Garantizar la identidad digital de los individuos es un proceso complejo en un medio abierto como Internet, pero necesario para el impulso de la Sociedad de la Información en España.
La proliferación de contraseñas y la falta de coordinación entre sistemas de autenticación dificultan este objetivo.
El DNI electrónico supone un paso importante en esta dirección al que deben dar continuidad las empresas desarrolladoras de software. La tendencia actual indica la convergencia de la seguridad física y lógica mediante el uso de credenciales alternativas a la tarjeta.
Durante los años 70 se inició un cambio en el modelo de funcionamiento de la sociedad que dura hasta nuestros días, dando lugar a lo que hoy se conoce por "Sociedad de la Información". En el nuevo modelo, los medios de generación de riqueza se trasladan desde los sectores industriales a los sectores de servicios, provocando que la mayor parte de los empleos no estén asociados a la fabricación de productos tangibles sino a la generación, almacenamiento y proceso de información. En este cambio, los sectores relacionados con las tecnologías de la información y las comunicaciones (TIC) cobran un papel importante y se les concede el poder de convertirse en nuevos motores de desarrollo y progreso.
Para garantizar el avance de este modelo es necesario, no solo que todos los sectores puedan tener acceso a la información, sino que además este acceso se realice de forma segura garantizando también nuestra privacidad.
Entendemos la Identidad como el conjunto de rasgos propios de un individuo que lo caracteriza frente a los demás. La comprobación de estos rasgos es lo que nos permite determinar que un individuo es quien dice ser, pero no todos los rasgos son propios del individuo sino que algunos son adquiridos con el tiempo. Se conoce como Identidad Digital al conjunto de rasgos que caracterizan a un individuo en un medio de transmisión digital. La Identidad Digital no existe a priori, debemos crearla y vincularla unívocamente al individuo en un proceso que determinará el nivel de confianza del sistema.
El proceso que verifica alguno de los rasgos que permiten identificar un individuo se denomina Autenticación. Por ejemplo, en el caso de una conversación telefónica, ese proceso de reconocimiento de la voz del individuo al otro lado de la línea, realizado inconscientemente, sería una autenticación. Cuando la persona a quien entregamos nuestro DNI nos observa buscando semejanzas con la fotografía que aparece, o compara nuestra firma manuscrita en un documento con la que aparece en nuestro identificador, está ejecutando un proceso de autenticación visual.
Garantizar la identidad digital es un proceso complejo, especialmente cuando el medio de comunicación digital es un medio abierto como Internet. En los medios digitales, existen tecnologías muy diversas que ofrecen herramientas para generar los rasgos digitales de identidad, asociarlos a entidades y habilitar la autenticación de dichas entidades (certificados digitales, biometría, tarjeta inteligente, contraseñas de un solo uso…). Muchas de estas tecnologías son complementarias entre ellas y es importante saber cómo y cuándo es necesario combinarlas.
A menudo disponemos de varias contraseñas o claves. En nuestro trabajo, en el teléfono móvil, en el banco, en la compañía de seguros, en las tiendas online, etc. Con el fin de recordar las contraseñas con mayor facilidad es frecuente utilizar contraseñas idénticas, parecidas, sencillas o fáciles de recordar para las distintas cuentas. Por desgracia estas contraseñas constituyen un objetivo relativamente fácil para los atacantes.
Recientemente la ONU, a través de la Unión Internacional de Telecomunicaciones (ITU por sus siglas en inglés) en su informe anual sobre Internet, alerta que la tendencia de la red hacia la personalización y seguimiento está provocando una proliferación de las contraseñas en las web. Con tan elevado número de sitios web con contraseña se hace inevitable que los usuarios reutilicen sus contraseñas aumentando con ello el riesgo de sufrir el robo de identidad. El gobierno de UK estima en más de 1.700 millones de libras anuales las pérdidas ocasionadas por los delitos asociados con el robo de identidades en la red. El informe añade que la falta de coordinación entre sistemas de autenticación favorece esta situación e insta a las empresas y a los gobiernos a crear métodos de control de acceso unificados que ayuden a salvaguardar la identidad digital.
La necesidad de interactuar remotamente con personas y organizaciones que no conocemos ni podemos ver, con la misma seguridad que lo hacemos presencialmente obliga a las empresas y administraciones públicas a implementar mecanismos de autenticación más fiables y robustos.
En este sentido, nuestro país ya ha dado un paso importante para el impulso de la Sociedad de la Información con el lanzamiento el pasado año del DNI electrónico (DNI-e). Con más de 500.000 unidades expedidas se ha creado un mecanismo unificado de autenticación y firma electrónica, legalmente reconocido y que integra una avanzada tecnología e importantes mecanismos de seguridad para generar la confianza necesaria.
Aún así, el DNI electrónico debe superar algunas barreras, entre las que se encuentran la resistencia al cambio y el miedo a ver amenazada nuestra privacidad por un exceso de control. Afortunadamente el DNI-e otorga al usuario el control mediante el uso de su número personal (PIN) sobre que aplicaciones o personas obtienen acceso a sus datos electrónicos contenidos en el chip de la tarjeta.
Cada día se incrementa el número de aplicaciones a las que se puede acceder mediante el uso del DNI-e. Probablemente, en un futuro cercano emplearemos el DNI-e para más usos de los que fueron concebidos por sus creadores. Para acceder a nuestra oficina y/o fichar, para cifrar/arrancar nuestro portátil, para acceder a nuestro ordenador y aplicaciones, para conectarnos remotamente y un largo etcétera de nuevos e interesantes usos.
Al mismo tiempo, en el mercado corporativo cuando se trata de proteger el patrimonio de una empresa cada vez es más frecuente incorporar la protección de los sistemas de información y protección de datos. Desde hace algún tiempo estamos asistiendo a una tendencia de convergencia de las funciones de seguridad física (acceso físico a edificios y complejos corporativos) y lógica (con acceso a redes. sistemas y aplicaciones). Se crea una credencial consolidada (probablemente en muchos casos una tarjeta con interfaces duales de contacto y sin contacto) modificando los procesos actuales permitiendo mejorar la seguridad y la productividad de los empleados.
Es probable que no llegaremos a disponer de una credencial única, y al igual que debemos llevar varias tarjetas bancarias en la cartera nos acostumbraremos a utilizar varios dispositivos para identificarnos con diferentes propósitos y la tarjeta cambiará de forma actual para adaptarse a los más variados objetos como llaveros, pulseras, anillos, teléfonos móviles, etc.
Asociación @asLAN.
