La Unión Europea está a punto de aprobar el llamado eIDAS 2, una regulación amplia que establece cómo será la identidad digital europea, y a qué estándares deberán ajustarse todos los proveedores de servicios electrónicos que la gestionen en cualquiera de sus países miembros. Concretamente, la ley creará una app de monedero de identidad digital que permitirá a los ciudadanos de la UE acceder a servicios digitales públicos y privados como Facebook o Google, y pagar en línea, de un modo seguro entre las distintas fronteras, idiomas y sistemas.
Pero más allá de los obvios beneficios para ciudadanos y empresas, la normativa esconde un punto negro en materia de seguridad. Con la publicación de dos cartas abiertas, más de 550 científicos han advertido sobre su artículo 45, que permite a los Estados preinstalar certificados raíz a voluntad en los navegadores, sin que estos puedan comprobar su legitimidad; y también sobre la cuestión de la observabilidad y trazabilidad de los datos que implica el monedero digital.
La propuesta sólo está esperando los últimos ajustes técnicos jurídicos antes de ser adoptada formalmente por el Parlamento y Consejo, tras lo cual puede publicarse y entrar en vigor. Su votación en comisión estaba prevista para el 28 de noviembre, pero fue aplazada oficialmente por motivos “procedimentales” para diciembre, aunque fuentes en Bruselas apuntan a que los eurodiputados no terminan de estar satisfechos con el texto.
Qué es el eIDAS 2
Mediante la identificación online/offline de ciudadanos y residentes, y la vinculación de atributos personales como edad, licencias de conducir o carnets de estudiantes, los europeos podrán demostrar su identidad y compartir documentos electrónicos de sus carteras digitales pulsando un botón en su teléfono móvil.
La Comisión lista varios beneficios indudables para los ciudadanos, que podrán realizar transacciones electrónicas transfronterizas seguras y aprovechar plenamente sus derechos en toda la UE (desde la matrícula en una universidad extranjera hasta el empadronamiento, o el acceso a historiales médicos electrónicos); y también para las empresas, que se beneficiarán de menos trámites burocráticos.
Los expertos coinciden en que el reglamento eIDAS 2 (acrónimo de electronic IDentification, Authentication and trust Services, por sus siglas en inglés) es una gran oportunidad para utilizar las tecnologías existentes, impulsar estándares de seguridad para los proveedores y hacer las transacciones más seguras y cómodas.
Algo más que una evolución de la firma electrónica
La firma electrónica no es algo nuevo para los europeos. El Reglamento eIDAS, vigente desde 2014, habilita servicios de identificación y firma electrónica, obligando desde 2018 al reconocimiento mutuo de identidades electrónicas entre los distintos países de la Unión. Esto es, por ejemplo, lo que en España se integra con las administraciones públicas con el sistema Cl@ve.
Sin embargo, su implantación en el sector público ha sido escasa, y como recoge un informe de la Comisión Europea, solo catorce Estados miembros han notificado al menos un sistema de identidad electrónica. Como resultado de ello, solamente un 59 % de los residentes en la UE tienen acceso a sistemas transfronterizos de identidad electrónica fiables y seguros.
Entre los vacíos de esa directiva están la indefinición de las obligaciones para las autoridades nacionales responsables de la supervisión de los proveedores de servicios, cuestiones jurídicas y técnicas de interoperabilidad transfronteriza y que no cubre las nuevas tecnologías surgidas desde 1999, como la firma móvil o en la nube.
En 2021 se presenta la propuesta de una evolución del reglamento, el eIDAS 2, que ofrecerá una Identidad Digital Europea única, que habilite a una gran mayoría de ciudadanos para realizar cualquier trámite, público o privado, con mayor seguridad y control de los datos.
Los problemas de seguridad en eIDAS 2
El nuevo reglamento es muy ambicioso y tiene muchas cosas buenas, según Juan Tapiador, uno de los científicos que ha firmado la carta. El texto final menciona repetidamente la necesidad de una Cartera Digital Europea para proteger la privacidad, incluyendo la minimización de los datos y la prevención del perfilado.
Pero lo que propone permite que gobiernos y proveedores de servicios se vinculen innecesariamente y tengan pleno conocimiento de los usos de las credenciales, según los investigadores.
Subsisten algunos problemas de seguridad en el último borrador, donde el texto es ambiguo, y eso es incomprensible para los científicos, que consideran que no exigir tanto la disociabilidad como la inobservabilidad comprometerá gravemente la privacidad de los ciudadanos de la UE. Más aún cuando entendemos el alcance tan amplio de los usos de este sistema, que afecta a todas las áreas de la vida desde la salud, finanzas, comercio, actividad online hasta transporte público.
«En el campo de refugiados de Calais se usaba el acceso a comida, agua y protección como forma de conseguir las huellas dactilares de forma ‘voluntaria’ de las personas refugiadas. Me preocupa la cantidad de escenarios similares que se puedan producir”.
Javier Sánchez Monedero lleva tiempo investigando sobre cómo incorporar la justicia social en la auditoría y diseño de sistemas inteligentes. También se muestra preocupado por la interconexión y el acceso a datos de identificación tal como está planteado en el eIDAS. “Obviamente hay una parte positiva respecto a estandarización de certificados, etc. pero me parece realmente preocupante esto de la identidad y biografía común e interoperable. Esto ya lo tenemos con el pasaporte electrónico en parte. Pero me preocupa que toda la vida e historia de una persona quede conectada y con acceso a gobiernos y capacidad de interceptar comunicaciones como dicen en la carta”.
Los certificados raíz en eIDAS
Uno de esos problemas está en el artículo 45, que define los requisitos de los certificados de autenticación de los sitios web, o certificados raíz. En criptografía, un certificado raíz es un certificado emitido por la autoridad de certificación para sí misma, y sirve a los servidores web que lo incorporan para comprobar que el Certificado que le presenta un usuario está firmado por una autoridad de confianza y por lo tanto, es confiable. Los certificados raíz verifican que los usuarios de software y los sitios web son quienes dicen ser, y son cruciales para la seguridad en línea.
En la primera versión del eIDAS se interpretaba que tendríamos que tener navegadores donde las autoridades de certificación designadas por los Estados iban a venir preinstaladas. Pero no solo eso, sino que además los navegadores no podían implementar medidas de seguridad para comprobar la legitimidad de estos certificados. Y además el usuario no podría desinstalarlas del navegador sin la autorización del Estado.
Esto es problemático porque cualquier certificado raíz en el que confíe el navegador puede utilizarse para comprometer un sitio web. Existen múltiples casos documentados de abuso, ya que la seguridad de algunas autoridades de certificación se ha visto comprometida. La autoridad controlada por el gobierno o cualquier proveedor de servicios podría entonces interceptar el tráfico web no sólo de sus propios ciudadanos, sino de todos los ciudadanos de la UE, incluida información bancaria, información legalmente privilegiada, historiales médicos y fotos familiares.
Este artículo no ha sido modificado en el último borrador. Se ha matizado a través del considerando 32, en el que se dice que los navegadores van a seguir teniendo libertad para seguir aplicando sus mecanismos de transparencia. Pero según varios juristas consultados por los firmantes de la carta, el considerando no tiene tanta fuerza legal como un artículo del reglamento. Estos expertos además confirman que la redacción es lo suficientemente ambigua como para que alguien pueda interpretar que es legal hacer esto.
El problema del monedero digital
El monedero móvil, la aplicación donde se van a guardar documentos, atributos de identidad y transacciones, también es un punto oscuro del eIDAS para los investigadores en seguridad. La regulación establece unos límites de privacidad para el wallet digital que no son suficientes para los investigadores.
“Las tecnologías como por ejemplo, el uso de credenciales anónimas para garantizar propiedades de no observabilidad y garantizar la no trazabilidad, existen”, explica Tapiador. “Hay una serie de tecnologías criptográficas muy maduras que tienen que ver con, por ejemplo, el uso de credenciales anónimas que están en el estado del arte de la comunidad, que se podrían incluir y le proporcionarían a los ciudadanos unas mayores garantías”.
Esto garantizaría a un nivel técnico que no sea posible vincular dos transacciones que deberían ser privadas, por ejemplo, o que no es posible vincular elementos de un documento con elementos que aparecen en otro documento. Se puede técnicamente demostrar, por ejemplo, la mayoría de edad, para acceder a unos servicios sin necesidad de transferir credenciales al proveedor de servicios, y bastaría con usar unas pruebas matemáticas que le garantizan a la otra parte que tú eres mayor de edad. También para demostrar que tienes una determinada propiedad, que tienes un título, que tienes un atributo sin necesidad de hacerlo. “Técnicamente es posible”, aseguran los científicos.
“Respecto a fronteras, migrantes, o pobres europeos, la idea de que uno pueda tener su vida digitalizada y que autorice accesos parciales y temporales de manera voluntaria, consciente y libre me parece deliberadamente ingenua”, opina Sánchez Monedero. Como ejemplo señala que una persona que quiera un descuento en un seguro ya se instala una app que le espía y perfila mientras que ciudadanos con más dinero no se plantean eso por un descuento. De la misma manera para otros casos como una entrevista de trabajo, acceso a un albergue, o recursos.
“Cuando estuve en 2016 en el campo de refugiados de Calais (Francia), se usaba el acceso a comida, agua y protección como forma de conseguir las huellas dactilares de forma ‘voluntaria’ de las personas refugiadas”, recuerda el investigador. “Me preocupa la cantidad de escenarios similares que se puedan producir”.
- Juan Tapiador, profesor de Ciencias de la Computación y firmante de las cartas.
- Javier Sánchez Monedero, investigador en el departamento de Ciencias de Computación de la Universidad de Córdoba
- Propuesta de Reglamento del Parlamento Europeo y del Consejo por el que se modifica el Reglamento (UE) n.º 910/2014 en lo que respecta al establecimiento de un Marco para una Identidad Digital Europea. Borrador acordado
- Carta abierta sobre la posición de científicos y ONG sobre la reforma de la identidad digital propuesta por la UE del 8 de noviembre
- Declaración de los científicos y ONG del 23 de noviembre
- Preamble (citations and recitals), Europe Interinstitutional Style Guide
- Sistema europeo de reconocimiento de identidades electrónicas – eIDAS
- Iranian Man-in-the-Middle Attack Against Google Demonstrates Dangerous Weakness of Certificate Authorities, EFF
- Security breach in CA Networks
- Foto: Votación de la Comisión de Industria, Investigación y Energía Emilie Gomez | EU/EP
0 Comentarios