sábado, 21 de junio de 2008

Federación de Identidades

Que duda cabe que uno de los mayores problemas del mundo virtual es el del anonimato de las personas que operan detrás de los equipos conectados a redes abiertas. En muchos casos, la correcta identificación del usuario es crucial para el negocio. En otros, no es un problema de identificación sino de autenticación (esto, es de verificación de una identidad ya sea real o no con el fin de evitar repudios, suplantaciones de personalidad o accesos múltiples por ejemplo).

Las formas de identificación y autenticación son muchas y diversas, siendo las más fiables aquellas que combinan varios sistemas: posesión (tarjeta o clave), conocimiento (password o pin) y algún aspecto propio de la personalidad (biometría). Dependiendo de las necesidades de seguridad tecnológica o jurídica del propio proceso necesitaremos de sistemas de identificación más o menos fuertes.

La necesidad de identificación en la contratación electrónica on-line, muy al contrario de lo que se piensa, se produce como consecuencia del diferimiento de las prestaciones que a menudo sucede como consecuencia del empleo de instrumentos de pago como tarjetas, recibos o transferencias. En comercio electrónico dirigido a consumidores respecto de los cuales no es necesario emitir factura, la identificación deviene necesaria únicamente como consecuencia del riesgo de que dicha operación pudiera ser repudiada en casos de suplantaciones de personalidad o en casos de una deficiente identificación del cliente al cual conviene ahora negar la realización de la transacción. En otros casos, la necesidad de autenticación es necesario por la existencia de un requerimiento normativo que nos exige cerciorarnos, por ejemplo, de que tenemos el consentimiento para el tratamiento de sus datos o la remisión de comunicaciones electrónicas. La recogida de datos a través de un formulario sin otros sistemas complementarios, no garantiza la veracidad de los datos si bien puede vincularse o autenticarse remitiendo a una cuenta de correo electrónico o a un teléfono móvil para la que presumiblemente el titular deberá estar autenticado.

Lograda la identificación o confirmada la identidad, surgirán otros problemas derivados del hecho de que en algún momento podrá ser necesario acreditarlo (custodia, integridad, accesibilidad, disponibilidad, etc). En ocasiones, buscaremos únicamente asegurarnos que quien accede tiene permisos suficientes, importándonos poco la necesidad ulterior de tener que acreditar la identidad de quien accedió. En otros casos, será imprescindible poder identificar estos accesos autorizados.

El mundo de la identificación electrónica ha tenido grandes avances en los últimos tiempos con la implantación de los sistemas de criptografía asimétrica. Sin embargo, la realidad sigue demostrando que la identificación con estos sistemas es aún residual y que, muchas veces, su utilización incorrecta o desde dispositivos que no están bajo el exclusivo control del firmante puede no lograr el objetivo probatorio judicial perseguido si es que este es el objetivo final.


En este contexto, surge la federación de identidades, fenómeno que el mismo Blogger utiliza al admitir la cuenta google como forma de autenticación y que consiste, básicamente, en reconocer los procesos de autenticación realizados por otros proveedores. Así, en lugar de tener que desarrollar cada uno su propio sistema de identificación (firma electrónica, biometría, tarjetas de códigos, claves o combinaciones de todas ellas), se reconocen los procesos de otros evitándose al usuario el tener que disponer de múltiples sistemas y facilitando a los proveedores la utilización de otros sistemas contrastados.

Desde un punto de vista legal, hay que tener en cuenta la problemática derivada del hecho de que un tercero pueda identificarte conforme a los sistemas utilizados por otra. El modo más elemental sería mediante la cesión previa o compartición de las bases de datos necesarias para llevar a cabo la identificación lo cual supondría una comunicación de datos masiva y anterior a la misma necesidad. Menos problemático e intrusivo resultaría un sistema que se limitara a realizar una consulta específica cada vez; y que impidiera al tercero poder recomponer en su totalidad el sistema de identificación empleado (v. gr. mediante el empleo de posiciones de claves, tarjetas de coordenadas, etc.). En cualquier caso, será preciso el consentimiento del titular de los datos para dichos tratamientos.

En el caso de que los sistemas de identificación se lleve a cabo mediante datos biométricos, lo más razonable es que estos datos se almacenen únicamente en un soporte de alojamiento individual que custodie el propio titular y que, el sistema de verificación se limita a confirmar la coincidencia entre los datos registrados en dicha tarjeta y los obtenidos en el momento de identificación. Recientemente, podíamos leer en la revista SIC, el desarrollo realizado por SIEMENS y AXIONICS consistente en una tarjeta Internet ID-Card que registra y almacena la información biométrica y que solo puede ser activada por su legítimo usuario. Esta tarjeta “es capaz de interpretar una señal óptica cifrada enviada sobre la pantalla del PC por la entidad financiera” (…) “que contiene información y detalles concretos sobre la operación bancaria a realizar, y, una vez descifrada, se muestra sobre la pantalla de la tarjeta del usuario un código de autorización de transacción así como la información de verificación”.

En muchos casos, lo que se hace es no una federación de identidades sino una delegación de identidad, esto es, de cara a autenticar ciertas operaciones de registro o las propias transacciones se supedita la operación a la utilización de un código de validación remitido a un número de teléfono móvil o a una cuenta de correo electrónico, de modo que se asegure que al menos el dato de correo electrónico o de móvil es correcto.

Sea como fuere, la federación y delegación de identidades es un terreno aún por desarrollar totalmente, pudiendo suponer importantes oportunidades de negocio para aquellos que acierten a ofrecer adecuados sistemas de autentificación a otros proveedores junto con una sencillez notable en el usuario final.

1 comentario:

Pablo Ámez Rodríguez dijo...

Fenomenal Luis!!!!! sigue con tu blog. Es importantísimo que haya muchos blogs y el tuyo tiene calidad y profundidad. Tendrás que intercalar articulo largos de fondo con artículos cortos o chascarrillos para hacerlo lo más ameno posible a esas personas que no leen más de tres lineas seguidas. Te indexado en mi blog. Adelante!!!!