En el contexto mundial actual no es necesario profundizar en lo fundamental que son las tecnologías para la continuidad de negocios y servicios a la distancia. Mucho se habla de plataformas como Zoom o MS Teams, pero sobre firma e Identificación digital quizá no lo suficiente. 

En el mundo físico o analógico firmar e identificarse es cotidiano y lo hacemos con nuestro documento de identidad y firma autógrafa ¿Qué tan importante es tener garantías suficientes de con quién nos estamos comunicando o trabajando en el mundo digital?  tener certezas de que esa persona es quien dice ser y  que está dando un consentimiento para determinado acto o acción es fundamental.  

Claro.. en la mayoría de los casos puede que no tengamos grandes problemas, pero cuando hay un repudio de una acción por parte de una persona, las evidencias obtenidas para comprobar la veracidad del acto cobran real relevancia  ¿Que impacto tiene en los procesos de negocios, en el ciudadano, y quién se  hace responsable de posibles daños? 

De esto y mucho más es lo que abarca la Identificación Digital, engloba temas jurídicos, técnicos y regulatorios.

--

El Objetivo de este post es introducirte en conceptos fundamentales de Identificación y firma electrónica.

 Tener una comprensión común de la terminología es vital cuando establecemos reglas para un sistema de identidad o nos comunicamos con los usuarios.

Y acá van algunos conceptos básicos: 

Autenticación vs Autentificación vs Identificación

En ámbito tecnológico lo común es hablar de Autenticación y no de Autentificación aunque para la RAE son sinónimos y refiere al proceso de acreditar que algo es verdadero.

En un inicio de sesión de un sistema informático, la autenticación se refiere al acto de validar que un USUARIO (notar que un usuario no necesariamente está relacionado con una persona) es quien dice ser, y la forma más común ( y más vulnerable) es verificando un secreto compartido (ej. contraseña o pin).

Ej de autenticación: un inicio de sesión en una app para pedir comida, o escuchar música ( no saben quien soy) solo saben que hay un usuario que paga por un servicio, incluso una misma persona podría tener varios usuarios.

Identificación Digital

Identificación refiere al acto de autenticar un usuario y saber ese usuario a que o quien corresponde. Por lo cual en algún momento previo se tuvo que  hacer una “validación de identidad” de ese usuario

Ej Identificación. Para hacer una transacción de dinero en mi home banking, me tuve que autenticar y adicionalmente  el sistema sabe precisamente quién es la persona (Identificación) que está realizando la operación, para la cual entonces verificará si tiene disponibilidad, de que cuenta debitar y donde acreditar. 

Identificador <> Identidad

Identificador es un atributo que permite dar con la identidad de una persona o dispositivo.

Una identidad puede tener “n” identificadores.

 Ej. El número de cédula es un identificador de mi identidad.

Ej. Rasgos biométricos como las minucias de una huella  dactilar son identificadores de mi identidad.

Ej. Un número MAC de un dispositivo es un identificador de un PC.

Validación de identidad - presencial y remota

Para validar la identidad de una persona típicamente es necesario que la persona vaya físicamente a un agente de registro (por ejemplo la sucursal de un banco, seguro médico para historia clínica digital) y el agente valide identificadores y su autenticidad (cédula de identidad, pasaporte, biométrico, etc )

Algunos sistemas permiten validar la identidad de forma remota: haciendo uso por ejemplo de sistemas de reconocimiento facial, o videoconferencias en vivo. Este punto merece un post entero dado que la validación de identidad  es un punto sumamente sensible y más propenso a fraudes. 

Actualmente uno de los debates más típicos a nivel internacional es que tipo de tecnología es la adecuada para una validación de identidad remota. por ej. Europa a nivel financiero acepta validaciones remotas utilizando mecanismos de validación de video streaming. 

  Ej Validación de identidad. Voy a solicitar un usuario web para uso de un homebanking, en algún momento tuve que ir a la sucursal del banco, entregar mi documento de identidad al agente del banco, que posteriormente hará una validación de mi identidad; una vez validada generará  un usuario, para que junto con uno o varios factor de autenticación, pueda autenticar el inicio de sesión e identificarme digitalmente en el homebanking. 

La validación de identidad está estrechamente ligada a la gestión de riesgo, y muchas entidades pueden optar por asumir más riesgos en este sentido, teniendo menos información o conocer menos al cliente y mitigar el riesgo en por ejemplo  topes de montos de operaciones o tipos de operaciones.

Garantía de identidad

Como ven en el proceso de identificación de una persona existen varios puntos sensibles que se podrían asemejar a una cadena, donde la cadena es tan fuerte como el eslabón más débil. En esta cadena llamada identificación, un eslabón sin dudas es el registro del usuario y proceso de validación de identidad, otro eslabón es el proceso de autenticación y otro eslabón es la forma en la cual se integra el sistema informático de identificación con otros sistemas. Que tan fuerte o débil sea esta cadena va a definir una garantía de identidad que bien podría categorizarse en nivel de garantía baja, media o alta. A modo de ejemplo, Estados Unidos define niveles de garantía en los estándares del NIST 800-63x , Europa  en la normativa eIDAS -  Reglamento (UE) Nº 910/2014, , Uruguay en la política de Identificación Digital publicada por la Unidad de Certificación Electrónica.

Autenticación vs Autorización

A diferencia de la autenticación, la autorización es el acto de dar permisos a un usuario autenticado a  acceder a determinado recurso. Ejemplo puedo estar autenticado e identificado en mi sistema de home banking, pero no tener autorización para hacer transacciones financieras.  Lo que refiere a autorización es el acto seguido a autenticar un usuario, es que le voy a permitir o no hacer a ese usuarios generalmente basado en una estructura de roles. Para lo cual hay frameworks muy conocidos y populares como oAuth 2.0. 

Métodos de autenticación

Existen distintas formas y métodos de autenticación desde las más comunes y antiguas como el uso de contraseñas, a las  más innovadoras relacionadas a sistemas biométricos. 

El universo de métodos de autenticación se puede clasificar en categorías llamadas Factores de Autenticación y se clasifican del siguiente modo:

Factores:

Algo que sé

Por ejemplo. algo que memoricé como un password o un pin o algo que ya sabía como una imagen. 

Algo que tengo

Por ejemplo una Tarjeta de Coordenadas. Un código que se envía a mi teléfono. Un Token. 

Algo que soy

Aquí entran los sistemas biométricos: Lector de huella dactilar, reconocimiento facial. Reconocimiento de voz. Sistemas que me identifican en función de mi comportamiento (por como escribo, por como camino) 

También existen sub factores complementarios como por ejemplo:

Factor ubicación

¿Dónde estoy? Se puede permitir o no un acceso dependiendo de la ubicación del usuario.

Factor tiempo

Se puede dar o no acceso dependiendo del momento del día en el cual se realiza la actividad.

Autenticación Fuerte o Robusta

Cuando queremos mejorar los niveles de seguridad en la fase de autenticación. Podemos combinar al menos dos factores de autenticación. De este modo si uno es comprometido el atacante necesariamente tendrá que obtener el segundo para poder vulnerar el sistema.

El uso de dos factores de autenticación en los sistemas es una práctica muy recomendada. Que por ejemplo es frecuente ver en el segmento financiero a la hora de hacer una transferencia bancaria, pero mi sugerencia es que se utilice en todo sistema que brinde la posibilidad,. 

ej. Si usamos nuestra cédula de identidad electrónica para identificarnos en un sistema informático, estamos haciendo una autenticación fuerte. Ya que se solicitará un pin y tener el documento  (algo que sé, algo que tengo)

 Firma Digital 

La Firma Digital es un procedimiento matemático criptográfico, que involucra dos claves criptográficas relacionadas entre sí, una llamada clave privada que debe conservar el usuario bajo su exclusivo control, y es utilizada para realizar la firma.  Otra llamada pública, que está asociada a un Certificado Digital y es utilizada por terceros para verificar la firma. 

Los algoritmos matemáticos permiten asegurar que para una clave pública existe únicamente una clave privada. Por lo que con la firma digital es posible garantizar unívocamente quien fue el firmante y la integridad del documento. 

Certificado Digital

Es un documento electrónico que asocia la identidad de la persona con su clave pública. 

Política de Certificación

Son documentos que publica un regulador, donde se establece los lineamientos técnicos que deben cumplir las Autoridades Certificadoras. 

ej. Política de Firma Electrónica Avanzada con Custodia Centralizada

Práctica de Certificación 

Son documentos donde las autoridades certificadoras especifican y declaran concretamente cómo resuelven los puntos especificados en las políticas de certificación. 

ej. Practica de Certificación de Autoridad Certificadora Ministerio del Interior

Autoridad Certificadora

Son las entidades (empresas, organismos públicos) responsables entre otras cosas de validar la identidad de una persona y emitirles un certificado digital a su nombre. 

Finalmente...

Espero que algunos de estos conceptos sean de tu utilidad y ayuden a entender un poco mejor el mundo de la Identificación Digital. En muchos Estados la forma de identificación digital está regulada logrando una equivalencia funcional con la identificación presencial en el mundo físico. Del mismo modo también se regula la firma digital para que haya una forma equivalente con la firma autógrafa certificada y tenga el mismo valor jurídico.

En Uruguay podés identificarte o firmar con la cédula de identidad digital logrando estas equivalencias jurídicas. Profundizaré en este punto con una mirada generar de latinoamérica en el próximo posteo. 

SI te pareció interesante , quieres más información o herramientas sobre firma digital te invito a sumarte a la comunidad VaFirma !