martes, 3 de septiembre de 2013

La confianza electrónica y la labor de las Administraciones Públicas




Más allá del sonrojante caso Snowden como constatación de la deriva totalitaria de las que se denominan democracias consolidadas, el tema de la seguridad y confianza electrónica es un aspecto clave en la estrategia por fomentar el uso de los medios electrónicos dentro de la población.

Tal y como se puede constatar dentro de los objetivos de la recién publicada Agenda Digital para España dentro de lo que se ha denominado Objetivo 4: Reforzar la Confianza en el Ámbito Digital, la colaboración público privada en este campo es fundamental para fomentar un uso seguro de todas las herramientas que se nos ofrecen en Internet.

Desde la perspectiva que me da el ser uno de tantos de los constructores de la administración electrónica y además ser un usuario de distintos servicios privados ofrecidos en internet, siempre me he alarmado la cantidad ingente de plataformas donde se nos pide que ingresemos un correo electrónico y asignemos una clave para acceder a los servicios de la misma.

Ya sean servicios que vamos a usar con relativa frecuencia, ya sea en la configuración inicial de nuestro nuevo smartphone o sea cuando estás probando un nuevo servicio para evaluar las facilidades que te ofrece, parece bastante complicado de imaginar que usemos distintas cuentas de correo o incluso distintas claves para cada uno de los servicios de los que somos usuarios. 

No parece sencillo imaginar que el usuario medio de internet pueda manejar herramientas que le facilite el almacenamiento seguro de cada una de las claves utilizadas, por lo que casi seguro que con un par a lo sumo tres claves accede a todos los servicios. Si a eso le sumamos el uso de una única, a lo sumo dos, direcciones de correo, la vulnerabilidad con la que operamos en internet es más que alarmante. Si cualquiera de esos servicios se ve comprometido, el atacante tendrá acceso a nuestra aseguradora, a nuestro proveedor de servicios de internet o al sistema de almacenamiento de archivos en la nube, por citar servicios obvios. Incluso podrá bloquear nuestro teléfono. Y eso sin entrar a considerar la tendencia existente, sobre todo en el mundo de la movilidad, el tema del anidamiento de aplicaciones, posibilitando que ciertas aplicaciones accedan a los servicios de otras en tu nombre.  

Y ante esa evidencia, ¿qué hace la administración pública? En realidad poco. No somos imaginativos y seguimos ofreciendo una aproximación convencional, que se basa en campañas de recomendaciones, como esta última de la Oficina de Seguridad del Internauta, en la que se habla de la doble autenticación como la forma de asegurar el acceso. Pero las limitaciones de esas estrategias están incluso contenidas en las propias campañas, como la citada anteriormente, donde reconocen que esos métodos seguros solo están disponibles en un número muy limitado de plataformas. Y cuando haces patente esa limitación, la respuesta de las Administraciones Públicas, tal y como podemos ver en la Agenda Digital, es acudir al mantra salvador del DNI electrónico.

Y mientras el sector privado avanza según sus propios intereses, ya sea tratando de imponer su estándar con el fin de convertirse en el punto de acceso único a los servicios que requieren identificación (ya sea el OpenID, el Fabebook Connect o similares y de los que ya nos ocupamos por aquí en varias ocasiones -La colaboración pública-privada como caso de éxito de la Administración Electrónica anteriores ocasiones y Las administraciones públicas y los ciudadanos-) o estableciendo nuevas formas de acceso seguro a servicios electrónicos como el Mozilla Persona.

¿Cuándo va a cambiar el paso la Administración ¿No hemos aprendido nada del no uso del DNI electrónico sobre todo en temas de firma electrónica? ¿Por qué no nos tomamos en serio nuestra labor y nos implicamos verdaderamente en la construcción de una internet en el que la seguridad sea el primer escalón que fomente el uso de servicios electrónicos?, ¿cuánto costaría tener un portal donde aquellos que lo deseen puedan registrarse y desde allí poder acceder de forma segura y sin transmitir más que los datos que ellos deseen a los servicios electrónicos a los que quieran acceder -tanto servicios electrónicos de administraciones públicas como de compañías privadas-)?

A la vista de cómo las grandes compañías tecnológicas se pliegan a los requerimientos de espionaje ilícito, ¿es más confiable google como garante de tu identidad digital o el estado español? Creo firmemente que un portal que siga la estrategia de estándares abiertos, publicidad  de sus protocolos de funcionamiento interno, transparencia en cuanto al tratamiento de tus datos y publicidad de quien accede a los mismos tendría un éxito asegurado.

Por resumir, el despegue del uso de los servicios electrónicos, tanto públicos como privados, no se producirá sin los siguientes elementos:

  • punto único de acceso a servicios que requieran identificación previa
    • desde donde se pueda acceder a todo tipo de servicios públicos y privados heredando la identificación 
    • que tenga implementados los métodos más usuales de identificación y de integración de servicios de identificación y esté en continua evolución para la implementación de los nuevos estándares o mejores prácticas que se vayan incorporando al mercado
    • que soporte sistemas de identificación fuerte basados en sistemas de firma electrónica o incluso en sistemas de identificación presencial
    • que sea completamente transparente en cuanto a las tecnologías usadas, protocolos de funcionamiento, publicación de de sistemas externos que han accedido a tu usuario, permisos concedidos y datos suministrados a plataformas externas 
    • que ofrezca sus servicios de identificación en los entornos en los que actualmente se mueve el internauta: PC, movilidad, ... 
  • incluso este sistema favorecería la implementación de novedosos sistemas de firma electrónica sin necesidad de la utilización de sistemas basados en firma electrónica avanzada. Me refiero a la utilización de lo que la Ley11/2007 de acceso electrónico de los ciudadano a los Servicios Públicos contempla en su artículo 16 ("las Administraciones Públicas podrán determinar, teniendo en cuenta los datos e intereses afectados, y siempre de forma justificada, los supuestos y condiciones de utilización por los ciudadanos de otros sistemas de firma electrónica, tales como claves concertadas en un registro previo, aportación de información conocida por ambas partes u otros sistemas no criptográficos") y que podrían ser utilizados tanto en servicios ofrecidos por las Administraciones Públicas como en servicios privados (como por ejemplo sustituyendo a las famosas tarjetas de coordenadas bancarias)
Sería, en suma, poner los recursos de la Administración Pública al servicio de la sociedad en su conjunto, construyendo una plataforma de identificación a distintos niveles que sirva como catalizador en el despliegue de distintos servicios electrónicos, aportando confianza, seguridad jurídica y comodidad. ¿Quién da más?



No hay comentarios:

Publicar un comentario