¿Cómo se consiguen construir acciones que permiten establecer una autenticación con totales garantías? La identidad digital es tan importante como la física y gracias a ella podemos agilizar una importante cantidad de trámites. Precisamente, esta relevancia obliga a crear medidas que garanticen la seguridad a la hora de identificarse. Analicémoslas.
¿Qué son los “ladrillos” de la identidad digital?
Entendemos por “ladrillos” de la identidad digital a aquellos componentes responsables de asegurar dicha identidad y que conforman los procedimientos de firma digital.
Dentro de estos “ladrillos” podemos englobar los certificados, tanto cualificados como no cualificados, los “ladrillos” de tipo biométrico y los Proveedores de Identidad, concepto que pasaremos a explicar más adelante.
Podemos empezar hablando de la firma con certificados emitidos por la pertinente autoridad de certificación y que se encargan de identificar sin posibilidad de equivocación a la persona que ejerce la firma. Como hemos comentado, estos certificados pueden tener la categoría de cualificados si son expedidos por un Prestador Cualificado de Servicios de Firma.
Es notable la tendencia, tanto a nivel gubernamental, como en el mercado privado, a sustituir el certificado local por el certificado alojado en un servidor seguro (certificado centralizado o en la nube).
Pero la identidad digital no se basa exclusivamente en los certificados digitales. Cualquier característica que permita asociar la información que contienen a una persona del mundo físico es susceptible de conformarse como otro tipo de “ladrillo” de esa identidad digital. Otra tendencia del mercado, cada vez más fuerte es a usar:
- “Algo que somos”, es decir, factores biométricos como la huella, la locución, el rostro, el iris, incluso la propia firma biométrica (es decir, firma autógrafa en la que se recogen parámetros biométricos);
- “Algo que sabemos” , como las contraseñas de un solo uso (One Time Password u OTP);
- E, incluso, una combinación de todo, tanto para la identificación digital (autenticación robusta) como para la firma (firma avanzada).
El concepto de Proveedor de Identidad (IdP)
A no ser que empleemos un certificado cualificado para la firma, necesitaremos incorporar cierta carga probatoria si queremos gozar de todas las garantías legales. Es aquí donde debemos introducir el concepto de IdP.
¿Qué es un IdP? Con estas siglas nos estamos refiriendo a un Proveedor de Identidad o Identity Provider. Se trata de un concepto informático que describe a una entidad encargada de crear, mantener y gestionar la información referente a la identidad para un sistema y proporciona servicios de autenticación para aplicaciones de confianza.
El ejemplo más básico es cuando nos identificamos, en una aplicación o en un portal web, mediante usuario y contraseña. Ahí estamos haciendo uso de un IdP. Es cierto que de modo elemental y, cada vez más, insuficiente a nivel de seguridad, como veremos más adelante.
Proveedores de Identidad empleados en firma digital
Llegados a este punto, será oportuno hablar de algunos de estos servicios IdP y su utilidad en la firma digital. Existen en la actualidad una gran variedad de factores de identificación. Los más frecuentes son:
- Token OTP (One Time Password): se trata de passwords de un solo uso cuya validez es de 30 segundos. Este se genera mediante aplicaciones desarrolladas para ello, como es Viafirma OTP.
- Token SMS: este factor de identificación consiste en enviar por mensaje de texto a la persona firmante un código de un solo uso, también denominado OTP.
- Token Email: es semejante al Token SMS, con la diferencia de que el password de un solo uso se envía a través del correo electrónico.
- Código PIN: este código está conformado por 4 dígitos que la persona responsable de la firma define en el momento de crear o importar el certificado. Su seguridad es muy baja, si no va acompañado de otros factores.
- Password: contraseña establecida por el firmante y que debe cumplir con las condiciones impuestas por las políticas de uso, por ejemplo, cierta longitud mínima la obligatoriedad de usar cifras, caracteres combinar mayúsculas y minúsculas. Su seguridad es algo mayor que el PIN, pero cada vez es más frecuente que vaya acompañada de otro factor de identidad.
- LDAP/Active Directory: el Protocolo Ligero de Acceso a Directorios se encarga de acceder con usuario y contraseña a un directorio activo del servidor corporativo.
- Biométricos: aquí podemos poner el ejemplo de la huella dactilar. Se necesita el correspondiente dispositivo lector de huellas, así como un registro de las huellas autorizadas. Y como la huella, podemos usar el rostro, la voz, los rasgos biométricos de la firma autógrafa, el iris y una larga lista que cada día va aumentando gracias a la investigación.
Los “ladrillos” de la identidad digital “no son nada” sin las soluciones digitales de identidad y firma digital
¿Por qué llamamos a todos los elementos anteriores “ladrillos” de la identidad digital? Porque son la “unidad básica” para de la identidad digital. Pero no es suficiente. Un ladrillo, de manera aislada, solo sirve como pisapapeles.
En el mundo digital pasa algo parecido: certificados digitales, factores biométricos y otros factores de identidad, cobran sentido cuando se usan para algo.
Y, cada día más, en un mundo cibernético lleno de amenazas, cualquier plataforma, cualquier servicio, para que nos ofrezca garantía de seguridad y nos dé confianza, debe llevar asociado un sistema de identificación digital robusto y de confirmación de nuestro consentimiento o cualquier voluntad mediante la firma digital.
El primer acercamiento serio al uso de las identidades digitales vino de la mano de las Administraciones Públicas, que pusieron por primera vez al alcance del ciudadano la llamada Administración Electrónica mediante los certificados que emitía inicialmente la propia administración pública y luego otras entidades certificadas.
Luego se fueron sumando a estos procedimientos de identidad y firma seguros y confiables los sectores del comercio electrónico (e-commerce), la banca electrónica (e-banking) y prácticamente el resto de sectores, pues no hay negocio ajeno a la transformación digital. La legislación, cada vez más exigente a la seguridad de la identidad digital los usuarios, está acelerando el proceso.
Es muy habitual que estos procedimientos seguros de autenticación y verificación de identidades digitales, así como de firma de contratos, facturas, impuestos, entregas, etc., no se desarrollen por los propios desarrolladores de soluciones de negocio digital (e-business), sino que integren soluciones de compañías de ciberseguridad especializadas en estos servicios de confianza.
Aquí es donde entran en el escenario empresas como Viafirma.
Viafirma y los “ladrillos” de la identidad digital
¿Cómo contribuyen las soluciones de Viafirma a estos procesos de verificación de la identidad digital?
Comenzaremos hablando de Viafirma Documents, nuestra aplicación para la creación, gestión y firma de documentos. Viafirma Documents permite tanto la autenticación por múltiples factores, como la aportación de múltiples evidencias digitales, combinables según la necesidad del cliente.
Por otra parte, tenemos Viafirma Inbox, el portafirmas que permite tener un control total sobre los flujos de firma y que también emplea múltiples IdP configurables.
Viafirma Fortress es un software especialmente desarrollado para gestionar certificados en la nube y por consiguiente, la llamada firma en la nube. Pero el acceso a dichos certificados requiere de un proceso seguro de identificación, que se realiza mediante la autenticación robusta, es decir, usando, una combinación de dos o más factores de identidad, que pueden, al igual que en todas las soluciones de Viafirma, ser configurados según los requisitos de cada caso de uso.
En aquellos países donde haya una cobertura legal para este proceso, Viafirma Fortress permite además delegar el uso de certificados de una forma restringida y totalmente segura.
Por último hablaremos de Viafirma RA (Registration Autority), solución para la creación y gestión de Unidades de Registro, que proveemos gracias a nuestra filial en República Dominicana, Avansi, Primera Entidad Certificadora en República Dominicana, capacitada legalmente para emitir certificados digitales según la Ley 126-02 de Comercio Electrónico, Documentos y Firma Digital.
Con Viafirma RA se pueden validar los datos de identidad de personas físicas y jurídicas, suscriptoras de certificados y prestar otros servicios de validación relacionados con las firmas digitales. También es posible gestionar el ciclo de vida de emisión de certificados digitales.
Todos tenemos una identidad digital, en mayor o menor medida. Y toda empresa, grande o pequeña, que quiera avanzar en la transformación digital debe prestar atención especial a los procesos en los que se implican esas identidades. Podemos sacar el máximo provecho de manera segura, confiable y legal, protegidos frente a conflictos jurídicos, fraudes o usos malintencionados.
En Viafirma nos comprometemos fuertemente con la protección de la identidad digital, ofreciendo soluciones que permitan extraer todo su valor y mejorar la vida de ciudadanos y empresas. Si quieres saber más, no dudes en ponerte en contacto con nosotros.