Identificación Digital – eID

En días pasados realice una presentación en el Congreso CONSAD de Gestión Pública en Brasil, el cual se desarrolló en Brasilia, entre los días 8 y 10 de junio de 2016, con una participación de aproximadamente 1.700 personas de diferentes estados de Brasil. Esta es segunda vez que me toca participar en dicho congreso, le agradezco a sus organizadores me hayan invitado.  En esta ocasión me pidieron que presentara sobre las lecciones a nivel internacional de sistemas de identificación y autenticación digital.

Hoy uno de los principales desafíos en el desarrollo de los servicios electrónicos por parte del estado, es la capacidad de autenticar a los ciudadanos, esto es, poder identificar a quien se encuentra en el otro extremo del teclado en forma simple y segura.

En muchos de los servicios, requerimos con mayor o menor nivel de robustez, dependiendo del tipo de transacción pode identificar al usuario, existen diferentes mecanismos de autenticación e identificación de las personas, por lo que la solución puede darse de diferentes formas y sabores. En la actualidad hay múltiples soluciones, desde la tradicional tupla (usuario, clave) hasta mecanismos bastante más sofisticados como certificados digitales y proceso de autenticación basado en biometría (huellas dactilares, reconocimiento facial, reconocimiento de voz, iris).

Analicemos algunos de los elementos que se deben definir algunos elementos a la hora de establecer un modelo de autenticación.

• Centralizado versus Descentralizado, contemplar que un modelo descentralizado plantea que cada servicio público desarrolle su mecanismos de autenticación, con los riesgos y vulnerabilidades que eso significa, si este el modelo que se va a adoptar, al menos deberían utilizarse estándares tales como OAUTH u otro similar para garantizar estándares de desarrollo e interoperabilidad. Algunos países anglo-sajones han establecido framework de autenticación que definen estándares para ello, los cuales han sido adoptados por diversos servicios de autenticación. Incluso algunos han desarrollado soluciones de carácter transversal o bien para sectores de industria como es el caso de la industria financiera.

• Múltiples niveles de seguridad, el modelo seleccionado deberá considerar, un esquema que permita aumentar las exigencias de seguridad, en función del riesgo de la interacción que se requiera. Esto por que para algunas operaciones basta con utilizar la tupla usuario+clave pero en otros casos se requerirán de elementos adicionales, el ideal es que el modelo desarrollado contemple esos diferentes niveles y pueda escalar en forma simple.

• Escalable, ya que este tipo de transacciones son de alto volumen, cada interacción va a requerir una transacción de autenticación, y por lo tanto la plataforma tecnológica que se utilice debe soportar una cantidad significativa de consultas, pensemos por un momento en el volumen de interacciones que un servicio público tiene, todas ellas van a requerir algún tipo de autenticación desde esquemas muy livianos hasta otros de bastante mayor robustez.

• Tecnología, solución basada en un esquema de front-end estándar, esto es, que permita que los usuarios en la medida que se mueven desde un sitio a otro, la presentación y forma de uso del mecanismos de autenticación sea similar.

• Soporte, cualquiera sea el mecanismos que se vaya utilizar debe contar con esquemas de soporte, ya que uno de los problemas más habituales, es “olvide mi clave” por lo que se debe contar con formas de recuperarla.

Aquí les dejo mi presentación, en portugués, por su puesto 😉