Cl@ve delenda est… ¿deben los sistemas de autenticación delegada ser prohibidos en el futuro?

El post de esta semana nos lo trae Nacho Alamillo, abogado, doctor y adsoluto dominador de todo lo relativo a certficados digitales, identificación y blockchain. Qué más se puede decir de alguien que sabe tanto de un tema tan crítico y complicado… Pues eso, que es una suerte tenerle por aquí

Cuadro de Hermes y Argos
Hermes, dios de los mensajes y los secretos (y por lo tanto, de los certificados digitales) presentando su PKI a Argos. Fuente

1. Los sistemas actuales de identificación, basados en la delegación de la autenticación, resultan excesivos

Las tecnologías tienen la virtud de crear oportunidades de forma constante, obligando a repensar una y otra vez el uso de hacemos de las mismas, especialmente cuando las tecnologías se pueden convertir en una amenaza a las personas a las que deberían servir.

Un ejemplo paradigmático de este fenómeno, al que he podido asistir como participante activo y entusiasta en los últimos veintidós años, es el de la gestión de la identidad digital, entendida –en lo que ahora me interesa– en su vertiente de autenticación electrónica en el acceso a servicios públicos y privados.

Mucho se ha escrito sobre los certificados electrónicos de clave pública, cuya función principal es, jurídicamente hablando, confirmar la identidad de personas físicas (en el caso de la firma electrónica) y de personas jurídicas y otras entidades (en el caso del sello electrónico).

Con independencia de las dificultades que haya generado su uso para su instalación y para la creación de la firma electrónica, se trata de uno de los sistemas con mayor reconocimiento en el mundo, al ofrecer un sistema de alta seguridad para comunicar nuestros datos de identidad a terceros desconocidos, con eficacia reconocida en todo el Espacio Económico Europeo, en virtud del Reglamento (UE) Nº 910/2014, de 23 de julio, que regula la identificación electrónica y los servicios de confianza para las transacciones en el mercado interior (generalmente conocido como Reglamento eIDAS).

A los efectos de esta reflexión, una de las inconveniencias que presenta el uso de estos certificados es la necesidad de divulgar, en cada autenticación, todos los datos contenidos en los mismos, infringiéndose con claridad el principio de minimización de datos. En efecto, parece excesivo que por el simple hecho de emplear un certificado para la autenticación de un acceso implique dar acceso al tercero de datos que quizá no requiera para el servicio al que concede acceso, como podría suceder con el NIF, por ejemplo.

Por otra parte, hace ya bastantes años, se detectó la necesidad de extender el uso de sistemas de autenticación basados en contraseñas, gestionadas por entidades públicas y privadas, a terceros usuarios, en aras de facilitar la vida al usuario, evitarle la necesidad de registrarse en múltiples sedes electrónicas, o más recientemente incluso mejorar la seguridad, al incorporar múltiples factores de autenticación.

Estos sistemas se basan en la colaboración entre un proveedor o gestor de identificación, que es el que procede a la autenticación, y los proveedores de servicios a los que requiere acceso el interesado, como se puede ver en la ilustración:

Esquema de identificación vía Cla@ve, en el que el gestor de identificación incluye integración de firma, identificación de certificados extrangeros y de otras soluciones de identificación
Ilustración 1. Participantes en Cl@ve (Portal de Administración Electrónica)


En efecto, en el sistema Cl@ve la identificación se sustenta en un proceso en el que participan diversas entidades: en primer lugar, el interesado se conecta al servicio electrónico ofrecido por la Administración a que desea acceder, y selecciona autenticarse mediante Cl@ve. Este servicio reenvía al interesado a la página web del servicio Cl@ve, donde se produce la autenticación (por ejemplo, mediante contraseña o doble factor de autenticación, o mediante su certificado electrónico). Una vez autenticado el interesado, se le entrega una prenda (un código único para la dicha autenticación) y se le reenvía de nuevo al servicio al que precisa acceder, debiendo entregarle dicha prenda. A continuación, el servicio pregunta a Cl@ve acerca de la identidad del interesado, para lo cual le envía esta prenda, y recibe una respuesta, en forma de documento en XML, con dichos datos, lo que le permite conceder acceso.

Como se puede ver, el proveedor de identidad concentra las operaciones de autenticación, algo que resulta muy conveniente, pero que le permite conocer y trazar la actividad de los interesados, algo que puede resultar criticable en términos de la privacidad de los mismos, especialmente si este servicio se autoriza – como sería deseable, en una visión de la identidad como bien público – a servicios privados. Y es que este proceso implica que este proveedor de identidad se encuentra en disposición de recolectar una enorme cantidad de metadatos acerca de la actividad del usuario, además de constituir un punto único de ataque del sistema.

Y si una cosa sabemos acerca de los metadatos es que los mismos no gozan de protección constitucional reforzada –a diferencia de los contenidos–, por lo que pueden ser empleados para establecer programas de vigilancia de la actividad de los ciudadanos, algo inquietante en un momento en que el propio Tribunal Europeo de Derecho Humanos ha declarado que un programa de vigilancia masiva puede resultar compatible con el Convenio, por no implicar una mayor pérdida de privacidad que un programa de seguimiento dirigido. Todo un aviso para navegantes, especialmente a la vista del incremento de medidas de seguridad de los documentos oficiales, incluyendo el intercambio de datos biométricos entre autoridades competentes.

2. ¿Es posible disponer de un sistema que garantice mejor la privacidad?

Recientemente, y desde ciertas comunidades de Internet, posiblemente algo libertarias, se ha recuperado el viejo concepto de “web de confianza” y se ha revitalizado en forma de la denominada “identidad auto-soberana”.

Se trata de un mecanismo que, como ha indicado Allen (2016), debe atender a unas características específicas, incluyendo la existencia de la identidad de una persona independientemente de administradores o proveedores de identidad; el control por la persona de sus identidades digitales; el acceso completo por las personas a sus datos; la transparencia de los sistemas y los algoritmos; la persistencia de las identidades digitales; la portabilidad de las identidades digitales; la interoperabilidad de las identidades digitales; el cumplimiento de la economía de datos; y la protección de los derechos de la persona.

Esta identidad digital verificable, auto-soberana se basa en un tipo de identificador, que se denomina “identificador descentralizado” (en adelante, “DID”), y, en términos técnicos, se trata de una URL –esto es, de un identificador universal o localizador uniforme de recurso, con sus propias normas de sintaxis y tratamiento (Van Kesteren, 2019)– que relaciona un sujeto con un “documento de identificación descentralizada” (en adelante, “documento DID”), que describe cómo se debe emplear dicho DID, y, en particular, cómo el documento DID permite la autenticación del sujeto asociado al DID.

Una de las particularidades del DID es que el mismo se utiliza en tecnologías de registro distribuido (DLT) u otras formas de redes descentralizadas, por lo que no requiere de un sistema de registro centralizado, permitiendo la implementación de una suerte de Infraestructura de Clave Pública Descentralizada (DPKI), en oposición a los sistemas clásicos de PKI, que precisamente se basan en la centralización de la función de expedición en manos de un prestador, aunque con matices. De esta forma, a partir de un DID se puede acudir a Internet a obtener el correspondiente documento DID que describe el DID en cuestión, y utilizar sus contenidos para autenticar al sujeto y para obtener atributos o alegaciones acerca del mismo, como el nombre y apellidos, u otras informaciones personales a compartir.

Como puede verse, el documento DID se encuentra fuera de la cadena de bloques, lo cual permite el cumplimiento de la normativa de protección de datos.

Más allá de los documentos DID, las propuestas avanzadas de identidad auto-soberana emplean sintaxis de compartición de credenciales verificables, como la descrita en el modelo de datos de credenciales verificables promovido en el seno del Consorcio W3C, relacionadas con el correspondiente DID del sujeto, que se muestra en la siguiente ilustración:  

La credencial y la presentación verificable permite una generación de datos y condiciones probadas que validan la autenticidad, el sueto y la validez criptográfica
Ilustración 2. Modelo de datos de credenciales verificables (elaboración propia).


Por todo ello, en un sistema de identidad auto-soberana basado en tecnologías de registro distribuido, el usuario puede obtener credenciales que acreditan datos de identidad, producidos por entidades que los han comprobado previamente, y para posteriormente poder crear alegaciones de identidad en las que presentará, a terceros, los datos que requiera para acreditar frente a los mismos su identidad u otras atribuciones, pudiendo decidir en cada momento qué datos concretos va a compartir.

La principal particularidad de este modelo es que la entidad que interviene en la inicial identificación de la persona no podrá determinar ni controlar el uso posterior que hará el usuario de su identidad, ni tampoco observar la actividad del usuario, por lo que quizá nos encontramos ante la única tecnología que permite el cumplimiento de la normativa de protección de datos.

Si esto es así, y en aplicación del Reglamento General de Protección de Datos, resultará ineludible proponer la sustitución plena de sistemas como Cl@ve en favor de estos nuevos sistemas de identidad auto-soberana.

Ello no significa que no tenga valor la intervención de entidades públicas en la provisión de identidad, sino que su función se transforma, concentrándose en la provisión de credenciales verificables a los usuarios, y abandonando la centralización de la autenticación.

Por otra parte, ciertamente esta nueva tecnología depende, para su correcto funcionamiento, de la existencia de redes de tecnología de registro distribuido que ofrezcan garantías apropiadas, que actualmente no se encuentran plenamente desarrolladas, y que siguen presentando retos de seguridad. Sólo cuando podamos confiar en las mismas tendrá sentido esta transformación.

Concluyendo, posiblemente Cl@ve delenda est… pero no aún.

Referencias

Aavik, G., & Krimmer, R. (2016). Integrating Digital Migrants: Solutions for Cross-Border Identification from E-Residency to eIDAS. A Case Study from Estonia. In H. J. Scholl, O. Glassey, M. Jansenn, B. Klievink, I. Lindgren, P. Parycek, . . . D. Sá Soares (Ed.), Electronic Government. 15th IFIP WG 8.5 International Conference, EGOV 2016, Guimarães, Portugal, September 5-8, 2016, Proceedings. LNCS 9820, pp. 151-163. Springer.

Alamillo Domingo, I. (2010). Identidad electrónica, robo de identidad y protección de datos personales en la red. En Robo de identidad y protección de datos (Primera ed., págs. 17-34). Cizur Menor, Navarra, España: Aranzadi.

Alamillo Domingo, I. (2018). Identificación electrónica y confianza en las transacciones electrónicas: La regulación jurídico-administrativa de las instituciones de acreditación de la actuación electrónica. Tesis doctoral. Universidad de Murcia.

Allen, C. (2016). The path to self-sovereign identities. Recuperado de Coindesk: https://www.coindesk.com/path-self-sovereign-identity/

Merchán Murillo, A. (2018). Servicios de identificación electrónica dentro de la e-Administración. Revista General de Derecho Administrativo(47), 1-25.

Posch, R. (2017). Digital sovereignty and IT-security for a prosperous society. Informatics in the Future. Proceedings of the 11th European Computer Science Summit (ECSS 2015), Vienna, October 2015 (pp. 77-86). Cham: Springer.

Van Kesteren, A. (2019). WHATWG. Living Standard. Recuperado de https://url.spec.whatwg.org/

Comparte este artículo

Acerca del autor

Regístrate y consigue los últimos artículos en tu mail.

Deja un comentario

SUSCRÍBETE AL BOLETÍN DEL BLOG

y recibe novedades y material exclusivo sobre transformación digital en Administraciones Públicas
Analítica Pública usará esta información para mandarte el boletín y actualizaciones puntuales. Del mismo modo, si deseas señalar qué aspectos son los que te interesan de la Transformación Digital, lo tendremos en cuenta para trabajar más en esos campos. También tendremos en cuenta si abres o no los correos y si haces clic en ellos. No es por cotilleo, eso ayuda mucho a la hora de saber qué temas y enfoques son los que interesan y los que hacen que la gente nos regale un poco de su tiempo. En cumplimiento de lo establecido en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal le informamos que sus datos personales quedarán incorporados y serán tratados en los ficheros de Analítica Pública, con el fin de poderle prestar y ofrecer nuestros servicios, así como para informarle sobre novedades y nuevos proyectos en los que se encuentre trabajando la empresa. Le informamos de la posibilidad de que ejerza los derechos de acceso, rectificación, cancelación y oposición de sus datos de carácter personal en info@publilitica.es, mediante la utilización de un correo electrónico conforme se informa en la política de privacidad.»