La identificación digital aprendiendo de las identificaciones tradicionales (parte 1: el camino recorrido)
sin categoría
La evolución de la identificación digital
Durante varias décadas en el mundo digital utilizamos una identificación específica en cada uno de los sistemas, portales o servicios digitales; generalmente mediante la combinación de un usuario y una contraseña. A diferencia de las identificaciones tradicionales, en el mundo digital es necesario una identificación y una verificación de la identidad, dado que no estamos presentes para demostrar que efectivamente somos nosotros y ¡estamos vivos! La identificación y la verificación combinadas se conocen como autenticación y el acto de autenticarse también se conoce como “login” (por su nombre en inglés log-in). En definitiva, las personas contamos con credenciales que nos permiten identificarnos e ingresar a sistemas informáticos accediendo a información personal. La identificación digital es un componente esencial y sumamente crítico dado que es la frontera entre el mundo digital público y nuestros datos y servicios personales.
Fuera del mundo digital, obtenemos nuestra identificación nacional (DNI, cédula, etc) en una organización reconocida y lo utilizamos en muchos lugares públicos y privados. Lo mismo sucede con el pasaporte que utilizamos en todas las fronteras. De esta forma, contamos con un conjunto reducido de identificaciones emitidas por organizaciones reconocidas, en las cuales confía todo un ecosistema compuesto por múltiples organizaciones públicas y privadas según sea el caso.
Desde hace varios años, las identificaciones digitales están evolucionando hacia un comportamiento similar al de las identificaciones físicas. Así es como diversos servicios digitales en Internet comenzaron a integrar proveedores de identificación y, de forma análoga, grandes concentradores de credenciales de usuarios comenzaron a posicionarse como proveedores de identificaciones digitales. Hoy en día es posible ingresar a Spotify, Booking y muchos portales y servicios digitales utilizando una cuenta (identificación) de Google, Apple, LinkedIn o Facebook, entre otras.
Esta tendencia, donde las identificaciones digitales se están acercando al comportamiento de las identificaciones tradicionales, simplifica y reduce riesgos en el mundo digital. Podemos contar con un número reducido de identificaciones, pero más seguras y utilizarlos en múltiples servicios digitales. La siguiente imagen ilustra algunos ejemplos:
No todos los proveedores de identificaciones poseen las características necesarias para ser utilizados en sectores que gestionan información muy sensible como la salud, el sector financiero o el Estado. En sectores menos sensibles, si ingresamos a un servicio como Spotify con una cuenta que no nos identifique (ejemplo “pepe@gmail.com”) de Google pero ingresamos un medio de pago válido, Spotify nos va a habilitar sus contenidos ya que no le interesa realmente qué persona está atrás de “pepe@gmail.com”. Esto no es posible en muchos casos donde se gestiona información confidencial o sensible para el usuario.
Algunos países, fundamentalmente en el sector público, desde hace unos años vienen construyendo un ecosistema con proveedores de identificación que cumplen determinadas condiciones, aptos para utilizarlos en el sector público. Es necesario desarrollar estrategias, marcos regulatorios, estándares y requerimientos que aseguren que las identificaciones digitales estarán aptas para los servicios digitales del ecosistema, tal como sucede con los proveedores de identificaciones tradicionales o físicas (DNI, Cédula de Identidad, Pasaporte, etc).
Ecosistema a nival nacional
En muchos países se están desarrollando servicios de identificaciones digitales donde un único usuario / contraseña de cada persona es utilizado para identificarse digitalmente en muchos servicios digitales, en algunos conocidos como “cuenta única”. En Uruguay y Brasil, inspirados por el marco normativo y las buenas prácticas promovidas por la Unión Europea, se avanzó hacia un nivel más en este sentido. Así fue como nacieron los brokers de identificaciones digitales en la región.
Un broker de identificaciones digitales es una plataforma que se posiciona entre sistemas digitales y proveedores de identificaciones digitales. Por un lado, integra proveedores de identificaciones digitales aptos para su ecosistema. Por otro lado, se integra a servicios digitales (trámites en línea, portales, sistemas de gestión del Estado, etc) que, de esta forma, heredan todo el ecosistema de identificaciones digitales. El siguiente esquema ilustra esta situación en forma simplificada:
Un ciudadano que necesita acceder a un servicio digital del ecosistema, a través del broker elige un proveedor de identificación, se identifica digitalmente en su proveedor y regresa al servicio accediendo a su información personal. Los servicios delegan en los proveedores integrados al broker la identificación digital (o autenticación) de personas. De esta forma, la identificación digital de las personas es única para todo el ecosistema, como sucede en las identificaciones tradicionales. El control de acceso lo define en forma específica cada servicio digital en función del perfil o rol de la persona que se identificó y el nivel de confianza de la identificación que utilizó, de la misma forma que sucede en nuestra vida no digital.
En Uruguay, el broker ID Uruguay [i] está en funcionamiento desde 2018 y actualmente posee 4 proveedores de identificaciones digitales regulados por la Unidad de Certificación Electrónica [ii] que gestionan tres niveles de confianza o seguridad en la identificación digital [iii]:
- Básico: Un usuario que se registró en línea, validó la cuenta desde su correo y el sistema realizó algunos chequeos simples, pero no hay garantías de que la persona sea quién dice ser ya que no fue validada su identidad. Cuando se identifica digitalmente (autentica) utiliza su usuario y una contraseña fuerte.
- Intermedio: Un usuario que inicialmente era básico y validó su identificación por algún medio habilitado (presencialmente, video llamada utilizando biometría facial o utilizando la firma digital). Cuando se identifica digitalmente utiliza su usuario, una contraseña considerada fuerte y un segundo factor de autenticación (un OTP – one time password o código de un solo uso– generado por una app en su celular o un OTP enviado a su correo electrónico).
- Avanzado: Un usuario que se registró en un proveedor en forma presencial y se realizó una validación biométrica de su huella digital con el registro público. El registro tiene vencimiento por lo que es necesario renovarlo periódicamente. Cuando se identifica digitalmente (autentica), lo hace a partir de un certificado digital reconocido por la Infraestructura Nacional de Claves Públicas, utilizando la firma electrónica avanzada para identificarse digitalmente. Este nivel según la normativa uruguaya se considera equivalente a la identificación presencial con el documento de identidad nacional.
Actualmente hay más de 170 servicios, portales, organismos públicos y sistemas digitales orientados al ciudadano, pero también de gestión interna del Estado integrados a ID Uruguay [iv]. En promedio, en días hábiles se realizaron más de 70.000 identificaciones diarias durante 2024 y desde 2023 el uso del nivel avanzado superó al básico, logrando más seguridad y confianza en la identificación digital en todo el ecosistema.
La Dirección General Impositiva (DGI)[v] en Uruguay siempre fue un socio clave para el desarrollo del gobierno digital, apoyando la estrategia promovida por la Agencia de Gobierno Electrónico y Sociedad de la Información y del Conocimiento (AGESIC)[vi] para impulsar el desarrollo del gobierno digital en el país. En la identificación digital no fue la excepción y desde el inicio apoyó esta iniciativa sumándose gradualmente a la plataforma ID Uruguay [vii]. A mediados de 2024, más del 95% de las personas físicas que accedían a la DGI lo hacían con alguna identificación digital de ID Uruguay y más del 70% de las empresas, también accedían utilizando el ecosistema de ID Uruguay. Esta decisión de la DGI ha sido clave para el desarrollo del ecosistema de ID Uruguay. Actualmente, los accesos a DGI mediante ID Uruguay son aproximadamente el 50% del total de accesos a través del ecosistema de ID Uruguay.
Brasil posee un broker, llamado GOV.br [viii] con las mimas características técnicas y con tres niveles de seguridad: plata (equivalente al básico), bronce (equivalente al intermedio) y oro (equivalente al avanzado). El caso de GOV.br es interesante no solo por su volumen (4.500 servicios digitales integrados y 300 millones de accesos por mes), sino porque ha logrado incluir a los principales bancos locales como proveedores de identificaciones en su broker:
Esto implica que una persona que tenga una identificación digital en un banco pueda utilizarla para identificarse en los servicios públicos integrados a GOV.br. Se trata de un excelente ejemplo de uso de identificación digital a través de un broker en un ecosistema público – privado. Las organizaciones privadas pueden constituirse como proveedores de identificación, siempre y cuando cumplan con los requerimientos del ecosistema y también como consumidores, tal como lo son los servicios digitales integrados al broker.
Este nuevo concepto de identificación digital donde las personas son los dueños de sus identificaciones en diferentes proveedores y las utilizan en múltiples organizaciones públicas y privadas es uno de los pilares de la Infraestructura Pública Digital (o DPI por sus siglas en inglés) tan promovida por diversas organizaciones internacionales y definida como “un conjunto de sistemas digitales compartidos, seguros e interoperables, construidos sobre tecnologías abiertas, para ofrecer un acceso equitativo a servicios públicos y/o privados a escala social» por los líderes del G20 en 2023 [ix].
Ecosistema de identificaciones nacionales más seguro
Un broker es una parte crítica de un ecosistema de identificación digital en un país, pero a través de su regulación debe exigir controles y requerimientos de seguridad a los proveedores de identificación digital integrados. Esto repercute directamente en beneficio de todo el ecosistema logrando identificaciones digitales más seguras y confiables.
Asimismo, un broker centraliza un volumen muy grande de eventos relacionados a identificaciones digitales a nivel de un país. Esta situación facilita desarrollar controles e integrarlo a servicios sofisticados de seguridad, incluyendo herramientas basadas en el uso de Inteligencia Artificial y/o un Cetro de Operaciones de Seguridad (SOC, Security Operation Center) que eleven considerablemente la seguridad en la identificación digital a nivel país. Esta centralización de información también genera mucha riqueza en cuanto a estadísticas sobre usos de servicios digitales, información importante para la toma de decisiones, por ejemplo, para el diseño de políticas públicas o para estudios de impacto económico, por ejemplo, en reducción de costos y tiempos para toda la ciudadanía.
[i] Más información sobre ID Uruguay: https://www.gub.uy/agencia-gobierno-electronico-sociedad-informacion-conocimiento/id-uruguay
[ii] Portal de la Unidad de Certificación Electrónica: https://www.gub.uy/unidad-certificacion-electronica/
[iii] Política de Identificación Digital: https://www.gub.uy/unidad-certificacion-electronica/comunicacion/publicaciones/politica-identificacion-digital
[iv] Acceso a ID Uruguay: https://mi.iduruguay.gub.uy/login
[v] Administración Tributaria en Uruguay, Dirección General Impositiva: https://www.gub.uy/direccion-general-impositiva/
[vi] Portal AGESIC: https://www.gub.uy/agencia-gobierno-electronico-sociedad-informacion-conocimiento/
[vii] Video promocional ID Uruguay – DGI (2021): https://www.youtube.com/watch?v=jAvWrZAYA6Q&t=124s
[viii] Acceso a GOV.br: https://sso.acesso.gov.br/
[ix] Declaración de los líderes del G20 en Nueva Delhi 2023: https://www.undp.org/india/press-releases/g20-digital-ministers-recognize-digital-public-infrastructure-accelerator-sdgs
11 total views, 11 views today
Compartilo en Twitter
Compartilo en WhatsApp
Leer en https://www.ciat.org/ciatblog-la-identificacion-digital-aprendiendo-de-las-identificaciones-tradicionales-parte-1-el-camino-recorrido/