Sistema Confiable Vs. Dispositivo Seguro

A menudo nuestros clientes nos preguntan sobre la seguridad de nuestro software  y las innovaciones en relación a la identificación digital y la firma electrónica que incorporamos al mercado. Las dudas surgen desde un mercado de un remarcado carácter dogmático. La firma electrónica inicia su andadura hace mucho tiempo* y su  evolución y adaptación a los nuevos tiempos ha sido escasa hasta el nuevo reglamento eIDAS tanto en lo técnico como en lo jurídico. Esto se produce exactamente 20 años después de sus inicios por lo que podemos sospechar cual es el grado de separación con la tecnología y las necesidades actuales de las organizaciones. La buena noticia: que esto ya pasó y tenemos el nuevo reglamento para impulsar el cumplimiento de desafíos pendientes en la identificación digital y la firma electrónica.

Las lecciones aprendidas desde entonces y la necesidad del mercado de proteger relaciones  entre personas y/u organizaciones con base en Internet impulsan el nuevo reglamento. Este impulso propone el “Renacimiento de la Firma Electrónica” y un cambio de paradigma que dará lugar reflexiones de todo tipo.

Antes de comenzar debemos de tener en cuenta algo: hoy el cliente manda y ocupará el centro de todo en la próxima década. Las personas desempeñamos distintos roles en nuestras vidas, tales como: clientes, ciudadanos, pacientes, ejecutivos. Las organizaciones y las personas necesitan proteger las relaciones con base online, sí,  pero son estas últimas quienes imponen la necesidad de que los medios utilizados sean útiles y fáciles de usar, además de fiables. Este planteamiento, además de razonable, es básico para entender el resto.

Por último y antes de comenzar explicar que el objetivo de este artículo es el de explicar las causas que propician este cambio en la industria de la firma electrónica. Este artículo no tiene el objetivo de hacerles cambiar de opinión, como mucho apunta a hacerles dudar de la que tienen.

Comenzamos…

¿Cuáles son las causas que propician pensar de otra forma en la industria de la firma?

La primera: “La Identificación Digital”.

La máxima garantía de la identidad de una persona en el modelo actual es la verificación de la identidad en un acto de personación del firmante en un espacio físico. Para el uso de certificados electrónicos esto se realiza habitualmente ante una Entidad de Registro del Prestador de Servicios de Certificación / Autoridad de Certificación. Este modelo es muy robusto, sobre todo si lo comparamos con el modelo anglosajón propuesto por la common law, donde a menudo la autenticación por correo electrónico o móvil es más que suficiente para comenzar una relación confiable en cualquier negocio. Europa se ha mantenido firme en este requerimiento y lo traslada como básico a otras industrias, como el nuevo reglamento de blanqueo de capitales para el sector financiero.

Como novedad, el nuevo reglamento eIDAS permite algunas licencias para que este acto pueda ser realizado por otros tipos de medios con base electrónica, abriendo así la posibilidad a una transformación de las organizaciones donde la relación pueda ser realizada en un entorno cien por cien digital.

Aun así, con lo que respecta a este modelo de identificación basado en un solo acto de verificación, está lejos de ser totalmente fiable, ya que delega la mayor parte de la seguridad del proceso a una persona. Por tanto, este modelo ofrece un espacio al fraude, que aunque es un espacio pequeño puede ser mejorable.

Nuestra compañía lidera el pensamiento y el desarrollo de tecnología en esta materia. Primero porque ha desarrollado mecanismos fáciles de usar para evitar los desplazamientos de las personas en el acto de verificación de su identidad. Tanto la verificación de la identidad desde cualquier certificado electrónico reconocido (Servicio Cert ID) como la posibilidad de la identificación remota por video (Servicio Video ID) aportan al mercado mecanismos únicos y fáciles de usar para evitar desplazamientos y pérdidas de tiempo innecesarios a los usuarios. Con esto además se disminuye el time-to-market en los procesos de adquisición de clientes y usuarios al ecosistema y se ahorran costes. Todo esto se realiza bajo los requerimientos planteados por el reglamento eIDAS.

Adicionalmente nuestro software es el único que trata y fortalece la identidad de las personas en el tiempo, porque cambia el paradigma actual de una sola identificación por varias posibles y añade cualquier evidencia de la identidad en el tiempo, como son las notificaciones electrónicas certificadas al correo electrónico, video, contraseñas de un solo uso, pagos, de carácter sociales, etc.. Fortaleciendo sin límite las garantías para el “no repudio”.

Como valor extra a estas afirmaciones siempre retamos a nuestros clientes a que piensen el ciclo de valor de identidad de sus clientes y personas que componen su ecosistema: el requerimiento para la máxima garantía es la verificación presencial de la identidad, sin embargo, el cómo llegar a esa garantía como objetivo final no debe de impedir comenzar la relación en etapas tempranas. Es importante medir este valor en el tiempo y alinearlo con el planteamiento táctico de la organización: sus estrategias de canal, nivel de riesgo de los procesos, etc.

Como resumen: ponemos encima de la mesa mecanismos novedosos para evitar el acto físico de personación a la hora de comenzar una relación de negocio haciendo así posible relaciones puramente digitales; proponemos un cambio de paradigma disruptivo en la garantía de la identidad de las personas y una versatilidad muy interesante a la hora de fomentar relaciones con potenciales clientes y usuarios.

La segunda: “Los sistemas descentralizados dan paso a sistemas centralizados para la gestión de certificados”

Para ganar en facilidad de uso, el eIDAS permite cambiar la molesta e inusable chipetera y los certificados instalados en el repositorio del navegador por una gestión centralizada de los mismos. Este pequeño hecho impulsa un cambio no solo en términos de facilitar el uso de la identificación digital y la firma, por ejemplo llevándola a la movilidad,  sino también un paso importante para incrementar la seguridad del sistema.

Para entenderlo debemos de pensar que la seguridad actual descansa hasta ahora  en un dispositivo aislado. El proceso de seguridad actual se supedita a un todo lo que se pueda hacer en relación a este dispositivo. El nuevo modelo plantea el control de certificado desde un sistema que puede ser más complejo y sofisticado: en este modelo el dispositivo de firma es importante en el proceso de seguridad pero es solo una parte más que se puede complementar con otras cosas –que después explicaremos-, haciendo finalmente un sistema más fiable y seguro que los actuales.

La realidad es que la concepción del Dispositivo Seguro de Creación de Firma (DSCF) nunca fue del todo acertada: a alguien he escuchado que se debería de haber llamado DCSCF-Dispositivo Casi Seguro de Creación de Firma, puesto que en cualquier de los casos son reconocidas su vulnerabilidades. La vulnerabilidad  es reconocida desde los certificados electrónicos instalados en el repositorio de un PC, que a menudo delegan su seguridad a la autenticación desde un sistema vulnerable como es el sistema operativo, hasta las vulnerabilidades reconocidas de certificados instalados en tarjetas criptográficas y su chipetera.

El nuevo modelo centralizado de gestión permite cosas muy interesantes de cara a fortalecer la fiabilidad del sistema, como por ejemplo:

Facilita la doble autenticación

Nuestro sistema permite la realización de una autenticación extra previa al uso de certificado para la firma. Esta doble autenticación se realiza bien por correo electrónico, por una OTP al móvil o incluso con las dos, fortaleciendo así la seguridad del proceso de realización de firma en el dispositivo o  en el proceso de expedición del certificado.  Esto, añadido al PIN obligatorio que permite el cifrado asimétrico y una fiabilidad alta en el exclusivo control del firmante, incrementa sobremanera la fiabilidad del proceso de firma.

El sistema de cifrado asimétrico basado en un sistema de infraestructura pública (PKI) junto con la doble autenticación es comúnmente aceptado y usado como un estándar de máxima seguridad en otros sectores que requieren de alta fiabilidad como es el caso de los medios de pago electrónicos, lo que reafirma nuestra apuesta por el mismo.

Las notificaciones

El modelo centralizado suma un extra de seguridad al sistema gracias a las notificaciones electrónicas certificadas. Nuestro software envía automáticamente notificaciones al correo electrónico del propietario del certificado cada vez que se su certificado se expide, se usa o se revoca. De esta forma el firmante es consciente en todo momento de lo que pasa con su certificado, tanto en el uso adecuado como en el potencial mal uso.

Las notificaciones permiten un mayor control del certificado por parte del firmante y mayor previsión sobre posibles casos de uso malintencionado o fraude.

El bloqueo del certificado

 

En el modelo tradicional descentralizado es habitual ver certificados electrónicos instalados en los repositorios de los navegadores y usarse sin ninguna clave privada, delegando toda la seguridad de una firma avanzada a la seguridad del sistema operativo, lo que está lejos de cualquier estándar alto de seguridad. La otra opción, por ejemplo con el uso de chipeteras y dispositivos seguros basados en USBs, donde el certificado electrónico se destruye tras 3 intentos erróneos al introducir al PIN y para regenerarlo, el usuario tiene que volver a la oficina física a solicitar una nueva expedición.

El modelo con el control centralizado implantado en nuestro software permite este último estándar de seguridad, interesante de cara a ataques maliciosos por fuerza bruta. Es la política de seguridad de la organización quién puede seleccionar si el certificado se bloquea temporalmente o no, con cuantos números de intentos y en que plazo de tiempo se puede desbloquear. De esta forma introducimos un mecanismo de seguridad de alto nivel, pero se introduce como un método alternativo y no obligatorio a la elección de cada cliente y por el otro intentamos evitar el desplazamiento para una nueva expedición con el desbloqueo del certificado en un periodo de tiempo a seleccionar.

La versatilidad de las soluciones

Actualmente el control y seguridad en el proceso de firma recae sobre el firmante y de los dispositivos de firma: esto ha forzado a la adopción de sistemas complejos y difíciles de usar, porque buscaban la máxima seguridad ante la desprotección inherente de la descentralización del modelo. Esta complejidad de las soluciones es reconocida para firmas avanzadas que requieren el mayor nivel de protección jurídica pero aplica  también a cualquier necesidad que no requiera de este nivel de protección.

Podemos decir que los certificados en el navegador y en tarjetas criptográficas con dispositivos seguros de firma son las únicas soluciones que tenemos disponibles y que son muy difíciles de usar y de adaptar. La consecuencia es una falta de versatilidad tremenda y una limitación importante del número de cosas que se pueden hacer con la firma actual.

En el mundo en el que vivimos las organizaciones buscan justamente lo contrario: soluciones versátiles que se adecuen a los canales y procesos y al nivel de riesgo de cada instante. No ven la identificación y la firma como un todo sino simplemente como un añadido más de sus procesos de negocio. La versatilidad que hoy se requiere tiene que ver con la llamada economía API, donde se pueden usar pequeños servicios para adaptarlos fácilmente a cada situación y a cada momento.

La versatilidad en el sistema es una de las principales ventajas del Software eID, que se basa en un API para ofrecer pequeños servicios. Esta versatilidad es un punto importante a tener en cuenta porque facilita la adopción de sistemas de identificación y firma, pudiéndose adaptar a cualquier proceso, de forma sencilla y en cualquier situación

La tercera: La verificación de la firma.

Los dispositivos de verificación de firma tradicionales verifican la integridad del contenido con los certificados y verifican el estado del certificado. Con todo, devuelven un valor sobre si la integridad del contenido es correcta o no y su vinculación con el autor de la firma.

El dispositivo de verificación de firma del Software eID añade dos características muy interesantes a lo que ya conocemos:

La primera se basa en la trazabilidad y la federación de identidades. El dispositivo de verificación permite una consulta dinámica sobre el historial del valor de la identidad del firmante. En el modelo actual conocemos si el certificado del autor esta revocado o vigente. Con nuestro software podemos conocer además las últimas actualizaciones sobre el valor de su identidad.

Gracias al módulo de trazabilidad y a un sistema centralizado de gestión de certificados el dispositivo de verificación de firma contempla la posibilidad de emitir un documento que certifica el valor y el detalle de cada evento desde el inicio hasta el fin de la firma.

Adicionalmente al Servicio de Verificación de Firma eID  el propio Adobe Acrobat puede ser usado como dispositivo de verificación.

Como conclusiones

El eIDAS altera el actual modelo de identificación de personas, gestión de certificados y realización y verificación de la firma electrónica. Nuestro sistema es más fiable, más versátil  y fácil de usar.

Respecto a la identificación digital con lo que respecta a las firmas con mayores garantías, nuestro software es único en desarrollar mecanismos para evitar el acto de personación física. Las organizaciones ya pueden gestionar relaciones protegidas jurídicamente y puramente digitales gracias al Cert ID (basado en la verificación de la identidad por certificados electrónicos reconocidos) o al Video ID, identificación por video remoto.

Al mismo tiempo permite ofrecer opciones más versátiles donde el riesgo es más limitado, a través de las evidencias de la identidad con una firma electrónica que basa la identificación en la autenticación del correo electrónico y móvil.

Así mismo, cambia el paradigma de la máxima garantía de la identidad basada en un solo reconocimiento para convertirlo en un valor incrementado e ilimitado, gracias a la acumulación de verificaciones y evidencias de la identidad en el tiempo, pudiendo aumentar la fiabilidad del conjunto del sistema.

Nuestro Software eID mejora la seguridad actual de los sistemas de firma electrónica simplificando su uso, gracias a desplazar la seguridad de los dispositivos aislados de firma por un complejo y sofisticado sistema que mira la seguridad de forma holística y no de forma aislada:

  • Facilita la doble o triple autenticación previa a la firma;
  • Permite la ganancia de consciencia y previsión de fraude gracias a las notificaciones certificadas al propietario del certificado en la expedición, uso y revocación de su certificado;
  • Incrementa la garantía de la identidad del firmante en el tiempo;
  • Trata la identidad de forma dinámica y no estática lo que añade un plus inteligencia al sistema y su fiabilidad.

*La ley de firmas digitales del Estado de Uath, 1 de mayo de 1995 es considerada (la primera ley de firma electrónica del mundo.

¿Quiere conocer más acerca del Software eID?

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies