estrategia.gobiernoenlinea.gov.coestrategia.gobiernoenlinea.gov.co/623/articles-9406... · Web...
Transcript of estrategia.gobiernoenlinea.gov.coestrategia.gobiernoenlinea.gov.co/623/articles-9406... · Web...
AUTENTICACIÓN ELECTRÓNICA
CONTRATO DE CONSULTORÍA NO. 0000535 DE 2015
CONCEPTUALIZACIÓN Y DISEÑO DEL MODELO Y LA ESTRATEGIA DE IMPLEMENTACIÓN DE LOS PROYECTOS DE “CARPETA CIUDADANA” Y
“AUTENTICACIÓN ELECTRÓNICA” DEL PLAN VIVE DIGITAL 2014 – 2018
SERVICIO DE CONSULTORÍA
DIRECCIÓN DE GOBIERNO EN LÍNEA
@República de Colombia – Derechos Reservados
Bogotá D.C. - septiembre de 2015
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
FORMATO PRELIMINAR AL DOCUMENTO
Título: DOCUMENTO DE SITUACIÓN ACTUAL
Fecha elaboración aaaa-mm-dd:
2015-08-10
Sumario:Documento con la definición de la situación actual, resultado de la investigación
nacional e internacional, para el proyecto estratégico de Autenticación
Electrónica.
Palabras claves: Situación Actual, Autenticación Electrónica, Modelos, Perspectivas.
Formato: DOC Lenguaje: Español
Dependencia: Ministerio de Tecnologías de la Información y las Comunicaciones.
Código: GEL-AE-SA-01 Versión: 3.0 Estado: Generado
Categoría:
Autor (es): UT everis – Servinformación FONTIC
Firmas:Revisó: Diego Rocha - Equipo GEL
Aprobó: Enrique Cusba
Información Adicional:
No disponible.
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
Ubicación:MinTIC\2. Autenticacion Electronica\3. Entregables\01_Situacion Actual\1.
INFORME.
CONTROL DE CAMBIOS
VERSIÓN FECHA RESPONSABLE DESCRIPCIÓN
1.0 2015-08-10UT everis – Servinformación
FONTICCreación del documento.
2.0 2015-09-23UT everis – Servinformación
FONTIC
Ajustes al contenido del documento
y QA
3.0 2015-10-13UT everis – Servinformación
FONTICAjustes a comentarios MinTIC
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
TABLA DE CONTENIDO
1. INTRODUCCIÓN 12
2. RESUMEN EJECUTIVO 15
2.1 ANÁLISIS INTERNACIONAL 15
2.2 ANÁLISIS NACIONAL 21
3. ANÁLISIS DE LA INFORMACIÓN RECOLECTADA 23
3.1 METODOLOGÍA 23
4. DESCRIPCIÓN DE CASOS INTERNACIONALES 24
4.1 SUECIA 25
4.1.1 DESCRIPCIÓN DEL PROYECTO 27
4.1.2 ESTRATEGIA DE GOBIERNO ELECTRÓNICO 28
4.1.3 EL MODELO 29
4.1.4 DESCRIPCIÓN DEL MODELO 31
4.1.5 PERSPECTIVAS 34
4.2 ESTONIA 50
4.2.1 DESCRIPCIÓN DEL PROYECTO 52
4.2.2 ESTRATEGIA DE GOBIERNO ELECTRÓNICO 57
4.2.3 EL MODELO 59
4.2.4 DESCRIPCIÓN DEL MODELO 61
4.2.5 PERSPECTIVAS 64
4.3 REINO UNIDO 75
4.3.1 DESCRIPCIÓN DEL PROYECTO 77
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
4.3.2 ESTRATEGIA DE GOBIERNO ELECTRÓNICO 78
4.3.3 EL MODELO 81
4.3.4 DESCRIPCIÓN DEL MODELO 82
4.3.5 PERSPECTIVAS 89
4.4 PERÚ 99
4.4.1 DESCRIPCIÓN DEL PROYECTO 101
4.4.2 ESTRATEGIA DE GOBIERNO ELECTRÓNICO 104
4.4.3 EL MODELO 107
4.4.4 DESCRIPCIÓN DEL MODELO 108
4.4.5 PERSPECTIVAS 112
4.5 CHILE 122
4.5.1 DESCRIPCIÓN DEL PROYECTO 123
4.5.2 ESTRATEGIA DE GOBIERNO ELECTRÓNICO 126
4.5.3 EL MODELO 127
4.5.4 DESCRIPCIÓN DEL MODELO 128
4.5.5 PERSPECTIVAS 131
5. ANÁLISIS DE CASOS NACIONALES 144
5.1 COLOMBIA 144
5.1.1 DESCRIPCIÓN DEL PROYECTO 145
5.1.2 EL MODELO 147
5.1.3 DESCRIPCIÓN DEL MODELO 149
5.1.4 PERSPECTIVAS 158
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
6. ANALISIS COMPARATIVO 163
7. CONCLUSIONES Y RECOMENDACIONES POR PERSPECTIVA 167
7.1 PERSPECTIVA POLÍTICO-LEGAL 167
7.2 PERSPECTIVA TECNOLÓGICA 168
7.3 PERSPECTIVA FINANCIERA 170
7.4 PERSPECTIVA ORGANIZACIONAL 170
7.5 PERSPECTIVA SOCIOCULTURAL 171
8. ANEXOS 173
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
LISTA DE ilustraciones
Ilustración 1. Modelos internacionales analizados..............................................................18
Ilustración 2. Matriz selección países.................................................................................19
Ilustración 3. Bandera Suecia.............................................................................................25
Ilustración 4. Canvas Suecia...............................................................................................31
Ilustración 5. Modelo Suecia...............................................................................................33
Ilustración 6. Número total de usuarios de eID en Suecia (BankID, Nordea, Telia y Steria)
............................................................................................................................................35
Ilustración 7. Distribución por edad de las personas que tienen un BankID a septiembre de
2015....................................................................................................................................46
Ilustración 8. Excluidas las transacciones bancarias por Internet de los 12 bancos..........47
Ilustración 9. Volumen de transacciones en el tiempo. (Las cifras exactas están
clasificadas)........................................................................................................................47
Ilustración 10. Tipo de transacción.....................................................................................48
Ilustración 11. Bandera Estonia..........................................................................................50
Ilustración 12. eID Estonia..................................................................................................55
Ilustración 13. Servicios digitales “e-residency” Estonia.....................................................56
Ilustración 14. Canvas Estonia............................................................................................60
Ilustración 15. Modelo Estonia............................................................................................63
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
Ilustración 16. Bandera Reino Unido..................................................................................75
Ilustración 17. Canvas Reino Unido....................................................................................82
Ilustración 18. Modelo Reino Unido....................................................................................88
Ilustración 19. Bandera de Perú..........................................................................................99
Ilustración 20. Portal ciudadano RENIEC Perú................................................................102
Ilustración 21. Autenticación portal ciudadano RENIEC Perú..........................................102
Ilustración 22. Ruta de navegación portal ciudadano RENIEC Perú................................103
Ilustración 23. Canvas Perú..............................................................................................108
Ilustración 24. Modelo Perú..............................................................................................111
Ilustración 25. Bandera de Chile.......................................................................................122
Ilustración 26. Trámites DGMN.........................................................................................125
Ilustración 27. Autenticación Clave Única.........................................................................126
Ilustración 28. Canvas Chile.............................................................................................128
Ilustración 29. Modelo Chile..............................................................................................130
Ilustración 30. Infografía sociocultural Chile.....................................................................140
Ilustración 31. Avances en Clave Única............................................................................141
Ilustración 32. Clave Única...............................................................................................142
Ilustración 33. Instituciones y números de trámites asociados a Clave Única.................142
Ilustración 34. Bandera Colombia.....................................................................................144
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
Ilustración 35. Canvas Nacional........................................................................................149
Ilustración 36. Análisis Canvas.........................................................................................164
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
LISTA DE TABLAS
Tabla 1. Indicadores de desarrollo Suecia..........................................................................25
Tabla 2. Economía y crecimiento Suecia............................................................................26
Tabla 3. Ciencia, tecnología y comunicaciones Suecia......................................................27
Tabla 4. Indicadores de desarrollo Estonia.........................................................................50
Tabla 5. Indicadores de economía y crecimiento Estonia..................................................51
Tabla 6. Ciencia, tecnología y comunicaciones Estonia.....................................................52
Tabla 7. Indicadores de desarrollo UK................................................................................75
Tabla 8. Economía y crecimiento UK..................................................................................76
Tabla 9. Ciencia, tecnología y comunicaciones..................................................................77
Tabla 10. Lista actualizada de los servicios UK..................................................................86
Tabla 11. Lista de servicios que tengan previsto utilizar....................................................87
Tabla 12. Principios en que se enmarca privacidad y seguridad de datos personales en
Reino Unido........................................................................................................................94
Tabla 13. Indicadores de desarrollo Perú...........................................................................99
Tabla 14. Economía y crecimiento Perú...........................................................................100
Tabla 15. Ciencia, tecnología y comunicaciones Perú.....................................................100
Tabla 16. Indicadores de desarrollo Chile........................................................................122
Tabla 17. Economía y crecimiento Chile...........................................................................123
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
Tabla 18. Ciencia, tecnología y comunicaciones Chile.....................................................123
Tabla 19. Marco legal Chile..............................................................................................133
Tabla 20. Indicadores de desarrollo Colombia.................................................................144
Tabla 21. Economía y crecimiento Colombia...................................................................145
Tabla 22. Ciencia, tecnología y comunicaciones Colombia..............................................145
Tabla 23. Visitas y reuniones realizadas..........................................................................162
Tabla 24. Análisis comparativo.........................................................................................166
Tabla 25. Lista de anexos.................................................................................................178
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
1. INTRODUCCIÓN
l Ministerio de Tecnologías de la Información y las Comunicaciones - MinTIC desarrolla
políticas y planes enfocados hacia las Tecnologías de la Información y las
Comunicaciones, que constituyen un componente vital para el crecimiento y desarrollo del
sector, con el fin de brindar acceso a toda la población, en el marco de la expansión y
diversificación de las TIC.
El despacho de la Viceministra de Tecnologías y Sistemas de la Información y a su cargo
la Dirección de Gobierno en Línea; desarrolla lineamientos en materia de Gobierno en
Línea necesarios para definir las políticas, estrategias y prácticas; que soporten la gestión
del Estado en beneficio de la prestación efectiva de sus servicios a través del
aprovechamiento de las TIC.
Adicional es importante mencionar que en el Artículo 45 del Plan Nacional de Desarrollo
(Ley 1753 de 2015), invita al MinTIC a que defina los estándares, modelos y lineamientos
de Tecnologías de la Información y las Comunicaciones para los servicios al ciudadano,
buscando contribuir a la mejora de los trámites y servicios que el Estado ofrece.
La Dirección de Gobierno en Línea, líder de la Estrategia GEL (Gobierno en Línea) en
Colombia, materializa sus lineamientos definidos en el Manual Estrategia de Gobierno en
Línea conforme a lo dispuesto en el Decreto Único Reglamentario del Sector de
Tecnologías de la Información y las Comunicaciones 1078 de 2015, el cual comprende
cuatro grandes propósitos: lograr que los ciudadanos cuenten con servicios en línea de
muy alta calidad, impulsar el empoderamiento y la colaboración de los ciudadanos con el
Gobierno, encontrar diferentes formas para que la gestión en las entidades públicas sea
óptima gracias al uso estratégico de la tecnología y garantizar la seguridad y la privacidad
de la información.
Como consecuencia de sus competencias regladas y debido a la necesidad de orientar el
desarrollo de una administración pública electrónica a la gestión de las necesidades y
requerimientos de los ciudadanos, se ha considerado necesario desde el Ministerio la
12
E
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
definición de un modelo técnico, jurídico, económico y operacional en la Carpeta
Ciudadana Electrónica, así como en la Autenticación Electrónica1, temas que son de gran
relevancia para la inclusión digital de los colombianos, toda vez que permiten el desarrollo
de procedimientos administrativos, por medios electrónicos en condiciones de igualdad,
que permitan la gestión de la información electrónica, y la mitigación de riesgos como la
alteración de dicha información y la suplantación de la identidad.
Según la Estrategia de Gobierno en Línea de Colombia, el Estado ha reconocido que al
igual como ocurre en el mundo físico o como se venía haciendo de manera tradicional, en
el mundo digital las personas naturales o jurídicas requieren validar su identidad para
adelantar trámites u obtener servicios del Estado, lo cual lleva a implementar un modelo
de autenticación electrónica que garantice la identidad de las personas, cuando éstas se
autentiquen frente a los diferentes sistemas de información y/o plataformas electrónicas
que el Estado disponga, y que le permitan interactuar con los ciudadanos o usuarios de
estos servicios.
Es allí donde el Ministerio de Tecnologías de la Información y las Comunicaciones -
MinTIC decide realizar un concurso de méritos, el cual, después de su debido proceso, le
es adjudicado a la UT everis – Servinformación FONTIC, con el objeto de prestar el
servicio de consultoría para realizar la conceptualización y diseño del modelo y la
estrategia de implementación de los proyectos de Carpeta Ciudadana y Autenticación
Electrónica.
Dentro del marco de dicha consultoría, se desarrolla el presente entregable, cuyo objetivo
es mostrar desde las perspectivas jurídica, financiera, tecnológica, organizacional y socio
cultural; la situación en la que se encuentran modelos de autenticación que pueden ser
relevantes para el caso colombiano, bien sea por su semejanza cultural, o por la
innovación que incorporan a sus proyectos de inclusión digital del ciudadano. También se
tendrá la oportunidad de analizar el caso colombiano a partir de algunas experiencias en
1 Es el mecanismo por medio del cual las personas se pueden identificar para acceder de forma segura a los
trámites y servicios electrónicos que el Estado ofrezca.
13
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
entidades seleccionadas y que ya cuentan con diferentes métodos de autenticación
electrónica.
Para esos efectos, en primer término se hará el análisis internacional, revisando los
modelos de Suecia, Estonia, Reino Unido, Perú y Chile; para después centrar el análisis
en el caso colombiano dentro de las perspectivas arriba propuestas, pasando por un
breve análisis comparativo, y llegando finalmente a unas conclusiones por cada
perspectiva.
14
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
2. RESUMEN EJECUTIVO
El presente informe consigna el análisis y definición de la situación actual sobre sistemas
de autenticación electrónica existentes en cinco países, a nivel sudamericano (2) y
europeo (3). El resultado final del presente documento es presentar, de una forma
estructurada, el análisis realizado y en especial los elementos que se evidencian
pertinentes que permitan considerar el desarrollo de modelos de sistemas de
autenticación electrónica aplicables en Colombia. Así mismo, se consigna el análisis de
casos similares a nivel local relacionados con esta materia.
De esta manera, a continuación se presentan los elementos más relevantes encontrados
en el contexto internacional, y posteriormente los elementos correspondientes a los casos
locales analizados.
2.1 ANÁLISIS INTERNACIONAL
Realizado el análisis de los siguientes países: Suecia, Estonia, Reino Unido, Perú y Chile;
se encuentra que en general en todos éstos existe un marco jurídico establecido, así
como unas definiciones técnicas adecuadas a los objetivos planteados en materia de
autenticación electrónica. A continuación se señalan los criterios de análisis elegidos para
el presente estudio, desde el punto de vista técnico, organizacional, financiero y
sociocultural.
En cuanto a la robustez o complejidad de los modelos de autenticación electrónica
analizados en cada uno de los países, se encuentra que los más confiables y seguros
apuntan a ser los de Suecia, Estonia y Perú; los cuales aplican mecanismos de
identificación avanzados (cuentan con más de un factor de seguridad), mientras que en el
caso chileno, si bien el modelo planteado facilita su uso y masificación por utilizar un
estándar de identificación digital descentralizado conocido como Open ID, es de una
usabilidad moderada en términos de riesgos de seguridad, a parte, la participación de las
15
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
empresas privadas para la prestación de este servicio es limitada por el Estado. Por
último, el modelo del Reino Unido considera un esquema distribuido con diversos grados
de seguridad, dependiendo de su aplicación.
En materia organizacional, existen modelos centralizados y operados directamente por el
Estado, que apuntan a un sistema de autenticación cerrado al contexto de trámites con
entidades estatales (v.g. Chile y Perú). En el caso de Estonia, se mantiene el modelo
centralizado mixto con operadores públicos y privados, como modelos más abiertos o
distribuidos que apuntan a la generación de ecosistemas de autenticación, que
trascienden todos los ámbitos del ciudadano, frente a la relación que éstos puedan tener
con el Estado de manera electrónica, lo cual a su vez asegura un mayor flujo de recursos
para la sostenibilidad del sistema como es el caso del Reino Unido. Por último, Suecia
desarrolla un modelo distribuido frente a la intervención de los operadores, y a su vez
ofrece un esquema mixto en donde el sistema de autenticación es usado tanto por el
sector privado, como por el sector público.
En materia financiera, los modelos consideran tanto la financiación directa y completa por
parte del Estado (Reino Unido, Chile), como el desarrollo de sistemas híbridos donde se
financia parcialmente por parte del ciudadano (Estonia y Perú) y por parte de las
entidades que requieren autenticar al mismo, y en algunos casos con aportes o
subvenciones directas (presupuesto para el desarrollo) o indirectas (pago por trámite o
transacción realizada en entidades públicas) por parte del Estado (Suecia).
En cuanto a los aspectos socioculturales, existen países desarrollados con altas tasas de
alfabetismo digital y de penetración de servicios de acceso a Internet fijo y móvil, los
cuales presentan los modelos más desarrollados y de mayor impacto social como lo son:
Suecia y Estonia. Por su parte, en el caso de países en desarrollo (Perú), si bien las tasas
de alfabetismo digital y penetración de servicios pueden ser más bajas que los dos
anteriores, el desarrollo de sistemas con dispositivos de seguridad avanzada disponibles,
permiten que el ciudadano se identifique de manera segura, incluso frente a trámites
presenciales donde el sistema es utilizado por parte de las entidades que reciben el
16
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
trámite, como lo es el desarrollo actual del DNI electrónico en este país, conforme a lo
contenido en el Documento Nacional de Identidad Electrónico - DNIE2.
En general puede establecerse que en estos países todos los sistemas tienden a ser
opcionales para el ciudadano como canal alterno para autenticarse por medios
electrónicos, existiendo siempre la opción de trámites presenciales tradicionales, pero con
estrategias ya definidas de masificación y facilitación de mecanismos técnicos y jurídicos,
que le permitan al ciudadano el uso de estos medios en mayor medida en el mediano y
largo plazo.
El análisis realizado puede consolidarse en unos ejes respecto a los cuales se mueve la
conceptualización de un modelo específico de autenticación electrónica, y que podemos
extractar así:
Uso: existen modelos aplicables sólo al ámbito público (Reino Unido, Perú, Chile) y
otros que se extienden hacia lo privado (Suecia, Estonia).
Nivel de seguridad: existen sistemas simples (Chile) y otros que cuentan con
mecanismos muy robustos (Estonia, Perú) o la posibilidad de diversos
mecanismos según nivel de seguridad requerido para cada trámite en concreto
(Reino Unido, Suecia).
Centralización: existen sistemas centralizados totalmente estatales (Chile, Perú),
sistemas centralizados con la intervención de operadores privados (Estonia),
sistemas semidistribuidos con una base de datos de autenticación centralizada
(Suecia) y sistemas totalmente distribuidos (Reino Unido).
Financiación: existen sistemas totalmente financiados por el Estado (Chile, Reino
Unido), financiados parcialmente por el Estado y el ciudadano (Perú), financiados
por el Estado y usuarios privados (Suecia) y sistemas autosostenibles,
financiados por ciudadanos y entidades usuarias (Estonia).
2 Perú. Anexo 4. Documento Nacional de Identidad Electrónico – DNIE.
17
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
Considerando lo anterior, es importante destacar que las variables más críticas para
clasificar los modelos se refieren entonces al ámbito de uso y a la mayor o menor
centralización del modelo así:
Ilustración 1. Modelos internacionales analizados
Fuente. Elaboración propia
Se encuentra que salvo en el caso de Reino Unido, los modelos analizados tienden a
centralizarse total o parcialmente en un proveedor único de autenticación electrónica con
una base de datos centralizada, sea éste directamente una entidad estatal o un agente
privado bajo el modelo de concesión con el Estado. En el acaso sueco si bien existen 2
operadores, el mercado se concentra significativamente en uno de ellos.
18
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
Por otro lado, la sostenibilidad del sistema en el largo plazo y su independencia de la
aplicación continua de subvenciones o subsidios estatales, depende de la posibilidad de
generar un ecosistema con una economía de escala suficiente, lo cual implica la
agregación de operadores del servicio de autenticación electrónica tanto estatales como
privados, y posiblemente la subvención a los usuarios, aun cuando sea parcial, del
mecanismo de autenticación que se escoja. Lo anterior implica garantizar la
interoperabilidad entre diversas plataformas con un sistema de autenticación centralizado,
seguro y confiable.
Los sistemas más robustos y seguros incorporan la provisión al ciudadano de elementos
de identificación físicos, y en todo caso es posible generar siempre diversos sistemas de
seguridad según el tipo de transacción o de uso que se requiera.
Ilustración 2. Matriz selección países
Fuente. Elaboración propia
19
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
A continuación se exponen las justificaciones de relevancia e impacto de los modelos
internacionales para Colombia.
1. La ubicación del Reino Unido a nivel legal, con su modelo de buenas prácticas y
normas de autenticación más flexibles, tiene una orientación similar a la descrita en el
Decreto 2364 de 2012, que le da prevalencia a la denominada firma electrónica; a nivel
de apropiación tiene una estrategia que podría ser imitada en el ofrecimiento de trámites
que utilizan el mecanismo de autenticación provisto por el Estado; en cuanto a lo
demográfico, es similar al caso colombiano. Se trata de un país que tiene una
configuración administrativa (institucional) similar a la colombiana, pese a las diferencias
en su sistema político. Su modelo no se concentra en la bancarización, razón por la cual
frente a los índices colombianos tiene impacto y relevancia significante. Si bien es cierto,
el nivel de desarrollo económico, social y cultural es diferente al colombiano. Se trata de
un modelo de autenticación que se encuentra en etapa de introducción, por lo que ésta
variable no resulta fundamental.
2. La ubicación de Chile, a nivel legal tiene un modelo jurídico idéntico al colombiano, la
idiosincrasia se comparte en el contexto latinoamericano y por lo tanto su estrategia de
apropiación resulta adaptable al caso de Colombia. Sin embargo, desde el punto de vista
poblacional, Chile es un país con un nivel demográfico menor al de Colombia. Su sistema
de autenticación tiene algunas características de seguridad que pueden ser discutibles en
su aplicabilidad al caso colombiano, teniendo en cuenta que en Chile (y esta es una
diferencia importante) por la centralización de bases de datos a nivel estatal funciona de
manera segura.
3. La ubicación de Suecia, a nivel legal y de tecnología incorpora mecanismos que se han
venido desarrollado en Colombia (Ley 527), como son firmas electrónicas y digitales, y se
trata de un modelo replicable a nivel de apropiación; sin embargo, se considera que su
relevancia no es la más importante, dado que en el ámbito poblacional y a nivel de
bancarización tiene condiciones muy diferentes a las colombianas (9 millones de
20
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
habitantes con un porcentaje de bancarización del 80%). El nivel de desarrollo económico,
social y cultural es muy diferente al colombiano.
4. La ubicación de Estonia a nivel normativo se asemeja mucho al modelo colombiano, así
mismo en cuanto a lo tecnológico, utiliza PKI que también se ha desarrollado en
Colombia; en cuanto a la apropiación y desarrollo de trámites por medios electrónicos, es
completamente diferente a la situación colombiana, pero deseable e imitable y por ello se
destaca su impacto. A nivel demográfico y de desarrollo se trata de países
completamente diferentes, y por lo mismo su impacto es menor.
5. La ubicación de Perú, se presenta en términos de su semejanza con la situación
colombiana, tanto económica y de desarrollo superlativo, pero a nivel de impacto poco
destacable por ser un modelo en una fase muy previa que ha aprovechado una
herramienta (DNI electrónico) difícilmente replicable en el caso colombiano.
2.2 ANÁLISIS NACIONAL
Si bien en Colombia desde el año 1999 por medio de la Ley 527 se reconoció el uso de la
firma digital como mecanismo de autenticación por medios electrónicos, y luego en el año
2012 se amplió el uso de firmas digitales a cualquier firma electrónica de acuerdo a lo
establecido en el Decreto 2364, este nuevo mecanismo no permite garantizar en la
mayoría de casos la autenticidad de las personas, ya que el riesgo de suplantación puede
llegar a ser muy alto como ocurre con la firma electrónica de usuario y contraseña,
mecanismo utilizado en la mayoría de trámites y servicios por medios electrónicos que
hasta la fecha el Estado tiene a disposición de las personas. Debido a que la primera
forma de autenticarse válida jurídica y probatoriamente en Colombia fue la firma digital, es
ésta la que en la actualidad garantiza la autenticidad y el no repudio frente a los trámites y
servicios electrónicos con el Estado. En la mayoría de trámites entre privados el
mecanismo de autenticación más utilizado es la firma digital debido a los niveles de
21
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
seguridad que ésta ofrece, así como su valor probatorio frente a cualquier otra firma
electrónica. Por su parte, las entidades públicas han acogido varios tipos de mecanismos
como son la firma digital cerrada y abierta, ésta última requiere de un tercero de confianza
que para el caso colombiano son las entidades de certificación digital y el sistema de firma
digital cerrada (ésta no requiere de la intervención de un tercero de confianza) como lo es
el caso de la DIAN y otros tipos de firmas electrónicas como el usuario y la contraseña.
Frente a los aspectos financieros de la autenticación electrónica en Colombia no se puede
hablar de manera general de un modelo definido o implementado, ya que hasta la fecha
son las entidades o particulares quienes asumen los costos de uso de una firma digital
(abierta o cerrada) frente a los diferentes proveedores de estos servicios.
Según el Ministerio de Tecnologías de la Información y las Comunicaciones de Colombia,
mediante el boletín trimestral del tercer trimestre de 2014, Colombia habría superado la
meta de conectividad pasando de 2,2 millones de conexiones en el año 2010 a 8,8
millones en el año 2014, siendo el primer país de Latinoamérica con Internet de alta
velocidad en todos los municipios del país, lo cual permite disminuir la brecha digital entre
quienes tienen acceso a Internet y quienes no lo tienen. Si bien en la actualidad las
conexiones a Internet no llegan a todos los hogares de los municipios colombianos, es
posible conectarse a este servicio desde puntos ubicados en la mayoría de municipios
mediante los puntos Vive Digital y los kioscos Vive Digital, además de las opciones de
cafés Internet y otros puntos de acceso comunitario de iniciativa privada.
Todo este despliegue tecnológico permitirá en un corto y mediano plazo que cada vez
más los ciudadanos colombianos puedan realizar sus trámites públicos o privados con el
Estado desde su hogar, oficina o puntos de acceso comunitario; permitiendo de esta
manera la democratización del uso de los mecanismos de autenticación electrónica. En
cuanto al análisis nacional, se planteó una selección de experiencias que incluyesen a los
sectores: público, bancario, salud y pensión; financiero, académico y organismos de
identificación e impuestos.
En general, se encuentra que en cada uno de estos sectores se usan sistemas de
autenticación electrónica específicos, de acuerdo a sus funciones y necesidades, pasando
22
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
por sistemas simples de seguridad, hasta mecanismos con niveles de seguridad altos
como los utilizados por el Banco de la República y la Superintendencia de Economía
Solidaria; así mismo se pueden evidenciar algunos riesgos asociados a posibles
alteraciones de documentos o de información.
De esta manera, se evidencia que la posibilidad de contar con servicios de autenticación
especializados, robustos y que respondan con niveles de seguridad acordes con la
sensibilidad de cada transacción y de la información involucrada, tienen un espacio
interesante en el contexto de las entidades del Estado, y seguramente trasciendan a
necesidades del sector privado.
23
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
3. ANÁLISIS DE LA INFORMACIÓN RECOLECTADA
En los siguientes capítulos se va a describir la metodología de levantamiento y análisis de
información que se siguió, el detalle del análisis internacional para cada uno de los países
seleccionados, la descripción del análisis de casos nacionales y análisis comparativo de
los países por perspectiva.
3.1 METODOLOGÍA
Con el fin de obtener los resultados necesarios para la conceptualización y diseño del
modelo y la estrategia de implementación del proyecto de “Autenticación Electrónica”, se
realizaron las siguientes actividades:
(I). Recolección y análisis de las fuentes secundarias de información: se analizaron las
fuentes secundarias de información a partir de la revisión bibliográfica a nivel internacional
y nacional, así como de las bases de datos y referencias en Internet que se encuentran
sobre la autenticación electrónica en Perú, Chile, Reino Unido, Suecia y Estonia.
(II). Análisis de las fuentes primarias de información: se tuvo contacto directo con los
gestores de políticas públicas en materia de derecho y tecnología en Colombia,
funcionarios y personas expertas que han estado vinculadas al desarrollo y operación de
las plataformas de autenticación electrónica, con las cuales se realizaron entrevistas
personales e intercambio de cuestionarios; así mismo se obtuvo de ellos información
basada en la propia experiencia en esta materia.
(III). Definición de la estructura: dentro del análisis se estableció una propuesta para
abordar de manera integral y sistemática el problema planteado originalmente, esto es, la
conceptualización y diseño del modelo y la estrategia de implementación de la
autenticación electrónica en Colombia, bajo los siguientes criterios: descripción de casos
vistos desde las perspectivas tecnológica, financiera, jurídica, organizacional y cultural;
teniendo en cuenta las dimensiones, generalidades, descripción del caso y el modelo por
24
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
cada uno de los países; con el fin de poder realizar un análisis comparativo entre cada
uno de ellos, y por último lograr establecer unas conclusiones y recomendaciones.
25
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
4. DESCRIPCIÓN DE CASOS INTERNACIONALES
En el presente capítulo se describirán de manera pormenorizada cada uno de los
diferentes aspectos de análisis señalados en la metodología, frente a la implementación
de sistemas o mecanismos de autenticación electrónica que cada uno de los países
objeto de estudio han alcanzado, y que pueden llegar a nutrir los fundamentos para la
elaboración de la conceptualización, diseño del modelo y la estrategia de implementación
de la autenticación electrónica en Colombia.
Para dicha descripción de cada uno de los casos, se van a seguir los siguientes aspectos:
Generalidades: en este apartado se incluirá información general del país,
descripción de la estrategia de gobierno electrónico, el marco institucional, el
marco legal y regulatorio de autenticación electrónica; los principales conceptos
que se manejan en cada país y la descripción de aspectos técnicos, económicos,
socio-culturales y de apropiación.
Descripción del caso desde el punto de vista de la experiencia del usuario.
Descripción del modelo de autenticación electrónica tomando como base la
metodología CANVAS y reforzado con una descripción gráfica del modelo.
Descripción de cada una de las perspectivas de análisis: tecnológica, financiera,
jurídica, organizacional y cultural.
26
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
4.1 SUECIA
Capital: Estocolmo.
Lenguaje oficial: sueco.
Moneda: corona sueca.
Bandera:
Ilustración 3. Bandera Suecia
Fuente. http://www.banderas-mundo.es/
INDICADORES DE DESARROLLO
Nivel de ingresos: Ingreso alto (miembro de la OCDE)
Población total: 9,6 millones (2014).
Población urbana: 9,6 millones (2014).
Índice de gini: 27 (2010).
Tabla 1. Indicadores de desarrollo Suecia
Fuente. Banco Mundial
27
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
ECONOMÍA Y CRECIMIENTO
PIB: US$ 570.6 billones (2014)
Crecimiento del PIB (% anual): 2,3% (2014)
Inflación: -0,2% (2014)
Superávit/déficit del efectivo (% del PIB): -0,3% (2012).
Tabla 2. Economía y crecimiento Suecia
Fuente. Banco Mundial
CIENCIA, TECNOLOGÍA Y COMUNICACIONES
Gasto en investigación y desarrollo (% del PIB): 3,41% (2012)
Usuarios de Internet (por cada 100 personas): 92,5 (2014)
Subscripciones de teléfonos celulares por cada 100 habitantes: 128 (2011)
Subscripciones a Internet de banda ancha fija por cada 100 habitantes: 34,19 (2014)
Porcentaje de individuos utilizando Internet para interactuar con autoridades
públicas:81% (2014)
Porcentaje de empresas utilizando Internet para solicitar información de autoridades
públicas:79% (2014)
Porcentaje de individuos utilizando Internet para descargar formularios oficiales de
autoridades públicas:
52% (2014)
28
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
Porcentaje de empresas utilizando Internet para enviar formularios llenos a
autoridades públicas:50% (2014)
Tabla 3. Ciencia, tecnología y comunicaciones Suecia
Fuente. Banco Mundial
4.1.1 DESCRIPCIÓN DEL PROYECTO
En Suecia la estrategia de la administración electrónica se lleva a cabo principalmente a
través del sitio Web http://www.government.se/ o http://www.regeringen.se/. Allí se puede
explorar todo lo relacionado con los trámites ofrecidos por el Gobierno de este país, así
como sus entidades, políticas y servicios.
Los ciudadanos pueden entre otras cosas acceder a: solicitar beneficios de seguridad
social, matricularse en educación superior, solicitar una copia del certificado de
nacimiento, reportar un robo a la policía, buscar trabajo en las oficinas de empleo locales,
entre otras. Así mismo, los comerciantes pueden: registrar una nueva compañía, realizar
declaraciones de impuestos, manejar contribuciones a la seguridad social para los
empleados, realizar declaraciones de IVA, enviar datos a las oficinas de estadísticas.
Además, es de destacar que también se pueden realizar las siguientes actividades:
facturas electrónicas (todas las agencias gubernamentales han estado manejando
facturas electrónicamente desde julio de 2008), autenticación electrónica (tienen una
infraestructura popular denominada E-Legitimation la cual permite a los ciudadanos y a los
usuarios de establecimientos comerciales tener acceso a los servicios electrónicos
29
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
públicos garantizados) y existen un conjunto de portales para la contratación electrónica
pública.
4.1.2 ESTRATEGIA DE GOBIERNO ELECTRÓNICO
La estrategia sueca de gobierno electrónico tiene como objetivo aumentar el nivel de
colaboración digital entre los organismos públicos y entre los sectores público y privado.
Vale la pena mencionar, que esta estrategia fue desarrollada de manera participativa
contando con ciudadanos, diferentes órganos y entidades del Estado para la toma de
decisiones. Prueba de esto es que el Ministerio de Empresa, Energía y Comunicaciones
celebró 10 talleres en el año 2012, en los que se discutió el proyecto de estrategia con
numerosos ministerios y organismos. Luego de diferentes reuniones y discusiones, tanto
de sectores y organismos públicos, como del público en general, se establecieron los
siguientes parámetros de acción:
1. Compromiso: poner a los ciudadanos en el centro de las reformas de la
administración del Gobierno (administración electrónica).
Este compromiso tiene como objetivo facilitarles la vida a los ciudadanos, apoyar la
innovación y la participación, y aumentar la calidad y la eficacia operativa.
2. Simplicidad: con el fin de desarrollar soluciones sencillas y fáciles de usar.
3. La transparencia y la innovación: con el fin de aprovechar las oportunidades
digitales para fortalecer la democracia y contribuir a un mayor crecimiento
económico a través de los datos abiertos.
Las actividades principales de esta estrategia son:
Desarrollar un programa de reforma plurianual que se presentará como proyecto
de ley de presupuesto para el año 2015, llamado Movimiento Digital, el cual se
30
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
alinea con los objetivos de la estrategia de la administración electrónica y sirve de
apoyo a otros esfuerzos de digitalización pública.
Hacer una investigación sobre el mejoramiento a la gobernanza de la información
digital pública, pudiendo de este modo, reformar la eficiencia, la transparencia y la
innovación en el sector público, como parte del programa de reforma de la
administración electrónica.
Promover el uso de datos y agencias que lleven a tener datos abiertos.
Promover y coordinar la identificación electrónica y la firma de los e-servicios del
sector público.
4.1.3 EL MODELO
Para el año 2007, debido a los diferentes problemas que generó el sistema eID por sus
altos costos y el difícil acceso a este sistema de autenticación, el Estado sueco tuvo que
cambiar la ley estatal3 sobre adquisición pública, con base en un cambio en la directiva
1999/93/EC de la Unión Europea sobre firmas electrónicas. Luego de esta modificación no
fue posible que el Estado sueco pudiera acceder al servicio de eID frente a todos los
proveedores4 en un solo contrato marco.
Para solucionar el problema de adquisición del eID y algunos otros inconvenientes en el
modelo de autenticación electrónica existente en Suecia, se tuvo que crear un nuevo
3 The Public Procurement Act (2007:1091). Disponible en:
http://www.konkurrensverket.se/globalassets/english/publications-and-decisions/swedish-public-procurement-
act.pdf. Último acceso: octubre 14 de 2015.
4 BankID (una colaboración de nueve bancos en el comienzo, hoy de 12 bancos), Nordea (un banco independiente, ahora parte de BankID), Telia (el más grande operador de telecomunicaciones en Suecia), Posten (el operador de correo en Suecia) y Steria (un proveedor de IT).
31
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
marco sueco para la eID. Este nuevo marco sueco para la eID se ha conocido como el
eID2.
El nuevo marco de autenticación en Suecia “eID2” se basa en un modelo distribuido
desde el punto de vista de la naturaleza de los actores que participan operando el mismo,
siendo entidades públicas y privadas y, mixto desde el punto de vista del uso en donde el
modelo aplica tanto para trámites con entidades estatales como privadas, apuntando de
esta manera al incremento escalonado del uso y su sostenibilidad, generando eficiencia
en costos, y un circulo virtuoso de desarrollo del ecosistema digital que permite la
reducción en tiempos y costos en las transacciones a todos los actores que participan en
este modelo (Estado, empresas, ciudadanos).
El acceso universal a este modelo supone una alta alfabetización digital de la población,
bancarización de los ciudadanos y una alta penetración y apropiación de los servicios por
medio de Internet.
A modo de resumen del modelo de negocio, a continuación se presenta la explicación del
CANVAS y un diseño gráfico que sintetiza el modelo y sus actores:
32
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
CANVAS
Ilustración 4. Canvas Suecia
Fuente. Elaboración propia
33
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
4.1.4 DESCRIPCIÓN DEL MODELO
Frente a la gobernabilidad del modelo, existe una Junta de eID que es la “propietaria” del
sistema de eID2 y la orquestadora de una federación de entidades operadoras del
servicio. Todas las entidades que se conectan al sistema de eID2 necesitan de previa
autorización de operación otorgada por medio de un contrato con la Junta de eID.
El modelo de eID2 cuenta con los siguientes actores:
Emisor eID: de “legitimación electrónica Svensk”. Es uno o varios emisores del mecanismo de autenticación, en tanto cumpla con las regulaciones bajo el control de la Junta de eID.
Proveedor IdP: es quien otorga la identidad (SAML) y que cumple con la regulación bajo el control de la Junta de eID. Todo emisor debe estar conectado con un IdP. El emisor puede tener la función de IdP o conectarse con el IdP general autorizado por la Junta eID.
Junta de eID: La junta gubernamental que es propietaria del sistema de eID2. Dirige la federación y redacta todos los contratos con los emisores. Gestiona todos los pagos. Publica los metadatos SAML.
El marco técnico para la identificación electrónica sueca está personalizado para la
federación de identidad específica que se basa en el protocolo estándar SAML 2.0.
El servicio de identificación es prestado por proveedores de identificación electrónica
autorizados previamente por la Junta eID, cuyos servicios, a su vez, se basan en el
servicio de los emisores autorizados.
Dado que la información de identidad, así como otros atributos relacionados con un
usuario, se suministran a través de una afirmación de identidad y una de atributos, todos
los tipos de identificación electrónica que cumplen con los requisitos para la identificación
electrónica sueca pueden ser usados para legitimarse ante un servicio electrónico que
demande los documentos de identidad entre otras autorizaciones legales, incluso si la
identificación electrónica no contiene ningún número de ciudadanía específico (por
ejemplo: identificadores activados por un código que dan contraseñas por una vez).
34
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
Ventajas: se pueden realizar trámites frente a entidades estatales y privadas, incluyendo
la participación de operadores públicos y privados, permitiendo de esta manera la
autosostenibilidad e interoperabilidad del modelo. Por otra parte permite el uso de
multidispositivos para identificarse y firmar electrónicamente. Se presenta simplificación
de trámite y estándar abierto. El marco normativo y organizacional garantiza la seguridad
jurídica y técnica para los usuarios de este modelo a nivel local y europeo.
Casos de uso: declaración de impuestos, licencia de conducción, transacciones
bancarias, diferentes trámites frente al Estado y algunos trámites comerciales.
De esta manera, el modelo sueco opera de la siguiente forma:
Ilustración 5. Modelo Suecia
Fuente. Elaboración propia
35
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
A modo de resumen del modelo Sueco se enumeran sus principales actores y actividades:
Actores:
o El ciudadano que obtiene su identidad electrónica.
o La Junta eID que actúa como autoridad y orquestador del modelo.
o Los proveedores IdP de identidad autorizados por la Junta eID, que se
encargan de comunicar la verificación de identidad.
o El emisor eID u operadores que son Bank ID y Telia.
o Proveedores de servicio que pueden ser entidades estatales o empresas
privadas que desarrollan trámites y servicios autenticando electrónicamente
a los ciudadanos.
Paso a paso:
1. El ciudadano se dirige a uno de los puntos de atención de los emisores
eID para el enrolamiento de su identidad y emisión del mecanismo.
2. El ciudadano utiliza mecanismos de autenticación electrónica en todo tipo
de trámites electrónicos ofrecidos por el Estado o particulares que
requieran de autenticación.
3. El proveedor de servicios utiliza un proveedor IdP autorizado por la Junta e
ID para verificar la identidad ante un emisor ID y comunica el resultado de
la verificación a través del IdP a la entidad estatal o al particular que
requiere la autenticación para el desarrollo del trámite o la prestación de un
servicio. Esta comunicación se hace usando el estándar SAML2.
4. La renovación del mecanismo de autenticación se podrá hacer de manera
presencial o electrónica en oficinas o puntos de atención de emisores eID.
4.1.5 PERSPECTIVAS
JURIDICA
36
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
A finales de los noventa, el Gobierno sueco preparó un plan para desarrollar la
“administración pública de 24 horas” y la necesidad de la eID en Suecia fue bastante
obvia. Después de discusiones con los bancos suecos que ya tenían una gran cantidad de
personas identificadas con seguridad electrónica, el Gobierno decidió solucionar la
necesidad/adquisición del sector público con un contrato marco. (El primer contrato marco
fue la eID 2001 y después ha habido otros dos marcos de adquisición, eID 2004 y eID
2008).
El uso del eID en Suecia tuvo un crecimiento bastante rápido como se muestra en la
siguiente gráfica:
Ilustración 6. Número total de usuarios de eID en Suecia (BankID, Nordea, Telia y Steria)
Fuente. Petter Dahl
Inicialmente en Suecia, se contó con cinco expedidores diferentes, cinco tecnologías
diversas y con contratos disímiles; así mismo, se fue creando un mercado de proveedores
de tecnología como intermediarios, pero cada uno de ellos tenía sus propios
perfiles/estándares API/SAML para conectar a los clientes con sus servicios. Entonces se
hizo costoso para los clientes cambiar sus proveedores de tecnología. Por ejemplo, el
proveedor de software tuvo que adaptarse a múltiples API.
37
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
Como consecuencia de lo anterior, algunas leyes y regulaciones fueron actualizadas en
Suecia, especialmente de acuerdo con el proceso de adquisición gubernamental “sistema
de selección” y el hecho de que los expedidores de eID se deban unir a nueva
infraestructura denominada eID2.
Instrumentos: Directiva Europea de Firma Electrónica 1999/93/EC. Ley 2000: 832 (SFS 2000) sobre firma electrónica reconocida. UETA (por sus siglas en inglés Uniform Electronic Transactions Act). 15 U.S.C. 7001 Firma Electrónica y la Directiva de 2014 sobre Administración Pública Electrónica. Ley de protección de datos (SFS 1998:204). Estrategia de ciberseguridad para la seguridad de la información del gobierno central 2010 – 2015. Las tarjetas electrónicas eIDs en Suecia están reguladas por la Ley 2000: 832 (SFS 2000) sobre firma electrónica reconocida, que implementa la Directiva 1999/93/CE (un marco comunitario de firma electrónica y su aplicación a nivel nacional) de la Unión Europea. Se hace preciso aclarar que esta regulación se ocupa de la firma electrónica, pero no específicamente de las tarjetas inteligentes de identificación.
Marco de política que soporta el modelo: el Estado construyó una estrategia en donde sitúa a los ciudadanos en el centro de las reformas desde la administración del Gobierno, con el objetivo de aumentar el nivel de colaboración digital con su inclusión.
Normas legales o políticas: la Ley define dos tipos de firmas, "avanzada" y "calificada". Calificada hace referencia a un nivel de seguridad más alto que él avanzado y requiere que la identificación electrónica esté basada en un certificado reconocido y emitido por un dispositivo seguro de creación de identidad electrónica (SFS 2000). Todas las tarjetas electrónicas eID existentes en Suecia cumplen los criterios para firmas avanzadas.
Términos y condiciones de uso para los usuarios: se delimitan condiciones como, el uso exclusivo del método por parte del titular: la imposibilidad de delegar o entregar a terceros el mecanismo, control exclusivo del mecanismo, uso dentro de los límites definidos por el respectivo emisor, definición de las condiciones de privacidad de la información suministrada. A continuación se especifican las reglas de uso:
Las tarjetas electrónicas cuentan con un término de validez y se debe pedir una nueva tarjeta antes de la fecha de caducidad.
38
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
Se debe actualizar cuando hay nuevas versiones. Esto se hace de forma automática y
todo lo que los usuarios tienen que hacer es, en su caso, responder afirmativamente
cuando se le pregunta si desea actualizar el programa / app.
En la nueva aplicación Banco ID, se puede tener múltiples dispositivos conectados a
BankIDn para el mismo número de seguro social.
En algunos sitios se ha decidido que el usuario debe ingresar su número de seguro
social antes de seguir adelante, mientras que en los otros puede seguir adelante y
seleccionar el BankID que desee utilizar.
Responsabilidades para los usuarios: a partir de las definiciones de términos y condiciones de uso, se definen las responsabilidades y obligaciones a cargo de los titulares de las tarjetas eID.
Emisores y operadores de los proyectos: operan como proveedores de servicios de autenticación fundamentalmente la unión de bancos denominada BankID y el operador del sector de las telecomunicaciones Telia siendo BankID un operador con alta concentración de mercado.
TÉCNICA
Este aparte contiene la especificación y los perfiles de las federaciones de identidad para
la identificación electrónica sueca y algunos servicios alrededor de ello.
Perfiles SAML. La federación de identidad para la identificación electrónica sueca se basa en los siguientes perfiles de SAML:
o Perfil de implementación – “Perfil SAML 2.0 de implementación de gobierno
electrónico de la iniciativa Kantara”.
o Perfil de uso – “Perfil de uso para el marco de la identificación electrónica
sueca” de la Junta eID. Este perfil se basa en el “Perfil de uso SAML 2.0 INT
SSO de la iniciativa Kantara”.
39
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
Especificación de redirección (Descubrimiento):
o El servicio de redirección (Descubrimiento) de acuerdo con el “Protocolo y perfil
del servicio de descubrimiento del proveedor de identidad según especificación
del comité OASIS” está soportado por el Marco para la Identificación Electrónica
Sueca.
o La Federación de Identidad para la Identificación Electrónica Sueca también
soporta técnicas para la instrucción integrada localmente, las cuales se
describen en el documento “Descubrimiento Dentro del Marco de la
Identificación Electrónica Sueca5”.
Especificaciones de las federaciones de identidad para la identificación electrónica
sueca. Registro para identificadores definidos por la Junta de Identificación
Electrónica:
o La implementación de una infraestructura para la identificación electrónica
sueca requiere distintos tipos de identificadores con el fin de representar objetos
en estructuras de datos. El documento “Registro para Identificadores Asignados
por la Junta Sueca de Identificación Electrónica” (EidRegistry) define la
estructura para identificadores que son asignados por la Junta de Identificación
Electrónica en adición a un registro sobre los identificadores definidos.
o En cuanto a las especificaciones de atributos del documento, el anexo
‘”Especificación de Atributos para el Marco de la Identificación Electrónica
Sueca” indica los distintos perfiles de atributos SAML que se usan dentro de las
federaciones de identidad para la identificación electrónica sueca.
5 Anexo E. Marco Técnico. Descubrimiento Dentro del Marco de la Identificación Electrónica Sueca.
Pag.1.
40
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
Identificadores y programas para la representación de niveles de confianza6”:
o Los niveles de confianza que se usan dentro de la Federación de Identidad para
la Legitimación Electrónica Sueca se describen en el “Marco de Confianza para
la Identificación Electrónica Sueca”. Dado que un nivel de confianza (nivel de
aseguramiento) debe ser representado por un mensaje SAML, hay necesidad
de una forma estandarizada para hacer esto. La especificación “clases de
contextos de autenticación por niveles de aseguramiento para el marco de la
identificación electrónica sueca” define las llamadas.
o Clases de contexto de autenticación con identificadores URI propios y
esquemas XML para cada nivel. Estos se usan con el fin de representar los
distintos niveles de aseguramiento en los mensajes SAML.
Especificación de categorías de entidades.
Las categorías de entidades son usadas dentro de las federaciones con tres fines
principales:
1. Categorías de entidades de servicio: usadas en metadatos de federaciones
para representar las demandas de servicio electrónico en los distintos niveles
de aseguramiento y los atributos requeridos.
2. Categorías de propiedades de servicio: usadas para representar una propiedad
determinada dentro de un servicio.
3. Categorías de entidades por tipo de servicio: usadas para representar los
distintos tipos de servicio dentro de la federación.
6Deployment Profile for the Swedish eID Framework. Disponible en: http://www.elegnamnden.se/download/18.77dbcb041438070e039d6ef/1444137199011/ELN-0602+-+Bilaga+Tekniskt+ramverk+-+Deployment+Profile+for+the+Swedish+eID.pdf. Último acceso: octubre 7 de 2015.
41
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
El documento “Categorías de Entidades para el Marco de la Identificación Electrónica
Sueca” define las categorías de entidades que son determinadas por la Junta eID y
describe su significado.
Especificaciones para el servicio de firma
o Este aparte contiene referencias a varios documentos que definen el servicio
de firma dentro de la infraestructura para la identificación electrónica sueca.
o El perfil de implementación “Perfil de Implementación con el Uso de OASIS
DSS en Servicios Centrales de Firma” especifica un perfil para solicitudes de
firma y respuestas de acuerdo con el Estándar OASIS “Protocolos Básicos,
Elementos y Enlaces del Servicio de Firma Digital”, y amplía esto con las
definiciones especificadas en la “Extensión EiD2 DSS para el Servicio Central
de Firma de Base SAML”.
o Además, se define un perfil de certificado en “Perfil de Certificado para
Certificados Expedidos por Servicios Centrales de Firma” el cual especifica el
contenido en el certificado de firma. Este perfil aplica una nueva extensión de
certificado que soporta al servicio de firma, “Extensión de Certificado en el
Contexto de Autenticación”, que describe el “contexto de autenticación” el cual
es presentado en el Certificado X.509.
Estándares: SAML (por sus siglas en inglés Security Assertion Markup Language). Es un
estándar abierto que define un esquema XML para el intercambio de datos de
autenticación y autorización. En español sus siglas significan Lenguaje de Marcado para
Confirmaciones de Seguridad.
No se puede mover o copiar la identificación contenida en una tarjeta BankID en archivo o
software, con identificación de seguridad bancaria, de un ordenador a otro. Es necesario
volver a instalar la aplicación y descargar una nueva BankID de sus operaciones
bancarias en línea.
42
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
Lineamientos tecnológicos: todos los proveedores cuentan con una interfaz común para
los usuarios de identificación electrónica (ciudadanos, así como los departamentos del
Gobierno) por lo que no tiene que tratar directamente con los diferentes proveedores.
A través de la Federación es posible utilizar identificaciones de reutilización entre todos
los organismos del Gobierno nacional. También es posible utilizar otros medios de
identificación basados en PKI en algunos casos. Esto significa un ahorro en los eIDs que
se pagan por uso.
Políticas de seguridad y privacidad: Para llegar a ser usuarios de BankID, se debe dar
su consentimiento para el procesamiento por parte del emisor de los datos personales.
Para Mobile BankID, lo hace en el sitio Web del emisor. El consentimiento significa que se
acepta que el emisor:
Registre la información que podrá ser utilizada por el emisor a través de este registro. Compile un catálogo electrónico que podrá estar a disposición de los servicios electrónicos que utiliza BankID.
Tenga acceso a los datos personales contenidos en el registro de clientes para el servicio BankID.
Elabore informes, las entradas de registro y haga declaraciones relativas a la utilización del servicio.
De cara a la otra parte, el servicio BankID expone información que es necesaria para que terceros puedan conocer sobre las diferentes reclamaciones formuladas y puedan defender sus derechos.
Registre medios de almacenamiento, procesamiento, modificación y uso de la información, independientemente de los medios de comunicación. Los informes pueden ser en papel, archivo informático u otro medio.
Al utilizar el servicio BankID se enviará por correo electrónico un informe en el que se da a conocer datos como: nombre, el número de seguro social, el emisor del banco de identificación y la indicación protegida de un banco con el que se tiene la relación contractual.
43
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
Descripción genérica de las soluciones tecnológicas: modelo Soft y Hard,
dependiendo de usabilidad y riesgo. La elección ha sido seguir por la solución propuesta
desde la tecnología basada en SAML y que para el 2016 se espera sea SAML 2.
Mecanismos de autenticación: están compuestos por un Smartphone (PKI Móvil),
computadora personal (PKI Software) y un lector de tarjeta inteligente (PKI Tarjeta
Inteligente).
Requerimientos técnicos y funcionales de las soluciones tecnológicas: todos los
emisores proporcionan tarjetas eID de especificaciones técnicas básicamente similares,
emitidos en tarjetas o archivos descargables a un computador o teléfono móvil, e incluyen
dos certificados, uno para la autenticación y otro para la firma. Las especificaciones
técnicas son para todos los eIDs. Mientras que los diferentes eIDs son técnicamente
idénticos, a nivel de interfaz son diferentes, lo que crea una necesidad de múltiples
interfaces y diálogos en el lado del usuario.
Interoperabilidad: opera frente a todos los trámites.
FINANCIERA
La Junta de eID tiene un contrato con cada uno de los proveedores de servicio
conectados y cada proveedor de servicio paga por su uso en el modelo de eID2 a la Junta
de eID.
Luego, la Junta de eID paga a cada expedidor de acuerdo con su entrega de
autenticaciones al sistema de eID2 conforme a su contrato.
Para el Gobierno, el precio mensual es de 3.00 SEK7 por usuario único. La Junta de eID
inicialmente pagará por mes a cada expedidor 2.03 SEK por usuario único si el expedidor
tiene su propio IdP (y 15% menos si el expedidor usa el IdP de la Junta de eIDs). La
diferencia de 0,97 SEK cubrirá los costos del eID y la infraestructura central a cargo de la
Junta.
7 1 Euro = 9,3 SEK
44
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
Cada año se realiza una revisión del modelo de precios con la cual el precio podrá variar.
El modelo toma en consideración la razón del número total de autenticaciones, dividido
por el número total de usuarios únicos en cada mes, y también el número total de
autenticaciones durante el último año para el sistema de eID2.
La Junta de eID vende los servicios de autenticación únicamente al Estado, no al sector
privado. Las compañías privadas continúan teniendo contratos directamente con un
proveedor de tecnología IdP, y el proveedor de tecnología tendrá un contacto comercial
con cada emisor, como sucedía en el anterior modelo sueco, en el cual los precios se
basaban en un cargo por autenticación (de alrededor de 0,20 a 0,30 SEK/cada uno un
precio de mercado) y un cargo mensual fijo de 700 – 5.000 SEK por mes.
Algunas conclusiones al respecto:
La Junta de eID no tuvo que vender ni ceder ese primer modelo. Únicamente
informaron sobre el nuevo modelo de eID2 que iban a usar.
Los proveedores de tecnología del primer modelo trabajan en un mercado
competitivo para vender el método antiguo al sector privado.
La fase inicial de “instalación” para la Junta de eID fue asumida por el Gobierno
y el costo para la Junta de eID fue cerca de 10.000.000 SEK por año. El SP
pagará entonces todos los costos que se causen cuando la eID2 esté instalado
y en funcionamiento en un 100%.
Modelo de sostenibilidad (fuentes de ingreso o financiación): un consorcio conformado por
los principales bancos suecos se formó con el propósito de desarrollar un mecanismo de
identidad electrónica en general utilizable para todo tipo de servicios electrónicos públicos
y privados. Es un modelo donde se debe pagar, en la actualidad el precio se encuentra
en 3,00 SEK mensual por usuario único. En principio sirve para la autenticación con el
Estado con una subvención estatal por cada emisor de 2,03 SEK mensual por usuario
45
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
único. Para el sector privado no hay subvención. Es un modelo incluyente de múltiples
trámites estatales y que conserva alto grado se seguridad y privacidad mediante múltiples
dispositivos.
CAPEX: el operador.
OPEX: el Estado.
Tarifas: el mecanismo de identificación electrónica lo paga cada emisor de acuerdo con la
entrega de autenticaciones al sistema eID2 según su acuerdo contractual. El precio se
encuentra en 3,00 SEK por usuario único mensual. El precio del mecanismo de
identificación electrónica inicialmente para cada emisor es de 2,03 SEK por usuario único
y tiene una reducción del 15% si el emisor utiliza los proveedores definidos por la Junta de
eID.
Se establecen costos bajos para el uso del mecanismo suave y costos altos para el
mecanismo más robusto.
Transparencia: esta información financiera es pública.
ORGANIZACIONAL
Mapa de actores y roles de las entidades:
El ciudadano que obtiene su identidad electrónica.
La Junta eID que actúa como autoridad y orquestador del modelo.
Los proveedores IdP de identidad autorizados por la Junta eID, que se
encargan de comunicar la verificación de identidad.
El emisor eID u operadores que son Bank ID y Telia.
46
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
Proveedores de servicio que pueden ser entidades estatales o empresas
privadas que desarrollan trámites y servicios autenticando
electrónicamente a los ciudadanos.
Mercado: 9,6 millones de habitantes potenciales.
Alcance del modelo (beneficiarios): permitir a los ciudadanos suecos autenticarse por
medios electrónicos para realizar trámites y acceder a servicios del Estado y el sector
privado. En Suecia 6,5 millones de personas utilizan BankID sobre una base regular para
una amplia variedad de servicios privados y públicos.
Empresas, instancias o sectores que participan en el desarrollo del modelo: la
Superintendencia de Administración Tributaria, la Agencia para Gestión Pública, la Oficina
de Patentes y Negocios, Oficina de Registro y la Administración del Seguro Social; son los
patrocinadores oficiales. Los proveedores son: BankID y Correos de Suecia y Telia, cada
uno emite certificados de distinto tipo dependiendo de las necesidades de los emisores y
receptores. Otros que participan: Policía, sector salud, Ministerio Comercio y Hacienda.
Articulación con otras iniciativas de gobierno electrónico: permite registrar nuevas
compañías, realizar declaraciones de impuestos, manejar contribuciones a la seguridad
social para empleados, realizar declaraciones de IVA y enviar datos a las oficinas de
estadísticas y facturas electrónicas; se lanzaron las tarjetas de identificación nacional y los
ePassports y existen un conjunto de portales de contratación electrónica pública.
SOCIOCULTURAL
BankID, es el expedidor más grande en Suecia (>95%). Sé espera tener 1.200 millones
de transacciones en 2015, y alrededor de 6,5 millones de usuarios únicos:
47
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
Ilustración 7. Distribución por edad de las personas que tienen un BankID a septiembre de 2015
Fuente. Peter Dahl - 1. AE Assignment Colombia
BankID es un modelo de infraestructura común integrada por doce bancos los cuales
tienen como propósito la identificación y firma electrónica en las relaciones que se
generen entre ciudadanos y el sector público y privado en Suecia. Estos bancos tienen en
conjunto 8 millones de usuarios únicos potenciales y el 81% de ellos tiene BankID
actualmente.
Los 12 bancos que hacen parte de BankID, son los usuarios más grandes de este mismo
servicio de autenticación como se muestra en la siguiente gráfica, con 61,4% de las
transacciones (bancos de Internet). Los organismos oficiales cuentan con un 24,6% de
transacciones, los municipios y condados representan cerca del 3,3% (cerca de 90
millones de transacciones/año) y otros portales de servicios privados representan el
10,7% de las transacciones (cifras de julio de 2015).
48
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
Ilustración 8. Excluidas las transacciones bancarias por Internet de los 12 bancos
Fuente: Peter Dahl - 1. AE Assignment Colombia
Convenciones de la gráfica:
Negro: municipalidades locales.
Rojo: agencias del Gobierno Central.
Azul: servicios financieros diferentes. (Un gran usuario es SWISH, un servicio en el
cual los interesados pueden transferir dinero entre ellos).
Verde: otros servicios electrónicos privados.
Ilustración 9. Volumen de transacciones en el tiempo. (Las cifras exactas están clasificadas)
Fuente. Peter Dahl - 1. AE Assignment Colombia
49
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
Convenciones de la gráfica:
Azul: bancos de Internet (los 12 bancos).
Rojo: todas las demás transacciones.
Ilustración 10. Tipo de transacción
Fuente. Peter Dahl - 1. AE Assignment Colombia
BankID tiene tres productos PKI diferentes:
1. “BankID på kort” = Tarjeta Inteligente PKI.2. “BankID på fil” = Software PKI.3. “Mobilt BankID”= Celular PKI.
La utilización de celulares PKI se ha disparado y representa usos y comportamientos
completamente nuevos de los usuarios.
Las estrategias e indicadores implementados por el Estado sueco se han fundamentado
así:
Estrategia de apropiación y uso por parte de los usuarios: Suecia ha definido un modelo de inclusión digital a partir de la bancarización, generación de competencias de los ciudadanos, y el desarrollo de múltiples trámites estatales por medios electrónicos.
50
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
Estrategias de difusión y marketing: presencia en medios masivos, aprovechamiento de la cobertura y capacidad de difusión del sector financiero y de las telecomunicaciones.
Indicadores de uso: el emisor de eID más grande de Suecia es BankID (>95%). Los 12 bancos que lo conforman son a su vez el mayor usuario de BankID, con el 68% de las transacciones (bancos de Internet). El sector público representa aproximadamente el 7,4% (alrededor de 90 millones de transacciones / año) y otros servicios financieros, fuera de los 12 bancos, representan el 15% de las transacciones. Algunas cifras:o 4,5 millones de descargas de la App.
o 250 millones de autenticaciones por año.
o 15 millones de firmas electrónicas en el sector público.
Facilidad en el proceso de autenticación: es posible utilizar este mecanismo mediante el uso de medios electrónicos y teléfonos móviles. Más del 50% de los ciudadanos tienen una identificación electrónica.
Estrategia de implementación utilizada: las tasas de uso actuales son de unos 300 millones de operaciones por año. El sistema actual cuesta al Gobierno aprox. 3 céntimos de euro por cada entrada en este volumen de operación, lo cual permite determinar que a mayor número de usuarios y transacciones, menores serán sus costos. El nuevo sistema probablemente se moverá a tarifas de suscripción por persona y mes, para apoyar mejor los servicios de alto volumen.
Esquemas de formación de usuarios: existe un importante desarrollo de servicios gubernamentales por medios electrónicos y teléfonos móviles que ofrecen diversas formas de asistencia al ciudadano. Así mismo, el sector financiero y los emisores de eID han realizado una labor importante frente a la formación de los usuarios poniendo a disposición información respectiva de este modelo de autenticación en sus sitios Web.
Tipologías de cliente-objetivo: los ciudadanos como base primaria. Empresas que manejan modelo de recepción de la información. Entidades estatales que autentican sus trámites y procesos.
Especial referencia en este modelo, las entidades financieras a través de la alianza
denominada BankID. Para los usuarios, la implementación de la infraestructura
eID2 no afectará de ninguna manera. Los usuarios pueden seguir utilizando su
identificación electrónica de BankID o Telia.
51
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
4.2 ESTONIA
Capital: Tallin.
Lenguaje oficial: estonio.
Moneda: Euro (EUR).
Bandera:
Ilustración 11. Bandera Estonia
Fuente. http://www.banderas-mundo.es/
INDICADORES DE DESARROLLO
Nivel de ingresos: Ingreso alto (miembro de la OCDE).
Población total: 1,3 millones (2014).
Población urbana (% del total): 68% (2014).
Índice de Gini: 32,7 (2011).
Tabla 4. Indicadores de desarrollo Estonia
Fuente. Elaboración propia
52
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
ECONOMÍA Y CRECIMIENTO
PIB: US$ 25,90 mil millones (2014).
Crecimiento del PIB (% anual): 1,6% (2014).
Inflación: -0,3% (2014).
Superávit/déficit del efectivo (% del PIB): -0,1% (2012).
Tabla 5. Indicadores de economía y crecimiento Estonia
Fuente. Elaboración propia
CIENCIA, TECNOLOGÍA Y COMUNICACIONES
Gasto en investigación y desarrollo (% del PIB): 2,18% (2012).
Usuarios de Internet (por cada 100 personas): 84,2 (2014).
Subscripciones de teléfonos celulares por cada 100 habitantes: 161 (2014).
Subscripciones a Internet de banda ancha fija por cada 100 habitantes: 27,37 (2014).
Porcentaje de individuos utilizando Internet para interactuar con autoridades
públicas:51% (2014).
Porcentaje de empresas utilizando Internet para solicitar información de
autoridades públicas:48% (2014).
Porcentaje de individuos utilizando Internet para descargar formularios
oficiales de autoridades públicas:25% (2014).
53
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
Porcentaje de empresas utilizando Internet para enviar formularios llenos a
autoridades públicas:32% (2014).
Tabla 6. Ciencia, tecnología y comunicaciones Estonia
Fuente. Elaboración propia
4.2.1 DESCRIPCIÓN DEL PROYECTO
En Estonia, uno de los principales actores de gobierno electrónico es entre otros, el
Consejo e-Estonia, creado en 2014 (antes Consejo Informático de Estonia). Este es un
comité gubernamental que dirige el desarrollo de la sociedad digital y la gobernanza
electrónica en este país. Este consejo está conformado por cinco expertos, algunos
representantes del sector de las Tecnologías de la Información y las Comunicaciones (en
lo sucesivo TIC) y tres ministros.
La infraestructura y modelo estonio de e-government, en términos de portales o sitios Web
está compuesta por:
a. www.eesti.ee: este portal coordina la información proporcionada y los servicios
ofrecidos por diversas instituciones del Estado. Cuenta con un entorno de Internet
seguro para la comunicación con el Estado y ofrece información fiable y soluciones
electrónicas para los ciudadanos, empresarios y funcionarios respectivamente. El
acceso a información y servicios electrónicos relevantes en el portal depende de
hecho de si el usuario es un ciudadano, empresario o funcionario del Estado.
b. www.digidoc.sk.ee: este portal está disponible para Estonia respecto al uso de ID-
Tarjeta, y para usuarios de Estonia y Lituania, el uso del sistema Mobile –ID.
Permite la firma digital, la verificación de la validez de la firma digital, envío de
documentos a otros usuarios del portal y la recepción de documentos de otras
personas. El DigiDocService proporciona una forma rápida y fácil de aumentar la
54
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
seguridad de cualquier servicio Web para satisfacer las más altas exigencias. Esto
hace que sea posible llevar a cabo la autenticación basada en fuertes dispositivos
de autenticación de diferentes proveedores, y proporciona a los mismos la
oportunidad de incorporar firmas legales sobre cualquier dato creado dentro de su
servicio, lo cual provee validez y prueba de acción a largo plazo en los tribunales
en toda la UE.
c. www.viljandivald.ee: el concepto del portal es innovador, ya que se basa en una
herramienta de gestión de contenido de código abierto, lo que permite la
administración del sitio de manera fácil y uniforme. La solución desarrollada
incluye una estructura de página Web estándar para los gobiernos locales, las
herramientas para la administración del sitio y una función de interfaz con los
registros públicos.
En cuanto a la implementación de las tarjetas electrónicas de identificación, el
Parlamento de Estonia tomó la decisión de introducir una tarjeta de identificación
electrónica en el año 2000, y las primeras tarjetas se publicaron en enero de 2002.
De las cuales 130.000 fueron emitidas en el primer año.
Las tarjetas son emitidas bajo un único estándar y no hay características
opcionales que los titulares (ciudadanos) puedan elegir tener o no tener. Sin
embargo, si los ciudadanos desean suspender las funciones electrónicas de sus
tarjetas, tienen el derecho de suspender la validez de sus certificados. Esto
también elimina los datos del titular del directorio de certificado público en el
desarrollo de PKI - los números de identificación personal únicos son información
pública en Estonia.
La parte frontal de la tarjeta contiene:
Firma y la foto del titular.
Nombre del titular.
55
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
Código personal (código de identificación nacional).
Fecha de cumpleaños.
Género.
Estado de ciudadanía.
Número de tarjeta.
Validez de la tarjeta con fecha de caducidad.
El reverso de la tarjeta contiene:
Lugar de nacimiento del titular.
Fecha de emisión de la tarjeta.
Detalles de permiso de residencia (en su caso).
Los datos de la tarjeta y del titular en formato legible (excepto para la foto y
firma).
La información con la que cuenta la tarjeta no se duplica en el chip de la misma, que
contiene dos certificados y sus claves privadas asociadas y protegidas por los códigos
PIN. Los certificados digitales sólo contienen el nombre del titular y el código personal
(documento nacional de identidad). Los certificados digitales están diseñados tanto para la
autenticación de los ciudadanos como para la firma electrónica de documentos.
Una característica interesante de la tarjeta electrónica eID en Estonia es que el certificado
de autenticación también contiene una dirección de correo electrónico única asignada al
titular. La estructura de datos es la siguiente: [email protected], donde
NNNN representa cuatro números al azar. Esta dirección está pensada como una
dirección para toda la vida. No está asociado con un servicio de correo electrónico real, es
más bien una dirección de reenvío hasta la dirección "real" del titular. El titular puede
actualizar sus detalles de la dirección "real" siempre que sea necesario.
56
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
La dirección de correo electrónico está destinada a las comunicaciones del Gobierno, pero
también se puede utilizar en privado o para las relaciones con empresas del sector
privado. Las direcciones están disponibles al público a través del Registro Nacional de
Proveedores de Servicios de Certificación de Estonia.
Ilustración 12. eID Estonia
Fuente. www.id.ee
En el centro del sistema está el proveedor oficial del eID denominado Sertifi
tseerimiskeskus (SK - 'centro certificado'), quien es el que mantiene la infraestructura
electrónica necesaria para la expedición y el uso de la tarjeta electrónica de identificación.
Dos de los principales bancos de Estonia, Hansapank y Eesti Ühispank, en colaboración
con las empresas de telecomunicaciones Eesti Teléfono y EMT, establecieron una alianza
público privada que da origen a SK, aprovechando de esta manera la infraestructura de
los dos bancos. La tarjeta puede se puede obtener en las oficinas o sucursales de los
bancos colaboradores, sin embargo, es posible que al solicitar la misma, el ciudadano
también aplique a los trámites para obtención de la ciudadanía de Estonia.
La estrategia de la firma electrónica de Estonia no limita el uso de la autenticación digital;
también se puede utilizar para firmar documentos electrónicos. Sus usos incluyen poder
acceder a la asistencia sanitaria, por lo tanto, no se requiere tarjeta de salud separada,
pues sólo será necesaria presentar la tarjeta de identificación eID cuando se visite
cualquier institución médica.
57
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
Los componentes de software de base, utilizados en este modelo de autenticación, están
disponibles al público. Por tanto, cualquier organización o interesado puede crear
aplicaciones y procesos de negocio basados en el uso de la tarjeta de identificación
electrónica. Este enfoque ha dado lugar a la adopción generalizada de las funcionalidades
de la tarjeta de identificación. Por ejemplo, autorizaciones en el sector financiero,
transacciones en línea, firma de contratos, declaraciones de impuestos, la autenticación
Wi-Fi, acceso a los datos personales recogidos en las bases de datos del Gobierno e
incluso como tarjeta de control de acceso (puertas que se abren).
Es importante resaltar que Estonia cuenta con el sistema tecnológico más desarrollado
para la emisión de tarjetas de identidad electrónica en el mundo8, más que un documento
de identidad con foto, la tarjeta nacional obligatoria sirve para dar acceso digital a todos
los servicios en línea seguros entre otros.
De otra parte, una característica importante que tiene la tarjeta eID de Estonia, es que
ésta cuenta con un chip que va incrustado en la tarjeta, el cual almacena archivos usando
una clave pública de 2048 bits, lo que permite que sea utilizada como prueba definitiva de
identidad en un entorno electrónico.
Adicional a la tarjeta electrónica obligatoria para ciudadanos, existe e-Residency como
sistema de identificación digital, el cual permite a los extranjeros obtener una tarjeta
electrónica de residencia.
A continuación se detallan los servicios digitales que ofrece esta tarjeta:
8 Disponible en: http://www.id.ee/?lang=en. Último acceso: octubre 4 de 2015.
58
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
Ilustración 13. Servicios digitales “e-residency” Estonia
Fuente. Página Web E-estonia
Para aplicar a un e-Residency, el usuario deberá proveer información relacionada con:
detalles personales, información de contacto, detalles de identificación y razones de
aplicación9.
4.2.2 ESTRATEGIA DE GOBIERNO ELECTRÓNICO
La estrategia para la Sociedad de la Información de Estonia incluye el desarrollo de
actividades, como:
Construir una base tecnológica que esté lista para tener acceso a Internet ultra
rápido, permitiendo que al menos un 60% de todos los estonios la usen
diariamente.
Incrementar las capacidades de servicios electrónicos en cooperación con el
Instituto Nórdico para el Gobierno Electrónico, con el fin de desarrollar
diferentes alternativas en mecanismos de autenticación y firmas digitales, entre
otros.
Permitir que para el 2020, al menos el 20% de la población haga uso de las
firmas digitales.
Proveer la infraestructura tecnológica y organizacional, para que las personas
controlen el uso de su información y conozcan en cualquier momento, quién,
por qué, cuándo y cómo se utiliza por parte del Gobierno.
9 Ver más: https://apply.e-estonia.com/.
59
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
Modernizar los servicios públicos electrónicos, implementar estándares de
calidad uniformes y apoyar la reforma y actualización de las soluciones de IT
más antiguas.
Mejorar las políticas relacionadas para una mejor toma de decisiones y
prestación de servicios.
Lanzar la “eResidencia” la cual permitirá otorgar una identidad digital a las
personas no residentes en el país, con el fin de que puedan acceder a
servicios electrónicos, de manera similar a como lo realiza la industria bancaria
suiza.
Adicionalmente, se ha tomado como referencia el documento Estrategia de
CiberSeguridad 2014-2017 (Comisión Europea, 2015), como elemento básico para la
planeación de ciberseguridad en Estonia y el cual parte de la estrategia de seguridad de la
Nación. La estrategia resalta desarrollos importantes recientes, evalúa las amenazas de
ciberseguridad existentes y presenta medidas para la mitigación del riesgo. Los objetivos
contemplados allí son los siguientes:
Establecer a nivel nacional, un sistema completo de medidas de seguridad,
que conste de varios niveles, para garantizar la ciberseguridad en toda Estonia.
Ser un país que se caracterice por un nivel muy alto de competencia y
consciencia sobre la seguridad de la información.
Proporcionar la regulación legal, para apoyar la seguridad y uso extensivo de
sistemas de información.
Ser uno de los países líderes en cooperación internacional para fortalecer la
ciberseguridad.
La implementación de la estrategia es coordinada por el Ministerio de Asuntos
Económicos y Comunicaciones. Todos los ministerios y entidades gubernamentales
60
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
participarán de esta implementación, destacándose, el Ministerio de Defensa, la Autoridad
de Sistemas de Información, Ministerio de Justicia, Policía, Ministerio de Relaciones
Internacionales, Ministerio del Interior y Ministerio de Educación e Investigación. Además,
en la implementación estarán cooperando ONG’s, asociaciones empresariales, gobiernos
locales e instituciones educativas.
4.2.3 EL MODELO
El modelo de Estonia se basa en un sistema de monopolio estatal, desarrollado mediante
una APP en la cual el Estado exclusivamente interviene y regula aspectos fundamentales
relacionados con tarifas al ciudadano y la masificación del mecanismo. Al obtener
ingresos, tanto de tarifas reguladas al ciudadano, como de entidades que utilizan los
mecanismos de identificación por transacción; el sistema es autosostenible, lo cual no
requiere de ningún tipo de aporte de recursos del Estado.
La masificación de este modelo supone la generación de incentivos para el desarrollo de
aplicaciones soportadas en el sistema, generando con ello consolidación y crecimiento del
ecosistema actual. Lo anterior supone una alta tasa de penetración y apropiación de los
servicios de acceso a Internet fijo y móvil, complementada con la expansión de los
mecanismos lectores de la tarjeta de identificación.
Este modelo permite que la tarjeta electrónica permita realizar trámites y acceder a
servicios ofrecidos, tanto por el sector público como por el sector privado, ya sea para
autenticarse ante éstos o firmar documentos electrónicos.
A modo de resumen del modelo de negocio de la autenticación electrónica en Estonia, se
presenta la explicación del CANVAS:
61
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
CANVAS
Ilustración 14. Canvas Estonia
Fuente. Elaboración propia
62
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
4.2.4 DESCRIPCIÓN DEL MODELO
El emisor de identidad SK (Certification Centre, legal name AS Sertifitseerimiskeskus) ha
proporcionado los servicios de certificación y firma digital a los estonios desde 2001. Su
presencia se extiende por toda la región del Báltico y ha participado en numerosos
proyectos internacionales de I+D (Investigación + Desarrollo). Desde 2002, SK ha emitido
certificados digitales para la tarjeta de identificación electrónica de Estonia y ha trabajado
para desarrollar y fomentar la implementación de aplicaciones electrónicas para la misma.
SK fue un pionero en la creación de servicios de verificación de firma electrónica (con el
despliegue del servicio DigiDoc) y en el desarrollo de sistemas de identificación que
utilizan dispositivos móviles (Mobile-ID).
El costo de la tarjeta para los usuarios finales es de 10 euros y actualizar la información o
el código PIN es gratuito si se hace en las oficinas del Gobierno, si se hace en un banco
colaborador cuesta entre 2 y 4 euros.
Los proveedores de servicios deben pagar según el número de transacciones por mes.
Pagan desde 25 euros por 400 transacciones hasta 6,000 euros por 750.000
transacciones. El precio, por lo tanto, está entre 0.008 y 0.06 euros por transacción,
substancialmente más bajo que otros servicios de pagos en línea. Se ofrece un paquete
inicial gratuito de 8.000 transacciones.
Mucho más que una simple foto legal de identificación, la tarjeta nacional obligatoria sirve
como la tarjeta de acceso digital a todos los e-servicios seguros de Estonia.
Algunos usos diferentes a los de autenticación y firma digital que permite esta tarjeta son:
63
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
Uso de la tarjeta de identificación como una tarjeta de fidelidad: significa principalmente que el archivo de datos de carácter personal será leído electrónicamente desde la tarjeta de identificación y se guarda en una base de datos (o que la tarjeta se compara con ella). Se puede decir que toda empresa que quiera usar la tarjeta de identificación como una tarjeta de fidelidad, crea una solución personalizada para ésta.
Uso de la tarjeta de identificación en los sistemas de control de acceso:
Estos sistemas trabajan generalmente con el mismo principio: un lector de tarjeta
inteligente lee un número de tarjeta única de la tarjeta de identificación insertada y
lo reenvía al sistema de control de acceso. Si el número de esta tarjeta se puede
encontrar en la base de datos de números permitidos, la persona puede, por
ejemplo, abrir una puerta cerrada. Si el número no está en la base de datos, el
usuario de la tarjeta no obtiene el acceso. Dos métodos de seguridad distintos se
pueden implementar en los sistemas de control de acceso:
o Lectura del archivo de datos personales de la tarjeta (por lo general esto es
suficiente).
o Autenticación con código PIN basado en PKI.
Si se utiliza el archivo de datos de carácter personal, se recomienda vincular los derechos
de acceso al número del documento, no el número de identificación personal, porque
cuando se pierde la tarjeta, el acceso con esta tarjeta específica puede ser revocado.
Para los certificados, el número de serie del certificado (no la de su dueño) cumple el
mismo propósito.
Ventajas: se pueden realizar trámites frente a entidades estatales como privadas, pero en
este modelo sólo participa el Estado como operador; permite la simplificación de trámites
mediante el uso de una única credencial; sirve como tarjeta de identidad y para firmar
electrónicamente; el marco normativo y organizacional garantiza la seguridad jurídica y
técnica para los usuarios de este modelo a nivel local y europeo. La tecnología permite la
interoperabilidad con otros modelos de la región.
64
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
Casos de uso: a continuación se presentan ejemplos de los usos posibles de la tarjeta de
identificación en Estonia:
Para viajar legalmente dentro de la Unión Europea.
Como tarjeta de seguro de salud.
Como prueba de identidad al ingresar en cuentas bancarias desde un
computador personal.
Como tarjeta prepagada de transporte público en Tallin y Tartu.
Para firmas digitales.
Para voto digital.
Para acceder a las bases de datos del Gobierno y revisar registros médicos,
archivos de impuestos, entre otros.
Para recoger prescripciones médicas.
A continuación se muestra la gráfica del modelo estonio de autenticación electrónica:
65
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
Ilustración 15. Modelo Estonia
Fuente. Elaboración propia
A modo de resumen del modelo estonio se enumeran sus principales actores y
actividades:
Actores:
o El ciudadano que obtiene su identidad electrónica.
o La Policía de Estonia y/o Junta de Guardia de Frontera que actúa en el
enrolamiento del ciudadano.
o Una alianza público privada denominada SK (Emisor ID) que contempla la
unión de bancos y compañías de telecomunicaciones.
o Las entidades estatales que desarrollan trámites y servicios autenticando
electrónicamente a los ciudadanos.
o Las empresas privadas que autentican al ciudadano de manera electrónica.
Paso a paso:
1. El ciudadano se dirige a uno de los puntos de atención de la Policía
Nacional de Estonia para el enrolamiento de su identidad.
2. La Policía de Estonia y/o Junta de Guardia de Frontera, a través de la
verificación de registros públicos establece que el solicitante podrá ser el
titular del eID.
3. Una vez verificada la identidad del ciudadano, el emisor del eID emite una
tarjeta electrónica que contiene el chip con firma digital.
4. El ciudadano titular de la tarjeta electrónica podrá utilizar su mecanismo de
autenticación electrónica y firma digital en todo tipo de trámites electrónicos
ofrecidos por el Estado.
5. La renovación del mecanismo de autenticación se podrá hacer de manera
presencial o electrónica en las oficinas o puntos de atención del emisor
eID.
66
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
4.2.5 PERSPECTIVAS
JURÍDICA
Marco de política que soporta el modelo: con la aparición de Internet los líderes
de Estonia tomaron una decisión consciente de utilizar esta tecnología para
construir una e-Sociedad abierta - un proyecto de cooperación entre gobiernos,
empresas y ciudadanos; para moldear el camino de la Nación sueca para el
futuro-. En consecuencia hay una avance en la producción de políticas de Estado
que llevan a que en 1994 se apruebe la política de información, en 1996 se crea la
Ley de Protección de Datos Personales, en el año 2000 se aprueba la Ley de
Firmas Digitales y otras normas que permiten realizar trámites por medios
electrónicos.
Sumado a lo anterior Estonia espera crecer y convertirse en un caso de éxito de
Europa en materia de e-government lo cual hace necesario tener en cuenta el
marco de la estrategia de Ciberseguridad 2014-2017 (Comisión Europea, 2015).
Instrumentos: Directiva Europea de Firma Electrónica 1999/93/CE. El Parlamento
Estonio (Riigikogu) aprobó la Ley de Firma Digital el 8 de marzo de 2000, la cual
entró en vigor el 15 de diciembre de 2000. La Ley regula cuestiones que son
esenciales para la implementación de una PKI a nivel nacional. Protección de
datos personales (RT I 2003, 26, 158). Ley de Identidad de Documentos (RT1 I
1999, 25, 365). Ley de Firmas Digitales (RT1 I 2000, 26, 150). Así como los
principios generales del Código Civil, Código de Comercio y Ley de propiedad.
67
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
Normas legales o políticas: el Parlamento Estonio (Riigikogu) aprobó la Ley de
Firma Digital (en adelante DSA) el 8 de marzo de 2000, la cual entró en vigor el 15
de diciembre de 2000. La Ley regula cuestiones que son esenciales para la
implementación de una PKI a nivel nacional y la firma digital infraestructura.
Términos y condiciones de uso para los usuarios: para utilizar los servicios
electrónicos de identificación de tarjetas y Digi-ID se debe: i) Descargar Software
de DNI, ii) Obtener un PIN, iii) Contar con un ordenador o teléfono móvil con
conexión a Internet y iv) Tener un lector de tarjetas. Así mismo se deberá tener en
cuenta lo siguiente:
o Nunca dar la tarjeta de identificación a otras personas. Puede ser mal utilizada
y el responsable es el titular.
o Si la tarjeta se pierde, se debe contactar personalmente a la Oficina de
Ciudadanía y Migración con el fin de invalidar la tarjeta. La revalidación de una
tarjeta es imposible, así que se debe aplicar para una nueva tarjeta.
o Una firma digital emitida por medio de la tarjeta de identificación es tan válida
y vinculante que una firma manuscrita.
o El código PIN2 es igual que una firma manuscrita por lo que antes de ingresar
en el código PIN2 hay que estar seguros de qué documento(s) se está(n)
firmando.
o Los navegadores Web pueden almacenar en caché (temporalmente) el código
PIN1 insertado durante la sesión activa del navegador. Esto se puede evitar
siguiendo estos tres principios:
1. Después de usar la tarjeta de identificación para algún servicio electrónico,
se debe cerrar la sesión en el servicio usando "Välju" / "Exit", "Logi välja" /
botones "Sulge" / "Cerrar" o "Salir".
68
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
2. Después de usar la tarjeta de identificación electrónica siempre hay que
retirarla del lector de tarjetas.
3. Se deben cerrar todas las ventanas del navegador Web (Internet Explorer,
Mozilla Firefox, Chrome, Safari) cuando se hayan hecho todos los pasos
anteriores.
Responsabilidades para los usuarios:
1. Nunca se puede dar la tarjeta de identificación a otras personas. Puede ser
mal utilizada y el responsable será siempre el titular.
2. En caso de pérdida de la tarjeta de identificación o de sus códigos, se debe
notificar inmediatamente a la línea de ayuda llamando al 1777 o contactar
personalmente a la Oficina de Ciudadanía y Migración en la que se invalida la
tarjeta.
3. Una firma digital emitida por medio de la tarjeta de identificación es tan
válida y vinculante como una firma manuscrita.
4. Se deben asegurar de entender qué documentos se está firmando.
5. ID-tarjeta y digi-ID son los métodos más fáciles, más convenientes y más
seguros de utilizar.
6. Si una persona con malas intenciones obtiene acceso al PIN y tarjeta de
identificación, él o ella será capaz de suplantar al titular y firmar digitalmente
otorgando a esta firma plena validez jurídica. Por lo tanto el usuario debe
seguir lo siguiente:
No revelar los códigos de su tarjeta de identificación a otras personas.
69
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
Nunca escribir cualquiera de los códigos en la tarjeta. Mantener los códigos
en un lugar seguro o preferiblemente, memorizarlas y destruir el código.
Si es posible, cambiar los códigos PIN1, PIN2 y PUK inmediatamente
después de la recepción de la tarjeta.
No utilizar las mismas combinaciones de números como PIN1 y PIN2.
Los códigos se deben cambiar de manera regular después de ciertos
períodos con el fin de minimizar el riesgo de suplantación.
La longitud mínima de PIN1 es de 4 dígitos, mientras que PIN2 debe
constar de un mínimo de 5 dígitos.
La longitud máxima de PIN1 y PIN2 es de 12 dígitos.
La longitud de PUK puede ser de 8 a 12 dígitos.
Al elegir nuevos códigos, evite que las combinaciones sean fáciles de
adivinar, tales como: 12345, 11111, su fecha de nacimiento, etc. Además,
recuerde utilizar diferentes combinaciones para PIN1 y PIN2.
Emisores y operadores de los proyectos: SK (Certification Centre, legal name AS
Sertifitseerimiskeskus) único operador en alianza público privada.
TÉCNICA
Estándares: la red de distribución incluye el uso de medios virtuales y correo,
así como puntos presenciales de autoridades de Policía y puntos en las
fronteras para la entrega de las tarjetas a los usuarios. Hay dos certificados en
formato X.509, guardados en la tarjeta de identificación. Estonia, ha optado
por adoptar la tecnología de Safelayer10.
10 Es un fabricante de software de seguridad para soluciones de infraestructura de clave pública (PKI), sistemas
de autenticación multifactor, firma electrónica, cifrado y transacciones seguras. Productos Trusted Electronic
70
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
Lineamientos tecnológicos: son abiertos y se encuentran disponibles para
integración técnica con el fin de facilitar acciones de inclusión digital.
Políticas de seguridad y privacidad: el marco normativo que regula el
tratamiento de datos personales en cuanto el uso de la tarjeta electrónica de
identificación en Estonia, se encuentra en la Ley de Protección de Datos
basada en la Directiva Europea Directiva 95/46/CE.
Descripción genérica de las soluciones tecnológicas: firma electrónica con
fuerte componente PKI. Se describe la arquitectura de ID-software. Su
propósito es dar visión general de los componentes que conforman ID-
software, sus interfaces internas y externas y el despliegue en entornos de
ejecución. ID-software incluye aplicaciones de usuario final (cliente de
escritorio DigiDoc3, programa de utilidad de DNI), bibliotecas de software
DigiDoc, componentes para la firma y autenticación en los navegadores Web,
los conductores de identificación de tarjetas y otros componentes
complementarios.
Mecanismos de autenticación: Incluye ID Card (PKI) y software de firma
digital.
Requerimientos técnicos y funcionales de las soluciones tecnológicas: El DigiDocService es un servicio Web basado en SOAP y el servicio puede ser
utilizado en todos los entornos que se apoyan en SOAP 1.0 consultas RPC-
Signature. Disponible en: http://www.safelayer.com/es/productos/trustedx-electronic-signature. Último acceso:
octubre 10 de 2015.
71
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
codificado. Además de la firma digital con Mobiil-ID, el DigiDocService también
proporciona las funcionalidades de realización de la autenticación y firma
digital con una tarjeta de identificación.
Interoperabilidad con soluciones tecnológicas de gobierno o institucionales: operable para la totalidad de trámites.
FINANCIERA
Modelo de sostenibilidad (fuentes de ingreso o financiación): se trata de un
modelo auto sostenible, pues siendo un modelo basado en una APP con único
operador, cuenta con inversión inicial privada y tiene un modelo tarifario regulado
promovido por el Estado a través de la integración a todo tipo de servicios
gubernamentales.
Los ciudadanos encuentran múltiples aplicaciones al mecanismo de identificación
electrónica, que además también les sirve como medio de identificación oficial.
Para los usuarios finales el costo de la tarjeta es de 10 euros y actualizar la
información o el código PIN es gratuito si se hace en las oficinas del Gobierno,
cuesta entre 2 y 4 euros si se hace en un banco. Los lectores de tarjetas se
venden en valores desde cerca de 6 euros los más simples.
Tarifas: para los usuarios finales el costo de la tarjeta es de 10 euros y actualizar
la información o el código PIN es gratuito si se hace en las oficinas del Gobierno,
cuesta entre 2 y 4 euros si se hace en un banco. Los lectores de tarjetas se
venden a cerca de 6 euros. Fuera de estos costos el servicio es prácticamente
gratis para los usuarios finales.
72
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
Los proveedores deben pagar según el número de transacciones por mes. Pagan
desde 25 euros por 400 transacciones hasta 6,000 euros por 750.000
transacciones. El precio, por lo tanto, está entre 0.008 y 0.06 euros por
transacción; substancialmente más bajo que otros servicios de pagos en línea. Se
ofrece un paquete inicial gratuito de 8.000 transacciones.
Transparencia: existe información pública.
ORGANIZACIONAL
Mapa de actores y roles de las entidades:
o El ciudadano que obtiene su identidad electrónica.
o La Policía de Estonia y/o Junta de Guardia de Frontera que actúa en el
enrolamiento del ciudadano.
o Una alianza público privada denominada SK (Emisor ID) que contempla la
unión de bancos y compañías de telecomunicaciones.
o Las entidades estatales que desarrollan trámites y servicios autenticando
electrónicamente a los ciudadanos.
o Las empresas privadas que autentican al ciudadano de manera electrónica.
Mercado: 1,3 millones de habitantes.
73
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
Alcance del modelo (beneficiarios): junto con Suecia es un referente a nivel mundial por su usabilidad y el nivel de bancarización.
Empresas instancias o sectores que participan en el desarrollo del modelo: el proveedor oficial del eID es Sertifi tseerimiskeskus (SK - 'centro certificado'). Sus socios son dos de los principales bancos de Estonia, Hansapank y Eesti Ühispank, en colaboración con las empresas de telecomunicaciones Eesti Telefon y EMT. Se trata de una APP. También tiene importantes alianzas para el desarrollo del eID con empresas de TELCO y proveedores de tecnología PKI como: i) Telegrupp, ii) Ektaco, iii) Safelayer, iv) Gemalto. Otros: CMB, Trub.
Articulación con otras iniciativas de gobierno electrónico: en 2005, la Comisión Nacional Electoral de Estonia escribió un nuevo capítulo en el desarrollo del gobierno electrónico: por primera vez en el mundo, la votación segura en línea a través de Internet se organizó a nivel nacional. La aplicación iVoting es considerada por los ciudadanos como simplemente otra aplicación en línea. Lo que más sorprende a los estonios hoy en día es el interés específico que esta aplicación sigue generando en el extranjero. Estos son algunos ejemplos de cómo se utiliza regularmente la tarjeta de identificación en Estonia:
o Como documento nacional de identidad para viajar dentro de la UE para
los ciudadanos de Estonia.
o Como tarjeta sanitaria nacional.
o Como prueba de identificación al iniciar sesión en las cuentas bancarias
desde un ordenador personal.
o Como un billete de transporte público de prepago en las ciudades de
Tallin y Tartu.
o Para la emisión de firmas digitales.
o Para i-Voting.
o Para acceder a las bases de datos del Gobierno.
74
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
o Para marcar uno de los registros médicos, impuestos de archivos, etc.
o Para recoger recetas electrónicas.
SOCIOCULTURAL
Estrategia de apropiación y uso por parte de los usuarios: uso de la
tarjeta de identificación como una tarjeta de fidelidad. Significa
principalmente que el archivo de datos de carácter personal será leído
electrónicamente desde la tarjeta de identificación y se guarda en una base
de datos (o lo que se compra con la tarjeta). Se puede decir que toda
empresa que quiera usar la tarjeta de identificación como una tarjeta de
fidelidad podrá crear una solución personalizada para ello (es decir, no hay
una biblioteca / plugin / aplicación universal que se utilice de manera similar,
por ejemplo en una librería, una tienda de ropa o un cine).
Estrategias de difusión y marketing: como estrategia de difusión se
instauró la política que en ninguna entidad del Gobierno de Estonia se
puede rechazar un documento firmado digitalmente ni exigir copia en papel
en su lugar.
Indicadores de uso: existe una alta adopción móvil en Estonia que
representa la tercera más alta de Europa. Lo anterior lleva a que se haya
masificado el uso del sistema, tanto con tarjetas de identificación, como
con los teléfonos móviles. Algunas cifras que demuestran lo anterior hasta
el 6 de septiembre de 2015 son:
o Número de firmas digitales realizadas: 236 726 527
75
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
o El 98% de las transacciones bancarias en Estonia se llevan a cabo a
través de Internet, utilizando autenticación electrónica.
o Número de tarjetas activas: 1 254 431.
o Número de autenticaciones electrónicas: 373 112 605
Facilidad en el proceso de autenticación: fácil uso para todo tipo de
usuarios gracias a la simplicidad que se tiene con el uso de la tarjeta
electrónica frente a los lectores, además con una misma credencial es
posible realizar procesos diferentes a los de autenticación y firmado
digital.
Estrategia de implementación utilizada: con el fin de alcanzar los
objetivos trazados por el Gobierno de Estonia en la masificación de este
modelo, se han creado grupos de expertos sectoriales dedicados a
analizar y garantizar el cumplimiento de la estrategia de eGovernment.
Esquemas de formación de usuarios: el relacionamiento con el cliente
puede ser presencial, telefónico o virtual a través de www.id.ee. El
ciudadano cuenta con un centro de servicio virtual donde recibe todo tipo
de ayudas para el uso de eID. Para propiciar el uso, se encuentra un sitio
Web para desarrolladores donde se estimula el desarrollo de nuevas
aplicaciones y herramientas.
Tipologías de cliente-objetivo: ciudadanos como base primaria, por ser
el eID el documento de identificación. Empresas que manejan el eID en
76
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
modelo de recepción de la información. Entidades estatales que
autentican sus trámites y procesos con el uso del eID.
Funciones principales: la de autenticación, hace que sea posible en un
entorno electrónico para asegurarse de que la persona es el que él o ella
dice ser. En entornos con un alto nivel de seguridad (bancos, etc.). Firma
digital, se hace posible firmar documentos de forma automática.
77
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
4.3 REINO UNIDO
Capital: Londres.
Lenguaje oficial: inglés.
Moneda: Libra esterlina.
Bandera:
Ilustración 16. Bandera Reino Unido
Fuente. http://www.banderas-mundo.es/
INDICADORES DE DESARROLLO
Nivel de ingresos: Ingreso alto (miembro de la OCDE).
Población total: 64,51 millones (2014).
Población urbana (% del total): 82% (2014).
Índice de Gini: 38,8 (2010).
Tabla 7. Indicadores de desarrollo UK
Fuente. Elaboración propia
ECONOMÍA Y CRECIMIENTO
78
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
PIB: US$ 2,942 mil millones (2014).
Crecimiento del PIB (% anual): 2,6% (2014).
Inflación: 1,5% (2014).
Superávit/déficit del efectivo (% del PIB): -5,5% (2012).
Tabla 8. Economía y crecimiento UK
Fuente. Elaboración propia
CIENCIA, TECNOLOGÍA Y COMUNICACIONES
Gasto en investigación y desarrollo (% del PIB): 1,72% (2012).
Usuarios de Internet (por cada 100 personas): 91,6 (2014).
Subscripciones de teléfonos celulares por cada 100 habitantes: 124 (2014).
Subscripciones a Internet de banda ancha fija por cada 100 habitantes: 37,38 (2014).
Porcentaje de individuos utilizando Internet para interactuar con autoridades
públicas:51% (2014).
Porcentaje de empresas utilizando Internet para solicitar información de
autoridades públicas:40% (2014).
Porcentaje de individuos utilizando Internet para descargar formularios oficiales de
autoridades públicas: 31% (2014).
Porcentaje de empresas utilizando Internet para enviar formularios llenos a 34% (2014).
79
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
autoridades públicas:
Tabla 9. Ciencia, tecnología y comunicaciones
Fuente. Elaboración propia
4.3.1 DESCRIPCIÓN DEL PROYECTO
El Gobierno del Reino Unido está conformado entre otros, por 24 departamentos
ministeriales, 22 departamentos no ministeriales, 316 agencias y otras estructuras
públicas (entre ellas el servicio de Gobierno Digital [SGD]), 72 estructuras de alto perfil, 11
corporaciones públicas y 3 entidades descentralizadas).
El SGD, es el responsable de 'GOV.UK‘, medio por el cual el Gobierno, proporciona a las
personas y empresas en Inglaterra y Gales, acceso digital fácil y efectivo de servicios
públicos e información de interés.
Esta nueva forma de interacción con el Gobierno está disponible desde el año 2012 y
proporciona un único punto de acceso a los servicios gubernamentales, reemplazo a
Directgov y Business Link, así como los sitios Web de cientos de departamentos
gubernamentales y organismos públicos (312 agencias y otras estructuras de Gobierno
con sitios Web fueron a la transición con GOV.UK y más de 1.800 sitios independientes
se han cerrado). Esta transición se completó en diciembre de 2014.
GOV.UK Verify es la nueva forma en que se demuestra que se está en línea con el
Gobierno del Reino Unido. GOV.UK Verfiy está siendo construido por el SGD, en
colaboración con los departamentos gubernamentales, el sector privado y el grupo asesor
del consumidor y de la privacidad.
Vale la pena mencionar que GOV.UK Verify, entró en etapa piloto Public Beta en octubre
2014 y actualmente está disponible en 6 servicios. A través de este medio, se ofrece total
garantía de identidad digital para las personas, sin tener que depender de envío de
80
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
artículos en el correo, llamar a un centro de llamadas o asistir a un servicio de manera
presencial. La persona será capaz de completar el proceso de verificación de su identidad
por primera vez totalmente en línea, sin necesidad de enviar o recibir algo a cambio. Será
posible utilizar un único conjunto de credenciales de acceso (por ejemplo, nombre de
usuario y contraseña, con el apoyo de un segundo paso para mayor seguridad) para
acceder a una gama de servicios digitales cada vez mayor.
Finalmente, se menciona que GOV.UK Verify es un modelo federado - el Gobierno
establece las normas y la Oficina del Gabinete gestiona el flujo de demanda del Gobierno
y las relaciones comerciales con empresas previamente certificadas y autorizadas
(proveedores IdP). Los proveedores IdP son las responsables de desarrollar y prestar
servicios que respondan a esas normas. Los trámites que se pueden realizar mediante el
uso de este modelo son estatales únicamente.
4.3.2 ESTRATEGIA DE GOBIERNO ELECTRÓNICO
Estrategia para inclusión de gobierno digital (Diciembre 201411).
Esta estrategia define cómo el Gobierno del Reino Unido y sus aliados en el sector
público, privado y no gubernamental deben incrementar la inclusión digital en el
relacionamiento entre el Gobierno y los ciudadanos. Esto quiere decir, ayudar a las
personas a ser capaces de usar y beneficiarse del uso de Internet. Las acciones
de esta estrategia están focalizadas en solucionar las barreras que han evitado
que las personas utilicen Internet y apoyar las iniciativas que mejoren esta
situación.
Para este propósito el Gobierno debe:
11 Reino Unido. Disponible en: https://www.gov.uk/government/publications/government-digital-inclusion-
strategy/government-digital-inclusion-strategy. Última consulta: octubre 10 de 2015.
81
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
Hacer de la inclusión digital parte de una política de Gobierno más amplia, con
programas y servicios digitales: el Gobierno debe identificar dónde es
necesario el incremento de programas digitales, con el fin de integrarlo a
programas públicos relevantes. Para cada uno de los servicios en
transformación del Gobierno, éste debe publicar la información necesaria para
las personas que pueden hacer uso de dichos servicios, considerar las
capacidades digitales de los usuarios actuales y estimar el número de usuarios
que realizan aun trámites de manera física.
Establecer un programa de calidad en capacitación digital del Gobierno: el
Gobierno debe identificar el tipo de asistencia que se vaya a brindar a los
usuarios. De esta manera podrá definir un programa de capacitación específica
para enseñarle a los usuarios a utilizar los servicios digitales.
Proporcionar la capacitación digital necesaria a los servidores públicos para
que puedan hacer uso de los servicios digitales del Gobierno y contribuir a su
mejoramiento: el Gobierno debe identificar las habilidades en el tema digital
que tienen los funcionarios en la actualidad y las que necesitan para realizar su
trabajo con el fin de focalizar esfuerzos en entrenamiento y capacitación.
Concertar una definición común acerca de cuáles deben ser las capacidades y
habilidades digitales de los servidores públicos.
Impulsar el programa “Go ON UK”12 alrededor del país: este programa
extenderá su red a un grupo más amplio de aliados de todos los sectores para
coordinar el esfuerzo de reducir la exclusión digital.
Mejorar y extender las alianzas: los sectores público, privado y no
gubernamental financiarán el desarrollo de programas que vayan alineados
con “Go ON UK”.
Crear un lenguaje compartido para la inclusión digital: “Go ON UK” proveerá
los lineamientos para un lenguaje e imagen que sean digitalmente incluyentes,
12 GO ON UK. Disponible en: http://www.go-on.co.uk/about/. Último acceso: octubre 4 de 2015.
82
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
en lo cual, todos los aliados estratégicos deberán utilizar en sus medios de
comunicación y servicios digitales.
Tener todo el soporte de capacitación en un solo lugar: “Go ON UK”
establecerá digitalskills.com como una fuente confiable de información y
consejos sobre cómo ayudar a personas y organizaciones a hacer uso de lo
digital.
Ofrecer programas de inclusión digital para Pymes y ONGs: el Gobierno y sus
aliados en todos los sectores deben unir esfuerzos para apoyar a estas
organizaciones.
Usar información para medir el desempeño y mejorar lo que se hace: entender
qué es lo que está funcionando bien y cómo se puede apoyar a quienes tengan
dificultades en la adopción de nuevos servicios.
4.3.3 EL MODELO
En el caso del modelo de autenticación electrónica del Reino Unido, se presenta como un
modelo distribuido en cuanto a su operación, en el cual múltiples proveedores de
identidad (IdP) brindan servicios de autenticación a entidades gubernamentales, bajo unos
estándares y requisitos pre definidos por la Oficina de Gabinete y en el marco de
contratos para la provisión de dicho servicio. El costo de estos servicios de autenticación
son asumidos por los proveedores de servicios gubernamentales mediante el pago de
tarifas a los proveedores de identidad (IdP). Actualmente el modelo se encuentra en una
fase piloto de prueba.
A modo de resumen del modelo, a continuación se presenta la explicación del CANVAS:
83
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
84
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
CANVAS
Ilustración 17. Canvas Reino Unido
Fuente. Elaboración propia
4.3.4 DESCRIPCIÓN DEL MODELO
El modelo de Reino Unido prevé el uso de diversos métodos provistos por diferentes
actores, con diversos grados de seguridad que se usan según las necesidades del
proceso que se autentica.
85
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
Dentro de este modelo, nueve empresas han firmado acuerdos marco para convertirse en
compañías certificadas para GOV.UK Verify:
Barclays
Digidentity
Experian
Grupo GB
Morpho
PayPal
Oficina de correo
Correo real
Verizon
Por tratarse hasta ahora de un modelo piloto, de las nueve empresas sólo cuatro tienen
contratos vigentes para desarrollar la producción del servicio (Digidentity, Experian,
Oficina de Correos y Verizon13).
Ventajas: todas las transacciones son monitorizadas por la Oficina de Gabinete mediante
el Hub con el fin de garantizar la privacidad y seguridad de los datos de los usuarios;
basta con registrarse en https://www.gov.uk/ para autenticarse y poder interactuar con los
proveedores de servicios gubernamentales; hay libertad de elección de las compañías de
certificación; el marco normativo y organizacional garantiza la seguridad jurídica y técnica
para los usuarios de este modelo a nivel local y europeo. La tecnología permite la
interoperabilidad con otros modelos de la región.
Casos de uso: el modelo contempla el desarrollo de los siguientes trámites iniciales que
buscan identificar oportunidades de mejora:
13 Gov.uk. Disponible en: https://www.gov.uk/performance/govuk-verify/certified-companies. Último acceso:
octubre 10 de 2015.
86
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
Departamento
Servicio EstadoTotal de usuarios / año
Usuarios de noviembre 2015
HMRC
Comprobar o
actualizar el
impuesto
vehículo de la
empresa.
Conectado febrero 2014. 70k 20k
DefraReclama pagos
rurales.Conectado julio 2014.
100k-
300k5k
HMRC
Haga su
autoevaluación
en línea.
Conectado diciembre
2014.3m <500k
HMRC
Revise su
estimación de
impuesto sobre
la renta.
Conectado febrero 2015. 2m 80k
Servicio de
insolvencia
Reclamación de
la redundancia y
el dinero
adeudado.
Conectado febrero 2015. 100k 15k
HMRC Ayudar a sus
amigos o
familiares con
sus impuestos.
Conectado marzo 2015, en
piloto público (este servicio
es compatible actualmente
con usuarios con dos
- - Número de
usuarios será una
proporción de
aquellos que
87
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
Departamento
Servicio EstadoTotal de usuarios / año
Usuarios de noviembre 2015
servicios de HMRC y se
expandirá a través de más
servicios durante el
verano).
acceden a otros
servicios HMRC a
través de esta
instalación.
HMRC
Reclamar un
reembolso de
impuestos.
Conectado marzo 2015. 95k 30k
DWP
Ingrese a su
cuenta digital de
crédito universal
(ensayo
limitado).
Conectado marzo 2015. 10m <3k
HMRCRevise su
pensión estatalConectado abril 2015. 3m <10k
DfT / DVLA
Ver la
información de
su licencia de
conducir.
Conectado junio 2015. 1.5m 25k
HMRC Iniciar sesión en
su cuenta
personal de
impuestos.
Conectado julio 2015, en
piloto privado (servicios y
formas HMRC serán
puestos a disposición de
los usuarios en la cuenta
de impuestos personales).
- - Número de
usuarios será una
proporción de
aquellos que
acceden a otros
servicios HMRC
través de esta
88
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
Departamento
Servicio EstadoTotal de usuarios / año
Usuarios de noviembre 2015
instalación.
HMRC
Impuesto de
sucesiones en
línea.
Se estima la conexión en
septiembre 2015.200k 5k
HMRCVer su beneficio
médico.
Se estima la conexión en
octubre 2015.270k 2k
Tabla 10. Lista actualizada de los servicios UK
Fuente. Gobierno Reino Unido
A continuación se presenta la lista de servicios que tiene previsto utilizar para gobierno
electrónico del Reino Unido: (Para entrar a operar en 2016).
Departamento Servicio Fecha prevista beta Total de usuarios / año
NHS Ver su historial de salud (piloto
Liverpool).
Se estima la conexión en
diciembre de 2015.
5k
BIS Récord personal de
aprendizaje.
10-diciembre 2015 200k
DfT Modificar registro de conductor. 10-diciembre 2015 1m
89
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
Departamento Servicio Fecha prevista beta Total de usuarios / año
BIS Bancarrota en línea. 10-diciembre 2015 12k
DWP Autonomía personal pago. Diciembre a marzo 2016. 150k
BIS Firme su escritura de hipoteca. 01-marzo 2016. 180k
NI Registre el nacimiento de un
niño en Irlanda del Norte.
01-marzo 2016 25k
DWP Mantenimiento niño. Abril 2016 35k
Ministerio de
Justicia
Reclamo dinero en línea. Abril 2016 150k
DfE Proveedor de niñera o
guardería (Ofsted).
Abril 2016 5k
NHS Declaración de total rewards. Abril 2016 200k
DWP El acceso al trabajo. 04-junio 2016 15k
DWP Apoyo para el duelo. Julio 2016 40k
HMRC Impuestos cuidado de niños
gratis.
Julio 2016 1m
Ministerio de Divorcio de mutuo acuerdo. Julio 2016 120k
90
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
Departamento Servicio Fecha prevista beta Total de usuarios / año
Justicia
Tabla 11. Lista de servicios que tengan previsto utilizar
Fuente. Página Web Gobierno Reino Unido: www.gov.uk
A continuación, una descripción gráfica del modelo:
Ilustración 18. Modelo Reino Unido
Fuente. Elaboración propia
A modo de resumen del modelo del Reino Unido se enumeran sus principales actores y
actividades:
91
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
Actores:
o El ciudadano que obtiene su identidad electrónica.
o La Oficina del Gabinete del Reino Unido que actúa como orquestador.
o Los proveedores IdP de identidad que validan el cumplimiento de las normas
de seguridad y de servicios.
o Las entidades estatales que desarrollan trámites y servicios autenticando
electrónicamente a los ciudadanos.
Paso a paso:
1. Los usuarios serán guiados a través de la selección de un proveedor de
identidad de una lista de organizaciones contratadas por la Oficina del
Gabinete (que administra el GOV.UK Verify) para prestar el servicio. El
usuario se dirige de manera virtual o presencial y se enrola ante los
proveedores IdP de identidad.
2. El ciudadano efectúa el trámite ante una entidad estatal.
3. La entidad estatal valida la identidad del ciudadano ante el proveedor Idp
para asegurarse de que están tratando con la persona quien dice ser. Esto
se conoce como dato coincidente.
4. El proveedor Idp envía la confirmación de autenticidad a la correspondiente
entidad estatal.
5. Una vez verificado, el ciudadano recibe el servicio o trámite que está
solicitando.
92
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
4.3.5 PERSPECTIVAS
JURÍDICA
El Reino Unido cuenta con un marco regulatorio definido a partir de buenas prácticas, que
son emitidas por el Gabinete de Gobierno y los servicios de Gobierno Digital. La
legislación del Reino Unido habilita de manera general mecanismos de autenticación y
firmas electrónicas. Se trata de una legislación vanguardista cuyo modelo ha sido muy
seguido por la reciente Directiva Europea de Autenticación Electrónica (julio de 2014)14.
Marco de política que soporta el modelo: estrategia para inclusión de gobierno digital (diciembre 2014). Esta estrategia define cómo el Gobierno y sus aliados en el sector público, privado y no gubernamental; deben incrementar la inclusión digital. Las acciones de esta estrategia están focalizadas en solucionar las barreras que han evitado que las personas utilicen Internet y apoyar las iniciativas que mejoren esta situación.
Instrumentos: guías de buenas prácticas particulares para UK, aprobadas y certificadas por la Oficina del Gabinete. Directiva Europea 1999/93/EC sobre Firmas Electrónicas. Ley de Comunicaciones Electrónicas del 2000. Regulación de las Firmas Electrónicas 2002. Directiva de los Servicios 2006/123/EC. Ley de Protección de Datos de 1998. Estrategia nacional de ciberseguridad “Progresando y Adelante con el Plan de 2014”.
Normas legales o políticas: Reglamento Europeo de Autenticación Electrónica (julio de 2014). Ley de Comunicaciones Electrónicas del 2000. Regulación de las Firmas Electrónicas 2002. Directiva de los Servicios 2006/123/EC. Ley de Protección de Datos de 1998. Estrategia nacional de ciberseguridad “Progresando y Adelante con el Plan de 2014”.
14 UE. Disponible en: https://www.boe.es/doue/2014/257/L00073-00114.pdf. Último acceso: octubre 7
de 2015.
93
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
Responsabilidades para los usuarios: disponible en los términos y condiciones de uso del servicio. Es completamente indelegable e intransferible. Se trata de un mecanismo de autenticación más que de una firma electrónica.
Emisores y operadores de los proyectos: multioperador con selección estatal bajo ciertos criterios. Hasta la fecha sólo cuatro de nueve empresas tienen contratos call-off en el marco existente (Digidentity, Experian, oficina de correos y Verizon).
TÉCNICA
Enfoque basado en estándares que deben cumplir los proveedores de identidad
certificados para el proceso de validación y verificación de identidad.
Una vez que han comprobado su identidad con un proveedor de identidad (IdP), este
último, puede autenticar la identidad en múltiples servicios públicos, como y cuando, sea
necesario para el ciudadano. El servicio utiliza un “Hub”15 que permite a los proveedores
de identidad (IdP) autenticar las identidades de las partes (proveedores de servicios
gubernamentales y proveedores de identidad). Lo anterior permite confirmar, si:
El Gobierno almacena centralmente los datos de una persona.
La privacidad se está incumpliendo mediante el intercambio de datos
innecesarios.
Cualquiera de las partes (en las transacciones) comparten abiertamente los
detalles del usuario.
La empresa operadora del servicio (IdP) lleva a cabo una evaluación de riesgos para
comprender y cuantificar lo relacionado con la seguridad y calidad de datos dentro del
15 Se encargará de las comunicaciones entre los usuarios, los proveedores de identidad y proveedores de
servicios gubernamentales. Esto permitirá a los usuarios seleccionar y registrarse con un proveedor de identidad,
y luego usar su identidad segura para acceder a los diferentes servicios digitales.
94
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
servicio de autenticación. Uno de los ámbitos que abarca la evaluación es el registro de
información personal y el servicio de autenticación. Esto determina el nivel de fiabilidad
requerido para la identidad del usuario.
El estándar utilizado en este modelo es el denominado SAML, que describe los métodos
utilizados y las normas aplicadas al proceso de autenticación, desde la perspectiva de los
proveedores de identidad, hasta los proveedores de servicios gubernamentales.
Todos los servicios de conexión a la verificación de la identidad tienen que seguir la
especificación SAML. Al solicitar la autenticación de un individuo o de responder a esa
petición, el nivel de seguridad debe ser siempre especificado.
Estándares: estándares establecidos a través de buenas prácticas definidas por el Gobierno en GOV.UK. El estándar utilizado es el denominado SAML16.
Lineamientos tecnológicos: se establecen 4 niveles de aseguramiento para identificarse frente a los servicios digitales y las diferentes guías de buenas prácticas.El programa utiliza un 'Hub' que permite a los proveedores de identidad autenticar las identidades de las partes.
Políticas de seguridad y privacidad: estas políticas se encuentran enmarcadas en los principios de aseguramiento de identidad elaborada por el grupo de protección de privacidad y asesor del consumidor (PCAG por sus siglas en inglés) y que tienen como objetivo:o Proporcionar una visión independiente sobre cuestiones de privacidad y
preocupaciones de los consumidores.
o Reunir una amplia gama de experiencia en temas de privacidad y de consumo
con participación del Gobierno en un entorno abierto y respetuoso, donde
estas cuestiones se puedan discutir con franqueza y honestidad.
o Asegurar que los programas gubernamentales involucren de manera efectiva
cuestiones relacionadas con la privacidad y la confianza de los ciudadanos.
16 Reino Unido. Anexo 8. Identity Assurance Hub Service Profile – 2 SAML Attributes v1.1a 3
95
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
o Proporcionar un canal para Gobierno y una participación más amplia del
sector público con representantes de los sectores de consumo y privacidad.
o Abogar y promover enfoques respetuosos sobre la intimidad en el manejo de
la información de carácter personal.
o Comunicar y explicar los problemas de privacidad y de consumo claramente a
los ciudadanos.
En el siguiente cuadro, se señalan los nueve principios en los que se enmarca la
privacidad y seguridad de los datos personales en el Reino Unido:
PRINCIPIO DE ASEGURAMIENTO DE LA
IDENTIDADRESUMEN DE CONTROL OTORGADO A UN CIUDADANO
1. Control de UsuarioEl usuario puede ejercer el control sobre las actividades de aseguramiento
de identidad que le afecten, éstas sólo pueden tener lugar si existe
consentimiento o aprobación.
2. TransparenciaEl aseguramiento de la identidad sólo tiene lugar siempre que se entienda su
finalidad y cuando se esté totalmente informado.
3. MultiplicidadSe puede usar y elegir diferentes proveedores de identificación como se
quiera.
4. Minimización de datosLas interacciones sólo deben utilizar datos mínimos necesarios para
satisfacer las necesidades del ciudadano.
5. Calidad de los datos El ciudadano puede elegir cuando actualizar sus registros.
6. Servicio de acceso de usuario y portabilidad
Se tiene el derecho de acceso a copia de todos los datos que se requiera y
se pueden mover y eliminar los mismos cada vez que se quiera.
7. Certificación Se garantiza la confianza en el servicio de verificación de la identidad, ya
96
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
que todos los actores participantes tienen que ser certificados contra
requisitos comunes del Gobierno.
8. Resolución de conflictosEn caso de un conflicto, se puede ir ante un tercero independiente para que
lo resuelva.
9. Circunstancias excepcionales
Cualquier excepción debe ser aprobada por el Parlamento y está sujeta a un
escrutinio independiente.
Tabla 12. Principios en que se enmarca privacidad y seguridad de datos personales en Reino Unido
Fuente. Elaboración propia
Mecanismos de autenticación: un sólo mecanismo de autenticación con una clave verificada por empresas especializadas y certificadas por la Oficina del Gabinete.
Requerimientos técnicos y funcionales de las soluciones tecnológicas: en el Perfil de Identidad Service Assurance Hub SAML se describen los métodos utilizados y las normas aplicadas al proceso de autenticación desde la perspectiva de los proveedores de identidad, proveedores de servicios y los servicios correspondientes. Todos los servicios de conexión a la Verificación de la Identidad de Fomento (AIF) Servicio Hub tienen que seguir la especificación SAML. Al solicitar la autenticación de un individuo o de responder a esa petición, el nivel de seguridad debe ser especificado. Este documento describe cómo se especifica y se registra en las interacciones entre los servicios de cubo, proveedores de identidad y proveedores de servicios el nivel de seguridad17.
Interoperabilidad con soluciones tecnológicas de Gobierno o institucionales: GOV.UK está disponible desde 2012 y proporciona un único punto de acceso a los
17 Reino Unido. Anexo 7. Identity Assurance Hub Service SAML 2 2.0 Profile v1.1a 3
97
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
servicios gubernamentales, reemplazo a Directgov y Business Link, así como los sitios Web de cientos de departamentos gubernamentales y organismos públicos (312 agencias y otras estructuras de Gobierno con sitios Web que fueron a la transición con GOV.UK y más de 1.800 sitios independientes se han cerrado). Esta transición se completó en diciembre de 2014.
El Reino Unido cuenta con un sistema de interoperación basado en el GSI que es
la infraestructura de la red principal de conexión y unión a los departamentos y
organismos del Gobierno central. Proporciona una conexión segura y fiable a
Internet, incluyendo el acceso seguro a los servicios Web, transferencia de
archivos y búsqueda; servicios de directorio, publicación Web y de un mecanismo
para el intercambio de correo electrónico dentro de la comunidad GSI a través de
Internet.
El GSI es un servicio gestionado que ofrece el servicio de contratación pública
(anteriormente "la compra de soluciones”) y se entrega a través de una alianza con
Cable & Wireless del Reino Unido. El acuerdo marco GSI se extendió hasta agosto
de 2011, con la posibilidad de realizar contratos individuales con los clientes dentro
de los seis meses siguientes a la fecha indicada, por lo que este servicio puede ser
entregado a los clientes hasta febrero de 2012. Se ofrecerán servicios futuros a
través de la nueva Red de Servicios Públicos (PSN).
FINANCIERA
La Oficina del Gabinete que controla los servicios dispuestos en GOV.UK Verify,
ha establecido una inversión aproximada de 150 millones de libras para los
próximos años, con la emisión de una póliza correlativa por parte de las empresas
operadoras certificadas o IdPs en nombre de los Servicios de Gobierno Digital
(GDS).
El objetivo de la Oficina del Gabinete, es que todos los servicios digitales del
Gobierno Central que requieren servicios de aseguramiento de identidad utilicen
Gov.uk Verifiy antes de marzo de 2016.
98
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
Modelo de sostenibilidad (fuentes de ingreso o financiación): la Oficina del Gabinete estableció un contrato por £ 150 millones en nombre del Gobierno Digital Service (GDS). El Estado a través del Servicio de Gobierno Digital paga por todo. Es gratuito para el ciudadano.
CAPEX: los proveedores de identidad IdP.
OPEX: los proveedores de identidad IdP, a través de las tarifas que se cobran a los proveedores de servicios gubernamentales (Estado).
Transparencia: actualmente esta información financiera no se encuentra disponible al público.
ORGANIZACIONAL
Mapa de actores y roles de las entidades: relación entre ciudadanos, proveedores de identidad y entidades gubernamentales. GOV.UK Verify.
Mercado: 64,51 millones de habitantes. Alcance del modelo (beneficiarios): es un modelo que recién está
empezando a funcionar, aún se encuentra en versión Beta. Se espera lograr progresivamente el total de la población.
Empresas instancias o sectores que participan en el desarrollo del modelo: nueve empresas han firmado acuerdos marco para convertirse en empresas certificadas para GOV.UK Verify: i) Barclays, ii) Digidentity, iii) Experian, iv) Grupo GB, v) Morpho, vi) PayPal, vii) Oficina de correo, viii) Correo real, ix) Verizon. Actualmente sólo 4 están prestando efectivamente el servicio (Digidentity, Experian, Oficina de Correos y Verizon). Por parte del Gobierno, se encuentra la Oficina de Gabinete como responsable de la operación del sistema centralizado “Hub”.
Articulación con otras iniciativas de gobierno electrónico: opera y se conecta con diversas iniciativas de gobierno electrónico dentro del Estado y múltiples trámites.
99
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
SOCIOCULTURAL
Estrategia de apropiación y uso por parte de los usuarios: en la página Web se encuentran videos tutoriales explicando el paso a paso del proceso verificación de identidad que se realiza. El Gobierno ha dispuesto el programa “Go ON UK” el cual contiene toda la estrategia de apropiación.
Estrategias de difusión y marketing: difusión a través de medios masivos, redes sociales y el programa “Go ON UK”.
Indicadores de uso:
Usuarios logueados de abril de 2013 a septiembre 2015: 238.000.
Cuentas verificadas de abril de 2013 a septiembre 2015: 290.000
Cuentas básicas de abril de 2013 a septiembre 2015: 185.000.
Facilidad en el proceso de autenticación : es un proceso que no necesita demasiada
explicación. Amigable, centralizado para todos los servicios estatales.
Estrategia de implementación utilizada: mecanismos BTL en eventos académicos y
ATL a través de la fuerza de marketing de los operadores certificados.
Esquemas de formación de usuarios: disponibles principalmente de manera virtual a
través de guías de buenas prácticas disponibles en gov.uk. y en Go on UK.
1. Aumentar el número de personas que utilizan los servicios digitales: los departamentos aumentarán la conciencia de sus servicios digitales para que más personas los conozcan y los utilicen. Así mismo, buscan la manera de utilizar los incentivos para fomentar la adopción digital.
2. Capacitar en temas digitales a toda la administración pública: todos los departamentos se asegurarán de que tienen los niveles adecuados de
100
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
capacidad digital, incluyendo las habilidades especializadas, lo cual repercutirá en una mejor capacidad digital en los demás departamentos.
o Tipologías de cliente-objetivo: el servicio es dirigido principalmente al ciudadano - persona natural. GOV.UK Verify ofrece a las personas una forma cómoda y segura para demostrar su identidad al acceder a los servicios de gobierno digital. Solamente se da en la relación entre ciudadanos y entidades gubernamentales. Se encuentra en una fase piloto para temas tributarios y transporte.
101
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
4.4 PERÚ
Capital: Lima.
Lenguaje oficial: español.
Moneda: Nuevo sol.
Bandera:
Ilustración 19. Bandera de Perú
Fuente. http://www.banderas-mundo.es/
INDICADORES DE DESARROLLO
Nivel de ingresos: Ingreso mediano alto
Población total: 30,77 millones (2014)
Población urbana (% del total): 78% (2014)
Índice de Gini: 45,3 (2010)
Tabla 13. Indicadores de desarrollo Perú
Fuente. Elaboración propia
102
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
ECONOMÍA Y CRECIMIENTO
PIB: US$ 202,9 mil millones (2014)
Crecimiento del PIB (% anual): 2,4% (2014)
Inflación: 3,2% (2014)
Superávit/déficit del efectivo (% del PIB): 2,0% (2012)
Tabla 14. Economía y crecimiento Perú
Fuente. Elaboración propia
CIENCIA, TECNOLOGÍA Y COMUNICACIONES
Gasto en investigación y desarrollo (% del PIB): 0,12%
Usuarios de Internet (por cada 100 personas): 40,2% (2014)
Subscripciones de teléfonos celulares por cada 100 habitantes: 103 (2014)
Subscripciones a Internet de banda ancha fija por cada 100 habitantes: 5,74 (2014)
Tabla 15. Ciencia, tecnología y comunicaciones Perú
Fuente. Elaboración propia
103
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
4.4.1 DESCRIPCIÓN DEL PROYECTO
En Perú, el Registro Nacional de Identificación y Estado Civil (RENIEC), es el encargado
de responder a la necesidad de administrar y dirigir el sistema registral de los peruanos,
que involucra el registro civil, el de personas y el de naturalización; lo cual constituye el
registro único y base de datos de identificación de todos los peruanos. El RENIEC emite el
Documento Nacional de Identidad, único para la identificación personal en el país, y en
épocas electorales, elabora el padrón electoral, así como en forma permanente efectúa
verificaciones de firmas para los procesos de iniciativa de reforma constitucional, iniciativa
en la formación de las leyes, referéndum, iniciativa en la formación de dispositivos
municipales y regionales, revocatoria de autoridades, demanda de rendición de cuentas y
otros mecanismos de control.
Adicional a esto, el Estado designa al RENIEC como entidad de certificación nacional para
el Estado peruano y entidad de registro o verificación.
El RENIEC es un organismo que cuenta con la mejor tecnología informática actualizada,
además de personal calificado para desempeñarse con éxito en la actividad de registro e
identificación de personas; así mismo, participa en la aplicación de normas, procesos y
procedimientos que rigen esa actividad.
La página Web de RENIEC (Registraduría Nacional de Identificación y Estado Civil)
cuenta con una sección de “Identidad Digital” donde están explicados en texto y video, los
diferentes conceptos asociados como: identidad digital, certificado digital, utilidad de un
certificado digital y firma digital.
También es posible tener un mejor entendimiento del proceso de firma digital y sus
beneficios: identidad digital, certificado digital, utilidad de un certificado digital y firma
digital.
El portal del ciudadano tiene como finalidad ofrecer una serie de servicios en la Web que
el RENIEC brinda a los ciudadanos mediante el uso de su DNI electrónico (DNIe). Estos
servicios son posibles gracias a la seguridad que un dispositivo como el nuevo DNIe
104
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
ofrece para la obtención remota de, por ejemplo, certificados de inscripción y actas
oficiales, así como la posibilidad de firmar documentos digitales, entre otras operaciones.
Ilustración 20. Portal ciudadano RENIEC Perú
Fuente. Página Web Reniec
Para poder acceder a estos servicios, el usuario deberá contar con su DNIe, el cual se le
entrega al ciudadano junto con un par de credenciales, una de autenticación y una de
firma, cada uno con un PIN como los que se utilizan en tarjetas de débito o crédito. La
credencial de autenticación será utilizada para acceder a los servicios del portal y será
liberada al digitar el PIN de autenticación en el teclado virtual que se le presenta al hacer
click en "DNI electrónico".
105
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
Ilustración 21. Autenticación portal ciudadano RENIEC Perú
Fuente. Página Web Reniec
Al ingresar el PIN correcto, el usuario accederá al portal del ciudadano y se mostrarán las
funciones disponibles:
Ilustración 22. Ruta de navegación portal ciudadano RENIEC Perú
Fuente. Página Web Reniec
Vale la pena mencionar que el usuario tiene acceso a estos servicios:
Firma digital de documentos: en el menú “Firma Digital”, el ciudadano podrá
firmar documentos digitales en formato PDF con su certificado digital, haciendo
106
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
el documento oficial. También podrá verificar la validez de documentos
firmados por otras personas.
Certificados digitales: en este menú, el ciudadano podrá visualizar los
certificados digitales que RENIEC le emitió y su estado. En esta opción el
usuario podrá saber cuándo su certificado esté próximo a expirar o podrá
cancelarlo cuando lo considere necesario.
Registro de correo electrónico: en este menú, el ciudadano podrá registrar los
correos electrónicos en los cuales autoriza al RENIEC comunicarse con él. En
estos correos registrados, el ciudadano recibirá novedades sobre el DNI
electrónico.
Herramientas: en el menú Herramientas, el ciudadano podrá utilizar y conocer
mejor su DNIe. La opción “Datos de su DNI Electrónico”, le mostrará al
ciudadano los datos que su DNIe contiene. El DNI electrónico del Perú cumple
con el estándar ICAO, que es un estándar internacional de documentos de
viaje electrónicos y en esta opción el ciudadano podrá ver estos datos,
incluyendo la fotografía que está impresa en su DNIe.
En este menú, también es posible cambiar el PIN de autenticación y el PIN de
firma, de la misma forma que se cambian las contraseñas de, por ejemplo, el
correo electrónico. Se recomienda al ciudadano cambiar frecuentemente estos
PIN, que los guarde de forma segura y que no los comparta con nadie. Así
mismo se le recuerda que al cambiar su PIN de autenticación, a partir del
próximo acceso al portal, este nuevo PIN deberá ser utilizado.
Verifique su DNI: finalmente, el portal del ciudadano le ofrece una herramienta
para verificar el estado de su DNI. Esta herramienta le informará si los
elementos del chip de su DNI están en funcionamiento. Entre otras cosas, el
sistema le informará si sus PIN están bloqueados.
107
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
4.4.2 ESTRATEGIA DE GOBIERNO ELECTRÓNICO
La Oficina Nacional de Gobierno Electrónico e Informática (ONGEI) de la Presidencia del
Consejo de Ministros, formula las políticas públicas en gobierno electrónico, conforme al
numeral 26.2, del artículo 26, de la ley Nº 29904, Ley de Promoción de la Banda Ancha y
Construcción de la Red Dorsal Nacional de Fibra Óptica. La política de gobierno
electrónico compromete a todos los poderes del Estado, organismos autónomos,
gobiernos descentralizados, instituciones políticas y la sociedad civil, a través de sus
distintas organizaciones.
Objetivos:
1. Fortalecer el gobierno electrónico en las entidades de la administración
pública, garantizando su interoperabilidad y el intercambio de datos, con la
finalidad de mejorar la prestación de los servicios brindados por las
entidades del Estado para la sociedad y fomentando así su desarrollo.
2. Acercar el Estado a los ciudadanos, de manera articulada, a través de
las Tecnologías de la Información, que aseguren el acceso oportuno e
inclusivo a la información y participación ciudadana, como medio para
contribuir a la gobernabilidad, transparencia y lucha contra la corrupción en
la gestión del Estado.
3. Garantizar la integridad, confidencialidad y disponibilidad de la
información en la administración pública, mediante mecanismos de
seguridad de la información gestionada, así como articular los temas de
ciberseguridad en el Estado.
4. Fomentar la inclusión digital de todos los ciudadanos, a través del
gobierno electrónico, especialmente de los sectores vulnerables, a través
de la generación de capacidades y promoción de la innovación tecnológica,
respetando la diversidad cultural y el medio ambiente.
108
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
5. Promover, a través del uso de la Tecnologías de la Información y en
coordinación con los entes competentes, la transformación de la sociedad
peruana en una sociedad de la información y el conocimiento, propiciando
la participación activa de las entidades del Estado y la sociedad civil, con la
finalidad de garantizar que ésta sea íntegra, democrática, abierta, inclusiva
y brinde igualdad de oportunidades para todos.
Lineamientos estratégicos:
Basándose en los criterios de evaluación de estándares para definir el nivel
de desarrollo de gobierno electrónico del país, las tendencias de las TIC en
los próximos años, la Política Nacional de Modernización de la Gestión
Pública, las estrategias, planes de las diferentes entidades del Estado
peruano y las consultas realizadas a la población al interior del país;
referente a los servicios que las entidades del Estado brinda, se han
establecido los siguientes lineamientos estratégicos para gobierno
electrónico en el Perú:
a) Transparencia: promover el conocimiento de la gestión del Estado a
través de nuevos canales que permitan la participación del ciudadano en
las funciones públicas con información confiable, oportuna y accesible.
Además, la transparencia generará mayor visibilidad de los asuntos del
Estado y contribuirá a los objetivos de la Política Nacional de
Modernización de la Gestión Pública, en concordancia con la Ley N° 29976,
la cual crea la Comisión Anticorrupción que en su artículo 3.4 establece:
“coordinar con las entidades responsables, su contribución al cumplimiento
de las normas de transparencia, éticas, la participación ciudadana, el
109
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
conocimiento del accionar de los funcionarios públicos, los actos de la
administración y el manejo presupuestal de cada entidad”.
b) E-Inclusión: incluir a todos los ciudadanos sin distinción de origen, credo,
idioma, sexo, edad u otra variable de exclusión a la Sociedad de la
Información y del Conocimiento (SIC), a través de proyectos y programas
de alfabetización digital que permitan el fortalecimiento de las capacidades
de los ciudadanos.
c) E-Participación: generar la participación activa del ciudadano a través de
su identidad digital en la gestión pública, a través de plataformas de Internet
como: redes sociales, foros, chats en línea u otras formas de interacción a
fin de satisfacer eficientemente necesidades de información, control y
consultas públicas en nuevas políticas de Estado.
d) E-Servicios: habilitar los medios electrónicos seguros necesarios al
ciudadano para que pueda acceder a los servicios públicos, a través del
uso de su identidad digital, con seguridad, comodidad y satisfacción desde
cualquier lugar. E-Servicios necesita de un rediseño de los procesos en las
entidades del Estado, así como el aseguramiento de estándares
tecnológicos en interoperabilidad (webservices). Adicionalmente, se
requiere construir una plataforma tecnológica intergubernamental que
facilite los servicios, trámites y consultas del ciudadano. Finalmente, se
necesita apoyar las iniciativas de identidad digital, firmas y certificados
digitales; mecanismo de seguridad para la privacidad y la protección de los
datos en general y datos personales en particular.
e) Tecnología e innovación: se debe promover el crecimiento de la
tecnología e innovación a través de la provisión de una infraestructura
adecuada, por medio del desarrollo de plataformas que permitan llevar a
cabo innovaciones, impulsando la cultura emprendedora y, al mismo
tiempo, dando respuestas a problemáticas sociales concretas.
110
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
f) Seguridad de la información: el paradigma de todo a disposición de todos
debe manejarse de la manera más cuidadosa, velando por la integridad,
seguridad y disponibilidad de los datos; para ello se deben establecer
lineamientos en seguridad de la información, a fin de mitigar el riesgo de
exposición de contenido sensible del ciudadano.
g) Infraestructura: el requisito fundamental para la comunicación efectiva y
la colaboración dentro del Estado es contar con una red informática y de
telecomunicaciones que integre a todas las dependencias y a sus
funcionarios públicos, incluyendo hardware, software, sistemas, redes,
conectividad a Internet, bases de datos, infraestructura para capacitación
en línea (e-Learning) y recursos humanos especializados. Además, los
servidores públicos deberán compartir recursos metodológicos, de
infraestructura y conocimiento, así como el intercambio de datos espaciales
con el objetivo de compartir buenas prácticas para mejorar su
aprovechamiento y evitar duplicidades.
4.4.3 EL MODELO
El modelo peruano se evidencia centralizado, operado directamente por el Estado y para
el Estado. Es un sistema confiable que permite la identificación del ciudadano y de las
personas jurídicas ante las entidades del Estado.
La masificación de este mecanismo se busca mediante la expedición de la tarjeta de
identificación digital a todos los peruanos, la cual puede ser usada para el proceso de
identificación y que funciona incluso para trámites presenciales. Este elemento es
interesante en la medida en que responde a la realidad de países en desarrollo, en donde
el acceso a Internet y la alfabetización digital universal están aún en proceso.
111
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
A modo de resumen del modelo peruano, a continuación se presenta la explicación del
CANVAS:
112
CANVAS
Ilustración 23. Canvas Perú
Fuente. Elaboración propia
4.4.4 DESCRIPCIÓN DEL MODELO
La base del sistema peruano es la tarjeta de identificación (DNI-e) que incorpora un chip
para configurarse como un sistema de autenticación mediante las siguientes aplicaciones:
Aplicación de Firma Digital - PKI: contiene grabados en el chip, certificados
digitales y claves, los cuales pueden usarse para validar la identidad y/o firmar
digitalmente.
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
Aplicación de Autenticación Biométrica - MOC: contiene grabadas en el chip
las plantillas de las huellas dactilares, lo que posibilita su comparación con las
del portador y la validación de su identidad en cuanto el usuario quiera acceder
a un servicio o información.
El uso de esta aplicación puede asociarse a la generación de la firma digital y
para iniciar otros procesos propios de la tarjeta que requieran validar la
identidad del usuario, tales como el cambio de PIN y su desbloqueo.
Aplicación de identidad ICAO eMRTD: contiene almacenados en el chip los
datos de identidad del ciudadano según estándar de ICAO, los cuales son
idénticos a los que van grabados en la capa receptiva de la tarjeta de
policarbonato. Esto, además de constituirse en un elemento más para validar la
autenticidad de la tarjeta y de la identidad de su portador, facilita la ágil lectura
y toma de datos, de ser esto aceptado por su titular (control migratorio, policial,
etc.).
Por su parte, el proceso del modelo de autenticación de Perú supone la solicitud del
mecanismo o DNI-e ante el RENIEC, quien establece si el ciudadano puede ser titular de
este mecanismo; luego de establecer dicha situación el RENIEC procede a la emisión y
entrega del DNI-e al ciudadano, quien luego de esto podrá realizar los diferentes trámites
electrónicos frente a las entidades estatales.
Ventajas: posibilita la simplificación de trámites mediante el uso de una única
credencial; sirve como tarjeta de identidad y para firmar electrónicamente.
También permite realizar trámites en línea y presenciales; como tarjeta
inteligente ofrece beneficios significativos de:
o Interoperabilidad local, ya que puede diseñarse una tarjeta para que
acceda a múltiples aplicaciones.
o Escalabilidad de aplicaciones debido a que si hay espacio disponible,
pueden agregarse más aplicaciones dentro de la tarjeta.
114
o Serviría de plataforma de seguridad para la modernización de los procesos
administrativos.
o Hace uso de la tecnología de Infraestructura de Clave Pública (PKI),
tarjetas inteligentes y biometría; fomentando así el uso de las Tecnologías
de la Información en la implementación de nuevos servicios.
o Como tarjeta inteligente biométrica, proporcionará la capacidad de
verificación comparando un parámetro biométrico escaneado, contra una
simple plantilla guardada en el chip de la tarjeta.
o Portabilidad, ya que su tamaño pequeño le permite a las personas llevar
grandes cantidades de información en un medio actualizable, con relativa
facilidad.
o Posee un sistema operativo que evita que las claves sean expuestas fuera
de la tarjeta y de esta manera puedan ser leídas, removidas o manipuladas
por alguien.
o Proporciona una capacidad de almacenamiento de información superior a
los códigos de barras tradicionales, ya que no solamente sirve de
repositorio de las claves privadas y certificados, sino que permite incluso
actualizar la información contenida en el chip y realizar operaciones dentro
de éste.
Casos de uso: el modelo de Perú permite que los ciudadanos puedan usarlo en los siguientes escenarios:
o Documento Nacional de Identidad.
o Documento de viaje en los países con convenio.
o Autenticación de identidad para trámites presenciales y en línea.
o Elemento clave para la virtualización de servicios que brindan instituciones
públicas e iniciativas de gobierno electrónico.
o Votación electrónica.
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
o Identificación de beneficiarios de programas sociales y políticas de Estado,
para mejora de procesos de asignación y distribución de recursos.
o Control seguro para el acceso a redes e instalaciones físicas.
Ilustración 24. Modelo Perú
Fuente. Elaboración propia
A modo de resumen del modelo peruano se enumeran sus principales actores y
actividades:
Actores:
o El ciudadano que obtiene su identidad electrónica.
o El Registro Nacional de Identificación y Estado Civil (RENIEC) que actúa
en el enrolamiento del ciudadano.
o Las entidades estatales que desarrollan trámites y servicios autenticando
electrónicamente a los ciudadanos.
Paso a paso:
116
1. El ciudadano se dirige a uno de los puntos de atención de RNIEC para el
enrolamiento de su identidad.
2. La RENIEC, a través de la verificación de registros públicos establece que
el solicitante podrá ser el titular del DNI electrónico.
3. Una vez verificada la identidad, y enrolado su registro biométrico, RNIEC
emite una tarjeta electrónica que contiene el chip con firma digital.
4. El ciudadano titular de la tarjeta podrá utilizar su mecanismos de
autenticación electrónica y firma digital en todo tipo de trámites electrónicos
ofrecidos por el Estado.
5. La renovación del mecanismo de autenticación se podrá hacer de manera
presencial o electrónica ante el RENIEC.
4.4.5 PERSPECTIVAS
JURÍDICA
o Marco de política que soporta el modelo : la Oficina Nacional de Gobierno Electrónico e Informática (ONGEI) de la Presidencia del Consejo de Ministros formula las políticas públicas en Gobierno Electrónico en Perú, conforme al numeral 26.2, del artículo 26, de la ley Nº 29904, Ley de Promoción de la Banda Ancha y Construcción de la Red Dorsal Nacional de Fibra Óptica. La política de gobierno electrónico compromete a todos los poderes del Estado, organismos autónomos, gobiernos descentralizados, instituciones políticas y la sociedad civil, a través de sus distintas organizaciones. Todo lo anterior con base en la Ley Modelo de Firma Electrónica de 2001 de la Uncitral.
o Normas legales o políticas: se encuentra la ley No. 29222 que modifica el artículo 37 de la ley Nº 26497, que cita el Documento Nacional de Identidad (DNI), éste tendrá una validez de ocho (8) años, el cual será renovado por el plazo inicial. La invalidez se presenta cuando el citado documento sufre de un deterioro considerable, por cambios de nombre, o de alteraciones sustanciales en la apariencia física que originen que la fotografía pierda valor identificatorio.
o Instrumentos: Ley Modelo de Firma Electrónica de 2001 de la CNUDMI. Ley No. 29222 que modifica el artículo 37 de la ley Nº 26497 sobre el DNI. ley Nº 27310 sobre Firmas y Certificados Digitales. Decreto supremo 052-2008-PCM reglamenta la Ley de Firmas y Certificados Digitales. Ley Nº 26497 Ley Orgánica
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
del Registro Nacional de Identificación y Estado Civil – RENIEC. Ley 29733 Ley de Protección de Datos Personales.
Términos y condiciones de uso para los usuarios: fijan las relaciones entre el Estado y el ciudadano en el uso del DNI electrónico así:
o Propiedad. RENIEC es propietario del software, por lo que la propiedad intelectual y/o derecho de autor son exclusivos de esta institución, así como, los derechos legales de copia, patentes, marca, manuales de usuario, secretos comerciales y cualquier otro vinculado que pudiese surgir, incluida toda la información o documentación que el RENIEC proporcione a la entidad.
o Costo. RENIEC cede al usuario la licencia de uso, copia, distribución y publicación del software sin costo alguno y bajo su responsabilidad, debiendo ser usado dentro del marco legal técnico vigente.
o Licencia Limitada. “Usted no puede, parcial o total y bajo ninguna forma o medio (y no permitirá a ningún tercero que lo haga): Reproducir, modificar o adaptar el software.
Alquilar, arrendar, prestar, ceder o vender el software.
Retirar los logos incluidos en el software.
Usar o introducir cualquier tipo de dispositivo, componente o rutina que
interfiera o que pueda tratar de interferir con las operaciones del software.
Usar el software quebrantando las licencias de las librerías listadas en los
“créditos””.
Privacidad y seguridad: se basan en afirmar, conocer, aceptar y cumplir las
“políticas de privacidad y seguridad” declaradas en los términos y condiciones de uso
establecidas por el RENIEC.
o “Terceros. Si se utiliza software con certificados de Terceros, o si de otra forma un
Tercero hace uso del software usando otros certificados, estando autorizado o no,
RENIEC no se responsabiliza por las operaciones de firma digital efectuadas, ya
que se estarían violando “políticas de seguridad””.
o Exclusión de garantías. RENIEC no otorga garantías de ningún tipo por el uso del
software, ya sea de manera expresa, implícita, legal o de cualquier otra forma.
o Limitación de responsabilidad. RENIEC no se hace responsable de la pérdida de
ingresos o daños directos o indirectos, especiales, incidentales, derivados, o
punitivos, incluso si los daños directos no son suficientes para servir de
118
compensación. Por lo tanto, ninguna forma de indemnización podrá ser reclamada
ni al RENIEC ni a ninguno de sus funcionarios.
o Vigencia y resolución. RENIEC puede dar por terminados los siguientes
términos de uso en cualquier momento y sin previo aviso. A la terminación
del presente, RENIEC dará de baja el software y el usuario deberá dejar de
usar el mismo y borrar todas las copias del software existentes bajo su
responsabilidad.
o Modificación de los términos de usos y políticas. RENIEC puede cambiar o
modificar, sin previo aviso, estos términos o cualquier otra política que regule el
uso del software para, por ejemplo, reflejar cambios en la ley, adicionar o remover
funcionalidades. La modificación de los términos o políticas serán anunciadas en
www.reniec.gob.pe
Responsabilidades para los usuarios: o Limitación de responsabilidad. El RENIEC no se hace responsable por la pérdida
de ingresos o daños directos e indirectos, especiales, incidentales, derivados, o punitivos, incluso si los daños directos no son suficientes para servir de compensación.
Emisores y operadores de los proyectos: direccionamiento estatal, operador estatal monopólico para la autenticación frente al Estado peruano.
TÉCNICA
El DNI-e combina tecnologías como la de Smart Cards, personalización por grabado láser,
biometría y firma digital.
o Tarjeta SMART CARD: se denomina Smart Cards a aquellas tarjetas inteligentes con
chip incrustado. El chip de que dispone el DNI-e cuenta con las siguientes
características:
Chip de contactos según norma ISO/IEC 7816.
Sistema operativo Java Card. Permite la incorporación posterior de aplicaciones y
contenidos adicionales.
Chip con capacidad criptográfica para gestión de claves RSA y firma digital con
certificados.
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
Memoria EEPROM de 64Kb.
Seguridad del chip según estándares Common Criteria nivel EAL4+ ó FIPS 140-
2.
o Grabado láser en policarbonato: este proceso tecnológico ofrece las siguientes
características:
El policarbonato del que está fabricado el soporte de la tarjeta permite la
incorporación de elementos de seguridad física de última tecnología y su
personalización mediante grabado láser.
El haz de luz láser traspasa la capa superficial de la tarjeta y altera
molecularmente la capa receptiva intermedia (carbonizado), con lo cual se logra
el efecto de impresión y también el efecto de impresión con relieve o táctil.
Dado el proceso de fusión y alta presión en la integración de las capas de la
tarjeta durante su fabricación éstas no pueden ser separadas.
o Tecnología biométrica: el DNI-e ofrece a través de su aplicación Match-on-Card una
autenticación por tecnología biométrica. El proceso se realiza de la siguiente
manera:
Dentro del proceso de inscripción de los ciudadanos se toma sus huellas
dactilares (enrolamiento).
A las imágenes de las huellas se les extraen las minucias y se obtienen las
plantillas biométricas.
Las plantillas biométricas de ambos dedos índices se almacenan en el chip.
Para la validación de la identidad del ciudadano, al acercarse éste a un punto
de atención coloca su índice sobre un lector.
El equipo extrae las minucias que caracterizan a la huella en particular y genera
una plantilla biométrica.
120
Esta nueva plantilla biométrica es enviada a la aplicación Match-on-Card, la cual
se compara con la original que fue guardada durante el enrolamiento y que
pertenece al ciudadano titular del documento.
La propia aplicación Match-on-Card de la tarjeta da la respuesta en cuanto a si
ambas plantillas corresponden o, lo que es lo mismo, valida la identidad.
La aplicación Match-on-Card cuenta con parámetros de operación idóneos en
los que se refiere a tiempo de respuesta, tasa de falsa aceptación, tasa de falso
rechazo e igualmente en cuanto a su operación dentro de los estándares
tecnológicos vigentes.
o Tecnología de Firma Digital PKI: el DNI electrónico ofrece a través de su aplicación
PKI la posibilidad de autenticarse y de firmar digitalmente documentos electrónicos.
La firma digital comprende un proceso criptográfico valiéndose de un par de claves
asimétricas, el cual está dividido en su emisión propiamente dicha y en su
validación.
o Emisión:
Con el DNI electrónico colocado en el lector de tarjetas de contacto del PC,
el aplicativo solicita el PIN al emisor.
A partir del documento original se calcula, mediante un algoritmo de hash
como el SHA-1, un resumen de longitud fija que lo identifica de manera
única.
Ese resumen es cifrado con la clave privada del emisor mediante un
algoritmo de firma como el RSA, con lo cual se produce la firma digital.
El paquete producido incluye el certificado digital del emisor.
o Validación:
El receptor del documento firmado digitalmente lo abre para visualizarlo y el
aplicativo inicia su validación.
Se calcula de nuevo el código hash a partir del documento original incluido
en el paquete.
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
Con la clave pública se descifra el código hash del documento original, que
fue enviado por el emisor en el paquete.
Se compara ambos resúmenes hashes y, de resultar iguales, queda
verificada la autenticidad, origen e integridad del documento recibido.
Estándares: el DNI electrónico deberá cumplir con los requisitos y
especificaciones técnicas mínimas exigidas por diversas normas internacionales: i)
ICAO DOC 9303 – PARTE 3, ii) ISO/IEC 7810, iii) ISO/IEC 7816, iv)ISO/IEC
10373, v) ISO/IEC 7812, vi) AAMVA, vii)X.509 (PKIX), ix) KCS, x)S/MIME, SET,
SSL, xi) NTP 12207 - Métrica V3, xii) Estándares AFIS y xiii) Metodología de
innovación tecnológica.
Lineamientos tecnológicos: el RENIEC es una de las primeras instituciones
públicas en el Perú que desarrolla a medida sus sistemas informáticos. Para la
realización de éstos utilizó la implementación de captura en vivo de trámites DNI,
uso de Tecnologías Push (SMS), implementación del reconocimiento facial,
adecuación de la sala de cómputo de producción del RENIEC (NTP – ISO / IEC
17799), solución de procesamiento de transacciones de consultas en línea de
información de ciudadanos (zero down time), implementación del ambiente de
PREPRODUCCIÓN para el control de calidad de los sistemas informativos,
implementación de una base de datos para el procesamiento de información
histórica, auditoria y seguridad de las bases de datos del RENIEC con base en la
Norma Técnica Peruana ISO/IEC 17799.
Políticas de seguridad y privacidad: no es necesario que los usuarios se
registren en ningún medio para usar el aplicativo, por lo tanto, no se guarda
ninguna información personal. No copia, guarda, ni expone el PIN del usuario. No
copia, guarda ni expone la clave privada del usuario. Registra los siguientes datos
en el documento firmado. No registra ningún dato del usuario en los servidores del
RENIEC en ninguna de sus operaciones de uso.
Descripción genérica de las soluciones tecnológicas: múltiple autenticación.
Se trata del modelo de mayor innovación en la región PKI, Biometría, etc.
Documento de identidad físico y electrónico que consta de una tarjeta con un chip
122
incorporado. Permitirá la identificación y autenticación de las personas a través del
Internet que se basa en: i) Tecnologías de firmas digitales, ii) Tarjetas inteligentes
y iii) Biometría. Además incorporará elementos de seguridad físicos y lógicos. El
DNIe contiene la aplicación MOC (Match-On-Card) que ejecuta la comparación,
dentro del propio chip, de las plantillas biométricas (minucias).
Mecanismos de autenticación: cuenta con tres mecanismos: el DNI electrónico,
un factor de biometría utilizando la huella digital y por último un sistema llamado
Clave Sol. PKI, e ID, Biometría.
Requerimientos técnicos y funcionales de las soluciones tecnológicas: los
requerimientos técnicos y funcionales del DNIe contienen elementos relacionados
con: i) Seguridad física, ii) Seguridad lógica, iii) Certificados digitales, iv)
Smartcards, v) Biometría, vi) Estándares internacionales, vii) Durabilidad y viii)
Emisión paralela; los anteriores elementos responden a la multiplicación,
funcionalidad dual, emisión a demanda y sobre todo la interoperabilidad.
Interoperabilidad: 15 trámites, con distintas entidades estatales.
FINANCIERA
El valor del DNI electrónico lo asumen los ciudadanos, tiene un valor de 40 soles
peruanos lo que equivale a unos 38.950 pesos colombianos, aunque los trámites
no tienen costo alguno.
En cuanto a los costos de implementación del modelo, el Ministerio de Economía y
Finanzas asume a través de asignación presupuestal los recursos financieros
necesarios y los otorga al RENIEC.
El DNI-e se constituye en un elemento de alto impacto en beneficio de la
ciudadanía, agilizando los procesos y reduciendo los costos, tanto de su parte
como de las entidades del Estado, y particulares que hagan uso de ésta importante
herramienta tecnológica; esto sobre todo en la medida que se asocie a otras
iniciativas como la virtualización de servicios por Internet.
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
o Modelo de sostenibilidad: el DNI ordinario tiene un precio de S/. 29.00, que ha ido aumentando, pues su valor está atado al de la UIT (es el 0.78% de 1 UIT), siendo que su valor real es de S/. 23.00 (que es lo que se cobra por el duplicado). El DNI electrónico cuesta 40 soles.
o CAPEX: Estado. DNI y CS pagado por las personas. Privados para FEA. No auto sostenible.
o OPEX: los costos de infraestructura y personal son asumidos por la RENIEC a través del presupuesto general. El modelo de atención al ciudadano también es asumido directamente por el Estado.
o Tarifas: los trámites no tienen costo alguno, el único costo para el ciudadano es la adquisición del DNI electrónico.
o Transparencia: existe información pública.
ORGANIZACIONAL o Mapa de actores y roles de las entidades: el RENIEC es un organismo
que cuenta con la mejor tecnología informática actualizada, además de personal calificado para desempeñarse con éxito en la actividad de registro e identificación de personas, como en la aplicación de normas, procesos y procedimientos que rigen esa actividad.
o Mercado: 30,77 millones. La población representa el 65% de la población colombiana y sus condiciones socioeconómicas son similares a las de Colombia.
o Alcance del modelo (beneficiarios): aunque es un modelo avanzado técnicamente, el uso y la apropiación de los beneficiarios no ha sido la más provechosa debido a la limitada oferta de trámites en el gobierno electrónico.
Empresas, instancias o sectores que participan en el desarrollo del modelo: la operación está a cargo del RENIEC, y cuenta con el apoyo de ONGEI, el CONCYTEC y el INDECOPI. El DNI Electrónico (DNIe) tiene 15 mecanismos de seguridad, físicos y lógicos, teniendo como proveedores a: Indenova, Camerfirma, Safenet y Morpho.
Articulación con otras iniciativas de gobierno electrónico: los objetivos de la agenda digital (estrategias del gobierno electrónico) relacionados con el RENIEC son:o Impulsar la interoperabilidad entre las instituciones del Estado para la
cooperación, el desarrollo, la integración y la prestación de más y mejores
servicios para la sociedad.
o Proveer a la población: información, trámites y servicios públicos accesibles
por todos los medios disponibles.
124
o Desarrollar e implementar mecanismos para asegurar el acceso oportuno a la
información y una participación ciudadana como medio para aportar a la
gobernabilidad y transparencia de la gestión del Estado.
o Implementar mecanismos para mejorar la seguridad de la información.
o Mejorar las capacidades, tanto de funcionarios públicos como de la sociedad,
para acceder y hacer uso efectivo de los servicios del gobierno electrónico.
o Adecuar la normatividad necesaria para el despliegue del gobierno electrónico.
Voto electrónico por ejemplo.
SOCIOCULTURAL
o Estrategia de apropiación y uso por parte de los usuarios: la RNIEC ha
considerado el desarrollo de una estrategia de apropiación progresiva con la
incorporación paulatina de servicios a través de medios electrónicos que
podrán ser utilizados por los ciudadanos en diferentes instancias del Gobierno.
Esto se encuentra en la página Web de la RNIEC, en el enlace de DNI
electrónico, pero no existe disponible un documento independiente explícito
sobre el modelo.
o Estrategias de difusión y marketing: se utilizan básicamente herramientas
de difusión masiva a través de medios públicos de comunicación. Existe
también en una primera fase una fuerte sensibilización académica que se
puede reflejar en el activismo por parte de funcionarios y de personas
vinculadas con la academia.
o Indicadores de uso: los indicadores operacionales para medir el modelo son:
1.Cantidad de personas mayores de edad identificadas con el DNI-e, 2.
Cantidad de personas mayores de edad identificados con el DNI-e a nivel
nacional, 3. Cantidad de la población mayor de edad con conocimiento de
importancia de TIC, 4. Cantidad de instituciones gubernamentales que
participan activamente en la intervención, 5. Cantidad de ambientes para el
desarrollo del DNI-e, 6. Cantidad de procesos que se realizan para
incrementar la capacidad operativa y la puesta en marcha de la
implementación del DNI-e, 7. Cantidad de personas con conocimiento pleno
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
de la importancia del DNI-e, 8. Cantidad de campañas realizadas y 9.
Ejecución presupuestal.
De otra parte se pueden ver las siguientes cifras:
o Número de DNI electrónicos emitidos: 6 millones.
o Número de trámites que incluyen autenticación electrónica: 2.
Facilidad en el proceso de autenticación: amigable, contiene manual del
usuario, disponible para todos los usuarios por el RENIEC.
Estrategia de implementación utilizada: no disponible aún. Se pueden verificar
sin embargo, algunas acciones en la página Web de RENIEC.
Esquemas de formación de usuarios: a través de medios presenciales,
telefónicos y por Internet. La RENIEC crea la escuela registral que funciona como
ente transmisor de una educación especializada y de calidad en materia de
registros civiles y de identificación de personas naturales, aportando así, desde su
posición en la institución, al beneficio de los objetivos del RENIEC, del progreso
del país y todos los peruanos.
El RENIEC creó, el 27 de diciembre de 2002, la Escuela Nacional de Registro del
Estado Civil e Identificación (ENRECI); la misma que luego devino en el Centro de
Altos Estudios Registrales (CAER) el 30 de diciembre de 2008. Esta escuela tiene
la tarea de desarrollar actividades de capacitación en temas de registro civil,
identificación y afines; orientadas a los servidores de la entidad y registradores del
estado civil en materias como "Desarrollo Humano", "Registros Civiles", "RUIPN",
"Gestión Administrativa", "Actividades Electorales" y "Certificación Digital"
generando progreso al país por medio de su plataforma virtual.
Tipologías de cliente-objetivo: ciudadanos, personas naturales principalmente.
Por la naturaleza del mecanismo no contempla empresas o sociedades
comerciales. Ciudadano – entidades estatales.
126
4.5 CHILE
Capital: Santiago de Chile.
Lenguaje oficial: español.
Moneda: Peso.
Bandera:
Ilustración 25. Bandera de Chile
Fuente: http://www.banderas-mundo.es/
INDICADORES DE DESARROLLO
Nivel de ingresos: Ingreso alto (miembro de la OCDE).
Población total: 17,7 millones (2014).
Población urbana (% del total): 89% (2014).
Índice de Gini: 50,8 (2011).
Tabla 16. Indicadores de desarrollo Chile
Fuente. Elaboración propia
ECONOMÍA Y CRECIMIENTO
PIB: US$ 258,1 mil millones (2014).
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
Crecimiento del PIB (% anual): 1,9% (2014).
Inflación: 4,4% (2014).
Superávit/déficit del efectivo (% del PIB): 0,5% (2012).
Tabla 17. Economía y crecimiento Chile
Fuente. Elaboración propia
CIENCIA, TECNOLOGÍA Y COMUNICACIONES
Gasto en investigación y desarrollo (% del PIB): 0,42% (2010).
Usuarios de Internet (por cada 100 personas): 72,4% (2014).
Subscripciones de teléfonos celulares por cada
100 habitantes:133 (2014).
Subscripciones a Internet de banda ancha fija por
cada 100 habitantes:14,08 (2014).
Tabla 18. Ciencia, tecnología y comunicaciones Chile
Fuente. Elaboración propia
4.5.1 DESCRIPCIÓN DEL PROYECTO
La Unidad de Modernización del Estado (división del Ministerio Secretaría General de la
Presidencia de la República), busca acercar el Estado a las personas. Entre sus objetivos
como equipo está la modernización y gobierno digital, mejorando la atención y calidad de
servicio que diariamente entregan las instituciones públicas a los ciudadanos.
128
En este contexto, de modernización del Estado y gobierno electrónico, se aborda este
desafío no sólo como una “tecnologización” del Estado, sino como un cambio de
paradigma: un proceso integral que busca generar las condiciones para vivir en un Estado
cercano, inclusivo, transparente y participativo; orientado a satisfacer de mejor manera las
necesidades de los ciudadanos, contribuyendo así a mejorar su calidad de vida.
Teniendo en cuenta lo anterior, se formula la iniciativa Clave Única, la cual busca proveer
a los ciudadanos de una Identidad Electrónica Única (RUN y clave) para la realización de
trámites en línea del Estado, eliminando así la necesidad de realizar múltiples registros
para cada servicio.
Para la autenticación en línea, las instituciones públicas disponen de una aplicación cuyo
enrolamiento y verificación será realizado por el Servicio de Registro Civil e Identificación
y mediante la cual, los datos de identificación se transmiten de manera segura y confiable
a través de la plataforma de interoperabilidad del Estado.
Por último, se menciona que el Ministerio, operará el sistema “Clave Única” a través de
una solución tecnológica End-Point Open ID que consulta la base de datos del SRCeI
para verificar si la clave ingresada corresponde a la persona a quien se le entregó dicho
medio de identificación. Por lo tanto, la operación del sistema la provee el Ministerio
mientras que el SRCeI autentica la identidad de las personas. La clave personal nunca
está en conocimiento ni del Ministerio, ni de la institución o del servicio público en que el
usuario se autentica.
La iniciativa Clave Única de Chile busca proveer a los ciudadanos de una Identidad
Electrónica Única (RUN y clave) para la realización de trámites en línea del Estado,
eliminando así la necesidad de realizar múltiples registros para cada servicio. En este
sentido, es importante destacar que la identidad digital facilita la implementación del
modelo de portal centralizado de la red multiservicios del Estado al proveer el acceso a
diversos servicios mediante una autenticación común.
Para la autenticación en línea, las instituciones públicas disponen de una aplicación cuyo
enrolamiento y verificación será realizado por el servicio de Registro Civil e Identificación y
mediante la cual, los datos de identificación se transmiten de manera segura y confiable a
través de la plataforma de interoperabilidad del Estado.
Todos las personas usuarias del registro civil, mayores de 14 años, pueden obtener esta
clave. Para obtener la contraseña, es necesario realizar tres simples pasos:
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
1. Dirigirse al registro civil con el carné de identidad, donde le harán entrega de
un comprobante correspondiente al “código de activación de cuenta en oficina
Internet”.
2. Posteriormente, ingresar al link que fue enviado a su correo electrónico
(Asunto: confirmación registro Oficina Internet-SRCeI) donde se le solicitará
digitar el número de su Carné de Identidad (RUN) y el “código de activación”
disponible en el comprobante. De manera alternativa, puede ingresar
directamente a www.registrocivil.cl y pinchar el link “activar Clave Única”, en el
menú del costado izquierdo.
3. Finalmente, se abrirá una ventana en la cual aparecerán sus datos: RUN,
nombre completo y correo electrónico. En ésta, el sistema le solicitará ingresar
una contraseña, que debe contener al menos 6 caracteres.
Dentro de esta página Web también es posible ver los servicios que actualmente
funcionan con la Clave Única, de la mano de la campaña de digitalización de trámites
públicos ChileSinPapeleo, enmarcada dentro de la iniciativa ChileAtiende.
A manera de ejemplo, la solicitud del certificado de situación militar al día, en manos de
la Dirección General de Movilización Nacional, se da click en ir al trámite y el usuario es
redireccionado a los trámites disponibles de la institución:
Ilustración 26. Trámites DGMN
Fuente. Página Web claveunica.cl
Se selecciona el trámite a realizar y aparecerá el siguiente login.
130
Ilustración 27. Autenticación Clave Única
Fuente. Página Web claveunica.cl
En este paso se solicita el Rol Único Nacional, es decir, el número identificatorio único e
irrepetible que posee todo chileno, residente o no en Chile, y todo extranjero que
permanezca en el país; así mismo se solicita la respectiva contraseña para finalmente
iniciar el trámite o servicio elegido.
4.5.2 ESTRATEGIA DE GOBIERNO ELECTRÓNICO
La modernización del Estado, en materia de gobierno digital, es el conjunto de
transformaciones, innovaciones tecnológicas, políticas e institucionales, que mejoran la
capacidad del Estado para responder de manera oportuna, eficaz y eficiente a las
necesidades de la ciudadanía.
Su objetivo central es crear mejores servicios públicos, los que mediante la participación y
la transparencia, generen satisfacción en la ciudadanía y sean un actor relevante para
aumentar la confianza de las personas en el Estado y sus instituciones.
Misión: coordinar, orientar y apoyar a los distintos ministerios e instituciones
para mejorar la gestión del Estado de cara al ciudadano, a través del uso
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
estratégico de las TIC’s, lo que se plasma en políticas públicas que dirigen el
quehacer gubernamental.
Visión: alcanzar un Estado más confiable, inclusivo, participativo y abierto; que
se relacione con la sociedad en forma proactiva, amigable y eficiente; con el fin
de generar bienestar en la ciudadanía, en condiciones de equidad, a través del
uso estratégico de las TIC’s.
Objetivos estratégicos: para alcanzar esta visión, SEGPRES cumple los
siguientes roles fundamentales:
o Facilitar el logro de los compromisos presidenciales a través de la
coordinación con otras instituciones públicas, mediante diferentes
instancias, como por ejemplo:
o Coordinación con los encargados de informática de las instituciones
públicas.
o Participación en equipos de trabajo asociados a proyectos transversales.
o Apoyo a proyectos estratégicos que desarrollan otras instituciones, pero
que contribuyen significativamente al logro de los compromisos
presidenciales.
o Liderar el plan de acción de Gobierno digital como parte de las iniciativas a
impulsar de la agenda digital de Chile, en la cual se está trabajando.
o Desarrollar y liderar proyectos desde la Unidad de Modernización del
Estado y Gobierno digital, que son habilitantes para el logro de los
compromisos.
4.5.3 EL MODELO
En el caso chileno, el modelo resultante se evidencia como un modelo centralizado
operado directamente por el Estado. El sistema se enfoca básicamente en la identificación
del ciudadano ante las entidades del Estado exclusivamente.
132
El sistema se focaliza en proveer un mecanismo digital único para todos los casos en que
el ciudadano desee realizar trámites virtuales con entidades del Estado, manteniendo en
todo caso la opción de trámites con presencia física o tradicional.
A modo de resumen del modelo de autenticación electrónica chileno, se presenta la
explicación del CANVAS:
CANVAS
Ilustración 28. Canvas Chile
Fuente. Elaboración propia
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
4.5.4 DESCRIPCIÓN DEL MODELO
La iniciativa chilena busca proveer a los ciudadanos de una Identidad Electrónica Única
(RUN y clave) para la realización de trámites en línea del Estado, eliminando así la
necesidad de realizar múltiples registros para cada servicio.
Para la autenticación en línea, las instituciones públicas disponen de una aplicación cuyo
enrolamiento y verificación será realizado por el Servicio de Registro Civil e Identificación
y mediante la cual, los datos de identificación se transmiten de manera segura y confiable
a través de la plataforma de interoperabilidad del Estado.
Todos las personas usuarias del Registro Civil mayores de 14 años pueden obtener esta
clave.
Para obtener la contraseña, es necesario realizar cuatro simples pasos:
1. Dirigirse al Registro Civil con el Carné de Identidad, donde se le hace entrega de
un comprobante correspondiente al “código de activación de cuenta en oficina
Internet”.
2. Posteriormente, ingresar al link que fue enviado a su correo electrónico (Asunto:
confirmación registro Oficina Internet-SRCeI) donde se le solicitará digitar el
número de su Carné de Identidad (RUN) y el “código de activación” disponible en
el comprobante. De manera alternativa, puede ingresar directamente a
www.registrocivil.cl y pinchar el link “activar clave única”, en el menú del costado
izquierdo.
3. Luego, se abrirá una ventana en la cual aparecerán sus datos: RUN, nombre
completo y correo electrónico. En ésta, el sistema le solicitará ingresar una
contraseña, que debe contener al menos 6 caracteres.
4. Finalmente, el ciudadano podrá autenticarse electrónicamente frente a las
entidades estatales para realizar los diferentes trámites administrativos previa
validación de la base de datos centralizada del Gobierno por parte del Registro
Civil e Identificación del estado chileno.
134
Ventajas: único registro para autenticarse frente a las entidades estatales (RUN y ClaveÚnica); todas las transacciones son monitorizadas por el Servicio de Registro Civil e Identificación mediante su base de datos centralizada con el fin de garantizar la privacidad y seguridad de los datos de los usuarios; simplificación de trámites.
Casos de uso: ClaveÚnica busca integrar a este sistema de autenticación la mayor cantidad de trámites posibles. A febrero de 2015 están habilitados 60 trámites dentro de los que se mencionan los siguientes: entrega de certificados SIMCE Inglés; acreditación del Sello Conductor Seguro; programa de apoyo a la inversión en zonas de oportunidades; voluntariedad para el servicio militar; certificado de situación militar para voluntariado; recepción de denuncias sobre atentados a la libre competencia en los mercado.
A continuación una descripción gráfica del modelo chileno:
Ilustración 29. Modelo Chile
Fuente. Elaboración propia
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
A modo de resumen del modelo peruano se enumeran sus principales actores y
actividades:
Actores:
o El ciudadano que obtiene su identidad electrónica.
o El Sistema de Registro Civil e Identificación (SRCeI) que actúa en el
enrolamiento del ciudadano y la entrega del método de autenticación.
o Las entidades estatales que desarrollan trámites y servicios autenticando
electrónicamente a los ciudadanos.
Paso a paso:
1. Enrolamiento del ciudadano ante el SRCeI.
2. El usuario ingresa al sitio web de ClaveÚnica y obtiene su código de
activación.
3. El usuario se autentica frente a la entidad del estado correspondiente.
4. La entidad estatal verifica frente a las bases de datos del SRCel la
autenticación del ciudadano. SRCel valida la autenticación del ciudadano.
5. La entidad estatal confirma la identidad y habilita al ciudadano para la
realización de trámites.
4.5.5 PERSPECTIVAS
JURÍDICA
La Clave Única es un sistema que se pone a disposición de los demás órganos de
la administración del Estado por aplicación de los principios de eficiencia y
coordinación que debe observar dichas instituciones, conforme lo dispone el
artículo 3°, Inciso segundo del Decreto con Fuerza de ley N° 1/19.653, de 2001,
del Ministerio Secretaria General de la Presidencia que fija el texto refundido,
coordinado y sistematizado de la ley N° 18.575, Orgánica Constitucional de Bases
Generales de la Administración del Estado, en adelante, LOCBGAE. Asimismo,
este sistema se encuentra en plena consonancia con los principios de economía
136
procedimental y no formalización, establecidos en los artículos 9 y 13 de la ley N°
19.880, que establece las bases de los procedimientos administrativos que rigen
los actos de los órganos de la administración del Estado.
“ClaveÚnica” es una firma electrónica de conformidad a lo dispuesto al artículo 2,
letra f) de la ley N° 19.799. A mayor abundamiento, de conformidad a lo dispuesto
en el artículo 3 de la misma ley, dicha firma se mirará como firma manuscrita para
todos los efectos legales.
Esta firma electrónica puede emplearse en los procedimientos administrativos (art.
19 de la ley N° 19.8804) y en cualquier clase de acto jurídico salvo cuando dicho
acto: (1) exija una solemnidad que no sea susceptible de cumplirse mediante
documento electrónico; (2) Aquellos en que la ley requiera la concurrencia
personal de alguna de las partes y (3) Aquellos relativos al derecho de familia (Art.
3 Ley N° 19.799).
De acuerdo a lo establecido en la ley N° 19.880, en la ley N°19.799 y su
reglamento, los órganos de la administración del Estado pueden relacionarse con
las personas a través de técnicas y medios electrónicos con firma electrónica,
cuando éstos hayan consentido en esta forma de comunicación. En este sentido,
como regla general, basta el empleo de una firma electrónica “simple”, como lo es
“ClaveÚnica” y que exista el consentimiento del usuario en cuanto al uso de esta
herramienta.
El marco jurídico completo aplicable se conforma con las siguientes normas
principales:
Documento Nombre del documento
Ley N° 18.575, DE 5 DE DICIEMBRE DE 1985. MINISTERIO
DEL INTERIOR
Ley Orgánica Constitucional de Bases Generales
de la Administración del Estado.
Ley N° 19.628, de 28 de agosto de 1999. MINISTERIO
SECRETARÍA GENERAL DE LA PRESIDENCIASobre protección de la vida privada.
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
Ley N° 19.799, DE 12 DE ABRIL DE 2002. MINISTERIO DE
ECONOMÍA, FOMENTO Y RECONSTRUCCIÓN
Sobre documentos electrónicos, firma electrónica
y servicios de certificación de dicha firma.
DECRETO SUPREMO N° 181, DE 17 DE AGOSTO DE 2002.
MINISTERIO DE ECONOMÍA
Aprueba reglamento de la ley 19.799 sobre
documentos electrónicos, firma electrónica y
servicios de certificación de dicha firma.
Ley N° 19.880, DE 29 DE MAYO DE 2003. MINISTERIO
SECRETARIA GENERAL DE LA PRESIDENCIA
Establece bases de los procedimientos
administrativos que rigen los actos de los órganos
de la administración del Estado.
DECRETO SUPREMO N° 83, DE 03 DE JUNIO DE 2004.
MINISTERIO DE SECRETARÍA GENERAL DE LA
PRESIDENCIA
Aprueba Norma Técnica para los Órganos de la
Administración del Estado, sobre seguridad y
confidencialidad de los documentos electrónicos.
DECRETO SUPREMO N° 93, DE 28 DE JULIO DE 2006.
MINISTERIO DE SECRETARÍA GENERAL DE LA
PRESIDENCIA
Aprueba norma técnica para la adopción de
medidas destinadas a minimizar los efectos
perjudiciales de los mensajes electrónicos
masivos no solicitados, recibidos en las casillas
electrónicas de los órganos de la administración
del Estado y de sus funcionarios.
DECRETO SUPREMO N° 154, DEL 11 DE AGOSTO DE
2012. MINISTERIO DE ECONOMÍA, FOMENTO Y TURISMO;
SUBSECRETARÍA DE ECONOMÍA Y EMPRESAS DE
MENOR TAMAÑO
Modifica decreto N° 181 de 2002, que aprueba
reglamento de ley N° 19.799, sobre documentos
electrónicos, firma electrónica y la certificación de
dicha firma.
DECRETO SUPREMO N° 14, DEL 27 DE FEBRERO DE
2014. MINISTERIO DE ECONOMÍA, FOMENTO Y TURISMO;
SUBSECRETARÍA DE ECONOMÍA Y EMPRESAS DE
MENOR TAMAÑO
Modifica decreto N° 181 de 2002, que aprueba
reglamento de ley N° 19.799, sobre documentos
electrónicos, firma electrónica y la certificación de
dicha firma.
Tabla 19. Marco legal Chile
Fuente. Elaboración propia
138
o Marco de política que soporta el modelo: a partir de la promulgación en el año
2008 de la ley 20285 de acceso a la información pública, se considera que inicia el
fomento a la trasparencia en el Gobierno. Este proceso comienza en parte en el
año 1999, con la ley No 19653, sobre probidad y trasparencia pública, la cual
modificó la ley Orgánica Constitucional Bases Generales de la Administración del
Estado (ley 18575).
Posteriormente, en el año 2005 se introdujo el artículo 8 de la Constitución de la
República, ampliando el acceso de la información de todos los órganos del Estado.
o Instrumentos: Ley Modelo de Firma Electrónica de la CNUDMI de 2001. Ley N°19.799 de 2002 sobre documentos electrónicos, firma electrónica y servicios de certificación. Decreto N° 181 reglamenta la ley 19.799 de 2002. Ley N°19.496, Protección a los Derechos del Consumidor. Ley 20285 de 2008 de Acceso a la Información Pública. Artículos 9 y 13 de la ley N° 19.880, que establece las bases de los procedimientos administrativos que rigen los actos de los órganos de la administración del Estado. Ley 19628 de 1999 sobre protección de datos de carácter personal.
o Normas legales o políticas : el Ministerio Secretaría General de la Presidencia de
la República cuenta con proyectos de estándares y normativas de gobierno digital
(proyecto de datos abiertos, normativas técnicas). Además de eso los ejes
estratégicos (implementación de herramientas TIC habilitantes, mayor
coordinación entre las instituciones del Estado, simplificación y digitalización de
trámites).
o Términos y condiciones de uso para los usuarios: antes de activar el
mecanismo de Clave Única en Chile, el usuario debe aceptar los términos de uso
los cuales se señalan a continuación:
La Clave Única registrada por el usuario(a) debe ser única, personal, confidencial e intransferible.
Su duración es indefinida, sin perjuicio de su actualización periódica voluntaria o solicitada por el Registro Civil.
Todo uso del nombre de usuario(a) y clave única es de única y exclusiva responsabilidad del titular.
El usuario(a) declara comprometerse a adoptar todas las medidas para que el nombre de usuario (a) y clave única no sean conocidos, entregados, utilizados por terceras personas autorizadas o no, divulgados, publicados, cedidos o cualquiera otra acción que suponga un uso indebido de dicha información de carácter personal, confidencial e intransferible.
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
o Responsabilidades para los usuarios: se establece que para recuperar la clave,
el usuario debe ingresar al sitio dispuesto para esto y seguir las instrucciones en
pantalla. Si registra correo electrónico y establece preguntas secretas, deberá
seleccionar una de ellas para recuperar su clave única. En caso que sólo tenga un
correo electrónico registrado, se le enviará un nuevo código de activación que le
permitirá crear una nueva clave única. Si sólo registró preguntas secretas, a través
de éstas podrá crear una nueva clave única.
En el caso que la persona acceda al sitio Web www.registrocivil.cl, con su nombre
de usuario(a) y clave única, la responsabilidad derivada de la falta de cuidado,
indebida reserva, mal uso o uso por terceros autorizados o no, ocasionándose o no
perjuicios directos previstos e imprevistos, o de cualquier otra especie, es
exclusiva responsabilidad del titular.
o Emisores y operadores de los proyectos: operador estatal, subvencionado completamente por el Estado. Aún están presentes algunos proveedores de servicios de certificación.
TÉCNICA
Existen librerías disponibles para PHP, Java, Python, C# y otros. Se puede
encontrar una lista exhaustiva en el sitio Web de Open ID:
o Crear el mecanismo de autenticación
Utilizando los ejemplos dados en las librerías, realizar requests al endpoint de
Clave Única:
https://www.claveunica.cl/autenticacion/openid
o Solicitar atributos adicionales usando el protocolo Attribute Exchange
(opcional)
La mayoría de estas librerías soportan el protocolo AX (Attribute Exchange).
Mediante este protocolo se pueden solicitar atributos adicionales del usuario
autenticado. Por ejemplo, se podría solicitar el RUT, nombre, apellidos, etc.
Luego, si el usuario autoriza compartir estos atributos, se puede obtener estos
140
valores. Para mayor información de cómo utilizar AX se debe seguir este
enlace.
o Validar la respuesta obtenida desde Clave Única
Para asegurar que la respuesta sea auténtica se deben realizar dos
validaciones:
Validar que la respuesta sea Open ID auténtica. Las librerías Open ID
siempre traen dicha función.
Verificar que la identidad Open ID obtenida venga desde Clave Única.
Por lo tanto, es muy importante verificar que la identidad Open ID
comience con https://www.claveunica.cl/
o Generar la sesión en sitio Web
Una vez que se obtiene la respuesta de autenticación correcta, se debe
generar la sesión en el sitio Web. Clave Única responderá con un identificador
único, para que se pueda reconocer a través de las distintas sesiones.
Los sitios Web del Gobierno y/o terceras personas ahora pueden permitir la
autenticación a través de la Clave Única. La Clave Única libera a los usuarios
de manejar distintas cuentas para distintos sitios Web, además de permitirles
autenticarse como chileno. También libera a los desarrolladores de la labor de
almacenar y administrar contraseñas. Esta página describe cómo integrar
Clave Única a un sitio Web.
Clave Única soporta el protocolo Open ID 2.0. El protocolo se inicia cuando un
sitio externo emite una petición a Clave Única para autenticar a una persona.
Clave Única verifica la autenticidad del chileno a través de sus contraseñas
obtenidas en el Servicio de Registro Civil e Identificación. Luego, devuelve al
sitio externo un identificador con que el sitio pueda reconocer al usuario. El
identificador es consistente, permitiéndole así al sitio reconocer al usuario a lo
largo de múltiples sesiones.
Clave Única además soporta la extensión Open ID Attribute Exchange 1.0.
Esta extensión le permite a los desarrolladores acceder, con el permiso del
usuario, a información como: RUT, nombre, apellidos, etc.
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
Estándares: Open ID con temas de seguridad. Lineamientos tecnológicos: la Clave Única soporta el protocolo Open ID 2.0. El
protocolo se inicia cuando un sitio externo emite una petición a Clave Única para autenticar a una persona. Clave Única verifica la autenticidad del chileno a través de sus contraseñas obtenidas en el servicio de registro civil e identificación. Luego, devuelve al sitio externo un identificador con que el sitio pueda reconocer al usuario. El identificador es consistente, permitiéndole así al sitio reconocer al usuario a lo largo de múltiples sesiones. Clave Única además soporta la extensión Open ID Attribute Exchange 1.0. Esta extensión le permite a los desarrolladores acceder, con el permiso del usuario, a información como: RUT, nombre, apellidos, etc.
Políticas de seguridad y privacidad: el servicio de registro civil e identificación entregará al usuario un comprobante, correspondiente al “código de activación de cuenta en oficina Internet”. Al momento de ingresar el código de activación, el SRCeI informa al usuario sobre el alcance de la “ClaveÚnica” y de los resguardos que debe mantener para que no se haga un uso inadecuado o malicioso de la misma. Las políticas de privacidad establecidas por el Servicio de Registro Civil están disponibles al momento de activar la ClaveÚnica en el sitio Web del Servicio de Registro Civil, a saber:
El Servicio de Registro Civil e Identificación asegura la confidencialidad de los
datos personales de los(as) usuarios(as) que se registren en
www.registrocivil.gob.cl mediante el o los formulario(s) establecido(s) para esos
efectos. Sin perjuicio de sus facultades legales, el servicio sólo efectúa tratamiento
de datos personales de aquellos entregados voluntariamente por los(as)
usuarios(as) a través de su sitio Web.
Los datos personales de los(as) usuarios(as) son recopilados a través de las
solicitudes de transparencia, Sistema Atención Ciudadana (SIAC) y solicitud de
certificados en línea publicados en el sitio Web, los cuales son utilizados sólo
dentro de la competencia y atribuciones del Servicio de Registro Civil e
Identificación.
El Servicio de Registro Civil e Identificación podrá comunicar a otros organismos
del Estado, los datos personales de sus usuarios, conforme lo establecido en la ley
19.628, ley N° 19.477 y demás leyes especiales.
142
El Servicio de Registro Civil e Identificación, en caso de ser requerido
judicialmente, comunicará los datos personales de los(as) usuarios(as) que le sean
solicitados.
Las personas pueden en todo momento ejercer los derechos otorgados por la ley
N° 19.628, sobre protección de la vida privada y sus modificaciones posteriores,
sin perjuicio de los límites que contempla la normativa legal al ejercicio de estos
derechos y de las recomendaciones del Consejo para la transparencia sobre
protección de datos personales por parte de los órganos de la Administración del
Estado.
Descripción genérica de las soluciones tecnológicas: mecanismo utilizado – Clave Única que simplifica, la intervención del ciudadano, pero simplifica también las características de seguridad. El servicio valida que las credenciales Open ID sean correctas y que la identidad del usuario venga de Clave Única. Si es así, autentica al usuario e inicia su sesión.
Mecanismos de autenticación: se refiere a una clave única y un software de firma digital.
Requerimientos técnicos y funcionales de las soluciones tecnológicas: debe crear el mecanismo de autenticación, solicitar atributos adicionales usando el protocolo Attribute Exchange (Opcional), validar la respuesta obtenida desde Clave Única. Para asegurar que la respuesta sea auténtica se deben realizar dos validaciones: la primera que la respuesta sea Open ID auténtica, verificando que la identidad Open ID obtenida venga desde Clave Única y por último generar la sesión en el sitio Web.
Interoperabilidad: 60 trámites18.
FINANCIERA
El modelo es subvencionado de manera completa por el Estado en el costo de su
infraestructura y soporte. No tiene costo para el ciudadano.
Es importante destacar que en Chile coexiste el modelo de firmas digitales, utilizadas hoy
día por el sector privado donde cada proveedor de servicios de certificación asume el
18 Clave Única Chile. Disponible en: https://www.claveunica.cl/preguntas/servicios. Último acceso: octubre 15 de
2015.
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
costo de su infraestructura PKI y el costo al usuario final es en promedio de unos 70
dólares año.
Modelo de sostenibilidad: subvención estatal total. Participan las entidades estatales directamente con recursos del presupuesto general. Se proporciona gratuitamente el sistema tecnológico que permitirá el uso de “Clave Única”; así mismo la asesoría técnica necesaria para la implementación y operación del sistema en las entidades adherentes; se provee el servicio de conexión entre la institución y el SRCeI, para efectos de autenticar electrónicamente a una persona. Cada entidad adherente debe adoptar las medidas que sean necesarias para que la transmisión sea proporcionada de forma segura.
CAPEX: asumidos enteramente por el Estado a través de asignación presupuestal.
OPEX: asumidos enteramente por el Estado a través de asignación presupuestal. No auto sostenible.
Tarifas: el servicio es gratuito.
Transparencia: no es suficiente la información pública disponible.
ORGANIZACIONAL
Mapa de actores y roles: responsable ejecución: modernización, gobierno digital y Ministerio Secretaría General de la Presidencia. Director Nacional del SRCeI. Existen 4 privados en el modelo.
Mercado: 17,7 millones. La población sólo representa el 38% de la población colombiana.
Alcance del modelo (beneficiarios): referente a nivel mundial en los trámites que se ofrecen. Por el tamaño del mercado el sistema de autenticación no ha logrado penetrar en la mayoría de los habitantes.
Empresas, instancias o sectores que participan en el desarrollo del modelo: MINSEGPRES y la integración de 9 instituciones a la plataforma. Hay entidades aliadas, entre las que se destacan: Agencia de Calidad de la Educación, Comisión Nacional de Seguridad de Tránsito, Corporación de Fomento de la Producción, Dirección del Trabajo, Dirección General de Movilización Nacional, Fiscalía Nacional Económica, Gendarmería de Chile, Instituto de Desarrollo Agropecuario, Instituto de Previsión Social, Municipalidad de Ñuñoa, Servicio de Registro Civil e Identificación, Subsecretaría de Agricultura, Subsecretaría de Transportes,
144
Subsecretaría de Vivienda y Urbanismo, Superintendencia de Electricidad y Combustibles, Superintendencia de Insolvencia y Reemprendimiento.
Articulación con otras iniciativas de gobierno electrónico: progresivamente, se irán incorporando más instituciones que posean otros servicios en línea, con el fin de agilizar la gestión de trámites, facilitar la postulación a programas y beneficios, y la colaboración en instancias de participación ciudadana, entre otros.
SOCIOCULTURAL
Esta iniciativa busca proveer a los ciudadanos de una Identidad Electrónica Única para la
realización de trámites en línea del Estado y proporcionarle al ciudadano diferentes
ventajas con el uso de este modelo.
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
Ilustración 30. Infografía sociocultural Chile
Fuente: Página Web Clave Única: https://www.claveunica.cl
Estrategia de apropiación y uso por parte de los usuarios: en la página Web de Clave Única, se presenta contenido relacionado con el alcance y uso de la Clave Única. Entre otros se explica, qué es, servicios habilitados, cómo obtenerla, cómo cambiarla y el procedimiento si se olvidó la misma.
Mediante la campaña de digitalización de trámites públicos, Chile sin Papeleo, impulsada por la Segpres, se ha logrado que varios trámites del Estado puedan
146
realizarse por Internet. Desde el lanzamiento de esta campaña, en agosto de 2012, son 115 las instituciones que se han comprometido a Chile sin Papeleo, para aumentar la cantidad de trámites en línea.
Estrategias de difusión y marketing: estrategias ATL y BTL a nivel de marketing, en las que se anuncia los alcances del proyecto y su forma de uso. Adicionalmente existe una estrategia de redes sociales en la página de Internet de Clave Única.
Indicadores de uso:
Ilustración 31. Avances en Clave Única
Fuente: Ministerio Secretaria Gral. De la Presidencia: http://www.observatoriodigital.gob.cl/gobierno-digital-al-dia/clave-unica
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
Ilustración 32. Clave Única
Fuente: Ministerio Secretaria Gral. De la Presidencia: http://www.observatoriodigital.gob.cl/gobierno-digital-al-dia/clave-unica
Ilustración 33. Instituciones y números de trámites asociados a Clave Única
Fuente: Ministerio Secretaria Gral. De la Presidencia: http://www.observatoriodigital.gob.cl/gobierno-digital-al-dia/clave-unica
148
Facilidad en el proceso: proceso fácil y amigable con una sola credencial.
Estrategia de implementación: existe un convenio de cooperación para la implementación del sistema de “Clave Única”.
Esquemas de formación de usuarios: si el usuario tiene algún inconveniente con el entendimiento o uso de la Clave Única, éste podrá dirigirse a la mesa de ayuda telefónica del Registro Civil e Identificación, o, remitirse a la documentación en línea en el sitio del Registro Civil e Identificación (www.claveunica.cl). Se evidencia que algunos ministerios realizan programas de capacitación para el uso del sistema de ventana única.
Tipologías de cliente-objetivo: solamente aplica en la relación Estado – ciudadano, no cubre el sector privado.
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
5. ANÁLISIS DE CASOS NACIONALES
5.1 COLOMBIA
Capital: Bogotá D.C.
Lenguaje oficial: español.
Moneda: peso colombiano.
Bandera:
Ilustración 34. Bandera Colombia
Fuente: http://www.banderas-mundo.es/
INDICADORES DE DESARROLLO
Nivel de ingresos: Ingreso medio alto
Población total: 47,77 millones (2014).
Población urbana: 24% (2014)
Índice de gini: 53,5% (2013)
Tabla 20. Indicadores de desarrollo Colombia
Fuente. Banco Mundial
ECONOMÍA Y CRECIMIENTO
PIB: $377,7 mil millones
150
Crecimiento del PIB (% anual): 4.6% (2014)
Inflación: 3.66% (2014)
Superávit/déficit del efectivo (% del PIB): 2,8% (2012)
Tabla 21. Economía y crecimiento Colombia
Fuente. Banco Mundial
CIENCIA, TECNOLOGÍA Y COMUNICACIONES
Gasto en investigación y desarrollo (% del PIB): 0,17% (2012)
Usuarios de Internet (por cada 100 personas): 52,6% (2014)
Subscripciones de teléfonos celulares por cada 100 habitantes: 113 (2014)
Subscripciones a Internet de banda ancha fija por cada 100 habitantes: 10,27 (2014)
Tabla 22. Ciencia, tecnología y comunicaciones Colombia
Fuente. Banco Mundial
5.1.1 DESCRIPCIÓN DEL PROYECTO
Colombia cuenta con un modelo de autenticación electrónica que privilegia la neutralidad
tecnológica respecto de los mecanismos que se encuentran a disposición para este fin. Se
definen desde métodos de autenticación simples, hasta mecanismos de autenticación
robustos y firmas electrónicas y digitales.
El marco institucional en lo referente a la autenticación electrónica dentro del Estado
colombiano, se ha definido recientemente en la ley 1753 de 2015 – Plan Nacional de
Desarrollo -, donde se establece a partir del artículo 45 la competencia que sobre esta
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
temática tiene el Ministerio de Tecnologías de Información y Comunicación (en lo sucesivo
MinTIC), y allí se define específicamente que éste deberá establecer: estándares,
modelos, lineamientos y normas técnicas para la incorporación de las Tecnologías de la
Información y las Comunicaciones (TIC), que contribuyan a la mejora de los trámites y
servicios que el Estado ofrece al ciudadano, los cuales deberán ser adoptados por las
entidades estatales.
En ese orden de ideas es el MinTIC quien tiene a su cargo la definición del modelo de
autenticación electrónica dentro del Estado colombiano.
Ahora bien, en ese marco institucional, será necesario complementar lo descrito en la ley
527 de 1999 y de uno de sus decretos reglamentarios (333 de 2014) – sobre validez
jurídica y probatoria de la información electrónica – donde se establecen algunas
competencias en entidades que también participan en el modelo actual de autenticación
electrónica del Estado:
a. Inspección, control y vigilancia de los servicios de certificación digital, a cargo de la
Superintendencia de Industria y Comercio.
b. Acreditación de las entidades de certificación digital, a cargo de la Organización
Nacional de Acreditación de Colombia – ONAC.
c. Establecimiento de las condiciones de confiabilidad y apropiabilidad de las firmas
electrónicas bajo los criterios definidos en el decreto 2364 de 2012, por parte de
firmas auditoras o peritos técnicos.
Es importante señalar, que hoy, de conformidad con lo descrito por la ley 527 de 1999, y
atendiendo lo analizado en las diferentes entidades que se ha tenido la oportunidad de
visitar en el análisis nacional, se han encontrado mecanismos de autenticación de
diversas características como:
i. Mecanismos simples de autenticación – definidos a partir del artículo 17 de la ley
527 de 1999.
(i) Mecanismos robustos de autenticación - definidos desde la Circular Externa 042
de 2012 emitida por la Superintendencia Financiera de Colombia y entre los que se
encuentran:
a. One Time Passwords (OTP) con doble factor de autenticación.
152
b. Biometría, en diferentes modalidades.
c. Tarjetas EMV (Estandar European Mastercard y Visa) con doble factor de
autenticación.
d. Firmas digitales.
(ii) Firmas electrónicas, que en Colombia pueden ser emitidas por cualquiera (siempre
y cuando se puedan verificar las condiciones de confiabilidad y apropiabilidad del
mecanismo, esto es la autenticidad e integridad del método según lo dispuesto por
el decreto 2364 de 2012);
(iii) Firmas digitales, que en Colombia, conforme lo describe el decreto 333 de 2012
pueden ser emitidas por las entidades de certificación digital, tanto abiertas como
cerradas, y éstas deben ser acreditas por el ONAC como se indicó anteriormente.
5.1.2 EL MODELO
Se encuentra pertinente evidenciar los siguientes componentes que definen la estructura
esencial de este modelo:
a) Gobernanza y distribución del servicio: La Registraduría Nacional del Estado Civil,
es la entidad encargada de proveer la identidad oficial en Colombia. Los métodos
de autenticación sin embargo no utilizan de manera general esta fuente de
información sobre la identidad (incluso en la autenticación biométrica, dónde sólo
de manera reciente se ha venido permitiendo el acceso a la base de datos
biográfica y biométrica de la RNEC), y por lo tanto puede hablarse de repositorios
distribuidos, desde donde diferentes operadores validan la identidad de las
personas. Por ejemplo:
Métodos simples de autenticación, utilizan como método de enrolamiento
de la identidad fuentes propias o autogestionadas.
Métodos robustos de autenticación, utilizan base de datos propias y del
sistema financiero (Datacrédito y CIFIN).
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
Firmas electrónicas, utilizan bases de datos financieras y de entidades
oficiales (RNEC, Procuraduría, Fosyga; Contraloría, DIAN).
Firmas digitales, utilizan base de datos del sistema financiero (Datacrédito
y CIFIN), así como bases de datos oficiales (RNEC, Procuraduría etc.).
b) Universalidad: No es universal. El sistema de autenticación electrónica ante
trámites estatales tiene una alta dispersión, pues no hay una solución que se esté
empleando de manera genérica. Existen diversidad de posibilidades de
autenticación, con un impacto poblacional muy reducido para trámites electrónicos
del Estado.
c) Enrolamiento: la red de distribución incluye el uso de medios virtuales
preferiblemente, y en el caso de las firmas digitales o la biometría se utilizan
métodos presenciales, para garantizar de manera fehaciente la identidad de los
titulares.
d) Estructura de mercado: el sistema es de libre competencia, y en el caso de los
mecanismos de autenticación robustos, firmas electrónicas y firmas digitales; se
encuentra estructurado a través de la libre entrada y cumplimiento de requisitos.
e) Financiación: la financiación del modelo es mixto y depende directamente del tipo
de función que realice la entidad o del trámite que se esté realizando. En la
autenticación simple normalmente los costos (Capex y Opex están a cargo del
Estado). En el caso de la autenticación robusta y de firmas electrónicas o digitales
(salvo el caso de la DIAN) el costo del mecanismo se encuentra a cargo del
particular (empresas o ciudadanos).
f) Relación ámbito público y privado: no hay un relacionamiento directo en la
autenticación electrónica, pues cada sector utiliza de manera independiente
mecanismos, lo que tiene como efecto el uso de múltiples credenciales de
autenticación por parte de los ciudadanos.
g) Niveles de servicio: varían dependiendo directamente del tipo de mecanismo que
se esté empleando y del proveedor que lo emita. En el caso de las firmas digitales
normalmente la emisión toma 3 días, y la atención de incidencias es inmediata a
partir de una estructura muy bien definida en la actualidad.
154
En suma, el modelo se despliega de la siguiente forma:
CANVAS
Ilustración 35. Canvas Nacional
Fuente. Elaboración propia
5.1.3 DESCRIPCIÓN DEL MODELO
En Colombia, el marco jurídico de utilización de los mecanismos de autenticación,
comprende normas de diferente naturaleza, tales como:
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
a. La ley 527 de 1999, sobre validez jurídica y probatoria de la información
electrónica, establece las firmas digitales y las entidades de certificación digital.
b. La ley 794 de 2003, reforma del Código de Procedimiento Civil, donde se señala la
necesidad de garantizar atributos de autenticidad e integridad en el desarrollo de
actos de comunicación.
c. Ley 1564 de 2012, la cual regula la actividad procesal en asuntos civiles,
comerciales, de familia y agrarios por medios electrónicos.
d. La ley 962 de 2005, que establece en su artículo 6, la necesidad de que las
actuaciones de la administración pública por medios electrónicos garanticen
atributos de autenticidad, integridad y disponibilidad.
e. El decreto 2364 de 2012, que reglamenta el uso de las firmas electrónicas.
f. El decreto 333 de 2014, que señala las condiciones de constitución y
funcionamiento de las entidades de certificación digital.
g. La ley 1437 de 2011, Código de Procedimiento Administrativo y de lo Contencioso
Administrativo donde se define el procedimiento administrativo electrónico, y
dentro de éste la necesaria garantía de autenticidad, integridad y disponibilidad de
la información electrónica.
h. La ley 1450 de 2011, norma sobre el plan de desarrollo, que permite a las
entidades estatales o a los particulares que desarrollen función pública, el acceso
a la base de datos biográfica y biométrica de la Registraduría Nacional del Estado
Civil.
i. Resolución 3341 de 2014, emitida por la Registraduría Nacional del Estado Civil
donde se definen las condiciones que deben reunir quienes quieran ser
operadores de biometría dactilar ante la base de datos biográfica y biométrica de
esa entidad.
j. Ley 1581 de 2012, estatutaria de protección de datos personales, donde se
definen las condiciones de protección de los datos personales, estableciendo
también la necesidad de garantizar autenticidad e integridad en el tratamiento de
los mismos.
156
k. Ley 1712 de 2014, de transparencia y acceso a la información pública donde se
establecen las condiciones de acceso a la información, incluyendo las razones de
seguridad que deben ser tenidas en cuenta.
l. Ley 1753 de 2015, Plan de Desarrollo, donde se establece entre otras:
a. Las competencias que en materia de autenticación electrónica del Estado
tiene MinTIC.
b. La posibilidad para las entidades financieras de acceder a la base de datos
biográfica y biométrica de la Registraduría Nacional del Estado Civil.
La autenticación electrónica debe analizarse desde dos aspectos a saber: 1) la
autenticación como el método de verificar la identidad de las personas, 2) la autenticación
como el mecanismo para determinar la integridad del contenido de un documento (firma
electrónica). El análisis de tales aspectos debe hacerse a su vez desde dos enfoques: el
enfoque tecnológico y el enfoque jurídico. El enfoque tecnológico consiste en la
determinación de las herramientas que se utilizarán en un entorno virtual a fin de verificar
la identidad de las personas y, el enfoque jurídico consiste en precisar el alcance legal de
estos mecanismos a fin de determinar los mecanismos que permitan garantizar la
autenticidad de un mensaje de datos y la integridad del mismo.
El enfoque tecnológico está dirigido a seleccionar el tipo de software y hardware, que
permita identificar a las personas de la manera más exacta posible. Un ejemplo de esta
tecnología serían los captores biométricos que cumplan con estándares de seguridad del
FBI, y en general con estándares internacionales de seguridad de la información. Otro
ejemplo serían los token o dispositivos de almacenamiento de firmas electrónicas que
permitan identificar a las personas ante un sistema de información. En este ámbito de
seguridad, la criptografía, se ha convertido en una herramienta esencial para garantizar la
identidad de las personas, ya sea a través de claves compartidas, criptografía simétrica,
asimétrica, criptografía de clave asistida, entre otras.
Por su parte, el enfoque jurídico se centra en la idoneidad de los mecanismos de firma
(digital, firma electrónica simple y certificada), que deben usarse en los diferentes
entornos transaccionales de las entidades del Estado y de los particulares al prestar
servicios públicos y en general en entornos transaccionales privados. También debe
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
tenerse en cuenta, el principio de equivalentes funcionales contenido en la Ley Modelo de
la UNCITRAL, atrás reseñado.
La normatividad en materia de comercio electrónico y de seguridad electrónica referente a
la autenticidad e integridad de mensajes de datos o documentos electrónicos, en la gran
mayoría de países pertenecientes a la ONU, contempla los dos tipos de firmas, las
electrónicas y las digitales o electrónicas avanzadas. En Colombia se tienen tres tipos de
firmas electrónicas, a saber: la firma electrónica simple, la firma electrónica certificada y la
firma digital, tal y como se describió páginas atrás. La normatividad le asigna un distinto
valor probatorio a cada una de estas firmas, en función de un sistema de presunciones
legales referentes a la autenticidad e integridad de los mensajes de datos y documentos
electrónicos.
El régimen de firmas electrónicas y su marco normativo en Colombia, (ley 527 de 1999,
decreto 333 de 2014, decreto 2364 de 2012 y decreto (estos últimos incorporados al
decreto 1074 de 2015) ley 019 de 2012), es el marco de la autenticación electrónica que
debe analizarse para definir un modelo de autenticación electrónica unificado.
Firmas electrónicas simples y certificadas
La doctrina ha clasificado los métodos de autenticación en tres categorías: 1) los
que se basan en lo que el usuario o el receptor sabe (por ejemplo, contraseñas,
números de ejemplo, códigos y otra información almacenada en dispositivos) y 3)
los que se basan en las características físicas del usuario (por ejemplo, la
biometría).
Es de resaltar que de lo previsto en la normativa es posible establecer en principio
que la firma electrónica es un mecanismo técnico que puede ser prestado por
cualquier persona que satisfaga los requisitos establecidos en la ley y decreto
antes citados.
No obstante lo anterior, la ley 527 dio un paso significativo a nivel de seguridad
jurídica y técnica al crear la figura de las Entidades de Certificación Digital como
aquellas personas que, de acuerdo con el artículo 30 modificado por el artículo 161
del decreto Ley 019 de 2012, están en capacidad de prestar servicios tales como
“1. Emitir certificados en relación con las firmas electrónicas o digitales de
158
personas naturales o jurídicas. (…) 2. Ofrecer o facilitar los servicios de generación
de los datos de creación de las firmas digitales certificadas. 3. Ofrecer o facilitar los
servicios de registro y estampado cronológico en la generación, transmisión y
recepción de mensajes de datos. 4. Ofrecer o facilitar los servicios de generación
de datos de creación de las firmas electrónicas. (…) 5. Cualquier otra actividad
relacionada con la creación, uso o utilización de firmas digitales y electrónicas".
De lo anterior es posible concluir que las Entidades de Certificación Digital pueden
prestar el servicio de firma electrónica con carácter certificado y es en este punto
donde radica la diferencia con las firmas electrónicas simples. Mientras la firma
electrónica simple (no certificada) puede ser creada por cualquier persona bajo los
parámetros de ley, la firma electrónica certificada es aquella que además de
cumplir lo dispuesto en la normativa exige la participación de una entidad de
certificación, que como tercero de confianza, garantiza de manera efectiva que el
firmante sea quien dice ser basándose en una serie de verificaciones previas que
permiten incluso eliminar el riesgo de suplantación de identidad, que de igual forma
garantiza la utilización de medios tecnológicos pertinentes basados en el estado
del arte de la ciencia y que por lo tanto tiene la capacidad de emitir certificados
digitales sobre dicha firma . En este orden de ideas, es posible establecer que la
firma electrónica certificada resulta más segura por cuanto es un tercero de
confianza (la entidad de certificación digital) el responsable de efectuar la
validación de identidad del iniciador del mensaje de datos y además proveer otros
servicios de certificación que garanticen la no suplantación de identidad, la no
alteración de documentos y el no repudio.
Teniendo en cuenta lo establecido en el artículo 7 º de la ley 527 de 1999, el
decreto 2364 de 2012 dio paso a reglamentar lo establecido en dicha norma. De
esta forma, es posible evidenciar que el decreto antes citado se estructura de la
siguiente forma: i) definiciones o términos de referencia, ii) principios que aplican a
las firmas electrónicas, iii) el requisito de firma, iv) atributos que debe satisfacer la
firma electrónica, v) efectos de la firma electrónica, vi) criterios que satisfacen la
seguridad de la firma, vii) efectos jurídicos de la firma, viii) firma pactada mediante
acuerdo, ix) obligaciones del firmante.
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
Se consagró la confiabilidad y apropiabilidad como requisitos para la firma. Al
respecto, es de notar que el decreto 2364 de 2012 establece en su artículo 4 que
la firma electrónica se considerará confiable para el propósito por el cual el
mensaje de datos fue generado o comunicado si: a) Los datos de creación de la
firma, en el contexto en que son utilizados, corresponden exclusivamente al
firmante, b) Es posible detectar cualquier alteración no autorizada del mensaje de
datos, hecha después del momento de la firma, y agrega el artículo en su
parágrafo que lo dispuesto anteriormente se entenderá sin perjuicio de la
posibilidad de que cualquier persona: 1. Demuestre de otra manera que la firma
electrónica es confiable, ó 2. Aduzca pruebas de que una firma electrónica no es
confiable.
Es de notar que el citado decreto estableció que la firma electrónica tendría la
misma validez y efectos jurídicos que la firma, si aquella cumple con los requisitos
legales relativos a confiabilidad y apropiabilidad, es decir, la acreditación y prueba
de la confiabilidad y apropiabilidad de la firma.
Finalmente, el decreto estableció que el firmante de un mensaje de datos, es decir
la persona que posee los datos de creación de la firma que actúa a nombre propio
o a nombre de otro, debe cumplir una serie de obligaciones legales en el uso de la
firma electrónica, éstas son: 1) Mantener control y custodia sobre los datos de
creación de la firma. 2. Actuar con diligencia para evitar la utilización no autorizada
de sus datos de creación de la firma. 3. Dar aviso oportuno a cualquier persona
que posea, haya recibido o vaya a recibir documentos o mensajes de datos
firmados electrónicamente por el firmante, si: a) El firmante sabe que los datos de
creación de la firma han quedado en entredicho; o b) Las circunstancias de que
tiene conocimiento el firmante dan lugar a un riesgo considerable de que los datos
de creación de la firma hayan quedado en entredicho.
Así las cosas, es importante tener en cuenta que dentro de los atributos jurídicos
de la firma electrónica se encuentra la autenticidad e integridad. Precisamente es
claro que no se puede escindir la firma electrónica del mensaje de datos por
cuanto la firma, como lo menciona la CNUDMI, debe identificar al iniciador del
mensaje de datos y debe ser fiable como apropiada para los fines por los cuales se
160
generó o comunicó ese mensaje, lo cual implica que debe generar integridad
sobre el documento electrónico que está siendo firmado.
Firma digital
En cuanto a la firma digital, ésta ha sido definida en el artículo 2 de la ley 527 de
1999 como un valor numérico que se adhiere a un mensaje de datos y que,
utilizando un procedimiento matemático conocido, vinculado a la clave del iniciador
y al texto del mensaje permite determinar que este valor se ha obtenido
exclusivamente con la clave del iniciador y que el mensaje inicial no ha sido
modificado después de efectuada la transformación; adicionalmente la firma digital
contiene una clave privada, reconocida como “el valor o valores numéricos que
utilizados conjuntamente con un procedimiento matemático conocido, sirven para
generar la firma digital de un mensaje de datos” , y una clave pública conocida
como el “valor o valores numéricos que son utilizados para verificar que una firma
digital fue generada con la clave privada del iniciador” .
En ese sentido, la firma digital corresponde a un procedimiento matemático
conocido que garantiza los siguientes atributos jurídicos: i) Autenticidad: garantiza
la identidad del emisor de un mensaje y la plena seguridad que quien remite el
mensaje de datos es realmente quien dice ser; este proceso se realiza mediante la
emisión de un certificado digital en el cual se hacen las respectivas validaciones. ii)
Integridad: garantiza que el mensaje de datos no haya sido alterado después de la
firma. Al vincularse la firma con el contenido del mensaje, en caso que esa
información cambie, la firma será invalidada. iii) No repudio: el emisor no podrá
negar el conocimiento de un mensaje de datos ni los compromisos adquiridos a
través de éste, por cuanto se presume que quería ser vinculado al mismo.
Adicionalmente, es de suma importancia tener en cuenta que el artículo 28 de la
ley 527 de 1999 regula lo relativo a la firma digital. Este artículo dispuso que
cuando una firma digital haya sido fijada en un mensaje de datos se presume que
el suscriptor de aquella tenía la intención de acreditar ese mensaje de datos y de
ser vinculado con el contenido del mismo. Así también, se señaló que con el fin de
que una firma digital tuviera la misma fuerza y efectos que el uso de una firma
manuscrita, es decir, cumpla con la equivalencia funcional de la firma manuscrita,
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
debía incorporar los siguientes atributos: 1) Debe ser única a la persona que la
usa, 2) Debe ser susceptible de ser verificada, 3) Debe estar bajo el control
exclusivo de la persona que la usa, 4) Debe estar ligada a la información o
mensaje, de tal manera que si éstos son cambiados, la firma digital es invalidada,
5) Debe estar conforme a las reglamentaciones adoptadas por el Gobierno
Nacional.
Es importante recordar que al ser la firma digital el equivalente funcional de la firma
manuscrita, en ésta se relaciona un conjunto de información y los datos personales
propios del firmante, especificados en un certificado digital. El certificado digital,
como lo dispone el decreto 333 de 2014 (hoy Decreto Único Reglamentario 1074
de 2015), es un mensaje de datos firmado por la entidad de certificación que
identifica, tanto a la entidad de certificación que lo expide como el suscriptor, y
contiene la clave pública de éste.
Así las cosas, la firma digital que tiene los mismos efectos de una firma
manuscrita, es la denominada firma digital certificada, pues se requiere la
intervención de un tercero que certifique la identidad de una persona, mitigando así
los riesgos de suplantación y de repudio tan característicos de las comunicaciones
electrónicas. La firma digital autogenerada podrá tener entonces aplicación, pero
con las mismas condiciones de un simple mecanismo de firma electrónica, es decir
que una firma digital que no sea certificada por una entidad de certificación digital,
se entenderá, para todos los efectos jurídicos, como una firma electrónica simple,
donde será entonces necesario probar la confiabilidad y apropiabilidad del
mecanismo para que tenga los efectos de una firma electrónica y por lo tanto será
necesario que dichas condiciones sean previamente establecidas por las partes a
través de un acuerdo.
Teniendo en cuenta lo anterior, es de suma importancia resaltar que debido a ese
procedimiento matemático – firma digital – certificado por una entidad de
certificación, se pueden lograr atributos de seguridad jurídica que son propios de la
firma manuscrita, como son la autenticidad, integridad y el no repudio antes
descritos. Las características de aseguramiento jurídico y técnico de la firma digital
hicieron que el legislador adoptara con respecto de ésta una presunción de
confiabilidad y apropiabilidad. En ese sentido, la diferencia entre una firma digital y
162
una firma electrónica simple es que la firma digital es más robusta técnicamente, y
desde un punto de vista jurídico, también es más robusta por cuanto ésta tiene
mayor fuerza probatoria, pues no será necesario probar su confiabilidad y
apropiabilidad, porque para la emisión de una firma digital – que tiene por finalidad
identificar a una persona – se hace necesaria la intervención de una entidad de
certificación digital que en Colombia cumple las funciones de autoridad de registro
y autoridad de certificación. La entidad de certificación digital es precisamente un
tercero de confianza que garantiza la identidad de las personas en medios
electrónicos.
En este orden de ideas, la firma digital será el mecanismo que garantiza la
identidad y responsabilidad del autor de un documento o transacción electrónica y
de conformidad con el artículo 28 de la ley 527 de 1999, será el equivalente
funcional a la firma manuscrita, es decir, gozará de la misma fuerza y validez
probatoria toda vez que de ésta se desprenden los tres atributos de seguridad
jurídica antes mencionados.
Ventajas: libre elección de la entidad de certificación y del mecanismo de firma electrónica que se quiera utilizar, con el uso de la firma digital es posible autenticarse y firmar digitalmente.
Casos de uso: sobre la firma digital, en Colombia, se destacan los siguientes importantes usos:
o En primer término, se puede afirmar que los certificados digitales sirven para
firmar digitalmente, validando los documentos electrónicos. Esto se explica por
la desmaterialización de documentos físicos que requieren un valor jurídico
otorgado por la firma manuscrita, tales como estados financieros,
autorizaciones, órdenes de compra, certificación de disponibilidad
presupuestal y cualquier comunicación escrita que involucre el uso de una
firma o que trate de garantizar la seguridad en el origen y la integridad de la
información.
o En segundo lugar, la certificación digital se puede aplicar en sistemas de
correo electrónico seguro. En este escenario, la utilidad radica en el
aseguramiento de comunicaciones de correo electrónico, implementando una
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
garantía de autenticidad del origen de los mensajes, de su integridad y
confidencialidad; y de la de sus adjuntos, y del no repudio de la comunicación.
o La tercera posibilidad de aplicación está constituida por el aseguramiento de
transacciones Web, mediante firmas digitales para el aseguramiento de
transacciones instrumentadas a través de Internet.
o Una cuarta aplicación desarrolla sistemas de gestión de identidad, mediante la
implementación de certificados digitales para la autenticación de usuarios ante
sistemas de información y aplicaciones en general. Esta solución está
enfocada a la gestión de identidad, contando con un único elemento de
identificación que añade valor jurídico a las operaciones de autenticación y
control de acceso.
o La quinta posibilidad de aplicación de la certificación digital está constituida
por la gestión de reportes e informes, pues mediante la incorporación de la
firma digital y de los sistemas administradores de firma digital para la gestión
de grandes volúmenes de documentos, se puede hacer más eficiente y segura
la administración de informes y reportes periódicos. Este es el modelo que en
la actualidad tienen varias de las superintendencias de nuestro país, en su
comunicación con las entidades vigiladas.
5.1.4 PERSPECTIVAS
JURÍDICA
Marco de política que soporta el modelo : Plan Nacional de Desarrollo (ley 1753 de 2015); Política Pública Agenda de Conectividad; Plan Vive Digital y Estrategia Gobierno en Línea (hoy bajo la Dirección Gobierno en Línea de MinTIC).
Instrumentos: Ley 527 de 1999 sobre comercio electrónico. Ley 1273 de 2009 de delitos informáticos. Decreto 2364 de 2012. Decreto 333 sobre constitución y funcionamiento de las entidades de certificación digital, y todo el marco normativo del procedimiento administrativo electrónico, que exige autenticidad, integridad y
164
disponibilidad en las actuaciones administrativas electrónicas (ley 962 y ley 1437). Ley 1581 de 2012 sobre protección de datos personales.
Normas legales:- Ley 527 de 1999
- Ley 962 de 2005
- Ley 1437 de 2011
- Ley 1753 de 2015
Términos y condiciones de uso para los usuarios: sólo se encuentran debidamente documentados en el caso de firmas digitales que cuentan de conformidad con el decreto 333 de 2014 con declaración de prácticas de certificación de las entidades de certificación digital. En el caso de biometría dactilar también se definen las condiciones de uso en la resolución 3341 de 2013 expedida por la RNEC.
Responsabilidades para los usuarios. En general se refieren a la necesidad de garantizar:
a. El control exclusivo del mecanismo por parte del titular.
b. El uso del mecanismo sin que haya delegación a terceros.
En el caso de las firmas digitales estas responsabilidades se encuentran
delimitadas en la Declaración de Prácticas de Certificación.
Emisores y operadores de los proyectos Para mecanismos de autenticación
simples: Autogenerados, ETEK, Olimpica, Avanxo y en general proveedores IT
(Cifin, Datacrédito, entre otros).
Para mecanismo de autenticación robustos: Gmalto, Vasco, RSA, Visa,
Mastercard, entre otros.
Para firmas electrónicas: Autogenerado, ETEK, Avanxo, Docusign, Microsoft,
Deceval, Papel Cero, DoyFe, entre otros.
Para firmas digitales: Andes, Certicámara, GSE y DIAN.
Para biometría: RNEC y operadores homologados, Certicámara, Thomas Gerg &
Sons y Carvajal.
En las firmas digitales, ONAC cuenta con definiciones de las entidades
autorizadas en su página Web.
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
Por destacar: existe un marco jurídico habilitante claro, amplio y unas políticas
de Estado sostenibles que permite el uso regulado y masificado del mecanismo
de Autenticación Electrónica, enmarcado en los principios constitucionales y
legales de Colombia, leyes modelo y buenas prácticas internacionales.
TÉCNICA
Estándares: sólo aplica para firmas digitales y biometría. En firmas digitales, deben estar en formato X.509.En el caso de biometría se encuentran los definidos por la RNEC en la Resolución 3341 de 2013.
Lineamientos tecnológicos: no se encuentran definidos por el Estado, salvo el caso de las entidades de certificación digital emisoras de firmas digitales que deben cumplir con criterios específicos de acreditación desarrollados por el ONAC.
Políticas de seguridad y privacidad: no existe obligatoriedad para los diversos mecanismos de autenticación, salvo el caso de las firmas digitales donde se deben cumplir las prácticas descritas en la ISO 27001 de 2013 y conforme lo señalan los Criterios Específicos de Acreditación también los definidos por Webtrust.
Descripción genérica de las soluciones tecnológicas: depende directamente del tipo de mecanismos dispuestos.o Mecanismos simples de autenticación.
o Mecanismos robustos de autenticación.
o Firmas electrónicas.
o Firmas digitales.
o Biometría.
Mecanismos de autenticación: métodos tales como: códigos, contraseñas, datos biométricos, o claves criptográficas privadas; que permiten identificar a una persona, en relación con un mensaje de datos, siempre y cuando el mismo sea confiable y apropiado respecto de los fines para los que se utiliza la firma, atendidas todas las circunstancias del caso, así como cualquier acuerdo pertinente.
166
Requerimientos técnicos y funcionales de las soluciones tecnológicas: depende directamente del tipo de solución tecnológica a utilizar, y no existe una definición requerimientos mínimos.
Interoperabilidad con soluciones tecnológicas de Gobierno o institucionales: no existe interoperabilidad, cada solución de autenticación electrónica en las entidades estatales funciona de manera independiente.
FINANCIERA
Modelo de sostenibilidad (fuentes de ingreso o financiación) : no existe uniformidad. En el caso de la DIAN cubre CAPEX y OPEX de las firmas digitales con su propio presupuesto. En el caso de otras modalidades de autenticación simples se hace de la misma forma.
En la mayoría de los casos es el particular quien debe asumir los costos de la autenticación electrónica del Estado, y éste se encarga de asumir la operación.
Tarifas: para los usuarios finales el costo de firmas digitales oscila entre $50.000 y $120.000 de certificados digitales con vigencia 1 año.
SOCIOCULTURAL
Colombia ha venido desarrollando su modelo de autenticación electrónica a partir de un
marco regulatorio bastante prolijo, pero disperso, sin que hayan esfuerzos
interinstitucionales de política pública que permitan su coordinación, o el manejo uniforme
de estos métodos.
Ahora bien, desde al año 2000 con el Documento CONPES 3072 de ese año, y la
definición de la política Agenda de Conectividad, la autenticación electrónica ha sido un
factor clave para el desarrollo de la virtualización de diversos trámites del Estado.
Se han utilizado entre otros, mecanismos diversos como: pin, contraseña, OTP, firmas
electrónicas, firmas digitales, y biometría (ésta última principalmente en la modalidad
dactilar).
En la autenticación electrónica del Estado se ha venido definiendo la aplicación de los
variados métodos a partir de las condiciones de riesgo de cada uno de los trámites
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
involucrados y de la usabilidad (o apropiabilidad) de los mecanismos; siendo
paradigmático el uso de firmas digitales, que normalmente son requeridas para
transmisión de información de particulares al Estado, y donde en la mayoría de las
situaciones es directamente pagada por el ciudadano o por las empresas (Una excepción
importante es el uso de firmas digitales por parte de la DIAN donde los mecanismos de
firma son directamente sufragados por la entidad).
Indicadores:o Número de firmas digitales colocadas en el mercado, por entidades abiertas:
82.000.
o Número de firmas digitales emitidas por la DIAN para contribuyentes: 750.000.
o Ciudadanos que hacen trámites con el Estado por medios electrónicos 38%.
o Empresas que hacen trámites con el Estado por medios electrónicos 45%.
o Personas de más de 5 años que hacen trámites con organismos
gubernamentales por medios electrónicos en 2014: 944 mil19.
o Microestablecimientos que realizaron transacciones con organismos
gubernamentales por medios electrónicos en 2014: 1.12620.
En la actualidad, existen entidades públicas y privadas que han habilitado sus sistemas
para operar con firma digital en esquemas de autenticación, envío de información y
recepción de información; lo que garantiza alta seguridad jurídica y tecnológica. Entre
ellas se destacan: DIAN, Superintendencia Financiera, Superintendencia de Sociedades,
Superintendencia de Salud, Ministerio de Hacienda y Crédito Público (SIIF Nación),
INVIAS, Procuraduría General de la Nación, Aeronáutica Civil, Mincomercio (VUCE),
Invima–Registro sanitario, Superintendencia de Seguridad, Corficolombiana, Cámaras de
Comercio (Sistema RUE), Notarías, ACH, Consejo Superior de la Judicatura (entre otras).
Finalmente, en este punto se destacan las visitas y reuniones realizadas a diferentes
entidades nacionales, las cuales fueron seleccionadas teniendo en cuenta que hicieran
parte de los diferentes sectores económicos del país para obtener de esta manera una
radiografía general sobre el uso del mecanismo de Autenticación Electrónica a nivel
nacional, como lo es el sector bancario con el Banco de la República; el sector de la
19 DANE - Encuesta Nacional de Calidad de Vida - ECV 2014
20 DANE – Encuesta de Microestablecimientos – Resultados módulo TIC 2014.
168
educación con el SENA; el sector salud con la Nueva EPS; y por otra parte la selección se
centró en conocer el estado del arte en materia de Autenticación Electrónica en algunas
entidades públicas del Estado como los las entidades territoriales con la Alcaldía de
Bogotá, el sistema tributario en cabeza de la DIAN y por último el orquestador nacional de
identificación, la Registraduria nacional del Estado Civil.
Sobre estas visitas existen sendas actas reflejadas en los Anexos de este documento, y
que se pueden sintetizar en el siguiente cuadro:
Entidad Método identificado Perspectiva jurídica
Perspectiva técnica
Perspectiva financiera
Perspectiva Sociocultural
Alcaldía de
Bogotá
Métodos de
autenticación simples,
firmas electrónicas y
firmas digitales.
Definición del
mecanismo por riesgo
y usabilidad del
trámite.
Ley 527 y
Acuerdo Distrital
629 de 2008
Mecanismos
simples,
robustos, firmas
digitales
dependiendo de
riesgos
Capex y Opex
estatal
Apropiación en
función del
ofrecimiento de
trámites en línea
DPS
Métodos de
autenticación simple,
basados en sistemas
de preguntas reto, con
especial énfasis en
población no
bancarizada.
Ley 527 Mecanismos
simples de
autenticación.
Verificación a
través de
cuestionario de
preguntas reto.
Capex y Opex
estatal
Apropiación por
desarrollarse.
SENA
Firmas digitales,
adquiridas a través de
un cupo ilimitado que
es utilizado conforme
a las necesidades de
la entidad.
Ley 527 Estandares
definidos por la
oficina de
sistemas
Capex y oPex
estatal
En desarrollo, a
partir de nuevos
trámites en línea
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
NUEVA EPS
Métodos de
autenticación simples,
firmas electrónicas y
firmas digitales.
Definición del
mecanismo por riesgo
y usabilidad del
trámite.
Ley 527 Los definidos en
las normas
Capex y Opex
estatal
En desarrollo
REGISTRADU
RIA NACIONAL
DEL ESTADO
CIVIL
Biometría, con un alto
grado de seguridad y
mitigando por
completo el riesgo. Se
han definido
operadores privados a
partir de la Resolución
3341 de 2013.
Ley 527, Decreto
Ley 019 de 2012,
Ley 1450 de
2008, Ley 1753
de 2015
Estándares
internacionales,
FBI y los
aplicados por
Morpho
Capex Privado
Opex Público
Funciona a
través de
operadores
homologados
Apropiación en
función de
nuevos trámites
que requieren
huella verificada
electrónicament
e.
DIAN
Firmas digitales, en
proceso de migración
a otros mecanismos
de autenticación.
Ley 527, y
Decreto 333
pues fue entidad
cerrada
X 509 V 3, Capex y Opex
completamente
estatal
Apropiación
total en la
relación estado
contribuyente.
BANCO DE LA
REPÚBLICA
Métodos de
autenticación simples,
firmas electrónicas y
firmas digitales.
Definición del
mecanismo por riesgo
y usabilidad del
trámite.
Ley 527,
Resoluciones de
la Junta Directiva
Estándares
propios de la
firma digital, pero
también utilizan
mecanismos
simples
Capex mixto
Opex mixto
Por ejemplo en el
sistema
Cambiario.
Apropiación en
función de la
obligatoriedad
para diversos
actores
financieros.
Tabla 23. Visitas y reuniones realizadas
Fuente. Elaboración propia
170
A continuación, en los siguientes apartes, se realiza el análisis detallado de los casos más
destacados.
5.1.5. Análisis del caso del departamento para la prosperidad social (DPS)
a. Generalidades de la entidad
El Departamento para la Prosperidad Social DPS es el organismo del Gobierno Nacional que busca
fijar políticas, planes generales, programas y proyectos para la asistencia, atención y reparación a las
víctimas de la violencia, la inclusión social, la atención a grupos vulnerables y su reintegración social y
económica. Alcanzar este propósito, el Departamento trabaja integralmente en la formulación y
ejecución de políticas sociales, además de realizar la coordinación de la Unidad de Atención y
Reparación Integral a las Víctimas, el Instituto Colombiano de Bienestar Familiar, la Agencia Nacional
para la Superación de la Pobreza Extrema, el Centro de Memoria Histórica y la Unidad Administrativa
Especial para la Consolidación Territorial.
La misión del DPS es la de “Formular y dirigir políticas para el Sector de Inclusión Social y
Reconciliación e implementar acciones para la estabilización socioeconómica de la población
vulnerable”.
Objetivos y funciones
Los objetivos y funciones del DPS comprenden:
o Dirigir las acciones sectoriales que contribuyan a la creación de condiciones para la
reconciliación.
o Generar condiciones en la población y territorios que permitan la reconciliación y la no
repetición.
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
o Contribuir a la superación de la pobreza con una oferta efectiva.
o Lograr la atención a las poblaciones y territorios de manera eficiente.
o Mejorar la gestión del DPS.
Servicios en línea
El DPS ofrece al ciudadano servicios en línea enfocados a los grupos de población que
atiende, en especial: mujeres, grupos minoritarios, jóvenes, así como familias y atención a
autoridades territoriales con las que colabora.
Ilustración 36. Servicios en línea DPS
Fuente: Página Web DPS
b. Hallazgos por perspectiva
En este apartado se incluye un análisis por cada una de las perspectivas respecto de los
aspectos relevantes encontrados en la entidad
PERSPECTIVA OBSERVACIONES
Elementos
jurídicos
encontrados
El DPS cuenta con un portal de servicio al ciudadano, el cual tiene un
proceso de autenticación para identificar a las personas a través de
172
PERSPECTIVA OBSERVACIONES
preguntas reto asociadas al perfil, a través de 35 fuentes cuentan con un
master data desarrollado por el DPS directamente. Se solicita el número de
cédula como dato de entrada base (identificador) y cuenta con una política
de privacidad.
Las entidades tienen acceso a través de usuario y contraseña como el
Ministerio de Educación, actualmente se está habilitando para otras
entidades adscritas.
Al momento de consultar a través de una red no segura, no cuenta con
previsión ni aseguramiento.
Para el enrolamiento correspondiente, este es de manera presencial, se
realiza en los puntos de atención y la identificación inicial se realiza con la
cédula de ciudadanía, sin embargo se han detectado muchos casos de
suplantación de identidad; esperan desarrollar capacidades para enrolar
electrónicamente.
Elementos
técnicos
encontrados
El DPS muestra el portal de consulta orientado a los ciudadanos
beneficiaros de los diferentes planes. Actualmente se encuentra en etapa
de pruebas antes de publicarlo para el uso público.
Las consultas se realizan por medio de la cedula de ciudadanía sin usar
clave para el usuario, en lugar de la clave se realizan preguntas que conoce
únicamente el ciudadano como mecanismo de autenticación.
El número de preguntas, el número de posibles respuestas, el número de
reintentos y el tiempo de bloqueo es configurable en el portal de consultas.
La funcionalidad de autenticación esta implementada por medio de un
servicio para ser reutilizado por futuras aplicaciones.
Se registra la IP desde donde se realizan las consultas. El servicio se
encontrará desplegado por https/ssl. Se tiene las mismas características de
vulnerabilidad que tendría cualquier otro sistema que permita hacer
consultas en sitios públicos como cafés internet.
Se esperan llegar a tener un mínimo de 300 consultas diarias en el portal de
consultas. Como referencia, en el centro de llamadas se presenta un
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
PERSPECTIVA OBSERVACIONES
número superior a las 2.000 llamadas diarias
Implícitamente, se están utilizando una serie de estándares técnicos:
Arquitectura Orientada a Servicios - Enterprise Service Bus
Arquitectura Empresarial TOGAF
Prácticas ECM con SharePoint.
Identificación de Unidades de Información
Elementos
financieros
encontrados
Con el presupuesto nacional de la Nación, se financió el desarrollo interno
del modelo de seguimiento de familias en acción, jóvenes en acción y plan
de viviendas.
Elementos
organizacionales
encontrados
Dentro de la jefatura de IT, existen dos equipos, uno de arquitectura de TI y
otro de gestión de proyectos. A nivel tecnológico los cargos de carrera
administrativa no están al nivel de los requerimientos necesarios para
gestionar los temas tecnológicos de la Entidad. Se subcontrata el personal
técnico para la operatividad, y presentación de servicios de información.
Actualmente el DPS cuenta con servicios para compartir información de los
beneficiarios con las diferentes entidades miembros del sector.
Algunos de los servicios se encuentran implementados en el portal de
beneficiarios para que usuarios de las entidades se autentiquen, realicen la
consulta y descarga de los archivos requeridos.
Elementos socio
culturales
encontrados
El DPS cuenta con las áreas de comunicaciones, talento humano,
participación ciudadana y los eventos de grupos focales como familias en
acción y jóvenes en acción para presentar los servicios del portal.
Se está adelantando la estructuración de una iniciativa de llevar a las
regiones por medio de los kioscos vive digital (KVD iniciativa del Plan Vive
Digital) los programas de beneficios del DPS.
El portal se comenzará con un piloto con ciertos grupos focales.
Los subsidios son condicionados a los beneficiarios y están restringidos a
174
PERSPECTIVA OBSERVACIONES
un estudio de requisitos; desde el cual, se inicia la recepción de solicitudes
para optar por los beneficios.
La entidad cuenta con 35 direcciones seccionales del DPS desde donde se
atienden los solicitantes.
La entidad ve muy difícil lograr el traslado de recursos entre las entidades
del sector y otras que utilizan los servicios del portal.
No es evidente, una estrategia de capacitación, divulgación, interiorización,
sostenibilidad y gestión del cambio, totalmente estructurada y articulada,
que coadyuve o impacte representativamente en el segmento poblacional
del DPS, frente al acceso y uso de futuros trámites y servicios electrónicos
de la Entidad.
Tabla. Hallazgos por perspectiva DPS
Fuente: Elaboración propia
Entorno jurídico seguro y adecuado: de conformidad con la normatividad legal
vigente aplicable a la autenticación electrónica en Colombia, debe afirmarse que el
entorno jurídico en materia de autenticación electrónica en nuestro país y que le es
aplicable a todas las entidades del estado, incluyendo al DPS; prevé y brinda las
herramientas jurídicas necesarias que permiten contar con un entorno jurídico con
los más altos niveles de seguridad. No existe una norma interna (resolución,
directiva, decreto, carta circular, circular externa, etc.), en materia de métodos y/o
herramientas de seguridad que deben aplicarse en flujos electrónicos o SGDEA.
Entorno tecnológico seguro y adecuado: Existen en el mercado las
herramientas necesarias para asegurar los entornos virtuales de las Entidades del
Estado. EL DPS utiliza el estándar Knowledge-Base Autentication (KBA) para
realizar la autenticación de los beneficiarios de los programas. Este sistema, que
utiliza una serie de preguntas asociadas al ciudadano, permite garantizar, en
principio la autenticidad del ciudadano, esto es, la identidad del ciudadano de
manera remota. Presencialmente, el método que se usa para la entrega de los
beneficios es a través de la exhibición del documento de identidad.
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
Entorno administrativo seguro y adecuado: La Entidad cuenta con un entorno
administrativo que permite definir con claridad los procedimientos y herramientas
de autenticación necesarias para asegurar el flujo de información interna y externa;
los procedimientos de verificación de la idoneidad de los participantes son claros y
existen un proceso definido en tal sentido. Se cuenta con flujos de procesos
definidos y con tablas de retención documental y valoración documental.
Factores de Autenticación
o Algo que sé: Sí
o Algo que tengo: No
o Algo que soy: No.
5.1.6. Caso de la Alcaldía de Bogotá (Alta Consejería Distrital de TIC)
a. Generalidades entidad
Es la Oficina encargada de asesorar, articular, coordinar y supervisar el uso y apropiación
de las Tecnologías de la Información y las Comunicaciones -TIC- en el Distrito para
consolidar una ciudad digital enmarcada en la prestación de mejores servicios desde las
diferentes entidades hacia la ciudadanía y la construcción de una sociedad del
conocimiento.
La misión de la entidad se define así: “La Secretaría General asesora y asiste al Alcalde
Mayor en el ejercicio de sus atribuciones constitucionales y legales, formula políticas para
el fortalecimiento de la función administrativa y la articulación de las entidades distritales,
diseña instrumentos efectivos de coordinación y de gestión en el Distrito Capital para el
mejoramiento continuo del servicio al ciudadano, la promoción del desarrollo institucional,
la orientación de la gestión jurídica y judicial, la gestión disciplinaria interna, la gestión
documental integral y la promoción, cooperación e internacionalización de Bogotá,
176
apoyada en nuevas tecnologías de la información y de comunicaciones, con un equipo
humano idóneo y con vocación de servicio a la comunidad”.
Funciones
Son funciones de la entidad las siguientes:
o Dirigir y liderar la formulación, articulación y seguimiento de las políticas,
lineamientos y directrices distritales en materia de Tecnologías de Información y
Comunicaciones para el fortalecimiento de la función administrativa y misional
de los sectores y entidades de Bogotá Distrito Capital.
o Dirigir y liderar la formulación, articulación y seguimiento de las políticas y
estrategias del Distrito Capital en materia de gobierno en línea, participación
ciudadana a través de medios virtuales, transparencia en la gestión y
contratación pública, democratización de la información y apropiación social de
las Tecnologías de Información y Comunicaciones.
o Dirigir y liderar la formulación, actualización, desarrollo y supervisión del Plan
Maestro de Tecnologías de Información y Comunicaciones (TIC) para el Distrito
Capital.
o Dirigir y liderar la inclusión de la política pública de TIC en el Plan de Desarrollo.
o Participar en el Consejo de Gobierno Distrital para coordinar los asuntos
relacionados con las Tecnologías de Información y Comunicaciones.
o Coordinar ante el Ministerio de las Tecnologías de Información y las
Comunicaciones del Gobierno Nacional los planes, programas y proyectos
relacionados con Bogotá Distrito Capital como ente territorial.
o Participar en la Comisión Distrital de Ciencia, Tecnología e Innovación –
CODICITI–, o la que haga sus veces.
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
o Participar en la Comisión Distrital de Sistemas –CDS-, o la que haga sus
veces.
o Promover convenios y alianzas para impulsar, desarrollar y consolidar el uso
y aplicación de las Tecnologías de Información y las Comunicaciones desde
la Administración Distrital para el desarrollo de Bogotá D.C. como ciudad
digital e inteligente, el emprendimiento tecnológico y el avance de la
sociedad del conocimiento.
o Actuar como vocero de la Administración Distrital frente a los gremios, la
industria, la academia, los grupos sociales y demás organismos nacionales e
internacionales en relación con los avances, planes, programas y proyectos
que el Distrito Capital adelanta en materia de Tecnologías de Información y
Comunicaciones.
o Asesorar a los sectores y entidades del Distrito en la formulación y articular el
desarrollo de las estrategias, planes y programas relacionados con la
implementación de los sistemas de tecnología e información, de conformidad
con las normas del gobierno nacional en materia de TIC, el Estatuto
Orgánico de Bogotá, el Plan de Ordenamiento Territorial, los planes
maestros asociados y el Plan de Desarrollo vigente, así como con los
lineamientos definidos por la Comisión Distrital de Sistemas – CDS.
o Formular los principios de articulación en materia de TIC que deben tener las
entidades distritales para prevenir y atender situaciones de emergencia en el
Distrito Capital.
o Dirigir, liderar y efectuar el seguimiento a la implementación y el normal
funcionamiento de las plataformas tecnológicas habilitantes del gobierno
digital: 1) Red Distrital de Conectividad, 2) Perfil Digital del Ciudadano, 3)
Plataforma Distrital de Interoperabilidad, 4) Canales hipermedia y 5) Sistema
de aseguramiento de la información y patrimonio digital.
178
o Promover los estudios e investigaciones relacionados con la aplicación,
masificación y apropiación social de las Tecnologías de Información y
Comunicaciones (TIC) en el Distrito Capital.
Servicios en línea
Desde la entidad dependen varios servicios en línea que se relacionan con las
diversas áreas de actuación del Distrito Capital, destacando:
Portales para la realización de trámites relacionados con áreas de servicios
sociales, educación, vivienda, transporte, medio ambiente, salud, recreación y
deporte, y actividad empresarial y económica.
Ilustración 37. Servicios en línea Alcaldía Mayor
Fuente: Página Web bogota.gov.co
Portal relacionado con una sede virtual de los Super CADE para interactuar con las
diversas entidades del Distrito.
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
Ilustración 38. Servicios en línea Super Cade
Fuente: Página Web bogota.gov.co
Versión portal de la línea 195 del Distrito en la cual se puede obtener información sobre
entidades, trámites y temas relacionados
Ilustración 39. Chat Línea 195
Fuente: Página Web bogota.gov.co
Agregación de los anteriores en un portal de entrada que permite ubicar los diferentes
servicios relacionados en los anteriores, incluyendo tanto servicios a la ciudadanía como
servicios de información y bancos de documentos.
180
Ilustración 40. Dirección Distrital de Servicio al Ciudadano
Fuente: Página Web bogota.gov.co
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
Ilustración 41. Servicios en línea Alcaldía Mayor
Fuente: Página Web bogota.gov.co
b. Hallazgos por perspectiva
En este apartado se incluye un análisis por cada una de las perspectivas respecto de los
aspectos relevantes encontrados en la entidad
PERSPECTIVA OBSERVACIONES
Elementos
jurídicos
encontrados
La oficina encargada de asesorar, articular, coordinar, y supervisar el uso y
la apropiación de las tecnologías de la información y las comunicaciones –
TIC, cuenta con el desarrollo de una plataforma denominada Perfil digital
del ciudadano, es una base de datos la cual busca caracterizar y tener en
un sitio centralizado información de las personas que interactúan con el
Distrito en diferentes entidades.
No se habla específicamente a través de este portal de Autenticación
electrónica, sino de tener un registro de las personas que acceden al
distrito, para tal fin se expidió la Directiva 022 de 2011 - Estandarización de
182
PERSPECTIVA OBSERVACIONES
la información de identificación, caracterización, ubicación y contacto de los
ciudadanos y ciudadanas que capturan las entidades del Distrito Capital.
Así mismo, manejan estrategia GEL, para lo cual se generó una resolución
en el 2008 con aproximadamente 7 políticas sobre varios temas
tecnológicos, los cuales hasta la fecha no se han puesto en práctica. No
cuentan con mecanismos de seguridad de la información.
Elementos
técnicos
encontrados
La alta consejería realizó la definición de la guía de usabilidad para la
construcción de sitios web en las entidades del distrito.
Se ha involucrados estándares y lineamientos como: Guía para la
construcción de sitios web. No se han iniciado trabajos de estándares de
autenticación. Hacienda e IDU han adelantado iniciativas de autenticación
electrónica separadas.
Dentro de la Norma Técnica Distrital se involucró el uso del estándar NTC-
ISO 27001:2006. Para la gestión de requisitos de seguridad de la
información y la NTC-ISO 15489-1. Información y Documentación. Gestión
de Documentos; los cuales se están utilizando en las diferentes iniciativas
tecnológicas del Distrito.
La alta consejería está trabajando el tema de implementación de la norma
ISO 27001 en los servicios tecnológicos de la entidad.
Se está trabajando en el diagnóstico de los elementos de seguridad de la
información con la comisión distrital de sistemas.
La entidad se esfuerza por definir un estándar técnico para la definición de
requerimientos de autenticación pero aún no ha sido estandarizado en el
distrito.
Se ha elaborado un procedimiento para el desarrollo de aplicaciones y
sistemas de información. Existe un proceso de diseño de arquitectura
tecnológica.
Se tiene un convenio con la RNEC para tener a disposición la base de
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
PERSPECTIVA OBSERVACIONES
datos del registro de ciudadanos y con ello poder depurar el registro de
ciudadanos que se relacionan con el distrito.
Elementos
financieros
encontrados
Lo proyectos liderados por la alta consejería son financiados con
presupuesto directo de este órgano asesor y algunas entidades adscritas.
Así también, algunos proyectos se realizan con convenios como por
ejemplo con el MinTIC y Colciencias.
100% del Presupuesto de la Alta Consejería de las TIC que depende de la
Secretaría General de la Alcaldía de Bogotá. (Capex y Opex)
Una vez implementados los proyectos los gastos de operación, se financian
con los recursos del presupuesto de las entidades participantes.
No existe financiación privada.
Elementos
organizacionales
encontrados
La arquitectura organizacional en el distrito, busca tener en cada proyecto,
líneas específicas en tres distintos aspectos; política, gerencia de proyectos
y casa de software.
Elementos socio
culturales
encontrados
No existe lineamiento de apropiación liderados por la Consejería. La
dirección distrital de servicio al ciudadano, maneja lo que está de cara a la
ciudadanía y son ellos los dados a tener un plan de acción concreto.
Concretamente respecto del tema del perfil digital del ciudadano, se
contempla un plan de comunicaciones que se espera tener en el año 2016.
Existe una Política de servicio al ciudadano, que orienta a las entidades a
sensibilizar a la ciudadanía como veedores de un servicio transparente y
oportuno; garantizar la infraestructura física y tecnológica de los puntos de
atención para que sean accesibles a toda la población; fortalecer los
modelos internos para brindar respuestas más oportunas, integrales y de
calidad a las solicitudes y mayor articulación entre las instituciones para el
mejoramiento de los canales de servicio a la ciudadanía.
184
PERSPECTIVA OBSERVACIONES
Entre los medio o estrategias con los cuales se interactúa, capacita o
interioriza las iniciativas distritales, se destaca las siguientes iniciativas;
Súper Cade, Cade, Cade Virtual, Supercade Móvil,
RapiCade, Línea 195, Portal Bogotá: Sitio web oficial de Bogotá, El Sistema
Distrital de Quejas y Soluciones – SDQS.
Tabla. Hallazgos por perspectiva Alcaldía Mayor
Fuente: Elaboración propia
Entorno jurídico seguro y adecuado: de conformidad con la normatividad legal
vigente aplicable a la autenticación electrónica en Colombia, debe afirmarse que el
entorno jurídico en materia de autenticación electrónica en nuestro país y que le es
aplicable a todas las entidades privadas y entidades del estado, incluyendo la
ALCALDÍA; prevé y brinda las herramientas jurídicas necesarias que permiten
contar con un entorno jurídico con los más altos niveles de seguridad. No existe
una norma interna (resolución, directiva, decreto, carta circular, circular externa,
etc.), en materia de métodos y/o herramientas de seguridad que deben aplicarse
en flujos electrónicos o SGDEA. No se habla específicamente a través de este
portal de Autenticación electrónica, sino de tener un registro de las personas que
acceden al distrito, para tal fin se expidió la Directiva 022 de 2011 -
Estandarización de la información de identificación, caracterización, ubicación y
contacto de los ciudadanos que capturan las entidades del Distrito Capital.
Entorno tecnológico seguro y adecuado: existen en el mercado las
herramientas necesarias para asegurar los entornos virtuales de las Entidades del
Estado y de los privados que cumplen o no funciones públicas. En la Alcaldía
existen diferentes iniciativas, como el Perfil digital del ciudadano, cuyo objeto es
contar un sitio centralizado donde los ciudadanos puedan interactuar con el
Distrito. No obstante, la información es dispersa y la recolección de datos no es
uniforme.
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
Entorno administrativo seguro y adecuado: la entidad cuenta con un entorno
administrativo que permite definir con claridad los procedimientos y herramientas
de autenticación necesarias para asegurar el flujo de información interna y externa;
los procedimientos de verificación de la identidad no se garantizan. Se cuenta con
flujos de procesos definidos y con tablas de retención documental y valoración
documental. A la fecha se encuentran desarrollando un proyecto que permitirá
unificar las bases de datos de las diferentes entidades del distrito.
Factores de Autenticación
o Algo que sé: Sí.
o Algo que tengo: Sí.
o Algo que soy: No.
Los sistemas de información internos: la Alcaldía cuenta con diferentes
sistemas de información internos que le permiten tener un adecuado flujo de la
información. No obstante esté flujo es físico y no se tienen implementados
sistemas de gestión documental electrónico de archivo.
5.1.7. Sena
a. Generalidades entidad
El SENA está encargado de cumplir la función que le corresponde al Estado de invertir en
el desarrollo social y técnico de los trabajadores colombianos, ofreciendo y ejecutando la
formación profesional integral, para la incorporación y el desarrollo de las personas en
actividades productivas que contribuyan al desarrollo social, económico y tecnológico del
país.
Definición y Objeto
186
El SENA nació durante el gobierno de la Junta Militar, posterior a la renuncia del General
Gustavo Rojas Pinilla, mediante el Decreto-Ley 118, del 21 de junio de 1957. Su función,
definida en el Decreto 164 del 6 de agosto de 1957, fue brindar formación profesional a
trabajadores, jóvenes y adultos de la industria, el comercio, el campo, la minería y la
ganadería.
Así mismo, siempre buscó proporcionar instrucción técnica al empleado, formación
complementaria para adultos y ayudarles a los empleadores y trabajadores a establecer
un sistema nacional de aprendizaje. La Entidad tiene una estructura tripartita, en la cual
participarían trabajadores, empleadores y Gobierno, se llamó Servicio Nacional de
Aprendizaje (SENA), que se conserva en la actualidad y que muchos años después,
busca seguir conquistando nuevos mercados, suplir a las empresas de mano de obra
calificada utilizando para ello métodos modernos y lograr un cambio de paradigma en
cada uno de los procesos de la productividad.
El SENA está encargado de cumplir la función que le corresponde al Estado de invertir en
el desarrollo social y técnico de los trabajadores colombianos, ofreciendo y ejecutando la
formación profesional integral, para la incorporación y el desarrollo de las personas en
actividades productivas que contribuyan al desarrollo social, económico y tecnológico del
país.
Funciones
Son funciones de la entidad las siguientes:
1. Impulsar la promoción social del trabajador, a través de su formación profesional
integral, para hacer de él un ciudadano útil y responsable, poseedor de valores
morales éticos, culturales y ecológicos.
2. Velar por el mantenimiento de los mecanismos que aseguren el cumplimiento de
las disposiciones legales y reglamentarias, relacionadas con el contrato de
aprendizaje.
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
3. Organizar, desarrollar, administrar y ejecutar programas de formación profesional
integral, en coordinación y en función de las necesidades sociales y del sector
productivo.
4. Velar porque en los contenidos de los programas de formación profesional se
mantenga la unidad técnica.
5. Crear y administrar un sistema de información sobre oferta y demanda laboral.
6. Adelantar programas de formación tecnológica y técnica profesional, en los
términos previstos en las disposiciones legales respectivas.
7. Diseñar, promover y ejecutar programas de formación profesional integral para
sectores desprotegidos de la población.
8. Dar capacitación en aspectos socioempresariales a los productores y
comunidades del sector informal urbano y rural.
9. Organizar programas de formación profesional integral para personas
desempleadas y subempleadas y programas de readaptación profesional para
personas discapacitadas.
10. Expedir títulos y certificados de los programas y cursos que imparta o valide,
dentro de los campos propios de la formación profesional integral, en los niveles
que las disposiciones legales le autoricen.
11. Desarrollar investigaciones que se relacionen con la organización del trabajo y el
avance tecnológico del país, en función de los programas de formación
profesional.
12. Asesorar al Ministerio del Trabajo en la realización de investigaciones sobre
recursos humanos y en la elaboración y permanente actualización de la
clasificación nacional de ocupaciones, que sirva de insumo a la planeación y
elaboración de planes y programas de formación profesional integral.
188
13. Asesorar al Ministerio de Educación Nacional en el diseño de los programas de
educación media técnica, para articularlos con la formación profesional integral.
14. Prestar servicios tecnológicos en función de la formación profesional integral,
cuyos costos serán cubiertos plenamente por los beneficiarios, siempre y cuando
no se afecte la prestación de los programas de formación profesional.
Servicios en línea
Los servicios en línea del SENA, se encuentran disponibles en la página de SENA Virtual
donde se puede visualizar la oferta de cursos disponibles y además inscribirse si fuera el
caso. El SENA utiliza la herramienta Blackboard, que es una plataforma de aprendizaje
colaborativo e interactivo. En el lado derecho de la página se encuentra la autenticación
de identidad para ingreso, donde posteriormente se pueden ver los documentos
disponibles del curso que esté activo e interactuar con otros estudiantes y el profesor a
través de la plataforma.
Ilustración 42. Servicios en línea SENA
Fuente: Página Web sena.edu
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
Además para ver la oferta de programas de formación ofertados e inscribirse, el SENA
dispone de la página web Sofía Plus donde se pueden buscar escogiendo el tipo de
estudio que se piensa realizar (carrera o curso) y la modalidad (presencial o virtual). En
esta página también es posible registrarse con el fin de inscribirse a algún programa o una
vez esto ya se ha realizado, se puede acceder al sistema (ver costado derecho).
Ilustración 43. SENA Sofía Plus
Fuente: Página Web sena.edu
b. Hallazgos por perspectiva
En este apartado se incluye un análisis por cada una de las perspectivas respecto de los
aspectos relevantes encontrados en la entidad
Preliminarmente, cabe indicar que como parte del Programa de Gobierno en Línea, se
presentaron estos importantes hitos en el desarrollo de sus sistemas:
Comienza en 2009 para la expedición de certificados de estudio.
Se expiden certificados digitales para funcionarios públicos.
190
PERSPECTIVA OBSERVACIONES
Elementos jurídicos
encontrados
Tipos de certificados función pública.(perfil)
No está clara la normatividad que los rige. Se basan en el tema de normas de contraloría, más el tema de retención documental.
Se emiten Certificados de 24k, ya que no se ha actualizado la norma asociada con estándares de preservación.
El formato de firma estándar ISO LTV añaden las evidencias cuando se emiten y cuando se comprueban.
Elementos técnicos
encontrados
En temas de Autenticación:
El estudiante lo hace con nombre de usuario y contraseña en las plataformas del SENA.
Se utilizan mecanismos de firma digital para la expedición de los certificados.
Sede electrónica. documentos normativos.
Instancia de control por obtener el documento a partir del original.
Certificación de estudiantes.
Lectura por medio de elementos biométricos.
Al interior se maneja la autenticación.
Firma digital, usuario y contraseña.
Servicio de soporte técnico.
Seguridad de la información es una deficiencia.
No hay actualizaciones en la web; por lo tanto, si el documento que se generó contiene errores, se debe generar otro.
Existe un módulo de firma centralizada solamente, el uso de firmas digitales está en producción.
Elementos financieros
encontrados
Inversión inicial para herramienta equipo -cliente y se inserta la firma digital.
SENA es el directo poseedor de la infraestructura. Infraestructura similar con una entidad de certificación digital.
Costo de la autenticación: valor fijo a emitir según la cantidad de certificados que se requieran ilimitado en usuarios.
Licencia 564 millones.
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
PERSPECTIVA OBSERVACIONES
La persona inscrita que no realicen el curso respectivo, representa en todo caso un costo para el SENA.
Elementos organizacionales
encontrados
El usuario no es cuidadoso en la generación de los token.
Hay reutilización de los dispositivos.
Se cuenta con 24.000 contratistas.
50.000 a 60.000 usuarios concurrentes.
El Operados postal para los servicios físicos es 4-72.
Elementos socio culturales
encontrados
Se generan 900 certificados digitales.
A los empresarios se les envían comunicaciones de conclusión de estudios.
Comunicación de alto volumen.
Experiencia / beneficios y obstáculos
El proceso de adoptar la cultura de 0 papel ha sido difícil
Las entidades de control todavía solicitan documentos en físico. Como razón se indica que pueden fundamentarse en tablas de retención documental
Ilustración 44. Hallazgos por perspectiva SENA
Fuente: Elaboración propia
Entorno jurídico seguro y adecuado: de conformidad con la normatividad legal
vigente aplicable a la autenticación electrónica en Colombia, debe afirmarse que el
entorno jurídico en materia de autenticación electrónica en nuestro país y que le es
aplicable a todas los privados y entidades del estado, incluyendo al SENA; prevé y
brinda las herramientas jurídicas necesarias que permiten contar con un entorno
jurídico con los más altos niveles de seguridad. No existe una norma interna
(resolución, directiva, decreto, carta circular, circular externa, etc.), en materia de
métodos y/o herramientas de seguridad que deben aplicarse en flujos electrónicos
o SGDEA.
192
Entorno tecnológico seguro y adecuado: existen en el mercado las
herramientas necesarias para asegurar los entornos virtuales de las Entidades del
Estado. El SENA utiliza firmas digitales desde el año 2009 con el objetivo de
expedir certificados de estudios firmados digitalmente. Al interior de la entidad
cuentan con una autenticación interna a través de firma digital y sistemas PIN,
usuario y contraseña. Cuentan con integraciones con la Cancillería, y cuentan con
traslados de dispositivos.
Entorno administrativo seguro y adecuado: la entidad cuenta con un entorno
administrativo que permite definir con claridad los procedimientos y herramientas
de autenticación necesarias para asegurar el flujo de información interna y externa;
los procedimientos de verificación de la identidad de los estudiantes virtuales no se
garantizan. Se cuenta con flujos de procesos definidos y con tablas de retención
documental y valoración documental.
Factores de Autenticación
o Algo que sé: Sí
o Algo que tengo: Sí
o Algo que soy: Sí
La entidad tiene un avance importante en determinados procesos donde usa esquemas
robustos de autenticación como la firma digital expedidas por entidades de certificación
digital. No obstante, en diferentes procesos no se tiene implementado ningún mecanismo
de autenticación generando riesgos de suplantación, alteración y pérdida de información.
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
6. ANALISIS COMPARATIVO
Análisis comparativo: presenta la comparación de los diferentes casos analizados, de
manera que permita identificar tendencias, prácticas comunes, divergencias,
problemáticas y aprendizajes que deban ser tenidos en cuenta para el caso colombiano.
6.1. ANÁLISIS CANVAS
194
Ilustración 45. Análisis Canvas
Fuente. Elaboración propia
Como conclusiones de los canvas analizados se debe resaltar lo siguiente:
Promesa de valor: los elementos más valorados por los usuarios, son:
autenticidad de quien realiza las transacciones, ahorros en transporte y tiempo,
impacto ambiental positivo, transacciones electrónicas seguras, fácil interacción
con mecanismos de autenticación (dependiendo de niveles de seguridad y de la
transacción a realizar).
Segmentos de clientes: los principales segmentos atendidos son: ciudadanos,
entidades estatales, empresas privadas.
Relación con clientes: la forma en que normalmente se interactúa y existe una
retroalimentación con los distintos segmentos objetivos, es a través de medios
presenciales, en línea vía internet y medio telefónico. La marca genera confianza
en los usuarios.
Canales: los principales canales por los cuales se atiende al público objetivo o
segmentos del modelo, son: a través de red de oficinas, empresas de correo, vía
telefónica, páginas Web, aplicaciones móviles.
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
Recursos clave: entre los principales recursos requeridos se destacan entre
otros: físicos (edificios, sistemas, redes, hardware, software), intelectuales (marca,
propiedad intelectual, bases de datos), humanos (equipo de trabajo capacitado),
financieros (garantías, grandes inversiones de capital CAPEX, OPEX), marcos
jurídicos y lineamientos.
Actividades clave: en suma, las actividades claves en los modelos de
autenticación son: definición y supervisión de un marco legal, procesos de
producción y distribución de equipos o dispositivos (tarjetas, lectores, token, etc.),
proceso de enrolamiento, administración base de datos, proceso de apropiación y
uso.
Alianzas clave: se observa que los principales modelos analizados apalancan
esfuerzos, principalmente con entidades del sector de las telecomunicaciones,
bancario, transporte, operadores de correo físico, operadores de pago electrónico,
de seguridad informática (proveedores de tecnología) y entidades estatales con
competencia legal y operacional de TIC.
Estructura de costos: los costos más representativos que asumen los modelos
de autenticación son: infraestructura, hardware, software, mantenimiento, nómina,
producción y distribución de equipos; contratos empresas certificadoras.
Ingresos: los ingresos del modelo varían teniendo en cuenta su taxonomía y
estructura. Sin embargo las principales fuentes de ingresos son: cobros por
transacción, presupuesto del Gobierno y capital privado (APP’s).
Jurídico: los modelos internacionales siguen principalmente, la Ley Modelo de
Firma Electrónica de CNUDMI de 2002, la Directiva Europea de Firma Electrónica
y la normatividad producida internamente por cada país en esta materia.
196
6.2. ANÁLISIS DE FORTALEZAS Y DEBILIDADES
Reino Unido Suecia Estonia Chile Perú
Fortaleza Debilidad Fortaleza Debilidad Fortaleza Debilidad Fortaleza Debilidad Fortaleza Debilidad
Perspectiva tecnológica
Estándares
internacionale
s
Seguridad del
mecanismo
Capacidad
de
integración
No
detectada
Seguridad de
los
mecanismos
Dispositivo
de
almacena
miento
Facilidad de
integración
Seguridad Múltiples
mecanismos
Interoperabilidad
Perspectiva financiera
No detectada Sostenibilidad Sostenible
con tarifa
moderada
No
detectada
App con
sostenibilidad
Dependen
cia de
infraestruct
ura en
obsolesce
ncia
No detectada Dependenci
a del
presupuest
o del
Estado
Sostenibilida
d financiera
vía tarifa en
la instalación
Sin modelo claro de
operación
Perspectiva jurídica
Estándares y
buenas
prácticas
No detectada Desarrollo
normativo
incluyente y
habilitante de
diversos
trámites
No
detectada
Modelo de
rápida
habilitación
No
detectada
Decisión política
clara y cambio
normativo sin
traumatismo
No
detectada
Marco
jurídico
dentro de
estándares
No detectada
Perspectiva organizacional
Dirigismo
estatal a
través del
Gabinete
No detectada eID Board
con fuerte
poder de
convocatoria
No
detectada
APP con
gran alcance
institucional
No
detectada
Presidencia
involucrada a
todo nivel
Sector
Privado
ausente
RENIEC e
Indecopi con
gran
liderazgo
No detectada
Perspectiva socio-cultural
Rápida
apropiación
con inclusión
de
numerosos
trámites –
cobertura
No detectada Apropiación
mixta con
gran
componente
del sector
financiero
No
detectada
Inclusión
digital con la
totalidad de
trámites en
línea –
Inclusión a
través de e –
residencia
No
detectada
Universalización.
Aplica en trámites
presenciales
Sistema de
difusión y
publicidad de
resultados
Escasa aplicación
Tabla 24. Análisis comparativo
Fuente. Elaboración propia
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
7. CONCLUSIONES Y RECOMENDACIONES POR PERSPECTIVA
A continuación se plantean los elementos que, producto del proceso de análisis de los
casos nacionales e internacionales, se encuentran como muy relevantes a efectos de ser
considerados en el desarrollo conceptual de los modelos correspondientes en las fases
posteriores de este proyecto.
7.1 PERSPECTIVA POLÍTICO-LEGAL
Como se pudo observar, existe en Colombia, en la gran mayoría de países analizados y
en general en los adscritos a la ONU, un marco jurídico uniforme en materia de seguridad
electrónica que está orientado a las firmas electrónicas.
No obstante, en diferentes entidades del Estado se utilizan esquemas de firmas
electrónicas simples y firmas digitales, sin conocer de manera precisa el marco normativo
que aplica en cada caso. Se encontró que en general se hace uso de mecanismos de
firma electrónica simple, pero en casi ninguna entidad analizada se hace uso de esquema
de firmas electrónicas certificadas.
Los riesgos de suplantación de identidad en las entidades analizadas, permite concluir
que los mecanismos de autenticación que se utilizan no son muy robustos y que existe un
importante vacío en esta área generando múltiples incidentes anuales por este concepto
según datos reportados por la Fiscalía General de la Nación en 2014.
El riesgo de alteración o modificación de documentos electrónicos es alto al no emplearse
mecanismos robustos de autenticación, o firmas electrónicas, a pesar de que tanto la
Guía MinTIC de Documento Electrónico, como el Código Contencioso Administrativo y de
Procedimiento Administrativo (Ley 1437 de 2011), consagran la obligatoriedad de
garantizar la autenticidad y la integridad de los documentos públicos.
El riesgo de pérdida de documentos electrónicos es igualmente alto, por las mismas
razones expuestas anteriormente.
198
Puede entonces concluirse que si bien existe un marco regulatorio idóneo, uniforme y
transversal en materia de autenticación electrónica, las entidades del Estado, por
desconocimiento tanto en la normatividad como en la existencia de dichos mecanismos,
pueden calificarse como de recurrencia alta en los tres niveles de riesgo (suplantación,
alternación y pérdida).
De lo anterior se colige que no existe una apropiación clara en las entidades en materia
de métodos de autenticación electrónica en el país, razón por la cual se hace imperioso
unificar los criterios y el uso de tales métodos.
En la gran mayoría de entidades analizadas, se emplean mecanismos simples de
autenticación, que se ubican normativamente bajo los parámetros del artículo 17 de la ley
527 de 1999. Las entidades en su mayoría desconocen el alcance del decreto 2364 sobre
firma electrónica y también el alcance probatorio relacionado con la confiabilidad y
probidad de los métodos de firma electrónica.
En asuntos transaccionales de entidades del Estado y de privados que desarrollen y/o
cumplan funciones públicas o presten un servicio público, el análisis de la adopción de
métodos de autenticación simples o robustos, así como firmas electrónicas o digitales,
deberá tener en cuenta los riesgos del trámite, documento o procedimiento, así como la
usabilidad del respectivo mecanismo.
Las entidades del Estado deben garantizar, siempre, la autenticidad, integridad y
disponibilidad de los documentos públicos electrónicos, tal y como se contempla en la
Guía de Documento Electrónico del MinTIC.
Deberían implementarse mecanismos de autenticación amigables, seguros y no
discriminatorios, que propendan por la expansión en el uso de los medios electrónicos por
parte de los usuarios, a fin de mejorar la calidad de los servicios del Gobierno y la
ampliación de mercados para las empresas, garantizando en todo momento la
autenticidad e integridad de los documentos públicos (mensajes de datos).
7.2 PERSPECTIVA TECNOLÓGICA
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
Los métodos de autenticación están clasificados en función de los elementos (factores)
que se usan para validar la identidad de una persona y podrían agruparse en tres grandes
categorías, a saber:
Aquellos que se apoyan en lo que el usuario o el receptor sabe. Por ejemplo:
contraseñas, números de identificación, PIN (Personal Identification Number),
respuestas a preguntas, etc.
Los fundados en las características físicas del usuario o en actos involuntarios del
mismo. Por ejemplo: biometría (verificación de voz, de escritura, de huellas, de
patrones oculares).
Los que se apoyan en la posesión de un objeto por el usuario. Por ejemplo:
tarjetas de coordenadas, tokens OTP, token criptográficos u otra información
almacenada en una tarjeta magnética.
En una cuarta clase se podría incluir diversas tipologías o métodos de
autenticación y firma que, aunque no pertenecen a ninguna de las citadas arriba,
pueden utilizarse también para indicar el creador de un mensaje electrónico (Un
facsímil de una firma manuscrita o un nombre mecanografiado en la parte inferior
de un mensaje electrónico).
Entre las tecnologías que más se utilizan en la actualidad para la aplicación de métodos
de autenticación, podemos encontrar las siguientes: certificados digitales, dispositivos
biométricos, ID y contraseñas, token OTP (One Time Password), grilla o tarjeta de
coordenadas, preguntas y respuestas, soluciones híbridas. En cuanto a la firma, también
se pueden identificar algunas tecnologías o mecanismos que permiten su implementación:
firmas digitales, firmas manuscritas escaneadas o firma facsímil, firmas realizadas por
medio de un lápiz digital, checkBox.
Es correcta la utilización de las aplicaciones de la Firma Digital – PKI, autenticación
biométrica – MOC e identidad ICAO eMRTD como distintos métodos de autenticación
electrónica en Gobierno que generen un grado razonable de confianza.
Con los niveles de aseguramiento, se determina un esquema de garantía para las
aplicaciones y servicios electrónicos que deseen establecer los medios de identificación y
200
autenticación electrónicos. Si se establece el nivel de riesgo asociado al caso de uso
concreto, se puede determinar cuáles son los mecanismos de identificación y
autenticación admitidos.
7.3 PERSPECTIVA FINANCIERA
La implementación de un modelo de autenticación nacional amerita unos altos costos de
inversión inicial de capital, así como costos de la operación periódica del sistema.
El costo más representativo para el proveedor es el mantenimiento de su PKI y los costos
de emisión de un eID bajo el modelo de una tarjeta inteligente que permita un método
robusto de autenticación. Por ello se debe analizar si es viable trasladar algunos de esos
costos al ciudadano vía tarifa. En los esquemas internacionales analizados, se encuentra
que los proveedores de servicios que requieren autenticación, en la mayoría de casos con
esquemas financieramente auto sostenibles, deben pagar según el número de
transacciones efectuadas.
En el supuesto de financiar esta iniciativa por parte del Gobierno, se deberá contar con un
presupuesto oneroso que permita la operación, mantenimiento y sostenibilidad de modelo.
Uno de los posibles costos más importantes podrá estar determinado por los contratos
con las empresas certificadoras que deben cumplir con los requerimientos legales. Así
también, el mantenimiento gubernamental de una estructura humana de soporte, de
apoyo en las labores de acreditación y el modelo de atención al ciudadano. Se resalta de
igual forma la infraestructura, integración y mantenimiento del esquema de autenticación.
Al analizar el contexto internacional, se evidencia que los ciudadanos encuentran
múltiples aplicaciones al mecanismo de identificación electrónica, que además también les
sirve como medio de identificación oficial. En algunos casos, los usuarios finales costean
su tarjeta, la actualización es gratuita si se hace a través del Gobierno o tiene un costo si
se realiza por ejemplo a través de un banco o un canal autorizado como parte del sistema.
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
7.4 PERSPECTIVA ORGANIZACIONAL
La Autenticación Electrónica aporta a la modernización y simplificación de la
administración pública. Con adecuados sistemas de autenticación, el Estado tendría la
posibilidad de ofrecer servicios al ciudadano a través de Internet y el ciudadano accedería
a ellos las 24 horas del día y los 7 días de la semana, desde cualquier parte del país o del
mundo.
Además de los modelos de autenticación bajo estándares como Open ID - propios de
Reino Unido y Chile - y de las firmas electrónicas que utilizan todo tipo de tecnologías,
existe de manera general una preferencia por modelos de confianza de la PKI que puedan
prestar servicios y que determinan su organización (es importante tener en cuenta que
esto comienza a revisarse a nivel internacional con disposiciones como la Directiva
Europea de julio de 2014 sobre Mecanismos de Autenticación). Estos se pueden agrupar,
entre otros, en los siguientes modelos:
Modelo público jerárquico de PKI: se basa en una autoridad de certificación de raíz
única que firma a las demás. Es un escenario cerrado que incluye sólo prestadores
públicos, con regulación en la emisión, políticas implantadas y auditorías
periódicas.
Modelo público distribuido de PKI: basado en listas de servicios de confianza.
Disposición de libre mercado compuesto por prestadores públicos, sin posibilidad
de prestadores privados, con mecanismo de gestión de certificados admitidos
basado en listas de servicios de confianza (prestadores y certificados).
Modelo mixto jerárquico de PKI: misma disposición que el modelo público
jerárquico, pero aceptando a los prestadores privados mediante un marco de
acreditaciones y auditorías (condiciones adicionales).
Modelo mixto distribuido de PKI: basado en listas de servicios de confianza:
Disposición de libre mercado compuesto por prestadores públicos y privados.
Algunos órganos se establecerán como validadores y gestores para facilitar la
validación y acreditación. Se asegurará que, al menos, haya un PSC y emisor de
los certificados que cumpla con las condiciones acordadas. Se propone el modelo
202
en el ámbito de otras administraciones. Se contempla una posible variante de
emisor único de ciertos certificados, ya sea el certificado de sede, el de sello o
ambos (por determinar).
7.5 PERSPECTIVA SOCIOCULTURAL
Se recomienda para el proceso de apropiación del modelo tener una estrategia de
marketing digital, la cual permita el uso de dispositivos electrónicos (computadoras) tales
como: computadora personal, teléfono inteligente, teléfono celular y tableta; entre otros,
para involucrar a las partes interesadas. Esta estrategia deberá contemplar tecnologías o
plataformas, tales como: sitios Web, correo electrónico, aplicaciones (clásicas y móviles) y
redes sociales. Ésta podrá darse inclusive a través de los canales que no utilizan Internet
como: la televisión, la radio, SMS, etc. o a través de canales que usan Internet como:
medios sociales, anuncios en correo electrónico, anuncios tipo banner, etc.
Frente a este mismo tema, en lo particular al diseño de una página Web, se hace
necesario que contenga información electrónica capaz de contener texto, sonido, vídeo,
programas, enlaces, imágenes, y muchas otras cosas, adaptada para la llamada World
Wide Web, y que puede ser accedida mediante un navegador. Es importante generar
dentro de este canal, contenidos que permitan dar a conocer los beneficios, deberes y
responsabilidades de los distintos actores; así también que los guíen en su proceso de
aprendizaje. Existen experiencias en la que se diseñan tutoriales Web para las
necesidades del público objetivo, que hacen atractivo, didáctico y efectivo su proceso de
aprendizaje.
Se deberá realizar una estrategia particular para aquellas zonas rurales asiladas y grupos
de población analfabetas digitales, que no poseen una cultura electrónica, para lo cual se
deberán realizar desplazamientos puntuales que permitan motivar el uso e inclusión de
este grupo de interés y apoyarse en la infraestructura de acceso que se ha generado
como es el caso de los Puntos y Kioscos Vive Digital (KVD).
Como buena práctica encontrada, relacionada como elemento o canal de uso, se destaca:
Una tarjeta nacional obligatoria que sirva como acceso digital a todos los e-
servicios de un país. Tarjeta con chip incrustado que mediante el cifrado pueda ser
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
utilizado como prueba definitiva de identificación, en un entorno electrónico e
incluso en trámites presenciales ante entidades del Estado.
Tarjeta de identificación que sirva entre otros como: documento nacional de
identidad para viajar, tarjeta sanitaria, prueba de identificación al iniciar sesión en
las cuentas bancarias desde un ordenador personal, billete de transporte público
de prepago, para firmas digitales, tarjeta de fidelización, identificación en los
sistemas de control de acceso, i-voting, acceder a las bases de datos del
Gobierno, marcar registros médicos, procedimientos electrónicos de residencia,
pagar impuestos, etc.
204
8. ANEXOS
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
Tabla 25. Lista de anexos
206
Anexo Archivo
0. OTROS1. GEL-AE-AI-01.xlsx
2. GEL-AE-NL-01.docx
1. INFORME GEL-AE-SA-02.0.docx
2. SUECIA
1. AE Assignment Colombia.pdf
2. Discovery Swedish eID Framework.pdf
3. eID DSS Extension.pdf
4. Certificate Profile.pdf
5. Implementation Profile.pdf
6. Entity Categories.pdf
7. Authentication Context Classes.pdf
8. Attribute Specification.pdf
9. Registry for Identifiers.pdf
10. Deployment Profile.pdf
11. Technical Framework.pdf
12. User Terms.pdf
13. eID Services Nordic Countries.pdf
14. eLearning Swedish.pdf
15. Digital Sweden_es.pdf
16. egov Sweden 201501.pdf
17. eID and Signature Sweden.pdf
18. European Workshop for Trust & Identity.mht
19. Swedish eID - NVVB Conference 20140515.pdf
20. Swedish eID.pdf
21. eID Cards in Europe.pdf
22. Conclusiones AE Consejo Superior
Administracion Electronica.pdf
23. Programa suizo ePassport y eID - Gemalto.pdf
1. Certificates.mht
Fuente. Elaboración propia