El acelerado despliegue de los servicios digitales impone retos importantes
a los proveedores, usuarios y reguladores, siendo uno de los más relevantes el
de garantizar la identidad de la persona o entidad objeto de los mismos. El tema de la identidad digital está en pleno
desarrollo (además con varios niveles de polémica) y las empresas, así como los
estados, están desarrollando diversos métodos y normativas para gestionarla de
la mejor forma posible considerando aspectos tan diversos como: la gradualidad
en su implementación, la facilidad y costo de su uso, los niveles de riesgo y
seguridad requeridos y el avance de las tecnologías relacionadas. Considerando estos diversos aspectos y el
nivel de desarrollo de los servicios digitales en el Perú, sería conveniente
establecer un Sistema de Identidad Digital que sea en principio simple, alineado
a los ciudadanos, progresivo, con varios métodos disponibles y adaptable a los
cambios tecnológicos.
Los servicios individualizados requieren para su prestación que contemos
con una identificación reconocida por los proveedores de los mismos y un método
para verificarla. Por ejemplo, para consultar un libro en una biblioteca
pública (el servicio) debemos tener una cuenta de usuario (identidad) que ha
sido obtenida en un proceso de registro y presentar al encargado del servicio el
documento de la biblioteca que registra dicha cuenta con información (por
ejemplo, una foto) que le permite comprobar que efectivamente somos los
titulares de la cuenta (autenticación) y en consecuencia podemos acceder al nivel
de servicio que nos corresponde (autorización) y consultar los libros deseados.
En este caso, el proceso de verificación de la identidad comprende la comparación
presencial de nuestra foto, lo que la biblioteca (proveedor) considera
suficiente para prestar el servicio.
 |
| Fig. 1Fuente: www.apuntesdemarketing.es |
El servicio
digital (proporcionado a través de una red tal como el Internet) requiere
igualmente una identidad (que en este caso se le denomina identidad digital)
obtenida a través de un proceso de registro que puede ser virtual (como en los
correos electrónicos gratuitos o las redes sociales), presencial (como el caso
de la clave de acceso que la autoridad tributaria SUNAT nos entrega) o una
combinación de ambos (como cuando los bancos nos dan acceso a los servicios de
“Home Banking”). Además, requiere un método para verificar esta identidad
(autenticación), que por la propia naturaleza virtual del servicio no puede ser
presencial, motivo por el cual se desarrollan diversos instrumentos para lograr
esta verificación.
El método que todos conocemos y mayormente usamos es el de usuario y
contraseña. El proveedor asocia a nuestra identidad un nombre de usuario (“user
name”) y una contraseña (“Password”) que se supone secreta y bajo nuestro control.
Con ambos elementos proporcionados al servicio, el proveedor verifica nuestra
identidad (nos autentica) y de ser positiva nos presta el servicio (por
ejemplo, para usar nuestro correo Google, Outlook, Yahoo u otro) con los
derechos de uso (autorización) asignados a nuestra identidad. Por su
simplicidad y bajo costo (para el proveedor y el usuario) es el método más
usado para servicios en que los proveedores (y los usuarios, de ser el caso) consideran
que el riesgo implicado no amerita un método más complejo.
En otros servicios donde la evaluación del riesgo es mayor (por ejemplo, en
los servicios bancarios), a la identidad (cuenta asignada normalmente en forma
presencial) se le asignan métodos de autenticación más seguros, tales como, un
Número de Identificación Personal (PIN), una tarjeta de claves, un Token[1]
de seguridad físico o virtual, entre otros, que cada entidad financiera utiliza
en sus servicios de acuerdo al nivel de riesgo asociado a cada tipo de
transacción. Los métodos de
autenticación se pueden clasificar de acuerdo a los denominados factores de
autenticación; un primer factor corresponde a algo que el usuario sabe (una
contraseña o un PIN), un segundo factor corresponde a algo que el usuario tiene
(documento de identidad, tarjeta inteligente-Smart Card, Token, etc.) y un
tercero a algo que el usuario es o hace (la huella digital, el patrón de la
retina, otro patrón biométrico, o el reconocimiento de voz). La autenticación
es más segura si combina más de un factor (por ejemplo, la autenticación de dos
factores usada normalmente en las transacciones bancarias). Los factores
biométricos se están usando cada vez más y podrían generalizarse rápidamente
(por ejemplo, el reconocimiento facial).
 |
Fig. 2
Fuente: mobilityguard-latam.com
|
Los riesgos de suplantación de identidad siempre presentes en los servicios
digitales obligan a establecer sistemas técnica y normativamente más sólidos
como soporte al desarrollo de los servicios digitales tanto públicos como
privados. Por ejemplo, la empresa Google ofrece un método de autenticación de
dos factores que sus usuarios pueden configurar[2]
en sus cuentas, igualmente la empresa Apple ofrece un método parecido[3]. El caso del sector público es en realidad más
complejo puesto que no solo debe ofrecer mecanismos de identidad y
autenticación de sus propios servicios, sino que además deberá en algún momento
regular los diversos mecanismos de identidad digital que se utilicen en el
ámbito privado. En este punto hay que indicar que cada país está desarrollando
su Sistema de Identidad Digital de acuerdo a su estado de desarrollo, cultura y
ámbito normativo.
Podemos revisar casos tan disímiles como el de Estonia, Chile o Estados
Unidos. En Estonia tienen un Sistema de Identidad digital[4]
bastante desarrollado basado en un documento de identidad nacional portado en una
Smart Card (Id-card y Digi-Id) o en un Smart Phone (Mobiil-id) que utiliza
certificados digitales[5]
tanto para autenticación como para firma de documentos. En Chile el sistema de
identidad[6] se denomina Clave Única y se basa en un método
de usuario y contraseña relacionado con el documento de identidad nacional,
único para los diversos servicios digitales del Estado. El caso de Estados
Unidos es bastante interesante puesto que debido a que diferentes entidades
estatales y federales proporcionan su propio método de autenticación y que en
su ecosistema digital tienen alta participación las empresas privadas, están
desarrollando un Sistema de Identidad Digital basado en múltiples proveedores
de identidad públicos o privados certificados para dar este servicio. El
programa se llama Connect.gov[7]
y está actualmente en ejecución. La
conclusión hasta aquí es que cada país tiene características diferentes y que
no es posible trasladar un sistema de uno a otro sino más bien desarrollar el
propio en base claro a las lecciones aprendidas de los demás, como se puede
apreciar en el Informe del CNC sobre el análisis de los sistemas de diferentes
países[8].
 |
| Fig. 3 Connect.gov USA, Análisis de Modelos de Autenticación, Carina Estrada, CNC |
En el Perú aún no tenemos un Sistema de Identidad Digital establecido plenamente
para el Estado. En nuestro caso conviven: los mecanismos que cada entidad del
Estado establece basado principalmente en usuario y contraseña, la Clavel SOL
de la administración tributaria - SUNAT que es igualmente un sistema de usuario
y contraseña, y el servicio del Registro Nacional de Identificación y Estado
Civil - RENIEC basado en el DNIe (Documento Nacional de Identidad Electrónico),
el cual se basa en una Smart Card que contiene un certificado digital de autenticación,
además de uno para firma digital (actualmente este sistema es usado en servicios
del programa Beca 18[9]).
La Clave SOL es realmente la más difundida debido a que todo contribuyente debe
de utilizarla dado que, por ejemplo, todo el proceso de declaración de
impuestos está digitalizado. El DNIe, por otro lado, está en su fase de despliegue,
pero es oportuno indicar que su uso en un proceso de autenticación requiere de
un lector de Smart Card con el correspondiente software instalado en el
dispositivo con el que se tiene acceso al servicio digital. Respecto a los
servicios digitales privados, igualmente conviven diferentes sistemas la
mayoría basados en usuario y contraseña, siendo destacables los servicios
bancarios que usan mecanismos de autenticación de dos factores.
Para establecer el Sistema de Identidad Digital en el Perú será necesario considerar
diferentes variables: el bajo desarrollo actual de los servicios digitales, la diversidad
de los niveles de madurez tecnológica de las entidades, la cultura digital del
país, el nivel de complejidad de los diversos métodos de autenticación para su
administración y uso, los niveles de riesgo asociados a cada servicio, los
avances tecnológicos, y las preferencias de los ciudadanos. El Sistema de Identidad Digital, entonces,
deberá ser uno que permita a los diversos tipos de usuarios poder utilizarlo sin
mucha dificultad, que se adapte a los servicios existentes, que sea de
complejidad e implementación progresiva, que esté en línea con los riesgos
implicados en las transacciones, que sea formalmente establecido, que utilice
los métodos existentes y que considere las necesidades del usuario. En este
caso el sistema propuesto se debería establecer con los siguientes criterios:
- Pensado en las necesidades del ciudadano y los usuarios en general
- Utilizando la verificación de la Identidad Nacional administrada por el RENIEC en los casos que se requiera
- Combinando o unificando los servicios de los principales proveedores de identidad digital existentes en el Estado (SUNAT y RENIEC) y propiciando la formalidad de los proveedores de identidad privados
- Implementando, en el caso del Estado, un primer método basado en usuario y contraseña, pero único para todos los ciudadanos en los diferentes servicios estatales (siguiendo el ejemplo de Clave Única de chile)
- Estableciendo los criterios para que las entidades puedan determinar los métodos de autenticación requeridos respecto al nivel de riesgo asociado a cada transacción
- Creando sucesivamente diversos mecanismos de autenticación (por ejemplo, se podría crear un mecanismo de dos factores con un Token virtual en el teléfono vía SMS)
- Usando el DNIe con certificados digitales de acuerdo a su despliegue y al desarrollo de los usuarios
- Evolucionando con la tecnología (por ejemplo, Smart Phones con certificados digitales o con funciones de biometría)
- Contando con un esquema de desarrollo multiestamentario que permita darle legitimidad y sostenibilidad (por ejemplo, en el caso colombiano[10])
 |
| Fig. 4 Sistema de Identidad Digital, CNC 2016 |
De lo que se trata es de desarrollar un sistema que
sea en principio simple de usar y que pueda evolucionar progresivamente,
incrementando sucesivamente los niveles de seguridad (y en consecuencia
complejidad) conforme los servicios digitales se van desarrollando y de acuerdo
a los requerimientos de los ciudadanos. Sin embargo, el desarrollo de este
sistema va más allá de los esquemas técnicos. Para construirlo y sostenerlo, es
necesario establecer un nivel de institucionalidad mayor al existente que con
el grado de empoderamiento necesario pueda establecer las necesarias reglas de
cumplimiento en las diversas entidades involucradas.
[1] https://es.wikipedia.org/wiki/Token_de_seguridad
[2] https://support.google.com/accounts/answer/185839?hl=es-419
[3] https://support.apple.com/es-mx/HT204915
[4] http://www.id.ee/?lang=en
[5] La Ley Nº 27269 peruana lo define como: “documento
electrónico generado y firmado digitalmente por una entidad de certificación,
la cual vincula un par de claves con una persona determinada confirmando su
identidad”
[6]
http://www.registrocivil.cl/PortalOI/Manuales/clave_unica.pdf
[7] https://www.connect.gov/
[8] https://1drv.ms/b/s!AhqEVB3HpFPEgsgex-G9VAEDF1HWwg
[9] http://intranet.beca18.gob.pe/
[10]
http://estrategia.gobiernoenlinea.gov.co/623/w3-article-9406.html
