Hacia una identidad digital de confianza

El impulso de la llamada sociedad de la Información  solo es posible si se garantiza la seguridad y privacidad de los individuos y las transacciones en la red global. Especialmente, la verificación de la identidad digital de las instituciones e individuos cuando operan en la red es uno de los principales frenos al desarrollo de la economía de Internet y es por ello uno de los retos estratégicos de los estados y las empresas.

Es llamativo el hecho de que hoy por hoy el mecanismo de autenticación más usado en Internet sigue siendo el par usuario-contraseña, aunque este método es de hecho el más anticuado,  inseguro y fácilmente sorteable por los ladrones de identidad (a este respecto ver el artículo ‘Escenarios de robo de credenciales y fraude online’).

Cada uno de nosotros, por término medio, nos vemos obligados a recordar en el día a día una decena de contraseñas  (para distintas aplicaciones web, PIN de las tarjetas de crédito, acceso a los sistemas de las empresas, etc…). Esto hace que la ya escasa seguridad del método sea aún menor, dado que tendemos a apuntar las contraseñas para no olvidarlas o a usar la misma en distintos sistemas.  

Como dijo el gurú de la usabilidad Jakob Nielsen:

La gran mentira de la seguridad informática es que esta aumenta imponiendo a los usuarios contraseñas complejas. En la vida real, las personas tendemos a apuntar todo lo que no somos capaces de memorizar. La seguridad aumenta sólo cuando se diseña tomando en cuenta el modo en que se comportan las personas

Existe un acuerdo común en que no es posible el desarrollo de la economía digital si no se aborda de manera coordinada entre gobiernos e instituciones el problema de las identidades digitales y la confianza mutua entre intervinientes de las transacciones online.  La multiplicidad de contraseñas en la red seguirá siendo un problema mientras cada empresa tenga que hacer “la guerra por su cuenta” y desarrolle mecanismos de seguridad de acceso específicos en sus aplicaciones y servicios web.

En el plano de la empresa privada, a medida que la extraempresa  se está empezando a afianzar como un modelo generalizado  en el que las empresas conectan electrónicamente  sus procesos productivos, la “muralla de protección externa” (el famoso perímetro de seguridad de red), se ha ido diluyendo y muchas organizaciones afrontan la necesidad de abrir el acceso al corazón de sus sistemas de información internos, a una gran variedad de individuos, dispositivos y canales de acceso:  empleados (algunos accediendo en remoto), socios comerciales, proveedores y clientes….

En este contexto, gestionar los procesos de registro, generación y mantenimiento de credenciales de acceso a los sistemas empieza a ser un problema complejo y costoso para las organizaciones y ello ha propiciado el desarrollo de las soluciones de Identity Management y el concepto de Identidades Federadas.  En este modelo, se crean relaciones de confianza entre las organizaciones, de modo que la validación satisfactoria de un individuo en el sistema de una empresa, puede ser aceptada por otra compañía del círculo de confianza  para permitir el acceso a sus sistemas  sin necesidad de tener que hacer que el individuo tenga que validarse otra vez. Este tipo de soluciones marcan el camino hacia lo que debería ser en un futuro un ecosistema de identidades del ciberespacio.

Federated_Identity_small

Los estados  son plenamente conscientes de estas cuestiones y desde hace ya unos años están tratando de impulsar medidas para el progreso de la sociedad de la información. En España,  el DNI Electrónico es un intento de convertir en realidad una administración electrónica única, eficiente y ampliamente accesible, a la vez que como un factor impulsor del comercio online y la banca electrónica. Lamentablemente, el DNI electrónico está todavía lejos de alcanzar sus objetivos, planteándose problemas operativos y de usabilidad (casi nadie recuerda la contraseña; se usa poco porque se necesitan lectores específicos,….).

Quizás un impulso definitivo hacia la universalización de este tipo de credenciales electrónicas emitidas por los estados  se produzca si prospera la propuesta  (2012/0146 de 4 de Junio de 2012) de reglamento del parlamento Europeo relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en la EU. Dicha propuesta tiene por objetivo:

 “establecer un marco jurídico claro con el fin de eliminar la fragmentación y la ausencia de interoperabilidad, potenciar la ciudadanía digital y prevenir la ciberdelincuencia.  Una legislación que garantice el reconocimiento mutuo de la identificación y la autenticación electrónicas en toda la UE… dado que no existe ningún marco transfronterizo e intersectorial global de la UE para garantizar la seguridad, fiabilidad y sencillez de las transacciones electrónicas que incluya la identificación, la autenticación y la firma electrónicas”.

Lo que está claro es que los gobiernos entienden que el desarrollo de la sociedad de la información solo es posible si se produce un esfuerzo coordinado del sector privado y público  para elevar el nivel de confianza en las identidades de los individuos, las organizaciones, las redes, servicios y dispositivos involucrados en las transacciones online.

La proyección a futuro es que  las organizaciones compartirán criterios y mecanismos para validar de manera coordinada identidades digitales. Esto podría suponer que  en un futuro aparecerán terceras partes de confianza capaces de validar la identidad digital de una persona o dispositivo y que el resto de organismos podrán usar los servicios de estos intermediarios de confianza para permitir o no el acceso.  

Se trataría de un mecanismo universal de gestión y validación de las identidades digitales universalmente compartido y con intermediarios especializados en la creación y validación de identidades. Es decir un marco (o ecosistema) de identidades federadas donde la autorización de una transacción online será realizada por un servicio online, apoyándose y confiando en las credenciales  otorgadas y validadas por una tercera parte de confianza.

A continuación revisemos un par de escenarios hipotéticos que nos ayudarán a entender mejor que valor aportaría este ecosistema:

Escenario de ejemplo 1

Una estudiante  llamada  María, se conecta desde su teléfono móvil al servicio web de su universidad para solicitar un certificado de estudios.  María tiene instalado en su teléfono móvil una tarjeta de crédito en forma de certificado digital emitido por su banco. Se da la circunstancia de que este certificado es una de los múltiples tipos de credenciales electrónicas admitidas en el ecosistema de Identidad digital. Por ello, y sin necesidad de tener que registrarse o introducir ningún dato adicional en la web, la universidad es capaz de validar la identidad de María y tramitar su solicitud, generando el documento solicitado y permitiendo su descarga…A continuación María se conecta al servicio de Salud y solicita en unos pocos segundos una cita con su médico de cabecera, sin tener que introducir ningún dato adicional ya que estos son verificados a través del mismo certificado digital emitido por el banco…

Escenario de ejemplo 2

Adhiriéndose a las normas del ecosistema de Identidades digitales, un comercio electrónico decide admitir como identidades válidas los certificados de usuario emitidos por las principales compañías de telefonía de iberoamérica y los principales Bancos. De esta manera, los clientes de cualquiera de estas entidades pueden realizar compras de manera sencilla en la tienda online sin tener que pasar por un tedioso proceso de registro en la web de la tienda online y sin tener que dar al comercio ningún dato relacionado con números de tarjeta o cuenta de cargo. El comercio online lee los datos necesarios del certificado, valida el certificado contra los sistemas del emisor del mismo y los presenta al cliente en el proceso de checkout para su validación por parte del cliente. El resultado es que la tasa de conversión y ventas aumenta, dado que la compra es un proceso más sencillo y seguro. El emisor del certificado digital usado garantiza la veracidad de la identidad del cliente y es garante e intermediario de la orden de pago.

Usuario

Requisitos del Ecosistema de Identidades digitales

  • Control de la cantidad de información circulante:  En función del tipo de servicio o transacción online de que se trate, la cantidad información individual que podrá ser accesible a través de las credenciales de identidad deberá poder restringirse a lo estrictamente necesario. Por ejemplo, un proveedor de contenidos online para adultos adherido al ecosistema, puede estar autorizado a consultar y validar la edad del titular en distintos tipos de certificados digitales reconocidos para poder saber si el usuario es o no mayor de edad. En este escenario el anonimato del usuario se preserva, ya que el único dato que se le permite consultar al proveedor de contenidos es la edad del titular del certificado y ningún dato más. Los titulares de la identidad deberían además disponer de métodos para determinar el nivel de información que quieren pueda ser accedido por un tercero.
  • Seguridad del Sistema: Los procesos y tecnología involucradas y usadas por los participantes en el ecosistema deberán  basarse en métodos de autenticación fuerte. Dichos métodos  deberán estar homologados y  diseñados para impedir el ataque y el uso fraudulento,  preservando la confidencialidad, integridad, disponibilidad y el no repudio.  Especialmente relevantes son los procesos de emisión de las credenciales de identidad y los de revocación y renovación de los mismos.
  •  Facilidad de Uso: El uso de credenciales de identidad digital debe ser muy sencillo, intuitivo y transparente desde el punto de vista de usuario final.
  •  Interoperatividad: El ecosistema debe basarse en la aceptación de credenciales emitidas por diversos emisores homologados, de la misma forma que en la actualidad los cajeros automáticos admiten el uso de tarjetas emitidas por distintas entidades financieras.
  •  Universalidad y escalabilidad: El uso y aceptación de credenciales de identidad estandarizadas y homologadas debería ser masivo en el ciberespacio, tanto en los sectores privados y públicos. Además, las infraestructuras usadas deberán garantizar la escalabilidad, permitiendo el uso por participantes en federaciones de identidad transfronterizas.
  • Beneficio: El ecosistema de Identidades Digitales deberá promover la sociedad de la información y la economía digital, mediante la reducción de los costes de las transacciones online, eliminación de procesos redundantes y reducción del nivel de fraude.

Participantes y elementos del Ecosistema de Identidad digital

  • Individuos Son las personas físicas que participan en transacciones o servicios online y cuya identidad en el mundo digital será representada por las distintas credenciales digitales.
  • Entidades no individuales: Son organizaciones, redes, sistemas o servicios que también están involucrados en la prestación o uso de servicios y transacciones online. Dichas entidades, al igual que los individuos, tienen una identidad en el mundo digital representada por las credenciales.
  • Atributos: Son características inherentes a un individuo o entidad no individual; por ejemplo la edad de un individuo o el CIF de una organización.
  •  Identidad Digital: Es el conjunto de atributos que representan a un individuo o entidad no individual en una transacción online.
  • Proveedor de Identidad: Es el responsable de establecer, mantener y dotar de seguridad a la indentidad digital de un individuo o entidad, mediante la emisión  de credenciales. Una de las principales responsabilidades del proveedor de identidad es la verificación fehaciente de la identidad de la persona o entidad que solicita una identidad digital, así como los procesos de revocación de credenciales, suspensión o restauración de identidad. El proveedor debe estar certificado y homologado para realizar estas tareas.
  • Credenciales: Son los objetos de información emitidos por los Proveedores de Identidad y usados en una transacción online. La credencial proporciona evidencia de la identidad del individuo o entidad que la porta y contiene los atributos que conforman la identidad digital.
  •  Agente de Enrollment: Entidad especializada en la verificación fehaciente de la identidad de un solicitante de identidad digital y que es subcontratada para realizar estas tareas en nombre de un Proveedor de Identidad. Al igual que el proveedor, debe estar certificado y homologado para realizar estas tareas.
  •  Medio de Identidad: Es el dispositivo u objeto (físico o virtual) en el que se almacenan las credenciales y atributos relacionados con la identidad de un individuo o entidad. Por ejemplo: tarjetas inteligentes (Smart cards), chips de seguridad dentro de ordenadores, teléfonos móviles, dispositivos USB,…
  • Participante confiado: Es una entidad (por ejemplo, una tienda online o una administración pública) que lleva a cabo una decisión sobre una transacción online, basada en la aceptación de la validación de una identidad digital realizada por una tercera parte de confianza. El participante de este tipo decide participar en el ecosistema y confiar en las identidades y los atributos emitidos por los proveedores de su elección y en la confirmación por parte de estos de la validez de la credencial.  El participante puede decidir además la fortaleza del método de autenticación empleado, así como los atributos que requerirá para permitir el acceso a sus servicios. Como participantes en el ecosistema los participantes confiados, deben a su vez  autenticarse mediante sus propias credenciales antes los proveedores y los individuos.
  • Proveedor de atributos: Este tipo de participante se encargará de los procesos relacionados con la verificación, establecimiento y mantenimiento de atributos de identidad. Una de sus funciones será ofrecer garantía sobre los atributos asociados a una identidad en respuesta a las cuestiones que le plantean los participantes confiados, de cara a poder tomar sus decisiones. Por ejemplo, para aplicar un descuento en un curso online, una organización podrá validar la condición de licenciado en una determinada carrera.
  • Sello de confianza: El sello de confianza se otorgará por entidades de acreditación independientes y se usará para indicar que un participante en el ecosistema de identidades cumple con los estándares necesarios para cumplir con los requisitos de usabilidad, seguridad y transparencia.

Identity_Ecosistem_Frmwrk

Esta claro que la situación fragmentaria actual  está bastante alejada del ecosistema que hemos tratado describir en este artículo. No obstante, al margen del impulso que tanto la UE como EEUU están tratando de dar, existen distintas iniciativas privadas tendentes a estandarizar los aspectos técnicos necesarios. Las ventajas son evidentes para todos los participantes y se empiezan a entrever además oportunidades de negocio a futuro. Sin duda volveremos sobre estas cuestiones en el futuro.  Un fuerte abrazo y gracias por la atención.

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s