La identificación en la web. Mucho más que certificados.

La Administración electrónica vive un no siempre feliz matrimonio con el Derecho Administrativo. En él, las garantías necesarias para preservar los principios del segundo no siempre han encajado bien con las posibilidades de la primera. Podríamos decir que es un matrimonio donde la eAdministración está casi que en casa y con la pata quebrada. Sin embargo, una parte de este infeliz matrimonio se debe más a la falta de ideas (o conocimiento) de la explotación tecnológica por parte de la Administración. El ejemplo más claro es el de la identificación personal. ¿Quién no ha perdido los nervios cuando no ha funcionado el certificado electrónico para entrar en una sede? ¿Por qué es tan fácil transferir 50.000 euros y tan difícil pedir un volante de padrón? Por los sistemas de identificación.

Daguerrotipo de gendarme.
Gendarme esperando que la gente se identifique. Fuente

Para qué sirve la identificación electrónica.

Empecemos por lo básico. ¿Para qué sirve la identificación?  Puede sonar a obvio, pero una identificación sirve para que se sepa quién anda ahí. En este caso la identificación ante un entorno digital cumple cuatro funciones.

  • Permite saber quién anda ahí. Atribuye una entidad a quien interactúa, lo que permite que haya un sujeto. Esto es importante porque hay veces que una persona puede hacer una interacción sin identificarse (hacer una pregunta en un foro o un comentario) pero no podemos saber quien es ni podrá recibir una respuesta directa.
  • Permite la personalización de la comunicación. Si existe una identificación  podemos adaptar lo que ofrecemos a los atributos de esa persona. Si yo me doy de alta en una sede electrónica como ciudadano y no como empresa, tendré diferentes posibilidades de interacción.
  • Permite una identificación fehaciente. Esto significa que la persona que podemos saber que la entidad que decimos que ha hecho algo, lo ha hecho. Esto hace que si, por ejemplo, pides darte de alta en una escuela de música puedes reclamar que lo has hecho y que te deben responder.
  • Evita la suplantación (o debería). La identificación evita que otra persona haga acciones que son personales tuyas. Por ejemplo, que tu vecino presente tu declaración de impuestos.

¿Dónde usamos la identificación?

Esto es lo que ofrece la identificación. Sin embargo, ni todos los mecanismos lo hacen con igual intensidad en lo que se refiere a las dos últimas (que son las que más preocupan para el tema público).

La identificación es una complicación adicional a la navegación. Todo lo que tenemos que hacer que no forma parte de lo que necesitamos lo es. Es decir, si quieres pedir un certificado de nacimiento, todo lo que no sea pedirlo es una molestia más o menos importante. En todo caso, hay tres contextos en los que la identificación es un elemento importante.

  • Servicios personalizados. Empecemos por lo  bonito, que son los servicios personalizados. Cuando una persona está identificada en un sistema (y ese sistema le tiene asignados funciones o intereses) podemos ofrecerle algo adaptado. Evidentemente, esto lo puedes hacer por navegación (cuando entras a la web de un ayuntamiento y tienes un espacio para  ciudadanos y otro para empresas), pero esto es más cómodo.
  • Realizar actos que requieren una identificación. Si queremos una interacción de vuelta por parte de la Administración, lo lógico es que digamos quienes somos y dónde pueden localizarnos (por la vía que sea)
  • Establecer un proceso con garantías. La identificación (bajo determinadas condiciones) permite establecer un mínimo de garantías. Estas son especialmente importantes en la fehacencia y la suplantación de las personas. Si queremos que determinadas acciones se hagan de manera que se puedan reclamar derechos y obligaciones personales, es necesario tener en cuenta ambas funciones.

¿Cómo nos identificamos?

A diferencia de lo que parecen preferir, en la mayoría de los casos, las Administraciones Públicas, hay varias maneras de identificarse con distinto nivel de garantía y seguridad. Podemos utilizar un sistema como el de las bodas.

  • Con algo que sabemos. Es el nivel más sencillo. La clásica contraseña. El problema es que cualquiera que sepa lo que sabemos, puede hacerse pasar por nosotros.
  • Algo que somos. Este es un nivel algo más complejo, dado que tenemos que dejar claro quiene somos. En este caso, sería el Certificado digital (que es el equivalente del DNI, ni más ni menos). Hay un documento que dice que somos quienes decimos ser. Esto es más fiable, pero es complejo por toda la técnica que lleva una interacción entre una web, una autoridad que reconozca el certificado y un navegador. Para qué contaros más.
  • Con algo que tenemos. Este sistema nos pregunta sobre algo que, razonablemente, sólo tenemos nosotros o alguien de confianza. Por ejemplo, cuando la agencia tributaria pregunta por una casilla de la declaración de la renta para solicitar el borrador, el CSV de la tarjeta de crédito (no muy seguro porque son siempre las 3 mismas cifras) o la tarjeta de coordenadas del banco para hacer un pago.
  • La doble validación. Una variante de este último es algo que tenemos ahora. Los sistemas de validación en dos pasos con un código de móvil hace  no sólo que tenga acceso a algo, sino que ese acceso sea en el momento y no antes (es decir, no nos han cogido la tarjeta de coordenadas y le han hecho una foto).

¿Qué podría ir mal en la identificación?

Lógicamente podemos conjuntar varios de estos. Igual que hace unos años los cajeros del supermercado te pedían la tarjeta (que tienes), el DNI (quién eres) y la clave para pagar (lo que sabes), podemos conjuntar varias (o todas) las opciones. Por ejemplo, Clave PIN lo hace.

Hay varios problemas tradicionales a la gestión de la identificación.

  • Cognitivos. En ocasiones identificarse es complicado en términos funcionales. Entrar la contraseña (el DNI con 0 al principio) o encontrar el dato con el que nos identificamos (por ejemplo, la identificación en una carta de nuestro ID de usuario y la diferencia con el ID de cliente) son ejemplos de ello.
  • Técnicos. Estos son el gran clásico por los certificados digitales. Que el navegador no lea el certificado, que no se abra una consola, que la sede sólo permita una versión concreta de navegador son claros ejemplos. Cuanto más recaemos en la técnica mayor es la posibilidad de que esos ocurran.
  • De diseño. Podemos encontrar que no es fácil encontrar dónde acceder a la identificación, o no se ve fácilmente, o no se leen bien las instrucciones. Estas posibilidades han aumentado con el mundo multi-pantalla actual. Es muy común que lo que se ve bien en ordenador no aparece o se queda escondido en su versión móvil.
  • Cronológicos. Existe un último problema sobre cuándo pedimos la identificación. Es relativamente frecuente que tengas que hacerlo demasiado temprano (para acceder a una sede) o tarde (cuando has rellenado todo un formulario y has realizado varias acciones que se pueden perder si hay un error o se tarda en hacer).
Esquema que recoge loe mecanismos de identificación y su adecuación a entornos de so. Empezando por los basados en palabras o términos, no miuy seguros, pero sencillos, adecuados para los casos más sencillos (identificación básica y personalización). Seguimos con los basados en quién soy (los certificados digitales) que generan una alta complejidad técnica, pero que garantizan una alta fidelidad para los procesos que requieren una mayor fehacencia de la identidad. El tercer caso, basada en lo que se tiene, como las tarjetas de coordenadas, permiten de manera técnicamente más sencilla hacer trámites con alta seguridad de la titularidad de la persona. El último caso, la validación en dos pasos (con una mecánica como Clave PIN) es un modelo seguro pero que, además de requerir varios dispositivos, interrumpe bastante la experiencia de usuario. No obstante, es un mecanismo bastante seguro.
Esquema sinóptico de los mecanismos de identificación y adecuación a entornos de uso.

¿Cómo mejorar la identificación del usuario?

Imaginemos que cuando una persona tiene que hacer una gestión on-line tiene un contador de crédito. Si la cosa es «normal» o fácil, el contador se queda igual. Por cada problema que aparece, el contador baja. Si llega a cero, se larga, o nos odia. Igualmente, si encuentra algo que le sorprende o mejora su experiencia, el crédito sube.

Entonces, hay que evitar que baje el crédito (evitar complejidades), pero que la cantidad de «crédito» necesario sea el menor (hacer el sistema más simple posible). Para ello hay que tener en cuenta.

  • Proporcionalidad. Tenemos varias opciones de identificación con distinta consistencia. No necesitamos un certificado para todo, o, si lo queremos, no tiene por qué ser la única opción posible. ¿Es necesario que cualquier petición de información a un portal tenga que hacerse con Certificado? ¿Incluso aquellas que no quiero reclamar como derecho? Es mejor dar posibilidades que obligaciones. Las personas luego deciden.
  • Dar opciones. No todo el mundo tiene certificado. Bueno, si, tienen DNI digital, que es, como quien dice, «tener un tío en graná». Podemos decir «hazte clave PIN»… como si quien tiene problema para instalar su certificado del DNI se apañe con Clave PIN. Las opción más básica debe ser la que se adapte a las condiciones del trámite. 
  • Simplificación. Una vez definida la intensidad de seguridad de la identificación, podemos ir más arriba a modelos más complejos. En todo caso, siempre hay que tener el nivel más bajo.
  • Identificar puntos de ganancia. Buscara dónde facilitar o mejorar los trámites. Entendiendo que las condiciones de validación son una cuestión técnica muy restringida, podemos jugar con el conocimiento y el diseño. Se trata de ver qué es lo que «razonablemente» esperamos que entienda el público del servicio y, luego, ayudar con el diseño a evitar esas carencias. Instrucciones, flechas, botones visibles, textos claros, mensajes de error simples… todo eso va en nuestro favor.
  • Bonus track: Conocer los dispositivos. Recientemente estuve visitando varias páginas públicas con el móvil y logarse en ellas es un horror. Es muy importante diseñar y pensar en que en el resto del mundo (desde luego no en la Administración), el móvil va primero.

Conclusiones.

Identificarse es algo entre necesario para la interacción digital y útil para crear buenos servicios. Sin embargo, la Administración ha tirado a igualar por arriba en un proceso que, si bien es bastante seguro, también es muy complejo. El problema está en que para muchos trámites, esa identificación es un coste muy alto para el valor que aportan.

La clave, por lo tanto, está en tener criterio de cuál es el nivel más sencillo para el público al que nos dirigimos, que permita la seguridad adecuada. Todo lo demás, es un servicio deficiente

Comparte este artículo

Acerca del autor

Regístrate y consigue los últimos artículos en tu mail.

Deja un comentario

SUSCRÍBETE AL BOLETÍN DEL BLOG

y recibe novedades y material exclusivo sobre transformación digital en Administraciones Públicas
Analítica Pública usará esta información para mandarte el boletín y actualizaciones puntuales. Del mismo modo, si deseas señalar qué aspectos son los que te interesan de la Transformación Digital, lo tendremos en cuenta para trabajar más en esos campos. También tendremos en cuenta si abres o no los correos y si haces clic en ellos. No es por cotilleo, eso ayuda mucho a la hora de saber qué temas y enfoques son los que interesan y los que hacen que la gente nos regale un poco de su tiempo. En cumplimiento de lo establecido en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal le informamos que sus datos personales quedarán incorporados y serán tratados en los ficheros de Analítica Pública, con el fin de poderle prestar y ofrecer nuestros servicios, así como para informarle sobre novedades y nuevos proyectos en los que se encuentre trabajando la empresa. Le informamos de la posibilidad de que ejerza los derechos de acceso, rectificación, cancelación y oposición de sus datos de carácter personal en info@publilitica.es, mediante la utilización de un correo electrónico conforme se informa en la política de privacidad.»