispositivo móvil [3].Aadhaar_Logo.svg
  • El segundo caso que me gustaría analizar es el de India. En este estado tienen implantado un sistema llamado Asdhaar. Este no es más que un número de 12 dígitos únicos que identifica a cada ciudadano (de la misma forma que nuestro número de DNI) pero que usa técnicas biométricas (huella dactilar y el iris) y demográficas. Este sistema está denominado como “el sistema más sofisticado de identificación del Mundo”. Como en el caso de Estonia, el método permite tener asignados datos personales como número de teléfono o domicilio pero también incluye los servicios públicos o cuentas bancarias. Cabe destacar que numerosos grupos de activistas se oponen a este sistema por considerar que perjudica a la privacidad de las personas [4].

La última tecnología de que quería hablar es la poco conocida ViDChain, basada como su propio nombre indica en Blockchain. Esta propuesta permite agregar diferentes fuentes de identidad en una cartera de atributos de identidad. Las fuentes de identidad pueden ir desde RRSS a sistemas biométricos u oficiales como el DNIe [5]. A pesar de lo prometedora que parecía esta propuesta por unificar todos nuestros perfiles, parece que no se ha terminado de hacer una realidad. Posiblemente debido a los riesgos que conlleva dicho sistema y el estado actual de la tecnología.

Para terminar me gustaría dar mi opinión personal al respecto de este tema y decir que me ha resultado muy interesante la investigación previa a la realización de esta serie de 5 posts. Considero un avance necesario e importante el uso de la biometría como forma de identificación pero creo que debe estar ligada a otros métodos. Lo que quiero decir es que la forma que veo más idónea para la identificación en Internet es la utilización de más de un sistema, combinando factores físicos (por ejemplo aceptar usando el móvil que eres tú), demográficos (parametrizar lugar de residencia y zonas habituales de acceso), contraseñas y variables biométricas. Estos sistemas se podrían usar de forma combinada para garantizar la identidad de la persona. Además, en cuanto a la identidad digital personal me gustaría recalcar que hoy en día el “yo” físico y el digital están cada vez más conectados y que debemos comprender cómo funcionan para gestionarlos correctamente.

 

 


 

[1] “Digital signatures – Security & Controls”, acceso el 27 de noviembre de 2018. https://www.isaca.org/bookstore/extras/Pages/Digital-Signatures-Security-andamp-Controls-Executive-Summary.aspx

[2] “In search of a national identity”, acceso el 27 de noviembre de 2018. https://www2.deloitte.com/uk/en/pages/financial-services/articles/in-search-of-a-national-identity.html#

[3]  “e-identity”, acceso el 27 de noviembre de 2018. https://e-estonia.com/solutions/e-identity/id-card/

[4]  “Aadhaar”, acceso el 27 de noviembre de 2018. https://en.wikipedia.org/wiki/Aadhaar

[5]  “ViDChain, el futuro de la identidad digital”, acceso el 27 de noviembre de 2018. https://www.validatedid.com/es/vidchain-el-futuro-de-la-identidad-digital/




Los riesgos de la firma electrónica

En este post voy a hablar acerca de los riesgos que tiene el uso de la firma electrónica. En el mundo en el que vivimos como ya sabemos toda tecnología puede ser “hackeada” y debido a ello se presentan una serie de riesgos.

La firma electrónica avanzada es confiable y segura debido a que como ya sabemos hace uso de un cifrado asimétrico. Por tanto, esta firma que es considerada al mismo nivel que la firma manuscrita es segura, entonces os podéis preguntar ¿de dónde vienen los riesgos?. Estos riesgos provienen como siempre del eslabón más débil que como ya podéis intuir es el usuario final que hace uso de la misma. Para realizar la firma electrónica avanzada se debe hacer uso de dos claves la pública y la privada. La clave pública es la que puede ser mostrada y accedida por un tercero y la privada será la que en ningún caso podrá ser conocida o accedida por otra persona, ya que esta clave lleva integrada nuestra identidad y nuestra firma. Por tanto, aquí podemos encontrar el mayor riesgo, que es la forma en la que se guarda esta clave privada en nuestros sistemas o si la misma es compartida o esta visible para otras personas.

Post-It-Note-Passwords

El tener al descubierto la clave privada es un riesgo muy grave, ya que la custodia exclusiva de la misma es la garantía de no repudio de nuestras futuras firmas electrónicas, por lo que cualquier persona que disponga de la misma podrá realizar firmas fraudulentas con el mismo valor legal que si firmara a mano alzada. Por ello, es un riesgo muy grave ya que el conocimiento de una tercera persona de la clave puede traer consigo la suplantación de identidad, se podrá hacer pasar por nosotros y firmar en cualquier sitio.

Lo que ocurre muchas veces entre las empresas y los usuarios es que presuponen que únicamente ya el uso de una firma electrónica avanzada es una garantía de seguridad, pero esto es un error muy grave si no se tienen en cuenta dos reglas que son claves en este tema.

La primera de las reglas es tener la certeza de que nuestros certificados han sido generados por un prestador de servicios de certificación confiable y que para la creación de los mismos han hecho uso de un hardware criptográfico, el cual debería estar reconocido internacionalmente y aprobado por un laboratorio especializado en el tema. Esto es importante porque como hemos dicho antes la fuerza de estos certificados o su clave en cuanto a la seguridad reside en sus claves, clave privada, por tanto, la forma en la que ha sido generada la misma también es importante para mantener la seguridad de las mismas.

La segunda de las reglas es como ya he introducido antes la forma en que se custodian las claves de los certificados de los que hacemos uso. Una de las formas en las que los usuarios guardan estás claves es haciendo uso de una Smart Card que es seguro, ¿Pero ¿qué ocurre?  para las empresas hacer uso de este tipo de tarjetas puede hacer que se ralentice el proceso, y por tanto lo que hacen muchas es guardarla directamente en el ordenador para acceder directamente a ella, en cualquier carpeta, vamos como si nosotros dejáramos en nuestro ordenador en un documento de texto accesibles todas nuestras contraseñas de nuestras cuentas. Si a esto le añadimos la ausencia de control y gestión de los usuarios que tienen acceso a las claves dentro de la empresa, estamos corriendo el riesgo de la suplantación de identidad y de no saber al final quien es la persona que firma realmente.

Parece que las empresas no son conscientes del riesgo que corren dejando accesibles de esta forma sus claves, ya que es como si compramos una puerta blindada pero luego dejamos puesta la llave dentro de la cerradura. En este caso por mucha seguridad que nos de esta puerta si dejamos la llave accesible estamos dando acceso a la misma, pues lo mismo ocurre con la firma electrónica es un sistema fiable y seguro, pero en caso de dejar la clave a la vista o disponible para otros estamos dando la llave a terceros para que accedan como quieran.

054_cierrepuzzle_gi_medium

Un ejemplo de este tipo de fraude que se ha presentado, de suplantación de identidad podemos encontrarlo en una noticia de este año [4] en la que se presenta el caso de que el banco BBVA ha estado usando durante dos años la firma de un empleado jubilado para firmar certificaciones de deuda del banco sin su permiso. El banco achaca el caso a que ha sido un error, pero aunque esto sea cierto es un ejemplo claro de una suplantación de identidad que se da por una mala gestión de las claves de firma de la compañía, ya que se estaba firmando como una persona que no estaba en la empresa, con los consecuentes consecuencias que podría haber traído el firmar esos documentos con la identidad del mismo.

¿Cómo solucionar el problema de la gestión de claves en una compañía? Se debe tener una clara política de control y protección de claves, e implementar un sistema centralizado y seguro para la gestión de las mismas. Ese sistema debería tener el hardware criptográfico necesario para almacenar y gestionar las claves y permitir el acceso únicamente a los usuarios autorizados, y que nos permita saber quién firmo que y cuando.

A continuación, para terminar voy a presentar algunos consejos para poder tratar de evitar este tipo de fraudes. En caso de que se contrate un servicio de factura electrónica por internet, es interesante contratar el servicio que ofrece la firma electrónica en el que el cliente entra en la aplicación y usa el certificado que está instalado de forma segura en su propio ordenador y así de esta forma no se tiene que entregar acceso a la firma a la empresa que nos da ese servicio. En caso de haber entregado la firma ya, al dejar de trabajar con un proveedor se debe revocar ese certificado y generar uno nuevo que queda vigente desde el mismo momento en el que se genera, ya que así les obliga la ley a los prestadores de servicios de certificación. En el caso de que sea inevitable el uso de la firma por terceros, lo recomendable es que ese tercero compre su certificado propio y se le da la autorización para que con ese certificado realice los trámites correspondientes, y así de esta forma nunca conocerá ni hará uso de nuestras claves.

Referencias:

[1] “Los riesgos de no utilizar la firma electrónica avanzada”, Signaturit, consultado el 17 de noviembre de 2016,

https://blog.signaturit.com/es/los-riesgos-de-no-utilizar-la-firma-electronica-avanzada

[2] “Certificado digital peligros y riesgos para las empresas y autónomos”, Blog sobre la relación de las Administraciones Públicas con las empresas, asesores y despachos de abogados, consultado el 17 de noviembre de 2016,

http://blog.notificaciones060.com/certificadodigital-notificaciones060.html

[3]”Cómo utilizar los certificados minimizando los riesgos de fraude”, Red seguridad, consultado el 17 de noviembre de 2016,

http://www.redseguridad.com/opinion/articulos/como-utilizar-los-certificados minimizando-los-riesgos-de-fraude

[4]”Un exempleado reclama 140 millones al BBVA por usar su firma sin permiso”, El País, consultado el 17 de noviembre de 2016,

http://economia.elpais.com/economia/2016/05/24/actualidad/1464104022_490054.html

[5] “Consejos para evitar fraudes con la firma electrónica”, Enternet, consultado el 17 de noviembre de 2016,

https://www.enternet.cl/consejos-para-evitar-fraudes-con-la-firma-digital/