Nada que esconder (eIDAS2)

Hoy cambiamos un poco de tercio. Toca un pequeño artículo de información y denuncia social a la vez.

El Reglamento (UE) Nº 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014 (eIDAS, electronic Identification, Authentication and Trust Services), relativo a la identificación electrónica y los servicios de confianza en las transacciones electrónicas en el mercado interior, tiene por objeto lo siguiente:

Con el objetivo de garantizar el correcto funcionamiento del mercado interior aspirando al mismo tiempo a un nivel de seguridad adecuado de los medios de identificación electrónica y los servicios de confianza, el presente Reglamento:

a) establece las condiciones en que los Estados miembros deberán reconocer los medios de identificación electrónica de las personas físicas y jurídicas pertenecientes a un sistema de identificación electrónica notificado de otro Estado miembro,

b) establece normas para los servicios de confianza, en particular para las transacciones electrónicas, y

c) establece un marco jurídico para las firmas electrónicas, los sellos electrónicos, los sellos de tiempo electrónicos, los documentos electrónicos, los servicios de entrega electrónica certificada y los servicios de certificados para la autenticación de sitios web.

Es de aplicación directa por todos los estados miembros de la UE, y entró en vigor en julio de 2016. Ha traído múltiples beneficios, como permitir agilizar trámites bancarios o fiscales intracomunitarios en remoto, así como la facilitar la relación de particulares con la administración pública de terceros países dentro de la UE.

Pues bien, el nuevo reglamento eIDAS2 de la UE representa una actualización significativa al marco legal anterior. Aparentemente busca un objetivo legítimo, como es mejorar la interoperabilidad y seguridad en las transacciones electrónicas en el mercado interno de la UE. Y a diferencia de su predecesor, eIDAS2 amplía su alcance para incluir nuevos servicios y tecnologías, como la identificación móvil y los servicios de blockchain.

Las principales novedades de eIDAS2, serían:

  1. Ampliar su alcance para abarcar más servicios digitales internacionales, incluyendo la verificación y reconocimiento de dispositivos.
  2. Mejorar la protección y confidencialidad de las identidades electrónicas y los servicios de confianza.
  3. Crear un sistema para el desarrollo y empleo de identidades digitales, conocidos como wallets de identidad (EUDIWallets), facilitando a individuos y empresas la creación y uso de estas identidades sin necesidad de verificación gubernamental.
  4. Facilitar el uso de identidades digitales y servicios de confianza en procesos de licitación pública y aumentar la compatibilidad entre sistemas nacionales.

Se encuentra todavía en fase de negociación, y de hecho todavía no ha salido a la luz pública un borrador definitivo del texto legal, que está envuelto en bastante polémica por alguno de sus preceptos (de lo que hablaremos más abajo). Una vez que se adopte el Reglamento eIDAS 2, deberá ser publicado en el Diario Oficial de la Unión Europea y entrará en vigor 20 días después de su publicación. Posteriormente, los estados miembros de la UE adaptarán sus sistemas y legislaciones nacionales para cumplir con los nuevos requisitos. Este proceso puede llevar varios años, durante los cuales se espera una colaboración continua entre las autoridades nacionales, los proveedores de servicios de identificación electrónica y otros actores relevantes.

Riesgos para la Seguridad y Privacidad

El concepto de EUDIWallet (European Digital Identity Wallet) es una iniciativa clave dentro del marco del nuevo reglamento eIDAS2 de la Unión Europea. Representa un esfuerzo por proporcionar a los ciudadanos y residentes de la UE un medio digital seguro y fiable para identificarse y realizar transacciones electrónicas.
Teóricamente la EUDIWallet es una cartera digital que permite a los ciudadanos y residentes de la UE almacenar y gestionar sus identificaciones electrónicas y otros documentos personales, como licencias de conducir, certificados de salud y credenciales educativas. Tiene como objetivo facilitar el acceso a servicios públicos y privados en línea, tanto dentro del propio país del usuario como en otros estados miembros de la UE.

Así, las características clave de la EUDIWallet serían:

  • Su interoperabilidad, funcionando a través de las fronteras de la UE, permitiendo a los usuarios acceder a servicios en cualquier estado miembro.
  • La supuesta seguridad mejorada, al implementar «medidas de seguridad avanzadas» para proteger la identidad y los datos personales de los usuarios.
  • El control del usuario, pues tienen libertad total sobre el uso de sus datos, eligiendo qué información compartir y con quién.
  • Acceso simplificado a servicios públicos y privados online.
  • Proceso de verificación de identidad más rápido y seguro para servicios bancarios, educativos y de salud.
  • Mejora de la eficiencia en la gestión de trámites administrativos y burocráticos.

Todo esto suena bien en la teoría. En la práctica, las iniciativas que implican centralización de información, concretamente de datos personales de caracter esencial me resultan como mínimo incómodo, puesto que sabemos que no existen sistemas ni servicios electrónicos 100% seguros, y no es lo mismo que en una brecha de datos te roben unas credenciales o un pequeño conjunto de datos personales, que tu identidad digital al completo.

Tampoco me tranquiliza el hecho de que inicialmente su adopción sea voluntaria, pues sabemos que la población en general, por la ley del mínimo esfuerzo, van a comenzar a emplear cualquier solución tecnológica que facilite realizar sus tareas cotidianas. Un clic mejor que utilizar una tarjeta física, por ejemplo. ¿Recordáis el pasaporte COVID?

Por otra parte, hay otros artículos en la propuesta de actualización del reglamento que como decía antes, están causando bastante polémica entre los expertos en privacidad y criptógrafos, como se puede ver en [1] y [2]. En su articulado eIDAS2 plantea que un Estado miembro pueda, por una «causa justificada», interceptar y descifrar comunicaciones entre individuos que hoy en día se encriptan con protocolos considerados seguros con el estado actual de la técnica.

Es decir, las comunicaciones que hacemos con medios digitales (nuestros hábitos de navegación, de compra online, con quién nos relacionamos en redes sociales, con qué frecuencia, qué información intercambiamos, etc.), pasarían potencialmente a estar totalmente en claro para los controladores supremos (los Estados), hipotéticamente para salvaguardar el interés común en el caso de investigaciones judiciales, y blablabla.

En la práctica, sabemos que los grandes players de Internet nos conocen bastante bien, hasta el punto de que mediante técnicas de perfilado basadas en algoritmia son capaces de ofrecernos productos y servicios adaptados a nuestros gustos y apetencias, y otros actores incluso de manipularnos de forma sucinta para condicionar nuestras acciones, opiniones o incluso el voto.

Pero aquí se trata de que cuando se pierda el control (algo que a lo largo de la Historia siempre sucede porque las armas están para ser utilizadas), todas nuestras comunicaciones en Internet quedarán al desnudo. Y me resisto a aceptar que, como mayoritariamente la gente opina, da igual porque no tenemos nada que esconder.

  • Dudo mucho que alguien aceptase tener a un hombre de negro mirando su pantalla cada vez que utiliza el ordenador y el smartphone.
  • La privacidad es tu Derecho. No solo se trata de esconder cosas, sino de mantener un espacio privado libre de vigilancia y juicio.
  • La información sobre tu ubicación, hábitos y relaciones personales puede poner en riesgo tu seguridad y la de tus seres queridos si cae en manos equivocadas.
  • Tus datos personales son valiosos, y pueden ser usados de maneras que no anticipas, y causarte mucho daño, y muy duradero.
  • Los datos bancarios o financieros, en manos equivocadas, pueden provocar robos de identidad o fraudes, algunos de los cuales pueden desembocar en procesos judiciales lentos y dolorosos.
  • Aceptar la invasión a la privacidad hoy, establece un precedente para futuras invasiones a la privacidad o en otros ámbitos, incluso en áreas que podrían preocuparte (o hacerlo más).

El fin no justifica los medios, y no deberíamos aceptar ni consentir que un Derecho Fundamental de las personas como es el derecho a la intimidad y la privacidad quede cercenado por un supuesto bien mayor, como puede ser perseguir a delincuentes (criminales comunes, pederastas, etc.). Los malos, dada su motivación para realizar acciones ilegales, siempre utilizarán mecanismos para poder evadir estas medidas de seguridad, porque los hay. Y por tanto, al final del día quienes estaremos controlados y vigilados 24x7x365, seremos todos los ciudadanos, para que puedan continuar manipulándonos todavía más si cabe.

El sueño húmedo de la clase política, controlar el último reducto de libertad que nos quedaba, despues de haber emponzoñado los medios de comunicación tradicionales. No traguemos con todo.

[1] https://last-chance-for-eidas.org/
[2] https://last-chance-for-eidas.org/update-151123

Si te ha resultado interesante, suscríbete a la newsletter y el podcast, dale al like y difunde la palabra para ayudarnos a crecer! 😉


Recuerda que tenemos disponible el formato de formación tradicional en nuestro curso de ciberseguridad GRC, o el de trabajo garantizado, en el que solo pagarás si encuentras trabajo, y lo harás de manera cómoda: ¡te ayudaremos a buscarlo!

Stay secure,

Óscar

Deja un comentario