A finales de 2003, hace ya casi siete años, se publicó la LEY 59/2003, DE 19 DE DICIEMBRE, DE FIRMA ELECTRÓNICA que nacía con la intención de regular la firma electrónica y como una de sus principales derivadas la expedición del DNI electrónico o DNI-e.
Sin embargo, cuatro años después de su inicio la situación es bastante menos optimista que la idílica visión que se lanzaba desde medios oficiales. El despliegue cubre aproximadamente a 18 millones de ciudadanos de los que según el INE únicamente el 3,4% lo ha usado alguna vez frente a la Administración. La inversión aproximada para ello ronda los 350 millones de euros (más de 58.200 millones de pesetas para los que aún les cueste hacer conversiones en el aire de cantidades tan abultadas), todo ello, sin contar las importantísimas partidas económicas necesarias para hacer que el DNI electrónico sea reconocido como medio de identificación en los sistemas de las diferentes Administraciones Públicas.
Haciendo unos simples, aunque un tanto perversos, cálculos resulta que el coste (sobre la base de 18 MM de ciudadanos) del DNI electrónico es de casi 20 € por persona. Y más aún si se calcula el coste de los que realmente lo han usado alguna vez (3,4% de 18 MM) dado que en ese caso la cifra sube a 572 € (en torno a 95.000 pesetas, por si en euros no resulta impactante) por ciudadano. En términos de un economista, ese sería el coste de oportunidad (572 € por ciudadano) que habría que recuperar, fundamentalmente en términos de mejora de la eficiencia en la gestión administrativa, para hacer rentable un despliegue masivo de certificados digitales en el DNI.
Por comparar, las cifras que maneja el sector financiero en sus despliegues de tarjetas sitúa el coste en algo menos de 2 € por tarjeta a repartir casi a partes iguales entre lo puramente físico (el plástico más el chip) y la personalización incluyendo en ello la parte electrónica. Los resultados no son exactamente comparables al no ser idéntica la funcionalidad de una tarjeta financiera y un DNIe -por ejemplo, el DNI lleva sistemas anti-falsificación adicionales, el certificado es diferente,...- pero aún así son bastantes esclarecedores.
Se hace difícil pensar que en el corto plazo se vaya a producir ese retorno de la inversión dado que para que el DNI electrónico tenga verdadero éxito es preciso que existan aplicaciones preparadas para él, tanto en el ámbito público como en el privado. Y si en el público aún no hay grandes bolsas de aplicaciones, en el ámbito privado la situación es aún mucho peor. Muy pocos sitios de compra online o grandes almacenes en su versión digital -por no decir ninguno- admiten el DNI electrónico como mecanismo de identificación y no repudio en las compras. La mayor parte prefieren admitir las tarjetas propias o las tarjetas de las entidades de crédito pese a ser en gran medida más inseguras al estar basadas únicamente en 'información que se sabe y no se tiene', concepto que posteriormente se explicará.
Dos ideas básicas de la seguridad, solo dos
La primera es que la seguridad online (y no online) debe estar basada en un doble factor: algo que se sabe y algo que se tiene. Algo del mundo de los átomos y algo del mundo de los bits. Es decir, el sistema debe estar sustentado en que para burlar las medidas preventivas no baste con tener algo que solo tiene la persona a suplantar y/o saber algo que solo él debería saber. Deben darse las dos premisas.
Este es el gran problema del fraude de tarjetas por Internet dado que todo lo que, en general, se solicita para realizar una compra online está dentro del ámbito de lo que se sabe (número de tarjeta y fecha de caducidad) y no de lo que se tiene. Así, un pequeño troyano en el ordenador de la víctima es capaz de extraer esta información tan pronto como el usuario haga su primera compra online.
Y ahí es donde el chip del DNI electrónico entra en escena al añadir el 'algo que se tiene': un certificado que no puede ser exportado del DNI que lo contiene.
La segunda premisa básica de la seguridad se basa en que la seguridad debe entenderse como una cadena y el nivel de robustez en su conjunto debe ser medido en base al más débil de sus eslabones.
Esto es lo que probablemente no entendieron demasiado bien las primeras empresas que comenzaron a exponer su tramitación por la Red, fundamentalmente la banca, dado que pese a blindar sus sistemas -no se conocen grandes fraudes online originados en los sistemas de las propias entidades financieras- descuidaron en gran medida al eslabón más débil: la seguridad de los PCs de acceso de sus clientes.
Por lo tanto, aunando ambas premisas, se puede concluir que la seguridad debe estar basada en algo que se tiene y algo que se sabe y que debe estar sustentada en algo tan simple que todo el mundo sepa usarlo, protegiendo así todos los eslabones de la cadena, si no se quieren repetir los errores de la banca en sus canales financieros.
La sencillez no es precisamente su fuerte
Ese parece ser uno de los aspectos fundamentales -además de la percepción de falta de seguridad en las transacciones online- que están frenando el uso de DNI electrónico. Ese porcentaje de ciudadanos que ya lo han usado para identificarse o firmar documentos han sufrido en primera persona el en ocasiones largo y complejo procedimiento de instalación de la raíz y la aplicación necesaria para el reconocimiento del certificado. Como referencia, puede revisarse el documento que el Ministerio de Interior dispone al efecto para plataformas Windows en la web del DNI electrónico para comprobar que no es una documentación que pueda ser de aplicación para un colectivo sin conocimientos sobre seguridad informática. Y no digamos si el usuario en cuestión ha optado por tener Linux como sistema operativo. En el caso de Linux o UNIX, el documento es aún más farragoso con descargas previas de paquetes para una correcta instalación del software.
Y aun siendo la complejidad del procedimiento de instalación y uso del DNI electrónico un problema en sí mismo, no es el principal de los problemas. El problema de verdad es que cuando un usuario no entiende que está haciendo es exponencialmente más propenso a sufrir ataques de ingeniería social, probablemente la más peligrosa de cuantas técnicas de hacking existen.
No es éste el mismo caso dado que un certificado no puede 'escribirse' en un post-it pero debería servir como ejemplo de lo que ocurre cuando un sistema es tan complejo que las dificultades de su correcta utilización son iguales o mayores que los beneficios derivados de la misma.
En el momento de escribir este post el Ministerio del Interior ha publicado una alerta en la home de su sitio web sobre el DNI electrónico advirtiendo de este tipo de ataques. Se desconoce por ahora cual ha sido el efecto real del ataque sobre la seguridad de la ciudadanía pero no ha debido ser pequeño a tenor de la importancia que se le da al aviso (en la home!!!).
Y no debe olvidarse la alarma social respecto a la seguridad que crean estas noticias. Cada vez que una salta a la luz se van al traste muchos meses de trabajo sobre la concienciación de la seguridad en la Red.
La universalidad del dispositivo
El DNI electrónico se topa con otra dificultad añadida en su camino: el lector de tarjetas no es un periférico universal y nada hace apuntar a que lo vaya a ser en el futuro. Prácticamente ninguno de los principales fabricantes incluye el dispositivo de lectura de smartcards en sus configuraciones básicas e incluso algunos ni tan siquiera lo permiten como opcional. Gran parte del problema radica en que el DNI no es un documento habitual en los países anglosajones (Estados Unidos entre ellos) y por ello no es un dispositivo que sea necesario en muchos de los grandes mercados.
Por ello, la Administración Pública tiene que hacer un esfuerzo adicional regalando los lectores en un intento de generalizar su uso. Hasta la fecha se han regalado más de un millón de estos dispositivos cuyo coste ronda los 20 euros.
Pero por muchos lectores que se regalen el problema sigue ahí. Si cualquier web da por bueno el acceso mediante DNI electrónico (y solo ese) se deberá tener la absoluta certeza de que el usuario podrá acceder en todas las situaciones. Es decir, para dar por bueno que cierto trámite solo pudiera ser realizado con DNI electrónico se debería garantizar que hay lectores en los ordenadores domésticos, en los de las oficinas, en los de cortesía de los hoteles, etc. Porque la eAdministración nace para simplificar las cosas y para ser 24x7 y esa simplificación no se dará si únicamente se puede operar electrónicamente con la Administración cuando se está en casa o en cualquier otro lugar concreto y no en el resto.
¿Es seguro el DNI electrónico?
A la fecha no se conoce ningún procedimiento para burlar su seguridad, que no es poco. Siendo prudente es lo mejor que se puede decir de cualquier sistema de seguridad. Sin embargo, hay varios factores que hacen pensar que esa situación puede variar.
En primer lugar está el mero paso del tiempo. El DNI electrónico nació en 2006 y hay fuentes que indican que el despliegue finalizará en torno a 2015. Ningún sistema de seguridad ha permanecido virgen tanto tiempo y no será porque las empresas no invierten recursos en la seguridad.
Recientemente saltaba a la luz que la PlayStation 3, uno de los sistemas que más tiempo ha estado libre de hackings, había sido ya crackeada; y no será porque Sony no haya dedicado dinero y recursos a su sistema de seguridad precisamente. Y por qué no hablar del sistema de control de licencias de los fabricantes de software... De hecho, se puede decir sin temor a equivocarse que cualquier sistema de seguridad cuya burla generaba algún beneficio ha sido ya burlado (o lo será en breve si su tecnología no evoluciona al mismo ritmo que evoluciona la de los hackers). Es una mera cuestión matemática: los recursos (tiempo y dinero) de quienes crean los sistemas de seguridad son finitos mientras que los recursos de quienes quieren romperlos son ilimitados. Son muchas personas dedicando mucho tiempo y están siempre ahí en 24x7. Por ello, es una mera cuestión de tiempo.
El DNI-e debería acelerar al máximo su despliegue y plantear planes de renovación tecnológica porque pensar que un sistema de seguridad de 2006 estará vigente e impoluto quince años después es, simplemente, irreal.
El segundo problema viene de la Unión Europea. La UE tiene un proyecto de inter-operabilidad de los diferentes sistemas de cada Estado miembro por el cual un certificado de un DNI-e de uno de ellos sea reconocido por todos los demás. Es decir, el perímetro de la seguridad del DNI se extiende ahora a todos los Estados miembro y si uno de ellos falla todos lo harán.
Pero, ¿debemos pensar que el resto de Estados miembro no harán bien su trabajo? Pues parece que sí porque de momento ya ha habido una -enorme- pifia en el Reino Unido. A principios de agosto se sabía que sus tarjetas, supuestamente irrompibles, duraron poco menos de 12 minutos.
Uniendo ambas cosas podría darse un escenario en el que un ciudadano británico con un DNI falso sería aceptado sin problemas por los sistemas de seguridad del resto de Estados de la Unión dado que la validación se haría siempre en el país de origen (quien emite el certificado es quien lo verifica).
El tercero de los problemas, y probablemente el más grave, es la complejidad. Como ya se apuntaba anteriormente, la experiencia de uso de los certificados digitales es radicalmente contraria a lo que se entiende como algo intuitivo. En esa situación, los usuarios son muy propensos a ser víctimas de ataques basados en ingeniería social porque, simple y llanamente, no entienden el medio con el que interactúan. No hay más que ver el mensaje en la home de la página oficial del DNI-e para ver que este riesgo es ya real.
Uniendo ambas cosas podría darse un escenario en el que un ciudadano británico con un DNI falso sería aceptado sin problemas por los sistemas de seguridad del resto de Estados de la Unión dado que la validación se haría siempre en el país de origen (quien emite el certificado es quien lo verifica).
El tercero de los problemas, y probablemente el más grave, es la complejidad. Como ya se apuntaba anteriormente, la experiencia de uso de los certificados digitales es radicalmente contraria a lo que se entiende como algo intuitivo. En esa situación, los usuarios son muy propensos a ser víctimas de ataques basados en ingeniería social porque, simple y llanamente, no entienden el medio con el que interactúan. No hay más que ver el mensaje en la home de la página oficial del DNI-e para ver que este riesgo es ya real.
Este problema está íntimamente relacionado con la no universalidad de los lectores de smartcards. La Unión Europea en su conjunto tiene fuerza más que suficiente para presionar a los fabricantes de software y hardware de forma que el lector sea estándar en los equipos (del mismo modo que obliga a soportar las configuraciones de idioma en los teclados, por ejemplo), para que las raíces de los certificados estén incluidas en origen o para que el procedimiento de instalación y uso sea tan simple como se supone que debería ser.
Hay una enorme distancia a salvar entre la facilidad de uso y la situación actual, todo ello, sin mermar la seguridad. Los usuarios tienen una necesidad no satisfecha y esto siempre se traduce en una oportunidad para las empresas de seguridad informática o para los fabricantes de sistemas operativos. Sería de agradecer que alguno de ellos recogiese el guante y simplificase el proceso.
Terminando
Resumiendo, el DNI electrónico es una estupenda idea que puede ayudar enormemente en el despliegue de la eAdministración pero corre el riesgo de quedar en el baúl de los recuerdos si no se consigue generalizar su uso tanto en la esfera pública como en el sector privado.
Y esto pasa por conseguir la universalidad del dispositivo en, al menos, todos los equipos que se fabriquen o vendan en la UE, por estandarizar y acercar al público en general el manejo de certificados digitales vía acuerdos con los fabricantes de sistemas de seguridad o de sistemas operativos, por acelerar al máximo su adopción y por colaborar con el ámbito privado para que incluyan el DNI electrónico en los sistemas de identificación en sus sitios web. Mucho trabajo bajo el sol.
