A Sócrates se le reconocía en Atenas por sus ojos saltones y nariz de boniato. A Platón por sus espaldas fornidas. Y de Leonardo Da Vinci se cuenta que solía ir engalanado con túnicas caras, tejidas con materiales exquisitos y de finos tintes, que llevaba el pelo largo y las manos cuidadas y perfumadas. Hoy pueden parecer anécdotas, pero en su día el aspecto de los tres sabios —al igual que el del resto de sus contemporáneos— era clave. La razón es simple: además de espejo del alma, el rostro era el mejor carné de identidad, la forma más eficaz de identificar a otra persona.
Con el paso del tiempo una cara embrutecida, una espalda robusta o un armario digno de Versace han perdido validez como credenciales. En su lugar se ha echado mano de otros recursos: pasaportes, carnés, licencias, huellas dactilares… Y desde que la tecnología ha empezado a alambicar las relaciones sociales y económicas, el proceso se ha vuelto incluso más complejo.
Identificarse en Facebook, en Twitter, en la web de una aerolínea para comprar un vuelo, en la de un servicio de venta de entradas o en Amazon requiere de un mecanismo bastante distinto: teclear una serie de datos personales —la cantidad dependerá de cada caso— y con frecuencia introducir claves. Un rosario de claves. Hace ya más de un lustro, un estudio de Microsoft estimaba que, por término medio, cada persona manejaba 25 cuentas que requieren de contraseña.
Una pieza clave para la economía digital
A medida que las relaciones sociales, comerciales e incluso con la propia administración pública ganan peso en la esfera digital, lograr una identidad en línea fiable se convierte en un reto cada vez más acuciante. Y rentable, también. En un artículo publicado por El País en 2007, Alex Preukschat, coordinador del libro Blockchain: la revolución de Internet, incide por ejemplo en que la identidad digital es clave para alcanzar una economía descentralizada, un ecosistema blockchain.
La explicación es sencilla: para realizar transacciones digitales o determinadas gestiones resulta fundamental que el usuario tenga a mano una herramienta fiable —y además ágil— con la que poder acreditar que es quien dice ser. O lo que es igual de importante, que cumple los requisitos para hacer ciertas operaciones, como por ejemplo comprar alcohol porque es mayor de edad.
Como detalla Preuckschat, con ese fin se han desarrollado dos grandes paradigmas de identidad digital que se diferencian básicamente por quién maneja en cada caso la información: el propio usuario, lo que genera un modelo descentralizado (self sovereign identity); o un agente especializado que centraliza los datos. En este último caso el autor identifica dos escenarios en función de si los servicios los prestan empresas privadas —sobre todo bancos y firmas ligadas a la tecnología—, como ocurre con TUPAS en Finlandia y BanKID en Suecia, o la administración pública.
El coordinador de Blockchain: la revolución de Internet apunta el potencial de un escenario en el que sea el ciudadano quien gestione su identidad digital soberana. Sobre todo ahora que cada persona genera un flujo constante de información a través de los dispositivos electrónicos que maneja. Uno de los estándares más populares para la identificación descentralizada es OpenID.
De lo que no cabe duda es de lo mucho que beneficiaría a las empresas disponer de una herramienta de gestión segura y fiable, un sistema que permitiera a todas las partes tener la certeza absoluta de quién está sentado al otro lado. Solo en Reino Unido se invierten cada año cerca de 3.300 millones de libras esterlinas en procesos para asegurar la información. Incluso los propios bancos están uniendo energías para buscar fórmulas comunes que les permitan verificar la identidad de sus clientes. A pesar de esos esfuerzos, el robo de identidad sigue siendo un problema grave. Según una encuesta de SailPoint, preocupa a dos de cada tres profesionales.
En su informe Digital Identity: Restoring Trust in a Digital Word, lanzado el pasado marzo, Mastercard incide en que un sistema de credenciales eficiente es “fundamental” para asentar la confianza sin la que difícilmente podrán aumentar las interacciones digitales. Recalca además que el modelo debe ser claro y comprensible. “Las interacciones digitales deben mejorar la privacidad, ser seguras, inteligentes y eficientes y serán posibles gracias a una identidad centrada en el usuario que es propiedad, administrada y controlada por el individuo y que le permite interactuar con las organizaciones participantes. Un servicio de identidad digital reutilizable es imposible sin la compresión clara, la confianza y compromiso del usuario”, recalca la multinacional.
“La ausencia de una forma simple, segura y confiable para que las entidades verifiquen la identidad a través de canales digitales genera fricciones en el comercio, degrada la privacidad y restringe el acceso a los servicios. También supone un terreno fértil para el fraude digital, que es cuatro veces mayor que la tasa de fraude físico”, añade la marca de tarjetas de crédito y débito: “La identidad digital aborda esto mediante la incorporación de métodos tecnológicos de verificación que han alcanzado nuevos niveles de precisión y funcionan en múltiples dispositivos”.
Para la firma neoyorquina resulta evidente que solo se alcanzará un modelo eficaz si los diferentes agentes implicados trabajan codo con codo. “No existe un solo gobierno, firma tecnológica, institución financiera o incluso sector industrial que pueda entregar un servicio de identidad digital de manera efectiva por sí mismo. Se requiere co-dependencia, colaboración, asociación y orquestación. Esto nos permite lograr juntos lo que es imposible en solitario”, zanja Mastercard: “Un sistema basado en la colaboración es el mejor modelo para gestionar las interacciones digitales en el futuro”.
El escenario que plantea la multinacional es ambicioso y va mucho más allá de las compras online. El objetivo es “un mundo en el que las personas y sus dispositivos puedan interactuar digitalmente entre sí y con las organizaciones, sin fricciones innecesarias y con confianza”. Un matiz —el de "sus dispositivos"— en el que MasterCard incluye por ejemplo ordenadores, smartphones, smart-homes, coches inteligentes, portátiles o dispositivos como Echo o Alexa. “Cada vez más, la interacción es digital y nuestras identidades son utilizadas no solo por nosotros, sino por la gran cantidad de dispositivos que actúan en nuestro nombre”, abundan desde la marca de tarjetas.
Grandes compañías tecnológicas como Facebook no han tardado en ver el potencial de la identidad digital y se han lanzado a prestar servicios de verificación. No lo hacen de forma altruista, ni en un intento por potenciar ese nuevo escenario que dibujaba Preuckschat. Lo que buscan son datos. Mejor dicho: el negocio que hay detrás de los datos personales de los usuarios. “Las empresas ven un nicho de negocio importante. Facebook, Google y Twitter toman la delantera y empiezan a ofrecerse a sí mismas como proveedoras. Ya nos hemos ido acostumbrando poco a poco a que, cuando vamos a autenticarnos para comprar un servicio, si tenemos una cuenta creada, son ellos los que comprueban nuestra identidad digital”, anota Marta Beltrán, coordinadora del Grado en Ingeniería de la Ciberseguridad en la Universidad Rey Juan Carlos (URJC).
“Estas grandes tecnológicas que se ofrecen como proveedoras de identidades y simplifican mucho la gestión no lo hacen a cambio de nada. Todos percibimos que esto se hace gratis porque no se paga por ese servicio. Pero, ¿Qué es lo que hay detrás? Google, Facebook o Twitter recogen información sobre lo que tú haces en Internet, van haciendo un perfil sobre qué servicios y aplicaciones usas, a qué horas, para qué… En principio lo percibimos como gratuito, pero sí que estamos pagando, estamos pagando con nuestros propios datos”, añade.
La experta de la universidad madrileña señala que hasta ahora había dos actores que se habían quedado “un poco atrás” en esa carrera por gestionar la identidad digital, las entidades financieras y las operadoras de telecomunicaciones. Ambos gozan de una posición privilegiada por la información que manejan sobre los usuarios. “Google, Facebook o Twitter raspan de nuestra identidad, pero al fin y al cabo lo hacen con el nombre que usamos en su servicio y nuestra cuenta de correo; no suelen conocer nuestro DNI, número de pasaporte o carné de conducir. No pueden saber al 100% quienes somos de verdad. Nos conocen en el mundo digital, no en el real”.
“Las operadoras de telecomunicaciones y los bancos sin embargo sí saben quiénes somos. Tienen una ventaja y es que pueden responder por nosotros realmente. Cuando yo me autentico, Google puede tener dudas sobre quién soy en realidad, pero mi entidad financiera y operadora sí saben quién soy. Ambos están ofreciéndose como proveedores de identidades, sobre todo en lo que tiene que ver con la administración electrónica”, apostilla la profesora de la URJC.
Google, bancos y operadoras no son las únicas empresas que han visto un nicho de negocio en la autenticación digital. El reto que supone ha alentado a compañías como Mitek, que entre sus servicios ofrece soluciones de verificación de identidad. A finales de 2017 la compañía anunciaba la adquisición de la firma catalana ICAR, que solo unos meses antes había presentado durante el Mobile World Congress —junto la alicantina FacePhi— una herramienta para validar la identidad digital. Según apuntaron entonces sus promotores, “Me” —el nombre que escogieron para bautizarla— brindaba la primera tecnología capaz de validar el documento de identidad, comparar rasgos biométricos de forma simultánea, hacer una prueba de vida, geolocalizar al usuario mediante el terminal y verificar por redes sociales y buscadores la identidad del usuario.
Los esfuerzos (sin demasiado éxito) del Gobierno
También el sector público se ha unido a la carrera, aunque en el caso de España sus resultados no son alentadores. Pese a los esfuerzos del Gobierno, el uso del DNI electrónico —la versión DNIe, expedida entre 2006 y 2015, y el DNI 3.0, lanzado hace cuatro años— es muy minoritario. Un estudio de la Universidad de Zaragoza concluía en 2017 que solo el 4,6% de sus usuarios lo habían empleado en los trámites de la institución. Según ese mismo análisis, apenas el 16,9% de las personas con certificado electrónico sacaba provecho del DNIe. Otro informe elaborado años antes, el eEspaña 2014, aseguraba que utilizaban el DNIe el 0,02% de los ciudadanos que lo tenían.
El DNIe no solo tuvo un pobre arraigo en la sociedad, su implantación en España estuvo empañada por la polémica. A finales de 2017, por ejemplo, el Ministerio de Interior decidía desactivar el certificado digital de parte de los DNIe tras detectarse un grave problema de seguridad en el certificado electrónico. La alarma saltó después de que se descubriera la misma vulnerabilidad en Estonia, un referente internacional en la implantación de las TIC en la gestión pública y donde se anularon también más de 750.000 certificados digitales para salvaguardar la protección de los datos de los ciudadanos.
En Canadá, Bélgica o Estonia los esquemas de identidad digital están en marcha, pero —apunta el informe de MasterCard— sus plataformas "no son globales ni interoperables”. “Su uso fuera de las interacciones del gobierno a menudo es limitado e inexistente. El reto, incide el estudio, es traspasar fronteras. Sin estándares e interoperabilidad, la identidad digital no puede escalar más allá de las implementaciones regionales”.
“Si haces un DNIe que no es práctico, la gente no lo va a utilizar. De ahí nos hemos pasado al otro sistema, el de las empresas. Se tenía que haber pensado mejor la usabilidad del DNIe y los certificados electrónicos”, señala Jorge Campanillas, abogado especialista en Derecho de las Tecnologías de la Información y Comunicaciones del despacho Iurismatica, quien destaca que aunque los ciudadanos “cada vez están más concienciados sobre la privacidad” y hay un marco normativo que los protege, a menudo permiten que empresas como Facebook tengan acceso a sus datos. “Creo que vamos por el buen camino, pero queda mucho margen de mejora”, añade.
“Cada vez la normativa nos da más herramientas para acceder a la información. Tenemos más posibilidades, lo que pasa es que el mundo también es más complejo y no somos conscientes de todos los servicios o aplicaciones que podemos estar utilizando en el día a día”, abunda Campanillas. A nivel europeo la privacidad está regulada por el Reglamento General de Protección de Datos (RGPD). Más reciente es la entrada en vigor del conocido como eIDAS, el reglamento que establece además el marco legal común para la identificación electrónica en la Unión Europea.
“Hoy por hoy tanto la normativa de protección de datos como las demás normativas tienen herramientas necesarias para que el usuario pueda gestionar su identidad digital. Otra cosa es que las sepa utilizar, pero contamos con las herramientas suficientes para proteger nuestra identidad en Internet, por lo menos desde el punto de vista de la autentificación como usuario”, reflexiona José Leandro, abogado de Audens experto, entre otras áreas, en protección de datos.
Más que falta de legislación, el letrado aprecia la necesidad de una mayor pedagogía para que los ciudadanos comprendan la importancia de la información que generan. “Los usuarios no tienen conciencia del valor que tienen sus datos. Hay una parte de la población que sí, pero en líneas generales la gente no es consciente de las consecuencias de compartir según qué cosas, no cambiar de contraseña o hacerlo con niveles de protección bajos… No comprendemos las consecuencias que puede tener un ataque para nuestra identidad digital”, razona Leandro.
Desde la Asociación Profesional Española de Privacidad (Apep), su presidenta, Cecilia Álvarez, invita a reflexionar sobre cuándo y cómo sería necesario acreditar una identidad digital. “Probablemente esta cuestión pueda ser menos relevante si se requiere la participación del usuario en una encuesta de satisfacción que si de la correcta autentificación depende el uso de fondos de una cuenta bancaria, el acceso a resultados clínicos o la entrada a un casino”, anota.
Álvarez recuerda que la ley exige a las empresas una obligaciones de transparencia e información que en ocasiones somete a los usuarios a un “bombardeo” de conceptos técnicos que “perjudica” el objetivo final. La responsable de Apep reconoce que imponer el uso de un identificador electrónico gestionado por el Estado para las interacciones en Internet solucionaría parte de los problemas, siempre que se adoptaran salvaguardas sobre la información que la administración podría mantener. En cualquier caso, apunta que una medida de ese tipo debería estar armonizada con el conjunto de la UE para que resultara útil también durante los trámites en otros países vecinos.
“Cualquiera que sea el custodio de nuestra identidad digital, el Estado, un gestor personal privado de cada usuario u otros prestadores de servicios de autenticación, está sometido al RGPD. Ninguna alternativa es perfecta y requiere de un análisis del impacto en la privacidad de los individuos y la adoptación de salvaguardas auditables”, concluye la presidenta de Apep.
Imágenes | Pixabay
Ver 1 comentarios