Por: Alberto Iglesias Fraga, periodista especializado en economía digital.
Demostrar que somos quienes decimos ser ha sido una constante preocupación en materia de seguridad desde que los seres humanos, organizados en pequeñas comunidades, comenzaron a interactuar con personas de otros grupos a los que no conocían cara a cara. Y de los métodos rudimentarios (incluso basados en la mera palabra del interlocutor o cartas de presentación), este aspecto ha ido evolucionando con el tiempo hasta los métodos de identificación que todos conocemos: el Documento Nacional de Identidad (DNI), pasaportes o carnés de conducir.
Con ellos se solucionaba el reto de documentarnos físicamente en cualquier rincón del mundo y poder hacer trámites oficiales, abrir una cuenta bancaria, beber en un bar o disfrutar al volante de un coche. Pero, ¿son estos documentos, que llevamos en la cartera, la solución más idónea para identificarnos en Internet.
TAMBIÉN TE PUEDE INTERESAR
Qué es la identidad y cómo se utiliza en las transacciones digitales
Tras el fracaso sonado que supuso la introducción del DNI-e como método por defecto, la arena online se divide entre múltiples alternativas de validación de identidad digital, con diferentes y muy notables grados de seguridad: desde plataformas que tan solo exigen nuestro nombre, apellidos y un correo electrónico hasta otras donde se exige validar el DNI físico mediante videoconferencia o métodos automatizados que comprueban que la persona (humana) que acompaña al documento es la misma. Huelga decir que, entre medias, las variables son prácticamente infinitas… y muchas las situaciones en que nuestra ciberseguridad online se pone en peligro.
La identidad digital en España
En nuestro país no existe una estrategia como tal de identidad digital, sino que se aplican diferentes criterios en base a las normas que afectan a cada campo de actividad concreto. Por ejemplo, la Administración central utiliza tanto el DNI-e (y sus correspondientes certificados electrónicos, que deben ser dados presencialmente en una comisaría de Policía) como el sistema Cl@ve (con doble verificación, mediante SMS o app móvil) para la identificación de las personas que desean realizar algún trámite.
Mientras, la exigente regulación bancaria contra el blanqueo de capitales exige que para abrir una cuenta bancaria se autentifique a la persona con su DNI. El problema de hacerlo online es que no basta con enviar una fotografía del documento, ya que cualquiera podría habernos robado la cartera: se necesita comprobar que el DNI acompaña a la persona correcta. Después de mucho esfuerzo, los organismos públicos autorizaron primero el uso de la videoconferencia con un operador humano para proceder a esta verificación y, ahora, también están permitidos los sistemas asistidos o automatizados.
TAMBIÉN TE PUEDE INTERESAR
Por otro lado, hemos de recordar que desde el 29 de septiembre está en vigor una nueva normativa europea sobre identificación electrónica, que busca precisamente favorecer la interoperabilidad en el acceso a información y servicios públicos en cualquier país de la UE. Se trata del reglamento eIDAS, que establece el reconocimiento transfronterizo de la identificación electrónica ya existente (esto es, mediante documentos como el DNI o carné de conducir) a la hora de abrir cuentas bancarias en otros lugares del Viejo Continente, acceder a nuestros registros médicos o hacer trámites con las AAPP locales. Una medida que puede parecer secundaria pero que, especialmente para empresas con negocio a escala comunitaria, supone todo un avance operativo y un ahorro notable en términos de tiempo y complejidad burocrática.
Cuando las cosas no se hacen bien
Pese a lo estricta de la regulación en este campo, las empresas no siempre optan por seguir al pie de la letra las directrices de seguridad que se requieren para una identificación digital completamente fiable. Uno de los casos más notorios que conocimos fue el de la ‘fintech’ N26: un banco alemán que prometía abrir una cuenta bancaria en apenas unos minutos.
Como desveló ‘El Confidencial’, su método de validación de documentos era, cuanto menos, deficiente: con tan solo tomar unas fotografías de un DNI por ambas caras se podía abrir una cuenta bancaria falsa. Así pues, cualquiera que se encontrara -o robara- un documento de identidad podía operar y hacer transacciones de toda índole en nombre de una víctima inocente, sin que el sistema de seguridad de N26 detectara esa cuenta como falsa en ningún momento.
Este importante fallo de seguridad no solo supone un riesgo para la propia operativa del banco, sino que incumple claramente las estrictas reglas de la normativa contra el blanqueo de capitales y la financiación del terrorismo, establecidas por el SEPBLAC recogidas a través del Reglamento de la Ley 10/2010, la cual exige validar la identidad real de la persona que crea una cuenta en todo momento, ya sea presencialmente, mediante videoconferencia asistida o con sistemas automatizados como los que proporciona Addalia.
