Identificación digital

Los estados son dinosaurios y como consecuencia operan sobre una serie de supuestos que con el transcurso del tiempo pueden haber perdido su vigencia y más ahora en la era de Internet y las tecnologías digitales, es el caso de la identificación de los ciudadanos.

En países como Inglaterra los ciudadanos no han permitido al estado hacer inventario de sus ciudadanos como si de reses se tratara, por el contrario en otros como Colombia tenemos un registro detallado del rebaño. La discusión si esto es bueno o malo, … la dejo a un lado aceptando este hecho como una realidad que en el mediano plazo no va a cambiar pero siendo un apasionado por Internet, sistemas de autenticación, privacidad y tecnologías informáticas/digitales … me atrevo a hacer un análisis de lo que está pasando y a proponer lo que debería pasar.

Lo que está pasando es que la tecnología ha cambiado tanto que el estado tiene casi que la obligación de modernizarse implementando soluciones tecnológicas y debe hacerlo desde su ignorancia respecto a la tecnología emergente. Digo que es ignorancia por que mi punto de referencia es una comparación de la competencia/eficiencia del estado frente a la de multinacionales como Google tomando como referencia las soluciones tecnológicas que cada uno ofrece y la gestión del recurso humano competente en este campo.

Hasta el momento ha sido misión de la Registraduría General de la Nación alimentar y administrar el registro de los ciudadanos colombianos y el medio que nos ha dado para identificarnos es la cédula de ciudadanía. Si todo se hiciera de forma presencial exclusivamente la cédula es una forma decente de solucionar el problema de identificar una persona pero con la aparición del teléfono, las tecnologías digitales, los computadores e Internet todo ha cambiado, inicialmente pasamos de presentar la cédula en persona a dar el número de la cédula por teléfono para identificarnos y ahora en la modernización del estado y del sector privado nos piden el número de cédula para identificarnos en sitios web y esto ha traído como consecuencia la prostitución de los números de cédulas de los ciudadanos que hasta se pueden comprar de forma ilícita en los alrededores del centro de venta de computadores Unilago (reportaje periodístico que ahora no encuentro) y como consecuencia cualquiera que conozca el número de cédula de un ciudadano tiene la puerta abierta (o parcialmente abierta) para suplantarlo.

En el colectivo RedPaTodos vemos con preocupación la cantidad de datos que el estado y el sector privado tienen de los ciudadanos y que pone a disposición solicitando simplemente el número de cédula, por ejemplo gracias a Andrés Gómez, colombiano que trabaja en el CERN y que hizo un rápido estudio de la aplicación Verifiquese sabemos que lo que hace son consultas web a páginas de terceros (estado y privados).

Teniendo en cuenta los generalizados niveles de analfabetización digital respecto a la seguridad informática no es viable elegir el método de autenticación “más seguro” pues este sería demasiado complejo, incomprensible inmanejable y un desastre. En la práctica sería como darle un computador a un cavernícola y por ello se debe optar por un método que brinde un nivel aceptable de seguridad  (mirando hacia el futuro) pero que la población lo pueda aprender a usar y creo que en este punto está la propuesta de FIDO, que seguramente tendrá una fuerte aceptación en el mercado al ser abierto, escalable e interoperable y prueba de ello es que Google ha hecho el primer despliegue a larga escala de la tecnología.

Pero como sería el asunto?

Bueno se usaría U2F y para ello la cédulas que tenemos ahora se cambiarían por llaves de autenticación criptográfica USB que nos entregaría la Registraduría y que llamaré criptocédulas. Como hasta ahora, el número de cédula sería el mismo toda la vida.

Yo creo que que la Registraduría se especializaría en la instalación, aseguramiento y administración de los servidor(es) FIDO que usarían todas las otras entidades del estado donde el nombre de usuario de cada uno sería el número de la cédula y de esta forma tendría la posibilidad de impedir el acceso a cualquier sitio en caso de la pérdida de la cédula, aclaro que la idea sería pedir el nombre de usuario, el password y la criptocédula razón por la cual la perdida de la criptocédula no es tan grave pues hace falta el password para ingresar.

Como funciona fido? un video para entender: http://vimeo.com/yubikey/fido-u2f

De ser como propongo, la Registraduría tendría un papel muy importante que jugar en todas las propuestas de MinTIC pues la autenticación e incluso el acceso a archivos privados del ciudadano que deberían estar encriptados, debería hacerse mediante la criptocédula.

Creo que es un peligro dejar todo en manos de MinTIC pues es un experto en subcontratar pero no en estándares, seguridad o privacidad y lo digo al ver programas bandera como apps.co. Además no conoce a profundidad ni es responsable de la identificación ciudadana y otras misiones que han sido encargadas a determinadas ramas del estado para las cuales hay leyes y regulaciones, debe participar claro pero no asumir tareas que no le corresponden.

Anuncios

One Response to Identificación digital

  1. Pingback: Identificación digital | Noticias de mi Tierra

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s