lunes, 12 de junio de 2017

La Identidad y Autenticación en los Servicios Digitales


El acelerado despliegue de los servicios digitales impone retos importantes a los proveedores, usuarios y reguladores, siendo uno de los más relevantes el de garantizar la identidad de la persona o entidad objeto de los mismos.  El tema de la identidad digital está en pleno desarrollo (además con varios niveles de polémica) y las empresas, así como los estados, están desarrollando diversos métodos y normativas para gestionarla de la mejor forma posible considerando aspectos tan diversos como: la gradualidad en su implementación, la facilidad y costo de su uso, los niveles de riesgo y seguridad requeridos y el avance de las tecnologías relacionadas.  Considerando estos diversos aspectos y el nivel de desarrollo de los servicios digitales en el Perú, sería conveniente establecer un Sistema de Identidad Digital que sea en principio simple, alineado a los ciudadanos, progresivo, con varios métodos disponibles y adaptable a los cambios tecnológicos.

Los servicios individualizados requieren para su prestación que contemos con una identificación reconocida por los proveedores de los mismos y un método para verificarla. Por ejemplo, para consultar un libro en una biblioteca pública (el servicio) debemos tener una cuenta de usuario (identidad) que ha sido obtenida en un proceso de registro y presentar al encargado del servicio el documento de la biblioteca que registra dicha cuenta con información (por ejemplo, una foto) que le permite comprobar que efectivamente somos los titulares de la cuenta (autenticación) y en consecuencia podemos acceder al nivel de servicio que nos corresponde (autorización) y consultar los libros deseados. En este caso, el proceso de verificación de la identidad comprende la comparación presencial de nuestra foto, lo que la biblioteca (proveedor) considera suficiente para prestar el servicio.

Fig. 1Fuente: www.apuntesdemarketing.es 

El servicio digital (proporcionado a través de una red tal como el Internet) requiere igualmente una identidad (que en este caso se le denomina identidad digital) obtenida a través de un proceso de registro que puede ser virtual (como en los correos electrónicos gratuitos o las redes sociales), presencial (como el caso de la clave de acceso que la autoridad tributaria SUNAT nos entrega) o una combinación de ambos (como cuando los bancos nos dan acceso a los servicios de “Home Banking”). Además, requiere un método para verificar esta identidad (autenticación), que por la propia naturaleza virtual del servicio no puede ser presencial, motivo por el cual se desarrollan diversos instrumentos para lograr esta verificación.

El método que todos conocemos y mayormente usamos es el de usuario y contraseña. El proveedor asocia a nuestra identidad un nombre de usuario (“user name”) y una contraseña (“Password”) que se supone secreta y bajo nuestro control. Con ambos elementos proporcionados al servicio, el proveedor verifica nuestra identidad (nos autentica) y de ser positiva nos presta el servicio (por ejemplo, para usar nuestro correo Google, Outlook, Yahoo u otro) con los derechos de uso (autorización) asignados a nuestra identidad. Por su simplicidad y bajo costo (para el proveedor y el usuario) es el método más usado para servicios en que los proveedores (y los usuarios, de ser el caso) consideran que el riesgo implicado no amerita un método más complejo.    

En otros servicios donde la evaluación del riesgo es mayor (por ejemplo, en los servicios bancarios), a la identidad (cuenta asignada normalmente en forma presencial) se le asignan métodos de autenticación más seguros, tales como, un Número de Identificación Personal (PIN), una tarjeta de claves, un Token[1] de seguridad físico o virtual, entre otros, que cada entidad financiera utiliza en sus servicios de acuerdo al nivel de riesgo asociado a cada tipo de transacción.  Los métodos de autenticación se pueden clasificar de acuerdo a los denominados factores de autenticación; un primer factor corresponde a algo que el usuario sabe (una contraseña o un PIN), un segundo factor corresponde a algo que el usuario tiene (documento de identidad, tarjeta inteligente-Smart Card, Token, etc.) y un tercero a algo que el usuario es o hace (la huella digital, el patrón de la retina, otro patrón biométrico, o el reconocimiento de voz). La autenticación es más segura si combina más de un factor (por ejemplo, la autenticación de dos factores usada normalmente en las transacciones bancarias). Los factores biométricos se están usando cada vez más y podrían generalizarse rápidamente (por ejemplo, el reconocimiento facial).

Fig. 2 Fuente: mobilityguard-latam.com
Los riesgos de suplantación de identidad siempre presentes en los servicios digitales obligan a establecer sistemas técnica y normativamente más sólidos como soporte al desarrollo de los servicios digitales tanto públicos como privados. Por ejemplo, la empresa Google ofrece un método de autenticación de dos factores que sus usuarios pueden configurar[2] en sus cuentas, igualmente la empresa Apple ofrece un método parecido[3].  El caso del sector público es en realidad más complejo puesto que no solo debe ofrecer mecanismos de identidad y autenticación de sus propios servicios, sino que además deberá en algún momento regular los diversos mecanismos de identidad digital que se utilicen en el ámbito privado. En este punto hay que indicar que cada país está desarrollando su Sistema de Identidad Digital de acuerdo a su estado de desarrollo, cultura y ámbito normativo.

Podemos revisar casos tan disímiles como el de Estonia, Chile o Estados Unidos. En Estonia tienen un Sistema de Identidad digital[4] bastante desarrollado basado en un documento de identidad nacional portado en una Smart Card (Id-card y Digi-Id) o en un Smart Phone (Mobiil-id) que utiliza certificados digitales[5] tanto para autenticación como para firma de documentos. En Chile el sistema de identidad[6]  se denomina Clave Única y se basa en un método de usuario y contraseña relacionado con el documento de identidad nacional, único para los diversos servicios digitales del Estado. El caso de Estados Unidos es bastante interesante puesto que debido a que diferentes entidades estatales y federales proporcionan su propio método de autenticación y que en su ecosistema digital tienen alta participación las empresas privadas, están desarrollando un Sistema de Identidad Digital basado en múltiples proveedores de identidad públicos o privados certificados para dar este servicio. El programa se llama Connect.gov[7] y está actualmente en ejecución.   La conclusión hasta aquí es que cada país tiene características diferentes y que no es posible trasladar un sistema de uno a otro sino más bien desarrollar el propio en base claro a las lecciones aprendidas de los demás, como se puede apreciar en el Informe del CNC sobre el análisis de los sistemas de diferentes países[8].

Fig. 3 Connect.gov USA, Análisis de Modelos de Autenticación, Carina Estrada, CNC
En el Perú aún no tenemos un Sistema de Identidad Digital establecido plenamente para el Estado. En nuestro caso conviven: los mecanismos que cada entidad del Estado establece basado principalmente en usuario y contraseña, la Clavel SOL de la administración tributaria - SUNAT que es igualmente un sistema de usuario y contraseña, y el servicio del Registro Nacional de Identificación y Estado Civil - RENIEC basado en el DNIe (Documento Nacional de Identidad Electrónico), el cual se basa en una Smart Card que contiene un certificado digital de autenticación, además de uno para firma digital (actualmente este sistema es usado en servicios del programa Beca 18[9]). La Clave SOL es realmente la más difundida debido a que todo contribuyente debe de utilizarla dado que, por ejemplo, todo el proceso de declaración de impuestos está digitalizado. El DNIe, por otro lado, está en su fase de despliegue, pero es oportuno indicar que su uso en un proceso de autenticación requiere de un lector de Smart Card con el correspondiente software instalado en el dispositivo con el que se tiene acceso al servicio digital. Respecto a los servicios digitales privados, igualmente conviven diferentes sistemas la mayoría basados en usuario y contraseña, siendo destacables los servicios bancarios que usan mecanismos de autenticación de dos factores.

Para establecer el Sistema de Identidad Digital en el Perú será necesario considerar diferentes variables: el bajo desarrollo actual de los servicios digitales, la diversidad de los niveles de madurez tecnológica de las entidades, la cultura digital del país, el nivel de complejidad de los diversos métodos de autenticación para su administración y uso, los niveles de riesgo asociados a cada servicio, los avances tecnológicos, y las preferencias de los ciudadanos.  El Sistema de Identidad Digital, entonces, deberá ser uno que permita a los diversos tipos de usuarios poder utilizarlo sin mucha dificultad, que se adapte a los servicios existentes, que sea de complejidad e implementación progresiva, que esté en línea con los riesgos implicados en las transacciones, que sea formalmente establecido, que utilice los métodos existentes y que considere las necesidades del usuario. En este caso el sistema propuesto se debería establecer con los siguientes criterios:
  • Pensado en las necesidades del ciudadano y los usuarios en general
  • Utilizando la verificación de la Identidad Nacional administrada por el RENIEC en los casos que se requiera
  • Combinando o unificando los servicios de los principales proveedores de identidad digital existentes en el Estado (SUNAT y RENIEC) y propiciando la formalidad de los proveedores de identidad privados
  • Implementando, en el caso del Estado, un primer método basado en usuario y contraseña, pero único para todos los ciudadanos en los diferentes servicios estatales (siguiendo el  ejemplo de Clave Única de chile)
  • Estableciendo los criterios para que las entidades puedan determinar los métodos de autenticación requeridos respecto al nivel de riesgo asociado a cada transacción
  • Creando sucesivamente diversos mecanismos de autenticación (por ejemplo, se podría crear un mecanismo de dos factores con un Token virtual en el teléfono vía SMS)
  • Usando el DNIe con certificados digitales de acuerdo a su despliegue y al desarrollo de los usuarios
  • Evolucionando con la tecnología (por ejemplo, Smart Phones con certificados digitales o con funciones de biometría)
  • Contando con un esquema de desarrollo multiestamentario que permita darle legitimidad y sostenibilidad (por ejemplo, en el caso colombiano[10]
Fig. 4 Sistema de Identidad Digital, CNC 2016
De lo que se trata es de desarrollar un sistema que sea en principio simple de usar y que pueda evolucionar progresivamente, incrementando sucesivamente los niveles de seguridad (y en consecuencia complejidad) conforme los servicios digitales se van desarrollando y de acuerdo a los requerimientos de los ciudadanos. Sin embargo, el desarrollo de este sistema va más allá de los esquemas técnicos. Para construirlo y sostenerlo, es necesario establecer un nivel de institucionalidad mayor al existente que con el grado de empoderamiento necesario pueda establecer las necesarias reglas de cumplimiento en las diversas entidades involucradas.



[1] https://es.wikipedia.org/wiki/Token_de_seguridad
[2] https://support.google.com/accounts/answer/185839?hl=es-419
[3] https://support.apple.com/es-mx/HT204915
[4] http://www.id.ee/?lang=en
[5] La Ley Nº 27269 peruana lo define como: “documento electrónico generado y firmado digitalmente por una entidad de certificación, la cual vincula un par de claves con una persona determinada confirmando su identidad”
[6] http://www.registrocivil.cl/PortalOI/Manuales/clave_unica.pdf
[7] https://www.connect.gov/
[8] https://1drv.ms/b/s!AhqEVB3HpFPEgsgex-G9VAEDF1HWwg
[9] http://intranet.beca18.gob.pe/
[10] http://estrategia.gobiernoenlinea.gov.co/623/w3-article-9406.html