El blog de Carlos Díaz-Pache » DNI-e

Entradas etiquetadas: DNI-e

El problema de la autenticación

Acceso

Acceso

Hace poco más de 10 años la gente sólo debía recordar el usuario y la contraseña que le permitían el acceso a su correo electrónico. La aparición de tantos servicios nuevos como los que conforman lo que llamamos la web 2.0 han modificado las necesidades de autenticación de un modo radical. Actualmente un usuario puede tener un par de direcciones de correo electrónico, una cuenta de facebook y otra de twitter o tuenti. Un usuario gestiona por internet sus cuentas bancarias (probablemente en varios bancos), dispone de un blog, compra a través de ebay, amazon y Carrefour (o El Corte Inglés). La música puede descargarla en su iPod a través de iTunes o escucharla en spotify y hasta puede pagar sus impuestos o solicitar ayudas para desempleados por internet. En cada uno de esos lugares le pedirán que se identifique. ¿Quién puede recordar tantos usuarios y tantas contraseñas?

En principio el usuario lo soluciona fácilmente: mismo usuario, misma contraseña para todos los servicios. Esto supone un importante problema: no ofrece las mismas garantías de confidencialidad un gran banco que la última página de vídeos creada por unos amiguetes para enviar contenido simpático. Y cuantos más sitios conocen nuestras credenciales, menos seguro está nuestro dinero. El usuario establece entonces dos claves: la de los sitios tontos y la de los sitios importantes, pero no parece suficiente.

Conscientes del problema, quienes ofrecen los servicios empiezan a poner a su disposición otros medios de autenticarse. Ahora mismo, podríamos decir que los más populares son:

  • Usuario/password: Es el modelo tradicional. Se necesita un nombre de usuario específico para el sitio, con su correspondiente contraseña. A veces hay condiciones específicas para las contraseñas (número mínimo y máximo de caracteres, obligatoriedad de mayúsculas y minúsculas, obligatoriedad de incorporar algún número, etc.)
  • Email/password: Se soluciona el problema de olvidar el usuario. El email, por definición, debe ser único, así que solamente debe recordarse la contraseña.
  • Verificación en dos pasos: Además de validarse mediante usuario y contraseña, una vez accedido al sitio, el sistema envía un SMS al teléfono móvil del usuario con un código que debe informar para certificar su identidad. Es muy popular en entidades financieras y Google está introduciéndolo en algunos de sus servicios. El envío de SMS sustituye a la antigua tarjeta de coordenadas de los bancos.
  • Single Sign-on: Autenticación única para varias aplicaciones. Hay varios modelos, pero resumiendo, o bien se extiende la autenticación en un sitio (“Acceder con la cuenta de Facebook” o “Acceder mediante Twitter”), o bien se produce una autenticación independiente como con OpenID.
  • DNI-e / Certificado electrónico: Muy utilizados en la administración pública, garantizan la identidad, permiten la firma digital (jurídicamente equivalente a la manuscrita) y ya empiezan a emplearse en la empresa privada.

Desde luego que no todos los modelos sirven para lo mismo ni son jurídicamente equivalentes, pero los usuarios deben tomar conciencia de la importancia que tiene mantener su identidad salvaguardada. Yo, humildemente, aconsejaría lo siguiente:

  • No duplicar usuario/contraseña: Replica el mismo usuario/contraseña sólo en sitios muy poco importantes: foros de uso esporádico, páginas de publicidad, etc.
  • Cambia la password hoy: Si utilizas muchos productos de Google (gmail, blogger, feedburner, reader, calendar, documents, etc.), como no lo has hecho nunca, cambia la contraseña hoy mismo. Utiliza una password con letras minúsculas, mayúsculas, números y caracteres especiales. Solo es una, y como no la vas a cambiar en mucho tiempo (desoyendo los consejos), dedícale  solamente hoy unos minutos.
  • El número del móvil sólo para quien confíes: No des el número de móvil a páginas en las que no confíes plenamente. La administración pública o los bancos hacen buen uso de él, pero otros pueden empezar a enviarte publicidad (¡y cobrarte por ello!), así que fíjate bien antes de entregar esa información.
  • Cuidado con los gadgets: Utilizamos teléfonos móviles, iPods, iPads, netbooks, portátiles y otros gadgets para conectarnos a internet, y en todos ellos metemos nuestras credenciales para acceder a nuestras páginas favoritas: redes sociales, correos o incluso bancos. Esa información la queremos grabada para mayor comodidad. Llega un momento en el que no sabemos qué información tenemos dónde. Hay que tener controladas las credenciales que residen de forma permanente. En caso de duda, hay que cambiar las contraseñas.
  • Cuidado con las aplicaciones a las que damos acceso: Hay aplicaciones de terceros a los que damos acceso a nuestras cuentas de facebook, twitter o correo. Sucede en los gadgets, pero también en aplicaciones de escritorio (lectores RSS) o en aplicaciones sobre plataformas web (como la granja de facebook). Nuevamente hay que saber a quién le estamos dando permiso y para qué, y sobre todo, informarnos de cómo revocar el permiso.
  • El certificado digital o DNI-e es intransferible: Los trámites firmados digitalmente con tu certificado digital o DNI electrónico son trámites firmados por tí. Sin excusas. Tienes el derecho a utilizarlo y el deber de custodiar tanto la tarjeta física como la clave de acceso. Si permites a otros su utilización eres responsable de las consecuencias.

En definitiva, nuestro mundo cada vez es más digital, y la información de acceso a él cada vez más importante. Usemos el sentido común.

Red.es y Tractis regalan lectores de DNI electrónico

Lector de DNI electrónico

Lector de DNI electrónico

Hace unos días, comentábamos que los ciudadanos estaban lejos de la administración electrónica.  Existen muchos motivos, pero uno de ellos es la falta de información  sobre el uso del DNI electrónico. En la mayoría de los casos, los ciudadanos no disponen de un lector apropiado en sus casas, lo que les imposibilita el acceso a los servicios que las administraciones públicas ponen a su disposición.

Parece que la administración ha visto el problema, y según leo en el blog de Bartolomé Borrego, la empresa Tractis y Red.es han puesto en marcha una iniciativa por la que regalarán 300.000 lectores de DNI electrónico a quienes lo soliciten. Los que lo deseen únicamente tendrán que pagar 2€ en concepto de gastos de envío.

El reparto comenzará el día 1 de octubre en su primera fase, en la que habrá que solicitar vía web el lector. La campaña consta de otras fases en las que el dispositivo podrá conseguirse con la compra de diarios o revistas en un kiosco, o directamente en grandes superficies.

Tractis ha publicado una página de preguntas frecuentes en la que se pueden solventar las dudas que existan sobre esta iniciativa y donde se indica el mejor modo de colaborar.

Los ciudadanos, lejos de la administración electrónica

En marzo de este año 2009, el CIS realizó una encuesta en la que se consultaba a los ciudadanos acerca de su relación con la administración. De esa encuesta podemos extraer algunos datos:

  • El 71,6 % tienen dificultades a la hora de realizar gestiones o trámites en las oficinas de la Administración Pública, problemas que aparecen principalmente por la lentitud en resolver los trámites (43,1%) y por la excesiva burocracia (32,1%).
  • El 71,9% preferiría hacer los trámites presencialmente y solo el 19,7% por internet.
  • Las principales ventajas de la tramitación por internet identificadas por los ciudadanos son poder evitar los desplazamientos, el ahorro de tiempo y la disponibilidad a cualquier hora, y las principales desventajas, no tener contacto directo con una persona que te informe y te ayude a hacer la gestión, y la inseguridad de internet.
  • El 61,5% acude a la oficina cuando necesita información sobre una gestión o trámite, y solo el 19,5% busca la información en internet.
  • De las personas que nunca han realizado un trámite con la administración por internet, el 25% alude a que prefiere consultar personalmente, el 22,2% a que no sabe manejar internet, el 14% directamente no tiene acceso y el 11% desconfía de la seguridad de los datos personales en la red.
  • De estas personas que no han hecho nunca un trámite por internet, un 64,2% dicen que es poco o nada probable que lo hagan en el futuro.
  • De los que sí accedieron a internet en el último año para conectarse con la administración, solo el 23,8% realmente hicieron algún trámite. Los demás solo buscaban información o querían concertar una cita.
  • Respecto al DNI-e, un 30% no lo conocen y solo lo tienen el 24%. De ellos, solo el 4,4% lo han utilizado alguna vez para relacionarse con la administración.
  • Un 42% no se ha conectado a Internet en los últimos 12 meses.

De estos datos, creo que podemos extraer unas importantes conclusiones:

  • Sin internet: Existe una todavía baja penetración del uso de internet (el 42% no se ha conectado en el último año, así que supongo que no lo ha hecho nunca).
  • La generación perdida: Existen muy malas perspectivas de modernización en muchos ciudadanos (un 65% ha tirado la toalla y no cree que vaya a hacer nunca trámites administrativos por internet).
  • Utilización despreciable del DNI-e: Solo el 0,12% de los encuestados lo han utilizado para realizar la declaración de la renta. ¡Y es el trámite para el que más se utiliza!
  • Desconfianza: Los ciudadanos prefieren el trato personal porque desconfían de la seguridad de sus datos en internet y prefieren estampar su firma manuscrita en un papel delante de un funcionario (el 71,9% prefiere el canal presencial).
  • Ignorancia: Todavía son muchos ciudadanos los que no saber manejarse en internet, no conocen el DNI-e, los niveles de seguridad, los trámites que se pueden realizar telemáticamente, etc. Los esfuerzos de la administración por modernizarse y poner a disposición de todos importantes herramientas para facilitar los trámites no son percibidos.

Siendo positivos, podemos llegar a mejorar estos datos de forma muy notable poniendo el foco en estos criterios:

  • Educación: Es muy importante cambiar el punto de vista. En este caso, cuanto mayores son los ciudadanos, más necesidades de educación tienen. Todos los adolescentes tienen facebook o tuenti, y cuando tengan que presentar la declaración de la renta, sabrán como hacerlo de forma telemática. Son sus padres y sus abuelos los que tienen las carencias y a quienes hay que dirigir las campañas informativas.
  • Administración ágil: La administración electrónica puede simplificar sustancialmente la cantidad de pasos y documentos necesarios para realizar un trámite. Un organismo puede conectarse telemáticamente con el resto para obtener la información que necesite (y ahí está la red SARA), evitando al ciudadano un trasiego innecesario entre ventanillas diversas. Esto mejorará la percepción sobre la burocracia y sobre la velocidad al realizar trámites, animando a la gente a utilizar los portales web.
  • Fiabilidad: Para vencer la desconfianza los nuevos sistemas deben ser extraordinariamente fiables. Debemos construir aplicaciones robustas, amigables y siempre disponibles.
  • Fomento: Tanto del uso de internet (programas de promoción, legislación para garantizar el acceso, eliminación de las barreras de la CMT para la instalación de puntos wireless públicos, etc.) como de la administración electrónica (información multicanal sobre cada aplicación disponible, insistencia en las ventajas para los que acceden a través de la red, etc.)

En resumen, la administración electrónica todavía está naciendo en España, ya que los ciudadanos no la perciben como alternativa real que pueda competir con los canales tradicionales. Debemos informar, promocionar, optimizar procedimientos y sobre todo implementar sistemas fiables que acerquen a los ciudadanos a las ventajas de relacionarse con la administración con la comodidad que aporta internet.

Firma electrónica y supuestas vulnerabilidades en el DNI-e

Hoy hemos tenido noticia vía la Asociación de Internautas de que se han detectado vulnerabilidades en las implementaciones del DNI electrónico. Un informe (PDF) de los consultores Pentest asegura que su utilización cotidiana “no permite afirmar que se pueda confiar totalmente en su uso”.

Empezaré diciendo que estoy de acuerdo con Pentest en que no se puede confiar totalmente en su uso porque no existe ninguna tecnología en la que se pueda confiar totalmente. No existe el sistema inexpugnable. Gene Spafford, un reputado experto en seguridad informática dijo en una ocasión:

El único sistema totalmente seguro sería uno que estuviese apagado, desconectado de cualquier red, metido dentro de una caja fuerte de titanio, rodeado de gas y vigilado por unos guardias armados insobornables. Aún así yo no apostaría mi vida por él

Partiendo de esta premisa, diré que el DNI-e es un sistema de firma seguro, estándar y muy extendido, con lo que existen multitud de empresas y administraciones con las que relacionarse de este modo. Sus características lo hacen bueno para garantizar la confidencialidad, integridad, autenticidad y el no repudio.

  • La confidencialidad se refiere a la capacidad de mantener un documento electrónico inaccesible a todos, excepto a una lista determinada de personas.
  • La integridad garantiza que el documento recibido coincide con el documento emitido sin posibilidad alguna de cambio.
  • La autenticidad se refiere a la capacidad de determinar si una lista determinada de personas ha establecido su reconocimiento y/o compromiso sobre el contenido del documento electrónico. El problema de la autenticidad en un documento tradicional se soluciona mediante la firma autógrafa. Mediante esta firma, un individuo, o varios, manifiestan su voluntad de reconocer el contenido de un documento, y en su caso, a cumplir con los compromisos que el documento establezca para con el individuo.
  • El no repudio garantiza que las partes no puedan negar que la información se intercambió.

El DNI-e utiliza una infraestructura de certificación compuesta de una Autoridad raíz y un conjunto de Autoridades subordinadas. Por describir un ejemplo, el raíz consiste en un certificado autofirmado con SHA1 y SHA256, con claves RSA de 4096 bits

El DNI-e contiene un certificado X509v3, que tiene activo en el Key Usage el bit de ContentCommitment (no repudio) y que está asociado a un par de claves publica y privada, generadas en el interior del chip.

Este certificado expedido como reconocido es el utilizado para la firma de documentos garantizando su integridad y el no repudio de origen, y convierte la firma electrónica avanzada (FEA) en firma electrónica reconocida (FER). Este tipo de firmas se equiparan legalmente a la firma manuscrita, según la Ley 59/2003 y la Directiva europea 1999/93/CE (PDF).

Además de este certificado fundamental, el DNI-e contiene un certificado de componente para establecer un canal cifrado y autenticado entre la tarjeta y los drivers, y un certificado de autenticación para establecer el canal seguro entre el cliente y el servidor.

El Ministerio de Administraciones Públicas (MAP) puso en marcha un proyecto denominado “Plataforma de validación y firma electrónica (@firma)”, heredado de la Junta de Andalucía, y que ha permitido poner a disposición de las distintas administraciones una aplicación a través de la red SARA para validar y firmar electrónicamente. Es una solución basada en software libre que las administraciones utilizan para no tener que realizar sus propios desarrollos.

Valgan este conjunto de características técnicas para decir que aunque la tradición y la desconfianza hacia lo desconocido nos siga llevando en muchas ocasiones a utilizar en nuestros trámites una firma manuscrita plasmada en un papel o una pobre contraseña, una firma digital es infinitamente más difícil de falsificar, y esa posible falsificación suele dejar un rastro.

Las características del DNI-e, junto con las medidas de protección implementadas en las administraciones para evitar la suplantación de la identidad en las aplicaciones que desarrollan, así como los sistemas de seguridad de los equipos domésticos (antivirus, firewall, etc.) no constituyen un sistema perfecto, pero aumentan notablemente el nivel de seguridad frente al fraude.

El propio informe al que nos referimos, injustamente exagerado en los medios digitales para buscar en ocasiones el titular impactante, reconoce que “el uso del DNI Electrónico siempre es más seguro que el uso de contraseñas estáticas”, que los scripts que explotan las vulnerabilidades no pasarían los filtros de firewall o antivirus, o que no se han podido probar (y menos explotar) algunas vulnerabilidades que se buscaban.

En definitiva, no se han detectado vulnerabilidades importantes en el DNI-e en sí mismo, sino que simplemente se ha dejado indicado algún camino para probar alguna de forma hipotética. La más jugosa en su anális sugiere que con un equipo hardware o software especial que sea capaz de cortar la corriente que llega al DNI-e en un momento exacto, tal vez podría impedirse que el contador de intentos de escritura del PIN correcto no se actualizase y por lo tanto, repitiendo la operación de un modo automático unos cuantos millones de veces, tal vez podría averiguarse un PIN sencillo. Es una hipótesis porque no se ha podido garantizar que ese contador funcione de forma errónea.

Del informe me quedaré con la posibilidad de extraer información privada del certificado (DNI, Fecha de nacimiento) a través de la sesión del navegador, lo que podría explotarse en ordenadores públicos o en los kioskos de las administraciones. Esto debe recordarnos a quienes trabajamos diseñando aplicaciones en la administración que hay que garantizar siempre que la sesión quede cancelada tras el paso de un usuario, y a los propios usuarios, que deben tratar de dejar todo cerrado a su paso: el DNI-e retirado del lector tras la autenticación o la firma, la sesión de la aplicación finalizada, y si es posible, el navegador cerrado.

Donde sí estoy totamente de acuerdo es en que algunas administraciones, instituciones financieras y organismos de cualquier otro tipo que utilizan el DNI-e no están implementando sus aplicaciones de forma correcta, haciendo un poco más débiles sus sistemas.

Creo que es labor de todos contribuir a que esta segura tecnología llegue a serlo todavía más.

Y en ello estamos.

Enviar a Meneame Enviar a menéame Enlazar en Facebook Enlazar en Facebook Twittear Twittear

Panorama Theme by Themocracy