A finales de 2003, hace ya casi siete años, se publicó la LEY 59/2003, DE 19 DE DICIEMBRE, DE FIRMA ELECTRÓNICA que nacía con la intención de regular la firma electrónica y como una de sus principales derivadas la expedición del DNI electrónico o DNI-e.
Así, en marzo de 2006 se inicia la expedición de los nuevos documentos digitales incluyendo el chip además de otras medidas de seguridad probablemente menos conocidas como hologramas, letras táctiles, imágenes láser o imágenes codificadas. El marco temporal en el que se entendía que la mayoría de los ciudadanos tendrían ya el DNI electrónico era de aproximadamente cuatro años coincidiendo así con el fin de la moratoria de la Ley 11/2007 de acceso electrónico de los ciudadanos a los Servicios Públicos.
Sin embargo, cuatro años después de su inicio la situación es bastante menos optimista que la idílica visión que se lanzaba desde medios oficiales. El despliegue cubre aproximadamente a 18 millones de ciudadanos de los que según el INE únicamente el 3,4% lo ha usado alguna vez frente a la Administración. La inversión aproximada para ello ronda los 350 millones de euros (más de 58.200 millones de pesetas para los que aún les cueste hacer conversiones en el aire de cantidades tan abultadas), todo ello, sin contar las importantísimas partidas económicas necesarias para hacer que el DNI electrónico sea reconocido como medio de identificación en los sistemas de las diferentes Administraciones Públicas.
Haciendo unos simples, aunque un tanto perversos, cálculos resulta que el coste (sobre la base de 18 MM de ciudadanos) del DNI electrónico es de casi 20 € por persona. Y más aún si se calcula el coste de los que realmente lo han usado alguna vez (3,4% de 18 MM) dado que en ese caso la cifra sube a 572 € (en torno a 95.000 pesetas, por si en euros no resulta impactante) por ciudadano. En términos de un economista, ese sería el coste de oportunidad (572 € por ciudadano) que habría que recuperar, fundamentalmente en términos de mejora de la eficiencia en la gestión administrativa, para hacer rentable un despliegue masivo de certificados digitales en el DNI.
Por comparar, las cifras que maneja el sector financiero en sus despliegues de tarjetas sitúa el coste en algo menos de 2 € por tarjeta a repartir casi a partes iguales entre lo puramente físico (el plástico más el chip) y la personalización incluyendo en ello la parte electrónica. Los resultados no son exactamente comparables al no ser idéntica la funcionalidad de una tarjeta financiera y un DNIe -por ejemplo, el DNI lleva sistemas anti-falsificación adicionales, el certificado es diferente,...- pero aún así son bastantes esclarecedores.
Se hace difícil pensar que en el corto plazo se vaya a producir ese retorno de la inversión dado que para que el DNI electrónico tenga verdadero éxito es preciso que existan aplicaciones preparadas para él, tanto en el ámbito público como en el privado. Y si en el público aún no hay grandes bolsas de aplicaciones, en el ámbito privado la situación es aún mucho peor. Muy pocos sitios de compra online o grandes almacenes en su versión digital -por no decir ninguno- admiten el DNI electrónico como mecanismo de identificación y no repudio en las compras. La mayor parte prefieren admitir las tarjetas propias o las tarjetas de las entidades de crédito pese a ser en gran medida más inseguras al estar basadas únicamente en 'información que se sabe y no se tiene', concepto que posteriormente se explicará.
Dos ideas básicas de la seguridad, solo dos
La primera es que la seguridad online (y no online) debe estar basada en un doble factor: algo que se sabe y algo que se tiene. Algo del mundo de los átomos y algo del mundo de los bits. Es decir, el sistema debe estar sustentado en que para burlar las medidas preventivas no baste con tener algo que solo tiene la persona a suplantar y/o saber algo que solo él debería saber. Deben darse las dos premisas.
Este es el gran problema del fraude de tarjetas por Internet dado que todo lo que, en general, se solicita para realizar una compra online está dentro del ámbito de lo que se sabe (número de tarjeta y fecha de caducidad) y no de lo que se tiene. Así, un pequeño troyano en el ordenador de la víctima es capaz de extraer esta información tan pronto como el usuario haga su primera compra online.
Y ahí es donde el chip del DNI electrónico entra en escena al añadir el 'algo que se tiene': un certificado que no puede ser exportado del DNI que lo contiene.
Pero, lógicamente, hay otras formas de cumplir la premisa de lo que se tiene. Así, PayPal y cada vez más entidades financieras lo solventan con mensajes SMS al móvil que requieren respuesta (el móvil actúa en ese caso como elemento único de la persona), la tarjeta de barcos clásicas de las entidades financieras o elementos de doble factor como el Token RSA.
La segunda premisa básica de la seguridad se basa en que la seguridad debe entenderse como una cadena y el nivel de robustez en su conjunto debe ser medido en base al más débil de sus eslabones.
Esto es lo que probablemente no entendieron demasiado bien las primeras empresas que comenzaron a exponer su tramitación por la Red, fundamentalmente la banca, dado que pese a blindar sus sistemas -no se conocen grandes fraudes online originados en los sistemas de las propias entidades financieras- descuidaron en gran medida al eslabón más débil: la seguridad de los PCs de acceso de sus clientes.
De ahí que una buena parte de las entidades financieras estén ya utilizando elementos de doble factor como los Token RSA (infinitamente más simples de usar que un certificado digital) para sus clientes VIP en la banca privada o la confirmación por SMS, entre otros, por ser el teléfono móvil un artilugio tecnológico de aceptación masiva (tiene un índice de penetración superior al 100% entre los ciudadanos).
Por lo tanto, aunando ambas premisas, se puede concluir que la seguridad debe estar basada en algo que se tiene y algo que se sabe y que debe estar sustentada en algo tan simple que todo el mundo sepa usarlo, protegiendo así todos los eslabones de la cadena, si no se quieren repetir los errores de la banca en sus canales financieros.
La sencillez no es precisamente su fuerte
Ese parece ser uno de los aspectos fundamentales -además de la percepción de falta de seguridad en las transacciones online- que están frenando el uso de DNI electrónico. Ese porcentaje de ciudadanos que ya lo han usado para identificarse o firmar documentos han sufrido en primera persona el en ocasiones largo y complejo procedimiento de instalación de la raíz y la aplicación necesaria para el reconocimiento del certificado. Como referencia, puede revisarse el documento que el Ministerio de Interior dispone al efecto para plataformas Windows en la web del DNI electrónico para comprobar que no es una documentación que pueda ser de aplicación para un colectivo sin conocimientos sobre seguridad informática. Y no digamos si el usuario en cuestión ha optado por tener Linux como sistema operativo. En el caso de Linux o UNIX, el documento es aún más farragoso con descargas previas de paquetes para una correcta instalación del software.
Y aun siendo la complejidad del procedimiento de instalación y uso del DNI electrónico un problema en sí mismo, no es el principal de los problemas. El problema de verdad es que cuando un usuario no entiende que está haciendo es exponencialmente más propenso a sufrir ataques de ingeniería social, probablemente la más peligrosa de cuantas técnicas de hacking existen.
Cuando los consultores sobre seguridad hablan sobre esto siempre citan la respuesta innata de los usuarios cuando los departamentos de informática les obligan a recordar claves de acceso muy complejas: escribirlas en un post-it y pegarlo en el monitor.
No es éste el mismo caso dado que un certificado no puede 'escribirse' en un post-it pero debería servir como ejemplo de lo que ocurre cuando un sistema es tan complejo que las dificultades de su correcta utilización son iguales o mayores que los beneficios derivados de la misma.
En el momento de escribir este post el Ministerio del Interior ha publicado una alerta en la home de su sitio web sobre el DNI electrónico advirtiendo de este tipo de ataques. Se desconoce por ahora cual ha sido el efecto real del ataque sobre la seguridad de la ciudadanía pero no ha debido ser pequeño a tenor de la importancia que se le da al aviso (en la home!!!).
Y no debe olvidarse la alarma social respecto a la seguridad que crean estas noticias. Cada vez que una salta a la luz se van al traste muchos meses de trabajo sobre la concienciación de la seguridad en la Red.
La universalidad del dispositivo
El DNI electrónico se topa con otra dificultad añadida en su camino: el lector de tarjetas no es un periférico universal y nada hace apuntar a que lo vaya a ser en el futuro. Prácticamente ninguno de los principales fabricantes incluye el dispositivo de lectura de smartcards en sus configuraciones básicas e incluso algunos ni tan siquiera lo permiten como opcional. Gran parte del problema radica en que el DNI no es un documento habitual en los países anglosajones (Estados Unidos entre ellos) y por ello no es un dispositivo que sea necesario en muchos de los grandes mercados.
Por ello, la Administración Pública tiene que hacer un esfuerzo adicional regalando los lectores en un intento de generalizar su uso. Hasta la fecha se han regalado más de un millón de estos dispositivos cuyo coste ronda los 20 euros.
Pero por muchos lectores que se regalen el problema sigue ahí. Si cualquier web da por bueno el acceso mediante DNI electrónico (y solo ese) se deberá tener la absoluta certeza de que el usuario podrá acceder en todas las situaciones. Es decir, para dar por bueno que cierto trámite solo pudiera ser realizado con DNI electrónico se debería garantizar que hay lectores en los ordenadores domésticos, en los de las oficinas, en los de cortesía de los hoteles, etc. Porque la eAdministración nace para simplificar las cosas y para ser 24x7 y esa simplificación no se dará si únicamente se puede operar electrónicamente con la Administración cuando se está en casa o en cualquier otro lugar concreto y no en el resto.
¿Es seguro el DNI electrónico?
A la fecha no se conoce ningún procedimiento para burlar su seguridad, que no es poco. Siendo prudente es lo mejor que se puede decir de cualquier sistema de seguridad. Sin embargo, hay varios factores que hacen pensar que esa situación puede variar.
En primer lugar está el mero paso del tiempo. El DNI electrónico nació en 2006 y hay fuentes que indican que el despliegue finalizará en torno a 2015. Ningún sistema de seguridad ha permanecido virgen tanto tiempo y no será porque las empresas no invierten recursos en la seguridad.
Recientemente saltaba a la luz que la PlayStation 3, uno de los sistemas que más tiempo ha estado libre de hackings, había sido ya crackeada; y no será porque Sony no haya dedicado dinero y recursos a su sistema de seguridad precisamente. Y por qué no hablar del sistema de control de licencias de los fabricantes de software... De hecho, se puede decir sin temor a equivocarse que cualquier sistema de seguridad cuya burla generaba algún beneficio ha sido ya burlado (o lo será en breve si su tecnología no evoluciona al mismo ritmo que evoluciona la de los hackers). Es una mera cuestión matemática: los recursos (tiempo y dinero) de quienes crean los sistemas de seguridad son finitos mientras que los recursos de quienes quieren romperlos son ilimitados. Son muchas personas dedicando mucho tiempo y están siempre ahí en 24x7. Por ello, es una mera cuestión de tiempo.
El DNI-e debería acelerar al máximo su despliegue y plantear planes de renovación tecnológica porque pensar que un sistema de seguridad de 2006 estará vigente e impoluto quince años después es, simplemente, irreal.
El segundo problema viene de la Unión Europea. La UE tiene un proyecto de inter-operabilidad de los diferentes sistemas de cada Estado miembro por el cual un certificado de un DNI-e de uno de ellos sea reconocido por todos los demás. Es decir, el perímetro de la seguridad del DNI se extiende ahora a todos los Estados miembro y si uno de ellos falla todos lo harán.
Pero, ¿debemos pensar que el resto de Estados miembro no harán bien su trabajo? Pues parece que sí porque de momento ya ha habido una -enorme- pifia en el Reino Unido. A principios de agosto se sabía que sus tarjetas, supuestamente irrompibles, duraron poco menos de 12 minutos.
Uniendo ambas cosas podría darse un escenario en el que un ciudadano británico con un DNI falso sería aceptado sin problemas por los sistemas de seguridad del resto de Estados de la Unión dado que la validación se haría siempre en el país de origen (quien emite el certificado es quien lo verifica).
El tercero de los problemas, y probablemente el más grave, es la complejidad. Como ya se apuntaba anteriormente, la experiencia de uso de los certificados digitales es radicalmente contraria a lo que se entiende como algo intuitivo. En esa situación, los usuarios son muy propensos a ser víctimas de ataques basados en ingeniería social porque, simple y llanamente, no entienden el medio con el que interactúan. No hay más que ver el mensaje en la home de la página oficial del DNI-e para ver que este riesgo es ya real.
Uniendo ambas cosas podría darse un escenario en el que un ciudadano británico con un DNI falso sería aceptado sin problemas por los sistemas de seguridad del resto de Estados de la Unión dado que la validación se haría siempre en el país de origen (quien emite el certificado es quien lo verifica).
El tercero de los problemas, y probablemente el más grave, es la complejidad. Como ya se apuntaba anteriormente, la experiencia de uso de los certificados digitales es radicalmente contraria a lo que se entiende como algo intuitivo. En esa situación, los usuarios son muy propensos a ser víctimas de ataques basados en ingeniería social porque, simple y llanamente, no entienden el medio con el que interactúan. No hay más que ver el mensaje en la home de la página oficial del DNI-e para ver que este riesgo es ya real.
Este problema está íntimamente relacionado con la no universalidad de los lectores de smartcards. La Unión Europea en su conjunto tiene fuerza más que suficiente para presionar a los fabricantes de software y hardware de forma que el lector sea estándar en los equipos (del mismo modo que obliga a soportar las configuraciones de idioma en los teclados, por ejemplo), para que las raíces de los certificados estén incluidas en origen o para que el procedimiento de instalación y uso sea tan simple como se supone que debería ser.
Hay una enorme distancia a salvar entre la facilidad de uso y la situación actual, todo ello, sin mermar la seguridad. Los usuarios tienen una necesidad no satisfecha y esto siempre se traduce en una oportunidad para las empresas de seguridad informática o para los fabricantes de sistemas operativos. Sería de agradecer que alguno de ellos recogiese el guante y simplificase el proceso.
Terminando
Resumiendo, el DNI electrónico es una estupenda idea que puede ayudar enormemente en el despliegue de la eAdministración pero corre el riesgo de quedar en el baúl de los recuerdos si no se consigue generalizar su uso tanto en la esfera pública como en el sector privado.
Y esto pasa por conseguir la universalidad del dispositivo en, al menos, todos los equipos que se fabriquen o vendan en la UE, por estandarizar y acercar al público en general el manejo de certificados digitales vía acuerdos con los fabricantes de sistemas de seguridad o de sistemas operativos, por acelerar al máximo su adopción y por colaborar con el ámbito privado para que incluyan el DNI electrónico en los sistemas de identificación en sus sitios web. Mucho trabajo bajo el sol.
Manu,
ResponderEliminarNos has hecho un buen resumen de la situación.
Bajo mi punto de vista, son varios los puntos que tiene encontra el DNI-e y los certificados en general:
- Desconocimiento de lo que se hace por parte del usuario.
- El uusario tiene que instalar software en su equipo para poder emplearlo.
- Se debe disponer de un dispositivo lector de certificados para su empleo.
- Diversidad de certificados / tarjetas
- La Administración y empresas deben de invertir en poner servicios a disposición de los usuarios
Uno de los lideres en seguridad IT que puede presumir de no haber creado los sistemas operativos que no han sido hackeados ni viruseados nunca ha desarrollado un dispositivo para clientes VIP de banca para hacer transacciones seguras en internet. Se puede ver en acción en:
ResponderEliminarhttp://www.youtube.com/watch?v=mPZrkeHMDJ8
Estos proyectos de tanto calado deberian de tratarse de manera colectiva en la CEE y no de manera individual que es como estan actuando los diferentes estados miembros. Al igual que con la moneda unica supondria un importante ahorro de costes, se mejoraria la seguridad, la interoperabilidad, etc. Solo veo ventajas, bueno quizas no, tal vez la unica desventaja es que se hubiera tardado mas tiempo en cuajar el proyecto por lo de ponernos todos de acuerdo.
ResponderEliminarCoincido en que decir que la seguridad del dni no se ha burlado aun no es poco, pero parte de la responsabilidad es por la ausencia de dispositivos lectores que siempre van como un periferico asociado y no incluido en el hardware original, en lo complicado de su utilizacion, en las pocas posibilidades de su utilizacion fuera de los tramites de la administracion, etc. Me atreveria a decir incluso que en el ambito domestico es un perfecto desconocido. Habria que presionar en la CEE para tomar medias en este sentido.
Yo siempre he utilizado mis tarjetas como forma de pago en internet y no he tenido problemas, eso si, siempre me he informado de la pagina en la que iba a realizar el pago, he verificado que la transaccion fuera segura (https) y apareciera el candado, he apuntado en una libreta el movimiento realizado y sobre todo he utilizado el sentido comun no facilitando datos mas alla de los estrictamente necesarios.
Curiosamente hoy me ha llegado un correo electronico de la compañia de una de mis tarjeta de credito, en el que me informabna que a partir de ahora todos los cargos realizados en mi tarjeta de credito serian notificados via sms a mi telefono movil, no se si ya es el momento de empezar a preocuparme.
Hola Manu,
ResponderEliminarinteresante y valiosa información la que nos expones en este artículo.
Se me presentan dos cuestiones, que considero importantes, para que este DNIe se implante definitivamente en nuestra sociedad:
1ª Dado que todo esto requiere de una gran inversión económica por parte del sector privado, ¿ le resultaría rentable de alguna manera?. Bien sabes que "poderoso caballero es don dinero".
2ª Para que algo cale en la sociedad, ha de ser bueno, bonito y, sobre todo, fácil de usar, acompañado de una muy buena campaña publicitaria. ¿Hay interés en que esto sea posible?.
En mi opinión, el principal interesado en el éxito del DNIe es la propia Administración dado que el certificado personal es un medio con el que conseguir el verdadero fin: la automatización administrativa.
ResponderEliminarUno de los principales proyectos IT de la Administración (la Ventanilla Única) se vería muy tocado si el DNIe no cuaja.
Por otra parte, las empresas privadas no tendrán verdadero interés en el DNIe mientras haya un 50% de la población que no lo tiene. ¿Quien podría tener interés en un sistema de identificación en la web que no permite entrar a la mitad de los usuarios? Pero cuando el despliegue sea completo no se me ocurre ninguna buena razón para no usarlo porque ahorrará costes permitiendo a las empresas 'olvidarse', al menos en parte, de la identificación al estar sustentada por un medio robusto por diseño.