El DNIe nace con vocación de servir de apoyo en el despliegue seguro de sistemas de acceso telemáticos a la Administración. Así, la huella digital que se incluye en el chip permite igualar las condiciones legales de la firma digital con la firma manuscrita. Es más, el portal del DNIe habla de la necesidad de otorgar identidad personal a los ciudadanos para su uso en la nueva Sociedad de la Información. A priori parecía una necesidad indiscutible; sin embargo, su aceptación y uso no están acompañando.
Las razones por las que los ciudadanos no hacen uso de su DNIe son probablemente muy diversas, pero si hubiera que elegir las fundamentales serían cuatro:
- Aún no es universal. El grado de cobertura está en torno a un 50% de la población.
- No es sencillo. Su utilización (instalación y posterior uso) no es simple para personal no experto en TI, sobre todo fuera de los sistemas operativos y navegadores líderes de mercado.
- No es comprendido. En general, el ciudadano medio no entiende qué es eso de una clave pública, otra privada, SSL, la firma de documentos, las listas de revocación, las CAs y subCAs,...
- No es utilizado fuera del ámbito público. Pese a que el DNIe no distingue entre trámites en el sector público o privado, lo cierto es que son pocas las entidades que lo admiten (o lo tratan de forma preferente) como mecanismo de identificación en sus sitios web.
Alternativas
El sector privado no está haciendo uso del DNIe y todo apunta a que no lo va a hacer en el futuro, al menos no en el corto plazo. En su defecto, buscan mecanismos universales, baratos, sencillos y entendibles como, por ejemplo, el teléfono móvil.
Hace unas semanas, durante el Mobile World Congress, Telefónica hacía público su proyecto mDNI en el que, mediante un acuerdo con Secuware, plantea introducir los datos del DNIe en la tarjeta SIM del teléfono móvil. Este mecanismo permitirá la identificación, tanto en sitios web públicos como privados, pero no permitirá la firma digital con lo que no podrá ser usado en la Administración Pública (salvo para la identificación inicial).
Pero no queda ahí la cosa respecto a la identificación con dispositivos móviles. Prácticamente todos los nuevos teléfonos inteligentes que empezarán a comercializarse en 2011 (iPhone, Android, Phone 7,...) incorporarán soporte del estándar NFC. Telefónica ya ha comenzado un despliegue masivo entre sus empleados tras el éxito del proyecto piloto en Sitges junto con La Caixa. Gigantes como Google ya han comenzado despliegues similares financiando la instalación de antenas en calles de Nueva York y San Francisco.
Y nuevamente, parece que las Administraciones Públicas quedarán al margen de esta iniciativa dado que no tiene los parabienes legales necesarios.
Y ahora la cuestión del día. ¿Deben quedarse las Administraciones Públicas fuera de estos avances técnicos? Es cierto, probablemente muchos de estos sistemas tienen puntos débiles pero tampoco los certificados digitales como el del DNIe son perfectos. No hay más que ver lo que acaba de ocurrir con Comodo, una empresa de certificación de primer nivel que ha sucumbido a un ataque y ha emitido certificados totalmente válidos (pero fraudulentos) que permiten la completa suplantación de identidad en los sitios web de Microsoft, Google, Skype, Yahoo! y Mozilla.
¿Debe primar la seguridad jurídica al 120% sobre la usabilidad? Las empresas privadas analizan el riesgo y determinan la mejor posición frente a él. ¿Es esto asumible en el caso de la Administración Pública?
www.tonsofit.com
No me parece mal del todo que la administración vaya un pasito por detrás en innovaciones sobre identidad digital, pero sin entender eso como un 'a dormirse toca'.
ResponderEliminarMuchas de las tecnologías que ahora parecen punteras terminaran siendo un fiasco y no creo que la administración se pueda permitir hacer lo que hizo la banca durante años no migrando sus tarjetas de banda magnética a chip porque el coste de emisión era mayor que el fraude que soportaban. Creo que eso no vale cuando se habla de responsabilidades legales ante la administración publica.
Hola Iñaki, pues no entiendo muy bien por qué. Más daño te puede hacer un "agujero" en la cuenta bancaria si alguien te pilla las claves y nadie se preocupa tanto por las garantías jurídicas en esos casos. Y los casos de robos en las bancas online están a la orden del día.
ResponderEliminarTodo depende. Si se trata de que la administración electrónica solo funcione con certificados ¿que solución se le da a un extranjero (y puede ser de Pirineos para arriba) que no tiene DNI ni ningún otro certificado válido admitido?
ResponderEliminarLas cosas no son ni blanco ni negro pero coincido con Iñaki en que la administración debe regirse por un principio de prudencia mayor que la empresa privada.
Si prima la seguridad sobre la usabilidad, conseguiremos un elemento tecnológico que logra los objetivos planteados, pero que sólo unos pocos serán capaces, o estarán en disposición, de utilizar.
ResponderEliminarSi proporcionamos a un jardinero de un equipo de fútbol un corta uñas para mantener el césped, le podremos decir que sirve, pero casi preferirá hacerlo a mano.
La verdad es que ya me gustaría tener datos fiables, no ya de cuantas personas han hecho uso del DNIe (eso ya nos lo dice el INE y es bastante triste, por no decir lamentable) sino respecto a cuantas personas del resto (de los que nunca han usado el DNIe) se saben siquiera el pin de su DNIe. Porque saberse el PIN es el primer paso... ;-)
ResponderEliminar"Así, la huella digital que se incluye en el chip permite igualar las condiciones legales de la firma digital con la firma manuscrita."
ResponderEliminarMás bien son las claves y sus certificados asociados incluidos en el chip los que permiten igualar las condiciones legales de firma electrónica, que no digital, con la firma manuscrita.
Ese es uno de los problemas del DNIe, nadie sabe cómo funciona, ni para qué vale pero tampoco se molestan en averiguarlo.
Ups, he releído lo de la huella digital y efectivamente puede llevar a pensar a que se trata del dibujo (huella) del dedo (dígito). ;-)))
ResponderEliminarPero créeme que me refería al campo "huella digital" de los certificados SSL, estén en el chip de una tarjeta o no. :-)
No creo que podamos pedirle a un profano en seguridad que entienda qué es una clave simétrica, como se negocia el intercambio de claves SSL en un sitio web, qué significa firmar un documento,... Me parece que es al revés, debería ser tan sencillo (aunque no por ello poco seguro) que cualquiera lo entendiese. La seguridad no está reñida con la simplicidad.