La Registraduría Nacional del Estado Civil (RNEC) anunció a inicio de 2020 que se encuentra en el proceso de implementar una solución de identificación digital, la cual funcionaría de la misma manera que en Estonia, país europeo pionero en digitalización. Esta iniciativa tendría un impacto positivo en la sociedad, al facilitar el acceso a los servicios de salud, protección social o financieros, entre otros. Dentro de la estrategia de implementación se deberían considerar aspectos tecnológicos, regulatorios y de infraestructura propios del país. Estas características garantizarían que toda la población se beneficie del servicio de identificación no presencial, y así mismo promovería la innovación en el sector público y privado
ID digital en Estonia: Smart-ID
Estonia es un país europeo que se ha distinguido por contar con una política clara de digitalización nacida a mediados de la década de los noventa, que le ha permitido alcanzar logros importantes en gobierno electrónico, integración gobierno-industria, y así mismo en la identificación digital de las personas. En el año 2017 se lanzó la SmartID, una aplicación gratuita que se puede instalar en cualquier dispositivo móvil, y que tiene como objetivo servir como identificación digital de los ciudadanos de ese país. En este momento la aplicación ha sido descargada por más de 2 millones de personas (la población de Estonia es de 1.3 millones), lo cual ha permitido realizar más de 50 millones de transacciones.
El funcionamiento del Smart-ID es bastante intuitivo para un nativo digital [SID2020]. Una vez descargada la aplicación de la tienda correspondiente (AppStore para dispositivos Apple o Google Play para dispositivos Android), el usuario debe crear una cuenta con su número de teléfono, correo electrónico y una contraseña. Después de crear la cuenta, el usuario debe asociar su identidad física con la identidad creada en la aplicación, para lo cual se pueden usar diferentes métodos. Este proceso se facilita en Estonia, ya que el documento de identidad cuenta con un chip electrónico, y así mismo el gobierno se ha encargado de ofrecer lectores de esta tecnología a las personas. De esta manera, el proceso de asociación a la identidad física se puede realizar de manera no presencial. Como último paso, el usuario debe crear 2 PINs, es decir dos números que el usuario debe memorizar y que respectivamente servirán para validar al usuario y la transacción a realizar. Con la creación de esta cuenta en el portal estatal, el usuario está en capacidad de hacer uso de su documento digital en el número de dispositivos que desee.
La seguridad de smart-ID se basa en herramientas tradicionales como el cifrado asimétrico, el uso de firmas digitales y una PKI. Las claves del usuario se almacenan en el dispositivo. Adicionalmente, para cifrar y descifrar mensajes, se requiere la colaboración de varios dispositivos, lo cual evita que si se llega a comprometer la seguridad de alguno de los involucrados en la transacción, se comprometa también la seguridad de todo el sistema. Esta seguridad se complementa con mecanismos que evitan que se ataquen los PINs usando fuerza bruta por medio de medidas como límites de tiempo o número máximo de reintentos.
Consideraciones para su implementación
De acuerdo al Banco Mundial [ID42019], la estrategia de implementación del documento digital debe considerar las siguientes características:
- Garantizar el acceso de todas las personas.
- Seguridad desde el diseño.
- Políticas de control y seguimiento.
En el primer aspecto se hace referencia a la necesidad de ampliar la cobertura del servicio de identificación, lo cual es un reto importante en los países como Colombia, donde las condiciones geográficas y socio-económicas dificultan esta labor. De hecho, en Colombia el programa Unidad de Atención a Población Vulnerable (UDAPV) fue implementada con el objetivo de reducir la brecha de identificación en regiones de difícil acceso. Adicionalmente, se deben ofrecer las condiciones de disponibilidad de servicios TIC a toda la población. Este aspecto se debe evaluar por un lado desde la penetración de la telefonía móvil en Colombia (23% de la población con acceso 4G en 2017) y así mismo del uso de smartphones (51% de líneas usaban estos dispositivos en 2017). Por lo tanto, iniciativas como las realizadas por el MINTIC [MIN2020] son necesarias para el éxito de estas estrategias. Esto es especialmente relevante si consideramos que las claves necesarias para el uso de Smart-ID requieren ser actualizadas con cierta frecuencia (3-5 años), haciendo que la conectividad sea un elemento básico para su operación y mantenimiento.
En el segundo aspecto, es necesario asegurar que la identidad de la persona no sea vulnerada, para lo cual la tecnología de Smart-ID tomó las medidas mencionadas anteriormente. Sin embargo, esta aplicación no funciona de manera independiente, sino que existe en un ecosistema donde diferentes actores tienen diferentes necesidades y características tecnológicas. Por lo tanto, se requiere usar protocolos abiertos y promover la neutralidad tecnológica, de tal manera que se pueda garantizar que todo tipo de actores puedan hacer uso de este servicio, y así mismo se promueva la innovación asociada al uso de la identidad digital. Este aspecto es además muy importante porque impacta directamente en la viabilidad económica de la iniciativa.
Finalmente, en el tercer aspecto se hace referencia al aparato regulatorio necesario para garantizar la validez de las credenciales, y así mismo la creación de reglas y procesos que aseguren un seguimiento adecuado por parte de todos los actores involucrados, para de esta manera garantizar que en caso de que se explote alguna vulnerabilidad del sistema se pueda establecer la responsabilidad correspondiente.
Conclusiones
La experiencia de Estonia es muy representativa de la evolución de las credenciales de identidad. La aplicación Smart-ID ha sido usada exitosamente durante más de tres años en ese país, lo cual es un buen indicador de su robustez y nivel de seguridad. Esta experiencia exitosa potencia la estrategia digital de ese país no solo a nivel de gobierno sino del sector privado. Una implementación exitosa del documento digital en Colombia debe considerar aspectos regulatorios, tecnológicos y de infraestructura para garantizar que estos desarrollos impacten a toda la población, cumplan con los estándares de seguridad y sean sostenibles.
Diego Pacheco-Páramo
Bibliografía
[SID2020] Smart-ID. “https://www.smart-id.com”. Revisado Febrero 2020.
[SIT2020] Smart-ID. “https://github.com/SK-EID/smart-id documentation/wiki/Technical-overview”. Revisado Febrero 2020.
[ID42019] “Digital ID and the data protection challenge”.Identification for development. October 2019.
[GSM2018] La Economía Móvil en América Latina y el Caribe 2018. GSM Association.
[MIN2020] MinTIC publica borrador del proyecto que llevará Internet a 10.000 zonas rurales del país. Enero 11 de 2020. https://www.mintic.gov.co/portal/inicio/Sala-de-Prensa/MinTIC-en-losMedios/125620:MinTIC-publica-borrador-del-proyecto-que-llevara-Internet-a-10- 000-zonas-rurales-del-pais