Introducción a la Identificación y Firma Digital

Introducción a la Identificación y Firma Digital

Conceptos sobre Identificación Digital, Firma digital, Autenticación Multifactor, Certificado Digital y más.

 

En el mundo físico o analógico, firmar e identificarse es algo cotidiano que hacemos con nuestro documento de identidad y firma autógrafa. ¿Qué tan importante es tener garantías suficientes de con quién nos estamos comunicando o trabajando en el mundo digital? Tener certezas de que esa persona es quien dice ser y de que está dando su consentimiento para un determinado acto o acción es fundamental.

Claro, en la mayoría de los casos puede que no enfrentemos grandes problemas, pero cuando una persona repudia una acción, las evidencias para comprobar la veracidad del acto cobran una relevancia crucial. ¿Qué impacto tiene esto en los procesos de negocio, en los ciudadanos, y quién se hace responsable de los posibles daños?

De esto y mucho más trata la Identificación Digital, que abarca temas jurídicos, técnicos y regulatorios.


El objetivo de este post es introducirte en conceptos fundamentales de identificación y firma electrónica.

Tener una comprensión común de la terminología es vital cuando establecemos reglas para un sistema de identidad o nos comunicamos con los usuarios. A continuación, te presentamos algunos conceptos básicos:


Autenticación vs Autentificación vs Identificación

En el ámbito tecnológico, lo común es hablar de autenticación y no de autentificación, aunque para la RAE son sinónimos, y ambos términos se refieren al proceso de acreditar que algo es verdadero.

En un inicio de sesión en un sistema informático, la autenticación es el acto de validar que un USUARIO (nótese que un usuario no está necesariamente relacionado con una persona) es quien dice ser. La forma más común (y más vulnerable) es verificando un secreto compartido, como una contraseña o un PIN.

Ejemplo de autenticación: iniciar sesión en una app para pedir comida o escuchar música. En estos casos, no saben quién soy, solo saben que hay un usuario que paga por un servicio. Incluso una misma persona podría tener varios usuarios.


Identificación Digital

La identificación se refiere al acto de autenticar a un usuario y saber a qué o quién corresponde. Por lo tanto, en algún momento previo se tuvo que realizar una «validación de identidad» de ese usuario.

Ejemplo de identificación: para hacer una transacción de dinero en mi home banking, me autentico y, además, el sistema sabe exactamente quién es la persona (identificación) que está realizando la operación. Luego, verificará si tiene saldo disponible, de qué cuenta debitar y dónde acreditar.


Identificador vs Identidad

Un identificador es un atributo que permite dar con la identidad de una persona o dispositivo. Una identidad puede tener «n» identificadores.

Ejemplos de identificadores:

  • El número de cédula es un identificador de mi identidad.
  • Rasgos biométricos, como las minucias de una huella dactilar, son identificadores de mi identidad.
  • El número MAC de un dispositivo es un identificador de un PC.

Validación de identidad: presencial y remota

Para validar la identidad de una persona, típicamente es necesario que esta se presente físicamente en un agente de registro (por ejemplo, una sucursal bancaria o una aseguradora para la historia clínica digital). El agente valida los identificadores y su autenticidad (cédula de identidad, pasaporte, datos biométricos, etc.).

Algunos sistemas permiten la validación de identidad de forma remota, utilizando, por ejemplo, sistemas de reconocimiento facial o videoconferencias en vivo. Este tema merece un post completo, ya que la validación de identidad es un punto sumamente sensible y más propenso a fraudes.

Actualmente, uno de los debates más comunes a nivel internacional es sobre qué tipo de tecnología es adecuada para la validación de identidad remota. Por ejemplo, en Europa, en el ámbito financiero, se aceptan validaciones remotas utilizando mecanismos de video streaming.

Ejemplo de validación de identidad: al solicitar un usuario web para usar home banking, en algún momento tuve que ir a la sucursal del banco y entregar mi documento de identidad. El agente validó mi identidad, y una vez validada, se generó un usuario. Junto con uno o varios factores de autenticación, puedo autenticar mi inicio de sesión e identificarme digitalmente en el home banking.


Garantía de identidad

Como se puede ver, en el proceso de identificación de una persona hay varios puntos críticos que se asemejan a una cadena. Esta cadena es tan fuerte como su eslabón más débil. Un eslabón es el registro del usuario y el proceso de validación de identidad; otro es el proceso de autenticación, y otro es la integración del sistema informático de identificación con otros sistemas. La fortaleza o debilidad de esta cadena determinará el nivel de garantía de identidad, que puede clasificarse en baja, media o alta.

Por ejemplo, en Estados Unidos, los niveles de garantía están definidos por los estándares NIST 800-63x; en Europa, por el reglamento eIDAS (Reglamento [UE] Nº 910/2014), y en Uruguay, por la política de Identificación Digital publicada por la Unidad de Certificación Electrónica.


Autenticación vs Autorización

A diferencia de la autenticación, la autorización es el acto de dar permisos a un usuario autenticado para acceder a un determinado recurso. Ejemplo: puedo estar autenticado e identificado en mi sistema de home banking, pero no tener autorización para realizar transacciones financieras. La autorización se da en función de una estructura de roles, utilizando frameworks como OAuth 2.0.


Métodos de autenticación

Existen diversos métodos de autenticación, desde los más comunes y antiguos, como el uso de contraseñas, hasta los más innovadores, como los sistemas biométricos. Los métodos se clasifican en las siguientes categorías de factores de autenticación:

  • Algo que sé: una contraseña o un PIN.
  • Algo que tengo: una tarjeta de coordenadas, un código enviado al teléfono o un token.
  • Algo que soy: sistemas biométricos como huella dactilar, reconocimiento facial o de voz.

También existen subfactores complementarios, como:

  • Factor ubicación: el acceso depende de dónde está el usuario.
  • Factor tiempo: el acceso depende del momento en el que se realiza la actividad.

Autenticación fuerte o robusta

Cuando queremos mejorar la seguridad en la autenticación, combinamos al menos dos factores de autenticación. Así, si uno es comprometido, el atacante necesitará obtener el segundo para vulnerar el sistema. El uso de autenticación de dos factores es una práctica recomendada, especialmente en el sector financiero.

Ejemplo de autenticación fuerte: al usar una cédula de identidad electrónica para identificarnos en un sistema, estamos realizando una autenticación fuerte, ya que se solicita un PIN y poseer el documento (algo que sé y algo que tengo).


Firma Digital

La firma digital es un procedimiento criptográfico que utiliza dos claves relacionadas: una privada, que debe estar bajo control exclusivo del usuario y se usa para firmar, y una pública, que está asociada a un certificado digital y permite verificar la firma.


Certificado Digital

Es un documento electrónico que asocia la identidad de una persona con su clave pública.


Política de Certificación

Son documentos publicados por un regulador que establecen los lineamientos técnicos que deben cumplir las Autoridades Certificadoras. Ejemplo: política de Firma Electrónica Avanzada con Custodia Centralizada.


Práctica de Certificación

Son documentos donde las autoridades certificadoras especifican cómo implementan los puntos de las políticas de certificación. Ejemplo: práctica de certificación del Ministerio del Interior.


Autoridad Certificadora

Son entidades, públicas o privadas, responsables de validar la identidad de una persona y emitirle un certificado digital a su nombre.


Finalmente, espero que algunos de estos conceptos te sean útiles y te ayuden a entender mejor el mundo de la identificación digital. En muchos países, la identificación digital está regulada para lograr una equivalencia funcional con la identificación presencial en el mundo físico. De igual forma, la firma digital está regulada para que tenga el mismo valor jurídico que una firma autógrafa certificada.

En Uruguay, puedes identificarte o firmar con la cédula de identidad digital, logrando estas equivalencias jurídicas. En el próximo post, profundizaré sobre este tema con una mirada general de Latinoamérica.

Si te pareció interesante y quieres más información o herramientas sobre firma digital, ¡te invito a sumarte a la comunidad VaFirma!

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *