El futuro de la identidad digital

Este post es parte de 5 que escrito como resumen de mi asistencia al pasado Secure Payments & ID Congress.

Análisis de lonchbox:

Desconocía las implicaciones de eIDAS en sus versiones 1 y 2, el panel fue muy didáctico sobre el tema por lo que pudieron dar un punto de vista práctico además de legal. 

eIDAS es el Sistema Europeo de Reconocimiento de Identidades Electrónicas, (conocido por sus siglas en inglés eIDAS, electronic IDentification, Authentication and trust Services). 

Este Reglamento de la Unión Europea (UE) es un conjunto de normas para la identificación electrónica y los servicios de confianza para transacciones electrónicas en el mercado único europeo. Se estableció en el Reglamento (UE) Nº 910/2014 del Parlamento Europeo y del Consejo de 23 de julio de 2014 relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por la que se deroga la Directiva 1999/93/CE.1​2 (Extracto de la wikipedia)

Los moderadores crearon un debate que me pareció muy interesante, los participantes conocimos un poco más sobre la Identidad Digital. Cuando abordamos la Identidad Digital no es solo tener un registro informático de los datos de un ciudadano, olvidamos que tu número de teléfono está en muchos lugares por lo que no es el dato más fiable para verificar una identidad» es importante entender esto para la evolución del eIDAS.

Cual es la diferencia, o mejor dicho, evolución de este sistema:

• eIDAS 1: Básicamente es la aplicación del DNIe y su implantación. El cual está pensado sobre todo para el uso dentro de los servicios del Estado, bancos o servicios que requieran verificar la identidad legal de su cliente y en el estado somos usuarios..

• eIDAS 2: Además de los datos como ciudadano se incluyen otros datos, por ejemplo:
  • Scoring de riesgo personal 
  • Nivel de educación 
  • Permiso de conducir 
  • Certificados de titularidades de cuentas
  • Otros.

Toda implantación normativa y regulada tiene que lidiar con las necesidades del mercado y de los Estados, por lo que no hay unas directrices técnicas únicas.

La última vez usé el DNIe y Cl@ve fue este verano 2023, si para mi fue un infierno no quiero ni pensar cómo será para una persona que no controla nada de tecnología. Además el sistema Cl@ve solo funciona en España y eI eIDAS 2 tiene como objetivo que sea europeo.

La implantación de una Identidad Digital apoya una de las premisas de la GDPR y PSD2 los datos deben estar fuertemente custodiados pero sobre todo deben estar en propiedad del ciudadano y es aquí donde está el reto.

@Pilar – Santander hizo un apunte importante a la hora de distinguir los dos tipos de identidades:

Identidad Federada

Es un enfoque de gestión en línea que se basa en la Centralización, donde una entidad de confianza emite y verifica las identidades digitales de los usuarios. Permite a los usuarios utilizar una sola identidad o credenciales para acceder a múltiples servicios en línea, mejorando la comodidad y la eficiencia. Sin embargo, plantea preocupaciones sobre la privacidad, ya que una entidad centralizada tiene acceso a la información de identidad de todos los usuarios.

Identidad Soberana

Gestión descentralizada, donde los individuos tienen el control total sobre su propia identidad. En lugar de depender de una entidad central o de confianza, los usuarios crean y gestionan sus propias identidades digitales. Esto otorga a los usuarios un mayor control sobre su privacidad y seguridad, ya que pueden elegir con quién comparten su información y en qué contexto, lo que resulta en una mayor autonomía y protección de datos.

¿Cómo puedes dar el control de sus datos al ciudadano de forma segura?

Recordemos que tenemos nuestros datos en muchos servicios y empresas, como aerolíneas, servicios online y redes sociales. Estos datos están desperdigados por cientos de bases de datos y servidores. Este sería el primer reto. 

El segundo reto es el más complejo, la verificación y validación de esos datos. El panel comentó la necesaria aparición de «agentes verificadores», actualmente existen tanto protocolos como tecnología de firma digital siendo agentes validados.

Para el 2030 la UE tiene como objetivo que todos tengamos una Identidad Digital

Revisemos la implantación del DNIe, el cual es independiente de cada país, no termina de funcionar por su mala experiencia de usuario quedando en desuso o sin aplicación en otros servicios que podrían haberse beneficiado en poder verificar la identidad de usuarios de cualquier sistema. 

Si existe un protocolo que ganó mucho mercado fue el OAUTH por parte de las redes sociales haciendo fácil su uso. También está el protocolo FIDO el cual se está implantando pero lentamente.

Todo se basa en un problema de confianza, ¿Cómo, Quién y Dónde se almacena y verifica esa identidad?

¿Quiénes validaron nuestra identidad? ¿Debería ser una única entidad, gubernamental o privada? ¿Debería ser el mercado quien dé con la solución?

Empresas como Meta, Twitter, Google que gracias al OAUTH se han convertido en los contenedores de nuestra identidad por eso lo usamos para registrarnos en muchos servicios.

¿Descargarías en estas empresas la protección de todos tus datos?

También se comentó que podría ser blockchain la tecnología que de con la solución, personalmente discrepo, hasta que nuestro smartphone no pueda minar es algo que no tiene sentido usar para registrar nuestra identidad porque no recuperamos el control tan solo lo pasamos a otra infraestructura que depende de actores externos. El mejor mal ejemplo es Alastria, que a día de hoy no sirve para nada más que para hablar de cosas que las empresas no harán que es compartir datos de sus clientes para facilitar el cambio de proveedores o servicios sin necesidad de realizar un onboarding nuevo cada vez.

Ahora sí la solución tecnológica debería ser open source.

Durante la ronda de preguntas lancé una para los panelistas:

¿La normativa eIDAS incluye los datos biométricos o toma en cuenta a los fabricantes de chips que guardan estos datos?

Para mi sorpresa no lo tenían contemplado, aunque los fabricantes de chips de identificación biométrica emplean diversas tecnologías y medidas de seguridad para proteger los datos biométricos, como huellas digitales y Face ID. Estas medidas incluyen la encriptación de datos, el almacenamiento seguro, la autenticación del usuario, el procesamiento local, la tokenización de datos biométricos, actualizaciones de seguridad periódicas, pruebas exhaustivas de seguridad y el cumplimiento de normativas de privacidad. Estas capas se implementan para asegurar la protección de los datos biométricos y garantizar la privacidad de los usuarios. Aún así esos datos están en el chip.

Es muy interesante que occidente esté intentando agilizar el manejo de datos creando marcos normativos y regulatorios pero esperando que sea el mercado quien dé con la solución. Mientras solo 8 empresas controlan ese registro físico de nuestra identidad biométrica, como por ejemplo Qualcomm, Goodix, IDEX Biometrics, Synaptics, Samsung NOX, etc.

Mientras en Asia, especialmente China, WeChat ha creado un sistema que no solo verifica y controla la identidad de sus usuarios o «ciudadanos», una app que puede y hace todo, como banco, wallet de identificaciones, pagar servicios, vender productos. Lo que vendría siendo una Identidad Digital federada pero dentro de un sistema privado gubernamental.