Hace unos días leíamos la noticia de que la AEPD había sancionado a al BBVA con 70.000 euros por no identificar correctamente a un cliente al que vaciaron la cuenta simplemente con "mostrar" su DNI, que había extraviado. El banco identificó el usuario, lo identificó al comprobar que era su DNI y que efectivamente se trataba de un cliente, pero no autenticó a la persona física que presentaba el DNI a la operación. La entidad bancaria fue sancionada por negligencia en la verificación. Pues esto, que parece tan sencillo de comprender, todavía resulta un reto para los juristas, que no siempre comprenden qué es una "falsa" autenticación de usuarios y esto es muy grave, porque , por ejemplo, también leíamos hace poco la noticia de que se abre la puerta "a que los funcionarios asuman el coste de los ciberataques contra la Administración" y aquí cabe preguntarse dónde acaba la responsabilidad del titular del sistema -Administración o empresa privada- y empieza la del usuario.
Pues bien, imaginemos que eres funcionario y que te dan unas credenciales de uso supuestamente personal e intransferible para realizar las tareas que la Administración Pública te ha encomendado, para ser utilizadas en una plataforma que, vaya por Dios, qué mala suerte no cumple ciertas medidas de seguridad exigidas por la legislación vigente, algunas esenciales como por ejemplo que no se bloquee la sesión automáticamente tras la consulta de datos o lo haga una hora después, que en años no se facilite el cambio de contraseñas, que la plataforma solo se haya instalado en un ordenador, aunque hay ocho empleados/funcionarios que necesitan usarla para trabajar (uso compartido por defecto), y el despacho ni llave en la puerta tiene, que además solo uno de los empleados/funcionario tiene credenciales para acceder a la plataforma… Añadimos que tampoco te dan formación específica sobre el funcionamiento de la plataforma ni sobre el uso correcto de esas credenciales, y que tu jefe te pide que, por necesidades del servicio, permitas a tus compañeros utilizar y acceder a la plataforma con tus credenciales, en tanto se asignan las de resto. Digamos que tácitamente te convierten en lo que se conoce como un "súper usuario" que centraliza el acceso al sistema, no a ti, a tus credenciales, porque no hay otras.
Ante esta situación, no conozco a nadie del sector de la ciberseguridad que considerase que esto es un sistema seguro que permitan la correcta autenticación del usuario y su correspondencia con la persona. Y conozco a muy pocos del sector jurídico que consideren que así las cosas sería legítimo imponer responsabilidades a ese funcionario en cuestión si se produjeran accesos indebidos a la plataforma mediante el uso de sus credenciales, pero ¿si estos pocos ocupan altos cargos?
Pretender imponer la responsabilidad del mal uso de un sistema bajo la presunción de que el usuario "debía saber" y que el responsable del sistema "seguramente le dijo" y "probablemente cumplía las garantías necesarias", es más habitual de lo que nos creemos. Y es más grave aún cuando hablamos de funcionarios, porque Administración Pública solo puede imponer un uso de credenciales digitales siguiendo escrupulosamente los todos parámetros de la ley, es decir, si garantiza (y lo puede demostrar) su seguridad.
En primer lugar, debería estar claro que:
- "Identidad digital": es la identidad autorizada para su uso online (el DNI en este caso). Alude al conjunto de signos o rasgos ("atributos") de una persona que son consustanciales a ella de una manera inequívoca en el entorno digital y que permiten diferenciarla de los demás.
- "Identificación electrónica": es la llave que permite acceder a una plataforma digital y la información que esta contiene, combina "identidad digital" con clave de acceso y está destinada a ser utilizada en un entorno seguro. También se denomina "credenciales de usuario".
- "Identidad física", es la persona física que actúa online o en un sistema/plataforma informáticos.
Para poder usar la primera de manera segura es necesaria la segunda, y para poder asociarlas a una persona física es preciso llevar a cabo un proceso de verificación fiable que llamamos "autenticación".
Para poder afirmar que una persona coincide en los tres conceptos, no basta interpretar que como son tus credenciales deberías saber conservarlas y por tanto eres responsable del ciberataque de turno, esto es simplista y rudimentario, por no decir otra cosa, está muy alejado de la realidad que nos rodea.
La "identidad digital" sirve para identificar personas e imponer, en su caso, responsabilidades. ¿En qué caso?
En segundo lugar, nuestro DNI, pasaporte o documento identificativo análogo, responde al principio constitucional de seguridad jurídica que preside nuestro ordenamiento jurídico, y se encuentra recogido en el artículo 9.3 CE, por eso, en el entorno online, es tan importante exigir garantías que permitan determinar sin dificultades la participación de una persona en unos hechos concretos, descartando toda posibilidad de suplantación y dotando al sistema de confianza. Las medidas de seguridad son responsabilidad de quien controla la gestión de los permisos de uso, las almacena y las respalda en forma segura, para preservar la confidencialidad de la información, y después al usuario. Hablamos de la importancia de la "Gestión Seguridad de la Información" (GSI), que alude al "conjunto de medidas y procedimientos puestos en marcha por las corporaciones para proteger las credenciales, la confidencialidad de la información y la disponibilidad e integridad de los datos", y permite que unas credenciales verifiquen con "seguridad" quien es la persona que está accediendo a la información, en cada momento. Se trata de comprobar si tanto la "identidad digital" como el sistema para el que ésta ha sido habilitada como "llave" de acceso (o sea, habilitada como "identificación electrónica"), cumplen las medidas y estándares de seguridad físicas y técnicas determinadas por la legislación vigente. Se trata de demostrar en las operaciones online que la identidad digital presentada es de quién dice ser, y es cierto que existen credenciales más seguras y menos seguras, que autentican con mayor fiabilidad que otras (no es lo mismo una clave asociada a una tarjeta de plástico, aunque sea un DNI, que una huella dactilar, la biometría de autenticación facial, una grabación de voz, la autenticación bancaria mediante "dos" factores, etc), pero lo que no debería admitirse de ninguna manera es la presunción iure et de iure de que una tarjeta de DNI insertado en un lector es intransferible e identifica inequívocamente a una persona en el contexto digital, cuando se demuestra que el sistema no se cumple debidamente otras medidas de seguridad.
Entonces, ¿cómo es posible que aún haya quien considere plena capacidad identificativa a una tarjeta de DNI asociada a una clave como si de una huella dactilar se tratase, sin más requisitos o garantías? Ejemplo claro son los casos de "phishing" bancario, cuando una persona ha visto como alguien usa sus credenciales, su "llave" o su DNI, para robarle el dinero de la cuenta. Quien realmente ordena vaciar la cuenta bancaria no es la persona física, es otra persona valiéndose de su identidad digital y de la identificación electrónica (clave y usuario) asociada. En estos casos sucede que no se realiza bien la debida autenticación, por los fallos de seguridad del sistema, y estos fallos pueden ser tanto físicos como técnicos, e impiden o dificultan la debida custodia de las credenciales por el cliente del banco. Por otra parte, otro ejemplo, ya peligroso- por lo fácil que resulta crackearlo también, es la identificación biométrica. Si está siendo harto complicado acreditar judicialmente un uso fraudulento de una identificación electrónica ¿qué va a pasar cuando nos exijan identificarnos electrónicamente con datos biométricos? Considerando la capacidad de la inteligencia digital para crear perfiles falsos basados en datos biométricos ¿se van a aceptar estos sistemas de identificación como palabra de Dios, o prueba de "autenticación" iure et de iure? Confiemos en que no sea así, que la justicia evolucione y exija garantías para la correcta verificación del usuario como exige la Constitución en respeto a la presunción de inocencia. Miedo me da…
En un momento en el que la "identidad digital" está de moda, y que más del 94% de las empresas de nuestro país ha sufrido un incidente de ciberseguridad en el último año , se buscan responsables que permitan una mayor concienciación de los niveles de seguridad de la información en el mercado público y privado, pero aún se pone en entredicho con demasiada frecuencia qué es una "identidad digital" sólida, cuándo permite una autenticación fiable de los usuarios -personas- en el mundo digital. Por una parte, el Reglamento eIDAS, a punto de reformarse, sobre la identificación electrónica y los servicios de confianza para las transacciones electrónicas, expone en su Considerando (16): "Los niveles de seguridad deben caracterizar el grado de confianza de un medio de identificación electrónica para establecer la identidad de una persona, garantizando así que la persona que afirma poseer una identidad determinada es de hecho la persona a quien se ha atribuido dicha identidad. El nivel de seguridad depende del grado de confianza que aporte este medio de identificación electrónica sobre la identidad pretendida o declarada por una persona, teniendo en cuenta los procedimientos técnicos, (por ejemplo, prueba y verificación de la identidad, autenticación), las actividades de gestión (como la entidad que expide los medios de identificación electrónica, el procedimiento para expedir dichos medios) y los controles aplicados". Por otra parte, la Carta de Derechos Digitales publicada por el Gobierno de España en diciembre de 2021, también muestra su preocupación por estas cuestiones y describe derechos en un entorno digital dinámico en constante evolución, con un apartado dedicado al Derecho a la Identidad Digital. Consciente de los riesgos que supone autenticar falsamente a un usuario, señala: "Se establecerán las garantías necesarias que permitan la verificación segura de la identidad en el entorno digital con la finalidad de evitar manipulaciones, suplantaciones, o control de la misma por parte de terceros"; "(…) conforme a la normativa aplicable, el Estado deberá garantizar la posibilidad de acreditar la identidad legal en el entorno digital a los efectos oportunos. En aquellos supuestos en los que legalmente se exija un alto nivel de garantía en la identificación de los sujetos concernidos, el Estado asegurará la provisión y utilización de los medios digitales que serán de aplicación para la acreditación de la identidad"; "(…) el Estado asegurará la provisión y utilización de los medios digitales que serán de aplicación para la acreditación de la identidad". Documentos como estos debieran estar mejor considerados y servir de pilar capital en la correcta concepción de la identidad digital y su capacidad identificativa en el mundo online.
