El lanzamiento de
la aplicación de identidad digital para dispositivos móviles (Smartphones)[1]
por parte del Registro Nacional de Identificación y Estado Civil RENIEC marca
un cambio positivo e importante en el proyecto del Documento Nacional de
Identidad Electrónico (DNIe) propugnado por esta institución como base para la
identificación digital ciudadana. Al respecto, es importante anotar los
diversos problemas que este proyecto ha presentado a lo largo de su desarrollo sobre
los cuales puedo proponer algunas recomendaciones para mejorar el funcionamiento
del ecosistema de identidad digital en el Perú.
 |
| Fig. 1 El Documento Nacional de Identidad Electrónico (https://dnielectronico.pe/) |
El DNIe
En mayo del
2013, el RENIEC inició la emisión del DNIe con el propósito de reemplazar el
documento DNI existente proporcionándole al mismo la capacidad de
almacenamiento y procesamiento basado en una tecnología de tarjeta inteligente (Smart
Card)[2],
cuyo Circuito Integrado (chip) contenía la información básica para la identificación
ciudadana[3].
Sin embargo, el DNIe no era solamente una mejora tecnológica del DNI anterior,
sino que además pretendía ser la base de un sistema de identidad digital para
el ciudadano y el instrumento principal para el desarrollo de servicios
digitales[4].
La propuesta se
dirigía a proporcionar a los servicios digitales de un mecanismo de autenticación
digital mediante el uso de un Certificado Digital[5]
para autenticación y de un mecanismo de firma digital (equivalente a la firma
autógrafa) con base en un Certificado Digital para firma, ambos certificados
digitales incluidos en la tarjeta inteligente. El proyecto tenía una gran
similitud con el proyecto español de DNIe y era parecido a otras experiencias
de identidad digital (como por ejemplo la de Estonia o Corea del Sur).
Al momento, podemos
considerar que el despliegue del DNIe no ha cumplido sus expectativas. A
finales del 2018 el número de DNIe emitidos era un poco más de 850,000[6]
y existen muy pocos servicios digitales que lo usan[7].
Además, por problemas de provisión, se detuvo temporalmente la emisión de nuevos
DNIe[8].
Al momento dos últimas noticias se pueden destacar: la adquisición de más de 6
millones de tarjetas para el DNIe[9]
con la opción de lectura inalámbrica[10]
y el lanzamiento de una aplicación (APP) para smartphones dentro de los cuales
se instalarían los certificados digitales mencionados, teniendo la misma
funcionalidad de identidad digital que el DNIe.
Los problemas relacionados
a su uso y despliegue surgieron desde el inicio y revelaron las limitaciones existentes
en el Estado peruano para el manejo de proyectos tecnológicos complejos,
especialmente aquellos que involucran transversalmente a toda nuestra sociedad.
Mencionaré algunos de los problemas más resaltantes.
La complejidad
de su despliegue
Todo elemento
tecnológico lleva inherente una complejidad propia relacionada con su
despliegue y posterior operación. Es bastante frecuente que esta complejidad
sea minimizada sea por la presión de la salida al mercado o por falta de
planificación. En el caso del DNIe, su emisión con todas las características indicadas
es de por si un proceso complejo que requiere infraestructura especial y garantizar
su integridad mediante el cumplimiento de una serie de condiciones técnicas,
físicas y de procesos. Además, estas condiciones deben ser acreditadas para su
validez con base a la normatividad establecida en la Infraestructura Oficial de
Firma Electrónica IOFE[11]
creada por el reglamento de la Ley de Firmas y Certificados Digitales.
Estas condiciones
inicialmente solo fueron cumplidas en algunos locales del RENIEC en Lima y el
acondicionamiento de los demás locales recién se inicia en el año 2016.[12]
La complejidad
de su uso
Otro de los
aspectos que se soslaya al desplegar mecanismos tecnológicos es la claridad
sobre quién y cómo lo va a usar, aspecto crucial para su despliegue. El DNIe
requiere para su uso de un dispositivo lector adicional, que debe ser instalado
y configurado en el computador desde el cual se va a acceder a los servicios. Una
revisión a las páginas de Identificación digital de Estonia[13],
nos puede dar idea de esta complejidad, en donde por ejemplo los usuarios deben
actualizar el software cada cierto tiempo.
En este aspecto, se
me hace muy difícil concebir a un ciudadano promedio peruano adquiriendo un lector
de tarjetas, configurándolo en su PC y estando al tanto de como las
actualizaciones a su software base pueden afectar el uso de su DNIe.
En el caso de
España incluso se regalaron los lectores de tarjeta[14],
a pesar de lo cual el despliegue no pudo cumplir sus expectativas. Para el caso
peruano, se hubiera requerido un programa muy grande de alfabetización y
soporte muy difícil de implementar entre nuestros ciudadanos de baja apropiación
digital promedio en donde incluso el uso de las PC disminuye relativamente[15]
La gestión de la
obsolescencia
Un aspecto clave en
el manejo de un proyecto tecnológico es la gestión de la obsolescencia. De no tratarse
adecuadamente se corre el riesgo de implementar un “legacy”[16].
Los proyectos de identificación digital usando tarjetas inteligentes se han
implantado en diversos países con diversos grados de éxito. En el caso español,
el despliegue se inició el año 2006 y realmente no logró cumplir con sus
objetivos a pesar de los grandes esfuerzos realizados por su gobierno.[17].
En el Perú con
siete años de diferencia lanzamos el DNIe, con un modelo tecnológico similar. A
pesar de que la tecnología de tarjetas inteligentes sigue vigente (aunque en sus
etapas finales) es claro que, debido a la demora en su lanzamiento y
despliegue, el modelo de identidad digital basado en tarjeta inteligente está actualmente en
camino a su obsolescencia. Globalmente los distintos países están migrando a modelos
basados en smartphones[18].
El manejo de las
expectativas sobre el uso del DNIe
Las expectativas se
enfocaron en establecer que el DNIe era un instrumento indispensable para el
desarrollo de servicios digitales porque era el método de autenticación y firma
digital más seguro creando la sensación de que era el único que se podía usar. La
realidad es que el DNIe con certificados digitales es solo uno de los muchos
métodos disponibles y que de acuerdo con el nivel de riesgo implicado en las
transacciones se podían usar medios más sencillos de firma electrónica[19],
tal como la clave SOL (de usuario y contraseña) que permitió desplegar
ampliamente los servicios digitales de la SUNAT, aunque claro sin los niveles de seguridad del DNIe.
El DNIe y los
servicios digitales
La utilización del
DNIe para la autenticación y firma digital en los servicios digitales requiere que
estos servicios implementen los mecanismos tecnológicos y de procesos respectivos
para posibilitar su uso, lo que necesariamente requiere una inversión. Sin embargo, al no existir usuarios con DNIe
(dado el limitado despliegue) la inversión no podía justificarse plenamente. Tal situación produce
un falso “punto muerto”[20]:
no puedo desplegar servicios digitales “seguros” porque el DNIe no está
desplegado en mi población objetivo y por otro lado no puedo desplegar
adecuadamente el DNIe porque no hay servicios que lo usen.
La salida es simple:
Crear servicios digitales con mecanismos que todas las personas pudieran usar
(por ejemplo, usuario y contraseña) e introducir progresivamente otros mecanismos,
entre ellos el DNIe, mientras los instrumentos y servicios respectivos se
despliegan. Afortunadamente, tanto en el gobierno como en la sociedad se
plantearon otras opciones. El avance de la SUNAT en sus servicios digitales se
explica por el uso de un sistema de autenticación sencillo (clave SOL) y en el
caso de los servicios digitales de los bancos, por el uso de mecanismos de
autenticación digital de por lo menos dos factores[21]
adecuados al riesgo y uso de sus clientes.
La falta de un
proyecto de Identidad Digital y de una entidad digital
El despliegue de un
elemento tecnológico debe considerar todos los componentes que hacen que este
elemento tecnológico pueda ser desplegado y operar; donde los más importantes
son justamente los componentes no tecnológicos. Entre ellos podemos contar: la
cobertura del despliegue, la preparación de los usuarios para usarlo, los
servicios en donde serán usados, el soporte que se dará, entre otros. Todos
estos elementos se organizan en un proyecto que es capaz de implementarlos en
conjunto y progresivamente para asegurar el éxito de éste. El problema con el
DNIe era que fue concebido solo desde su propio punto de vista como reemplazo del DNI anterior, con proyecciones de demanda dfíciles de cumplir, y no consideraba
los demás elementos especialmente el de los servicios que lo iban a usar.
Además, el DNIe como
mecanismo usado para la identidad digital debe estar inmerso dentro de un
concepto y Sistema de Identidad Digital[22]
para poder ser usado efectivamente, el cual actualmente no está convenientemente
definido. La definición de
este sistema requiere la creación una entidad de alcance nacional que sea capaz
de orquestar y regular el ecosistema de identidad digital (dentro del ecosistema digital en general), uniendo a los
diferentes actores y promoviendo la creación de servicios tanto públicos como
privados que utilicen a su vez los servicios de identidad digital en este ecosistema[24].
Recomendaciones
para impulsar la identidad Digital y el DNIe
Con el objetivo de impulsar
efectivamente el desarrollo del ecosistema digital, me permito realizar las
siguientes recomendaciones:
Impulsar la creación de un Ente Rector Digital con las competencias
necesarias para orquestar un Ecosistema de Identidad Digital. Este ente podría
ser un Ministerio, pero como paso inmediato puede tener la forma de una Agencia
Digital creada como una OTE (Oficina Técnica Especializada) que integre los
ejes digitales de Infraestructura, Economía y Gobierno, y sea capaz de
interactuar con las diversas entidades del Estado, del sector privado, la
Academia y la sociedad civil.[25]
Crear el Proyecto de Identidad Digital peruano (bajo este ente rector),
estableciendo las características generales no solo para el Estado sino para
todo el ecosistema. Por ejemplo, reconociendo la presencia de varios proveedores
de identidad y múltiples mecanismos tecnológicos.[26]
Fortalecer al RENIEC en sus funciones esenciales que son la Identidad Nacional
y los Registros Civiles. Esta entidad debe fortificar los mecanismos de
verificación de la identidad nacional que le darán la base a los proveedores de
identidad digital existentes (aspecto que realiza actualmente, por ejemplo, con
los bancos en la verificación de la huella digital).
Establecer un sistema de identidad digital que permita la convivencia de
varios mecanismos de autenticación y firma digital que puedan ser asignados en
la medida del riesgo de la transacción asociada.[27]
Mantener el DNIe en tarjeta inteligente como una mejora del DNI anterior,
pero utilizando certificados digitales sólo a solicitud del usuario.
Darle prioridad a la aplicación de identidad nacional en smartphones como
la base de la creación de servicios digitales, enmarcado en el Proyecto de
Identidad Digital con la participación de los diferentes involucrados públicos
y privados que puedan generar los servicios necesarios para su utilización.
Conclusión
El desarrollo del ecosistema digital debe verse como un esfuerzo conjunto
de múltiples actores tanto en el Estado como el sector privado, la academia y
la propia sociedad civil. Cualquier entidad del Estado debe entender que no
está aislada y que para desplegar servicios tecnológicos es necesario crear previamente
los mecanismos institucionales que lo permitan, especialmente si estos servicios
atraviesan o impactan a toda nuestra sociedad.
[2] Tarjeta con circuito integrado (TCI) que permite la ejecución de
cierta lógica programada. La usada por el DNIe era una con microprocesador, sistema
operativo Java Card, capacidad criptográfica y memoria EEPROM de 144Kb (fuente:
RENIEC).
[3] El DNIe contiene cuatro aplicaciones de software: i) la aplicación de
identidad eMRTD ICAO, ii) la aplicación de firma digital PKI, iii) la
aplicación de autenticación biométrica por huella dactilar Match-on-Card y iv)
una cuarta aplicación de tipo genérico para aplicación futura (fuente: RENIEC).
[4] El desarrollo del proyecto se puede consultar en http://www.reniec.gob.pe/portal/pdf/01_dnie.pdf
[5] Documento electrónico
generado y firmado digitalmente por una entidad de certificación, la cual
vincula un par de claves con una persona determinada confirmando su identidad.
Usa una técnica de criptografía asimétrica.
[6] Según estadísticas de RENIEC el número total al 2018 era de 858,484. https://portales.reniec.gob.pe/web/estadistica/identificada
[7] Se puede consultar la lista de servicsio digitales que usan DNIe. https://portales.reniec.gob.pe/documents/43928/45301/CatalogodeTramitesyServiciosDigitalesdeInstitucionesPublicasqueutilizan-DNIelectronico-ver5-14agosto2019.pdf/bc49cb6e-dcba-4332-8a39-b0ba40e17fa5
[9] Licitación LP-SM-7-2018-RENIEC-1 para adquirir 6,689,390 Tarjetas
inteligentes adjudicada al Consorcio Indra Smart por S/. 55,860,320 según acta de
buena pro del 17 de abril del 2019
[10] De acuerdo con la norma
ISO/IEC 18092 NFC, según los documentos de la licitación LP-SM-7-2018-RENIEC-1
[11] Sistema confiable, acreditado, regulado y supervisado por la Autoridad
Administrativa Competente, provisto de instrumentos legales y técnicos que
permiten generar firmas digitales y proporcionar diversos niveles de seguridad
respecto de: 1) La integridad de los
documentos electrónicos; 2) La identidad de su autor, lo que es regulado
conforme a Ley (reglamento de la Ley 27269 de Firmas y Certificados Digitales,
DS 052-2008-PCM)
[12] Actualmente se cuenta con cerca de 58 locales a nivel nacional que están
certificados para emitir DNIe (fuente INDECOPI)
[16] Un sistema heredado (o sistema legacy) es un sistema informático
(equipos informáticos o aplicaciones) que ha quedado anticuado pero que sigue
siendo utilizado por el usuario (generalmente, una organización o empresa) y no
se quiere o no se puede reemplazar o actualizar de forma sencilla (fuente:
Wikipedia)
[17] Porqué el DNIe fracasó en España, https://www.eldiario.es/turing/dni-electronico-dnie_0_179182675.html
[18] Estonia ha desarrollado varios servicios de identificación uno de
ellos con dispositivos móviles (Mobiil-ID, https://www.id.ee/index.php?id=36881).
En Corea del sur evolucionan permanentemente y actualmente desarrollan sistemas
de autenticación biométrica basada en móviles usando en lo interno certificados
digitales bajo el estándar de la Alianza FIDO "Fast Identity Online" (K-FIDO, https://es.slideshare.net/FIDOAlliance/bioauthentication-fido-and-pki-trends-in-korea)
[19] Cualquier símbolo basado en medios electrónicos utilizado o adoptado
por una parte con la intención precisa de vincularse o autenticar un documento
cumpliendo todas o algunas de las funciones características de una firma
manuscrita (Ley 27269 de Firmas y Certificados Digitales).
[21] Para una autenticación segura, se menciona que se deben usar métodos
que combinen hasta tres factores: algo
que el usuario sabe (por ejemplo, contraseña), algo que el usuario tiene (por
ejemplo, token, tarjeta, etc.) y algo propio de él mismo (por ejemplo, huella
digital)
[24] Si bien, según el DU Nº 006-2020 que crea el Sistema Nacional de Transformación Digital esa entidad es la Secretaría de Gobierno Digital SEGDI de la PCM, queda la duda de cómo esta entidad podría enfrentar este reto al ser una oficina que reporta a la Secretaría General de la PCM.
[25] Existe la opción de convertir a la SEGDI en este ente rector digital transformándola
en una Agencia Digital con todas las competencias y empoderamiento del caso.
[26] Las características de este ecosistema las describí en el artículo
siguiente: https://consensodigital.blogspot.com/2017/06/la-identidad-y-autenticacion-en-los.html. Si bien existe un nuevo plan de masificación del DNIe, este sigue el mismos enfoque anterior.
[27] Extraoficialmente tengo conocimiento del desarrollo
de un sistema de identificación y
autenticación en el Estado con estas características, lo cual sería un buen
punto de inicio.
