Este post se escribe parafraseando y a raíz de una conversación con Ian Brown, Douwe Korff y Jerry Fishenden.
https://www.ianbrown.tech/2021/04/21/576/
En muchos países, como España, la obtención del DNIe entre otros trámites digitales ofrecidos por parte de las Administraciones Públicas es un proceso tremendamente complejo.
Siendo que no en todos los países es así, es evidente que es debido al tipo de tecnología escogida, en el caso de España, tecnología privativa, con código no auditable, no mejorable y no interoperable, tecnológia invasiva. Tanto es así que por ejemplo la Casa de la Moneda (uno de los principales proveedores de certificados) pide a los usuarios desactivar las protecciones de seguridad de macOS contra el uso de software no firmado, antes que firmar su app de generación de claves. Además, debe habilitarse el seguimiento de terceros en Safari y desactivar el bloqueador de cookies adicional. La página web contiene rastreadores de Google. La aplicación de generación de claves ocupar 140,3 MB. Y con todo ello, hay que acudir presencialmente tras pedir cita previa a través de un formulario que frecuentemente está caído. Por último, existe un abuso en el requerimiento de firma digital: debe firmarse a veces incluso la recepción de nuevos mensajes.
En todos estos casos, ya que la seguridad es dudosa, el resultado/objetivo final es en realidad una recogida excesiva de datos con una visión de superioridad y control orwelliana más que eficaz y de seguridad.
Por todo ello, en otros países, la interacción con los sitios web gubernamentales es generalmente mucho más sencilla, mientras al tiempo los sitios gubernamentales a su vez son ellos mismos más seguros.
Por tanto, la clave es evaluar el riesgo real de seguridad de estos procesos y, a continuación, diseñar los mecanismos de seguridad de forma adecuada, en lugar de tener un proceso de identificación electrónica demasiado sofisticado. Es necesario considerar el equilibrio entre requisitos de seguridad y usabilidad.
Con demasiada frecuencia, parece que se trata de una solución «back-to-front»: anticuada y centrada en la tecnología para las necesidades percibidas y no para los riesgos reales de seguridad. Y el SSO (siglas en inglés) y la «identidad» se unen de forma innecesaria. Sólo utilizamos las tarjetas de crédito/débito cuando necesitamos autorizar un pago; del mismo modo, sólo deberíamos tener que utilizar una «identificación de confianza» en aquellas raras ocasiones en las que estamos obligados legalmente a demostrar algo sobre nosotros mismos (por ejemplo, la mayoría de edad al comprar alcohol o cuchillos).
Las aplicaciones para teléfonos inteligentes controladas por el usuario (al igual que los nuevos DTC de la OACI y los MdL de la ISO – siglas en inglés-) permiten la divulgación selectiva de la identidad y los datos de confianza cuando es necesario. La exigencia arbitraria de una «identificación fuerte» cuando no es necesaria, o la vinculación al SSO (siglas en inglés) sin una buena razón, parecen ser parte de otra agenda.
Más información:
– Nuestro informe sobre el abuso de identificación por parte de las instituciones y la necesaria minimización de datos desde el diseño y por defecto (https://xnet-x.net/identificacion-minimizacion-datos-datosporliebre/) en que defendemos que para acceder a servicios públicos, no debería ser necesario dar tanta información y debería ser suficiente el uso de una dirección de correo electrónico para según qué trámites.
– Jaime Gómez-Obregón e algunas ejemplificadoras respuestas a su tweet:
https://twitter.com/JaimeObregon/status/1413026083537051650
«Las políticas públicas de digitalización están desconectadas de las necesidades reales del país. La ciudadanía pide que funcione la cita previa del DNI, que el certificado digital no sea un yincana y que arreglen Lexnet. Pero nos venden ciudades «smart», «un amazon local»…»
Más fuentes:
– 2020. Fallo concreto: «El DNIe, la vulnerabilidad ROCA y los problemas heredados»,
https://www.elradar.es/el-dnie-la-vulnerabilidad-roca-y-los-problemas-heredados/
– 2017. «El fracaso del DNI electrónico: caos, vulnerabilidades y todavía más confusión»,
https://www.xataka.com/seguridad/los-problemas-crecen-para-un-dni-electronico-que-es-un-fracaso-como-metodo-de-autenticacion
– 2017. «La seguridad del DNI electrónico, comprometida: a quién afecta, por qué y cómo solucionarlo»,
https://www.xataka.com/seguridad/la-seguridad-del-dni-electronico-comprometida-a-quien-afecta-por-que-y-como-solucionarlo
– 2013. «Por qué el DNI electrónico falló en España»,
https://www.eldiario.es/tecnologia/diario-turing/dni-electronico-dnie_1_5816911.html
Últimos posts sobre:
Derechos digitales, datos, IA y neutralidad de la Red
- Enmiendas de Xnet al Proyecto de RD Ley sobre licencias colectivas de propriedad intelectual para IA
- Reclamamos soberanía digital para las personas: nace la coalición
- (En) REPORT – Electoral Integrity and Political Microtargeting: Monitoring European elections 2024 in Spain
- ¿Debemos actualizar las licencias de Software Libre y de Código abierto?
- Organizamos la Conferencia Europea 4D – Digitalización Democrática y Derechos Digitales