Cuando los ciudadanos firmamos trámites en Internet con certificado electrónico la realidad es que existe una excesiva dependencia tecnológica del dispositivo
cliente que hace que la configuración pueda llegar a ser ciertamente
compleja y que requiera de ciertos conocimientos técnicos (Por ejemplo
con el certificado de firma del DNI electrónico). Personalmente me ha ocurrido varias veces, en el momento de firmar
un trámite electrónico, que la mayor parte del tiempo lo he dedicado a asuntos informáticos
actualizando la última versión de Java, verificando la configuración y versión
del navegador, los permisos de seguridad, que reconozca el lector de tarjetas etc.
Habitualmente los problemas están relacionados con:
a) Gestión e instalación correcta del software (y/o hardware en algunas
situaciones) necesario para firmar:
desde la versión del navegador, la máquina virtual de Java, drivers para el
certificado o para la tarjeta criptográfica, el dnie, el software de firma etc.
Es especialmente problemático en equipos obsoletos o con sistemas operativos de
versiones anteriores que suelen tener problemas con la capacidad de recursos
para poder disponer todo lo necesario.
b) La firma electrónica con terminales móviles,
como smartphones o tablets, a fecha de hoy no es muy usada o la tecnología está
poco madura y especialmente con la gestión e instalación de los certificados
electrónicos o encontrar lectores de tarjeta criptográficas que sean compatibles
con estos dispositivos. (Con la versión 3.0 del DNIe, que soporta tecnología
inalámbrica de proximidad NFC, se ha intentado
minimizar evitando la necesidad del lector en terminales compatibles, sin
embargo no es suficiente y la realidad es que el uso de firma electrónica en
terminales móviles no está demasiado extendido y no todos los terminales
soportan NFC).
Si bien la identificación electrónica parece que está relativamente
resuelta, sin embargo, la firma digital supone una barrera en el uso de muchos procedimientos electrónicos que están a
disposición para los ciudadanos.
“En cuanto a las causas por las que
los usuarios de Internet con necesidad de enviar
algún formulario cumplimentado a las Administraciones Públicas NO lo
hicieron a través de Internet en el último año, el 49,0% declaró que fue porque lo tramitó por Internet otra persona en su
nombre -un gestor, un asesor fiscal, un familiar o un conocido-, el 19,0% por falta de habilidades o
conocimientos, el 13,6% por estar preocupado por la protección y seguridad
de los datos personales y el 13,0% por
no disponer de firma o certificado electrónico o por tener problemas con los
mismos.“ – Instituto Nacional Estadística 2016.
Con el objetivo de simplificar la firma al interesado (aislando de las
dependencias tecnológicas de su equipo) y manteniendo las suficientes garantías
requeridas existen diferentes enfoques para intentar paliar los problemas
anteriores:
1.- Sistemas de firma sin
certificado electrónico, es decir, se prescinde del documento firmado por
el prestador de servicios de certificación que garantiza el vínculo de los
datos de firma con el firmante confirmando su identidad. Normalmente se tratan de sistemas de firma
basados en claves dinámicas en tarjetas, OTP (One-Time Password) enviadas a
terminales móviles etc.
Estos sistemas son muy comunes en el ámbito privado y sobre todo en la
banca online, sin embargo, en las administraciones públicas (al menos en
España) normalmente no son lo suficientemente garantistas para cumplir la
normativa y en la mayoría de los procedimientos administrativos precisan de mecanismos
de firma con certificado electrónico.
2.- Delegar la firma en la comparecencia
electrónica: se trata de firmar solo cuando sea estrictamente necesario y
considerar, que para determinados
servicios, si el interesado ha comparecido electrónicamente con las suficientes
garantías en la autenticación y las acciones han sido auditadas por el sistema,
el propio sistema informático da fe y firma con un sello electrónico (certificado electrónico
del organismo). Por ejemplo, si nos identificamos y accedemos a la apertura de una
notificación, el sistema puede garantizar que el ciudadano autenticado ha
realizado la apertura correspondiente en una determinada fecha y hora sin
necesidad de que esta sea firmada electrónicamente por el ciudadano.
Esta opción no siempre es válida, sin embargo, es muy importante analizar el nivel de garantía requerido que permita la normativa para cada procedimiento y solicitar la firma al ciudadano solo cuando sea necesario.
3.- Firmar en la nube: el proveedor de
servicio (o recomendablemente un tercer actor) será el responsable de la gestión
y custodia de los certificados de firma. Al realizar la firma el interesado expresará
su voluntad (por ejemplo con una contraseña y un código OTP generado en el
momento y enviado a un dispositivo móvil). En ese momento se desencadenará la
firma del documento en el servidor
(“nube”) de tal forma que el certificado electrónico nunca saldrá del servidor
custodio. El responsable de la custodia de los certificados debe ser una
entidad de confianza y cumplir con las garantías de seguridad necesarias.
Un ejemplo
de este enfoque en la administración española es la plataforma cl@ve y del dni
en la nube (DNI-Nb) que se resume a continuación.
Cl@ve: Firma centralizada en la nube
Se trata de
una plataforma que permite, para aquellos portales de administraciones públicas
que se adhieran, autenticación (mediante
certificado electrónico, una cl@ve permanente o un pin de 24 h de duración) y servicio
de firma
electrónica centralizada.
Centrándonos
en la firma, el ciudadano podrá registrarse
en el servicio presencialmente o con certificado electrónico y en este
momento se generará su “certificado en la nube” (o dni-NB) en una
infraestructura de servidores HSM (Hardware Security Module) donde estará
doblemente encriptado y custodiado. (También se podrá elegir que la generación
del certificado se produzca en la primera firma realizada).
Cada vez
que firme un documento introducirá una
clave y recibirá un código OTP en su
móvil. Cuando se haya realizado esta doble confirmación (“voluntad de firma”)
se desencadenará el proceso de firma en el servidor (Básicamente se enviará una
función resumen o hash al servidor donde se efectuará la firma y se devolverá
un justificante). El certificado nunca
sale del servidor que lo custodia.
La gran
ventaja es que el ciudadano no tendrá
que tener instalado un certificado y ningún dispositivo en su equipo y además
se pretende que sea un sistema unificado para poder firmar digitalmente en los portales de internet de las administraciones públicas (quizá a futuro también se ofrezca
para la adhesión de compañías en el ámbito privado).
Reseñar que
el gestor de la plataforma y el responsable del fichero de los datos personales
es la Secretaría General de la Administración Digital del Ministerio de
Hacienda y Función Pública. Los certificados son generados y custodiados por la
Dirección General de Policía (autoridad de certificación y prestador de
Servicios de confianza), las firmas se realizarán en los servidores de la
Seguridad Social (que dispondrá de un clon del servidor HSM con los
certificados), y el registro o alta en el servicio será gestionado por la
Agencia Tributaria.
Referente a
los aspectos legales es importante comentar que se trata de un sistema de firma electrónica cualificado conforme la
legislación europea (Reglamento UE 910/2014) y tiene la misma validez jurídica
que la firma manuscrita (equivalente a la firma reconocida de la ley 59/2003 en
España que trasponía la directiva 1999/93/CE derogada).
Se podría
concluir que con el sistema cl@ve de firma centralizada en la nube se aportan
las mismas garantías que con una
firma digital en cliente con certificado electrónico, se facilita el proceso de firma al ciudadano y se amplía el uso de dispositivos para su
relación electrónica con las administraciones. Por otro lado, también se aprovechan las ventajas de tener
un sistema unificado de firma para
los portales de las administraciones públicas así como usar y compartir una
plataforma común con la consecuente eficiencia
y ahorro de costes.
HSM: Hardware Security
Module, dispositivo criptográfico basado en hardware que genera, almacena y
protege claves criptográficas.
NFC: Near Field Communication, Tecnología de comunicación inalámbrica,
de corto alcance y alta frecuencia que permite el intercambio de datos entre
dispositivos.
OTP: One-Time Password, Contraseña o pin temporal es válida en solo
una transacción o sesión y habitualmente es recibida en otro terminal asociado
al interesado (por ejemplo su móvil).
Certificado electrónico: documento firmado electrónicamente por un prestador
de servicios de certificación que vincula unos datos de verificación de firma a
un firmante y confirma su identidad. (El prestador de servicios de
certificación debe seguir una regulación: Ley 59/2003 en España).
DNI-nb - Cl@ve
Emisión y uso del dni - Cl@ve
Realización de la Firma - - Cl@ve
REGLAMENTO (UE) No 910/2014 relativo a
la identificación electrónica y los servicios de confianza para las
transacciones electrónicas en el mercado interior y por la que se deroga la
Directiva 1999/93/CE
Encuesta sobre Equipamiento y Uso de TIC
en los hogares - Nota de prensa Ine (Octubre 2016)
¿Firma digital en la nube?
Reviewed by Bloginnova
on
junio 01, 2017
Rating: