AUTENTICACIÓN ELECTRÓNICA CONTRATO DE CONSULTORÍA NO. 0000535 DE 2015 CONCEPTUALIZACIÓN Y DISEÑO DEL MODELO Y LA ESTRATEGIA DE IMPLEMENTACIÓN DE LOS PROYECTOS DE “CARPETA CIUDADANA” Y “AUTENTICACIÓN ELECTRÓNICA” DEL PLAN VIVE DIGITAL 2014 – 2018 SERVICIO DE CONSULTORÍA DIRECCIÓN DE GOBIERNO EN LÍNEA @República de Colombia – Derechos Reservados Bogotá D.C. - septiembre de 2015
288
Embed
estrategia.gobiernoenlinea.gov.coestrategia.gobiernoenlinea.gov.co/623/articles-9406... · Web viewJanuary to March 2016 01-marzo 2016 25k 25k DWP DWP Child maintenance Mantenimiento
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
AUTENTICACIÓN ELECTRÓNICA
CONTRATO DE CONSULTORÍA NO. 0000535 DE 2015
CONCEPTUALIZACIÓN Y DISEÑO DEL MODELO Y LA ESTRATEGIA DE IMPLEMENTACIÓN DE LOS PROYECTOS DE “CARPETA CIUDADANA” Y
“AUTENTICACIÓN ELECTRÓNICA” DEL PLAN VIVE DIGITAL 2014 – 2018
SERVICIO DE CONSULTORÍA
DIRECCIÓN DE GOBIERNO EN LÍNEA
@República de Colombia – Derechos Reservados
Bogotá D.C. - septiembre de 2015
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
FORMATO PRELIMINAR AL DOCUMENTO
Título: DOCUMENTO DE SITUACIÓN ACTUAL
Fecha elaboración aaaa-mm-dd:
2015-08-10
Sumario:Documento con la definición de la situación actual, resultado de la investigación
nacional e internacional, para el proyecto estratégico de Autenticación
Electrónica.
Palabras claves: Situación Actual, Autenticación Electrónica, Modelos, Perspectivas.
Formato: DOC Lenguaje: Español
Dependencia: Ministerio de Tecnologías de la Información y las Comunicaciones.
4 BankID (una colaboración de nueve bancos en el comienzo, hoy de 12 bancos), Nordea (un banco independiente, ahora parte de BankID), Telia (el más grande operador de telecomunicaciones en Suecia), Posten (el operador de correo en Suecia) y Steria (un proveedor de IT).
marco sueco para la eID. Este nuevo marco sueco para la eID se ha conocido como el
eID2.
El nuevo marco de autenticación en Suecia “eID2” se basa en un modelo distribuido
desde el punto de vista de la naturaleza de los actores que participan operando el mismo,
siendo entidades públicas y privadas y, mixto desde el punto de vista del uso en donde el
modelo aplica tanto para trámites con entidades estatales como privadas, apuntando de
esta manera al incremento escalonado del uso y su sostenibilidad, generando eficiencia
en costos, y un circulo virtuoso de desarrollo del ecosistema digital que permite la
reducción en tiempos y costos en las transacciones a todos los actores que participan en
este modelo (Estado, empresas, ciudadanos).
El acceso universal a este modelo supone una alta alfabetización digital de la población,
bancarización de los ciudadanos y una alta penetración y apropiación de los servicios por
medio de Internet.
A modo de resumen del modelo de negocio, a continuación se presenta la explicación del
CANVAS y un diseño gráfico que sintetiza el modelo y sus actores:
32
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
CANVAS
Ilustración 4. Canvas Suecia
Fuente. Elaboración propia
33
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
4.1.4 DESCRIPCIÓN DEL MODELO
Frente a la gobernabilidad del modelo, existe una Junta de eID que es la “propietaria” del
sistema de eID2 y la orquestadora de una federación de entidades operadoras del
servicio. Todas las entidades que se conectan al sistema de eID2 necesitan de previa
autorización de operación otorgada por medio de un contrato con la Junta de eID.
El modelo de eID2 cuenta con los siguientes actores:
Emisor eID: de “legitimación electrónica Svensk”. Es uno o varios emisores del mecanismo de autenticación, en tanto cumpla con las regulaciones bajo el control de la Junta de eID.
Proveedor IdP: es quien otorga la identidad (SAML) y que cumple con la regulación bajo el control de la Junta de eID. Todo emisor debe estar conectado con un IdP. El emisor puede tener la función de IdP o conectarse con el IdP general autorizado por la Junta eID.
Junta de eID: La junta gubernamental que es propietaria del sistema de eID2. Dirige la federación y redacta todos los contratos con los emisores. Gestiona todos los pagos. Publica los metadatos SAML.
El marco técnico para la identificación electrónica sueca está personalizado para la
federación de identidad específica que se basa en el protocolo estándar SAML 2.0.
El servicio de identificación es prestado por proveedores de identificación electrónica
autorizados previamente por la Junta eID, cuyos servicios, a su vez, se basan en el
servicio de los emisores autorizados.
Dado que la información de identidad, así como otros atributos relacionados con un
usuario, se suministran a través de una afirmación de identidad y una de atributos, todos
los tipos de identificación electrónica que cumplen con los requisitos para la identificación
electrónica sueca pueden ser usados para legitimarse ante un servicio electrónico que
demande los documentos de identidad entre otras autorizaciones legales, incluso si la
identificación electrónica no contiene ningún número de ciudadanía específico (por
ejemplo: identificadores activados por un código que dan contraseñas por una vez).
34
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
Ventajas: se pueden realizar trámites frente a entidades estatales y privadas, incluyendo
la participación de operadores públicos y privados, permitiendo de esta manera la
autosostenibilidad e interoperabilidad del modelo. Por otra parte permite el uso de
multidispositivos para identificarse y firmar electrónicamente. Se presenta simplificación
de trámite y estándar abierto. El marco normativo y organizacional garantiza la seguridad
jurídica y técnica para los usuarios de este modelo a nivel local y europeo.
Casos de uso: declaración de impuestos, licencia de conducción, transacciones
bancarias, diferentes trámites frente al Estado y algunos trámites comerciales.
De esta manera, el modelo sueco opera de la siguiente forma:
Ilustración 5. Modelo Suecia
Fuente. Elaboración propia
35
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
A modo de resumen del modelo Sueco se enumeran sus principales actores y actividades:
Actores:
o El ciudadano que obtiene su identidad electrónica.
o La Junta eID que actúa como autoridad y orquestador del modelo.
o Los proveedores IdP de identidad autorizados por la Junta eID, que se
encargan de comunicar la verificación de identidad.
o El emisor eID u operadores que son Bank ID y Telia.
o Proveedores de servicio que pueden ser entidades estatales o empresas
privadas que desarrollan trámites y servicios autenticando electrónicamente
a los ciudadanos.
Paso a paso:
1. El ciudadano se dirige a uno de los puntos de atención de los emisores
eID para el enrolamiento de su identidad y emisión del mecanismo.
2. El ciudadano utiliza mecanismos de autenticación electrónica en todo tipo
de trámites electrónicos ofrecidos por el Estado o particulares que
requieran de autenticación.
3. El proveedor de servicios utiliza un proveedor IdP autorizado por la Junta e
ID para verificar la identidad ante un emisor ID y comunica el resultado de
la verificación a través del IdP a la entidad estatal o al particular que
requiere la autenticación para el desarrollo del trámite o la prestación de un
servicio. Esta comunicación se hace usando el estándar SAML2.
4. La renovación del mecanismo de autenticación se podrá hacer de manera
presencial o electrónica en oficinas o puntos de atención de emisores eID.
4.1.5 PERSPECTIVAS
JURIDICA
36
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
A finales de los noventa, el Gobierno sueco preparó un plan para desarrollar la
“administración pública de 24 horas” y la necesidad de la eID en Suecia fue bastante
obvia. Después de discusiones con los bancos suecos que ya tenían una gran cantidad de
personas identificadas con seguridad electrónica, el Gobierno decidió solucionar la
necesidad/adquisición del sector público con un contrato marco. (El primer contrato marco
fue la eID 2001 y después ha habido otros dos marcos de adquisición, eID 2004 y eID
2008).
El uso del eID en Suecia tuvo un crecimiento bastante rápido como se muestra en la
siguiente gráfica:
Ilustración 6. Número total de usuarios de eID en Suecia (BankID, Nordea, Telia y Steria)
Fuente. Petter Dahl
Inicialmente en Suecia, se contó con cinco expedidores diferentes, cinco tecnologías
diversas y con contratos disímiles; así mismo, se fue creando un mercado de proveedores
de tecnología como intermediarios, pero cada uno de ellos tenía sus propios
perfiles/estándares API/SAML para conectar a los clientes con sus servicios. Entonces se
hizo costoso para los clientes cambiar sus proveedores de tecnología. Por ejemplo, el
proveedor de software tuvo que adaptarse a múltiples API.
37
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
Como consecuencia de lo anterior, algunas leyes y regulaciones fueron actualizadas en
Suecia, especialmente de acuerdo con el proceso de adquisición gubernamental “sistema
de selección” y el hecho de que los expedidores de eID se deban unir a nueva
infraestructura denominada eID2.
Instrumentos: Directiva Europea de Firma Electrónica 1999/93/EC. Ley 2000: 832 (SFS 2000) sobre firma electrónica reconocida. UETA (por sus siglas en inglés Uniform Electronic Transactions Act). 15 U.S.C. 7001 Firma Electrónica y la Directiva de 2014 sobre Administración Pública Electrónica. Ley de protección de datos (SFS 1998:204). Estrategia de ciberseguridad para la seguridad de la información del gobierno central 2010 – 2015. Las tarjetas electrónicas eIDs en Suecia están reguladas por la Ley 2000: 832 (SFS 2000) sobre firma electrónica reconocida, que implementa la Directiva 1999/93/CE (un marco comunitario de firma electrónica y su aplicación a nivel nacional) de la Unión Europea. Se hace preciso aclarar que esta regulación se ocupa de la firma electrónica, pero no específicamente de las tarjetas inteligentes de identificación.
Marco de política que soporta el modelo: el Estado construyó una estrategia en donde sitúa a los ciudadanos en el centro de las reformas desde la administración del Gobierno, con el objetivo de aumentar el nivel de colaboración digital con su inclusión.
Normas legales o políticas: la Ley define dos tipos de firmas, "avanzada" y "calificada". Calificada hace referencia a un nivel de seguridad más alto que él avanzado y requiere que la identificación electrónica esté basada en un certificado reconocido y emitido por un dispositivo seguro de creación de identidad electrónica (SFS 2000). Todas las tarjetas electrónicas eID existentes en Suecia cumplen los criterios para firmas avanzadas.
Términos y condiciones de uso para los usuarios: se delimitan condiciones como, el uso exclusivo del método por parte del titular: la imposibilidad de delegar o entregar a terceros el mecanismo, control exclusivo del mecanismo, uso dentro de los límites definidos por el respectivo emisor, definición de las condiciones de privacidad de la información suministrada. A continuación se especifican las reglas de uso:
Las tarjetas electrónicas cuentan con un término de validez y se debe pedir una nueva tarjeta antes de la fecha de caducidad.
38
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
Se debe actualizar cuando hay nuevas versiones. Esto se hace de forma automática y
todo lo que los usuarios tienen que hacer es, en su caso, responder afirmativamente
cuando se le pregunta si desea actualizar el programa / app.
En la nueva aplicación Banco ID, se puede tener múltiples dispositivos conectados a
BankIDn para el mismo número de seguro social.
En algunos sitios se ha decidido que el usuario debe ingresar su número de seguro
social antes de seguir adelante, mientras que en los otros puede seguir adelante y
seleccionar el BankID que desee utilizar.
Responsabilidades para los usuarios: a partir de las definiciones de términos y condiciones de uso, se definen las responsabilidades y obligaciones a cargo de los titulares de las tarjetas eID.
Emisores y operadores de los proyectos: operan como proveedores de servicios de autenticación fundamentalmente la unión de bancos denominada BankID y el operador del sector de las telecomunicaciones Telia siendo BankID un operador con alta concentración de mercado.
TÉCNICA
Este aparte contiene la especificación y los perfiles de las federaciones de identidad para
la identificación electrónica sueca y algunos servicios alrededor de ello.
Perfiles SAML. La federación de identidad para la identificación electrónica sueca se basa en los siguientes perfiles de SAML:
o Perfil de implementación – “Perfil SAML 2.0 de implementación de gobierno
electrónico de la iniciativa Kantara”.
o Perfil de uso – “Perfil de uso para el marco de la identificación electrónica
sueca” de la Junta eID. Este perfil se basa en el “Perfil de uso SAML 2.0 INT
SSO de la iniciativa Kantara”.
39
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
Especificación de redirección (Descubrimiento):
o El servicio de redirección (Descubrimiento) de acuerdo con el “Protocolo y perfil
del servicio de descubrimiento del proveedor de identidad según especificación
del comité OASIS” está soportado por el Marco para la Identificación Electrónica
Sueca.
o La Federación de Identidad para la Identificación Electrónica Sueca también
soporta técnicas para la instrucción integrada localmente, las cuales se
describen en el documento “Descubrimiento Dentro del Marco de la
Identificación Electrónica Sueca5”.
Especificaciones de las federaciones de identidad para la identificación electrónica
sueca. Registro para identificadores definidos por la Junta de Identificación
Electrónica:
o La implementación de una infraestructura para la identificación electrónica
sueca requiere distintos tipos de identificadores con el fin de representar objetos
en estructuras de datos. El documento “Registro para Identificadores Asignados
por la Junta Sueca de Identificación Electrónica” (EidRegistry) define la
estructura para identificadores que son asignados por la Junta de Identificación
Electrónica en adición a un registro sobre los identificadores definidos.
o En cuanto a las especificaciones de atributos del documento, el anexo
‘”Especificación de Atributos para el Marco de la Identificación Electrónica
Sueca” indica los distintos perfiles de atributos SAML que se usan dentro de las
federaciones de identidad para la identificación electrónica sueca.
5 Anexo E. Marco Técnico. Descubrimiento Dentro del Marco de la Identificación Electrónica Sueca.
Pag.1.
40
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
Identificadores y programas para la representación de niveles de confianza6”:
o Los niveles de confianza que se usan dentro de la Federación de Identidad para
la Legitimación Electrónica Sueca se describen en el “Marco de Confianza para
la Identificación Electrónica Sueca”. Dado que un nivel de confianza (nivel de
aseguramiento) debe ser representado por un mensaje SAML, hay necesidad
de una forma estandarizada para hacer esto. La especificación “clases de
contextos de autenticación por niveles de aseguramiento para el marco de la
identificación electrónica sueca” define las llamadas.
o Clases de contexto de autenticación con identificadores URI propios y
esquemas XML para cada nivel. Estos se usan con el fin de representar los
distintos niveles de aseguramiento en los mensajes SAML.
Especificación de categorías de entidades.
Las categorías de entidades son usadas dentro de las federaciones con tres fines
principales:
1. Categorías de entidades de servicio: usadas en metadatos de federaciones
para representar las demandas de servicio electrónico en los distintos niveles
de aseguramiento y los atributos requeridos.
2. Categorías de propiedades de servicio: usadas para representar una propiedad
determinada dentro de un servicio.
3. Categorías de entidades por tipo de servicio: usadas para representar los
distintos tipos de servicio dentro de la federación.
6Deployment Profile for the Swedish eID Framework. Disponible en: http://www.elegnamnden.se/download/18.77dbcb041438070e039d6ef/1444137199011/ELN-0602+-+Bilaga+Tekniskt+ramverk+-+Deployment+Profile+for+the+Swedish+eID.pdf. Último acceso: octubre 7 de 2015.
El documento “Categorías de Entidades para el Marco de la Identificación Electrónica
Sueca” define las categorías de entidades que son determinadas por la Junta eID y
describe su significado.
Especificaciones para el servicio de firma
o Este aparte contiene referencias a varios documentos que definen el servicio
de firma dentro de la infraestructura para la identificación electrónica sueca.
o El perfil de implementación “Perfil de Implementación con el Uso de OASIS
DSS en Servicios Centrales de Firma” especifica un perfil para solicitudes de
firma y respuestas de acuerdo con el Estándar OASIS “Protocolos Básicos,
Elementos y Enlaces del Servicio de Firma Digital”, y amplía esto con las
definiciones especificadas en la “Extensión EiD2 DSS para el Servicio Central
de Firma de Base SAML”.
o Además, se define un perfil de certificado en “Perfil de Certificado para
Certificados Expedidos por Servicios Centrales de Firma” el cual especifica el
contenido en el certificado de firma. Este perfil aplica una nueva extensión de
certificado que soporta al servicio de firma, “Extensión de Certificado en el
Contexto de Autenticación”, que describe el “contexto de autenticación” el cual
es presentado en el Certificado X.509.
Estándares: SAML (por sus siglas en inglés Security Assertion Markup Language). Es un
estándar abierto que define un esquema XML para el intercambio de datos de
autenticación y autorización. En español sus siglas significan Lenguaje de Marcado para
Confirmaciones de Seguridad.
No se puede mover o copiar la identificación contenida en una tarjeta BankID en archivo o
software, con identificación de seguridad bancaria, de un ordenador a otro. Es necesario
volver a instalar la aplicación y descargar una nueva BankID de sus operaciones
bancarias en línea.
42
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
Lineamientos tecnológicos: todos los proveedores cuentan con una interfaz común para
los usuarios de identificación electrónica (ciudadanos, así como los departamentos del
Gobierno) por lo que no tiene que tratar directamente con los diferentes proveedores.
A través de la Federación es posible utilizar identificaciones de reutilización entre todos
los organismos del Gobierno nacional. También es posible utilizar otros medios de
identificación basados en PKI en algunos casos. Esto significa un ahorro en los eIDs que
se pagan por uso.
Políticas de seguridad y privacidad: Para llegar a ser usuarios de BankID, se debe dar
su consentimiento para el procesamiento por parte del emisor de los datos personales.
Para Mobile BankID, lo hace en el sitio Web del emisor. El consentimiento significa que se
acepta que el emisor:
Registre la información que podrá ser utilizada por el emisor a través de este registro. Compile un catálogo electrónico que podrá estar a disposición de los servicios electrónicos que utiliza BankID.
Tenga acceso a los datos personales contenidos en el registro de clientes para el servicio BankID.
Elabore informes, las entradas de registro y haga declaraciones relativas a la utilización del servicio.
De cara a la otra parte, el servicio BankID expone información que es necesaria para que terceros puedan conocer sobre las diferentes reclamaciones formuladas y puedan defender sus derechos.
Registre medios de almacenamiento, procesamiento, modificación y uso de la información, independientemente de los medios de comunicación. Los informes pueden ser en papel, archivo informático u otro medio.
Al utilizar el servicio BankID se enviará por correo electrónico un informe en el que se da a conocer datos como: nombre, el número de seguro social, el emisor del banco de identificación y la indicación protegida de un banco con el que se tiene la relación contractual.
43
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
Descripción genérica de las soluciones tecnológicas: modelo Soft y Hard,
dependiendo de usabilidad y riesgo. La elección ha sido seguir por la solución propuesta
desde la tecnología basada en SAML y que para el 2016 se espera sea SAML 2.
Mecanismos de autenticación: están compuestos por un Smartphone (PKI Móvil),
computadora personal (PKI Software) y un lector de tarjeta inteligente (PKI Tarjeta
Inteligente).
Requerimientos técnicos y funcionales de las soluciones tecnológicas: todos los
emisores proporcionan tarjetas eID de especificaciones técnicas básicamente similares,
emitidos en tarjetas o archivos descargables a un computador o teléfono móvil, e incluyen
dos certificados, uno para la autenticación y otro para la firma. Las especificaciones
técnicas son para todos los eIDs. Mientras que los diferentes eIDs son técnicamente
idénticos, a nivel de interfaz son diferentes, lo que crea una necesidad de múltiples
interfaces y diálogos en el lado del usuario.
Interoperabilidad: opera frente a todos los trámites.
FINANCIERA
La Junta de eID tiene un contrato con cada uno de los proveedores de servicio
conectados y cada proveedor de servicio paga por su uso en el modelo de eID2 a la Junta
de eID.
Luego, la Junta de eID paga a cada expedidor de acuerdo con su entrega de
autenticaciones al sistema de eID2 conforme a su contrato.
Para el Gobierno, el precio mensual es de 3.00 SEK7 por usuario único. La Junta de eID
inicialmente pagará por mes a cada expedidor 2.03 SEK por usuario único si el expedidor
tiene su propio IdP (y 15% menos si el expedidor usa el IdP de la Junta de eIDs). La
diferencia de 0,97 SEK cubrirá los costos del eID y la infraestructura central a cargo de la
Junta.
7 1 Euro = 9,3 SEK
44
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
Cada año se realiza una revisión del modelo de precios con la cual el precio podrá variar.
El modelo toma en consideración la razón del número total de autenticaciones, dividido
por el número total de usuarios únicos en cada mes, y también el número total de
autenticaciones durante el último año para el sistema de eID2.
La Junta de eID vende los servicios de autenticación únicamente al Estado, no al sector
privado. Las compañías privadas continúan teniendo contratos directamente con un
proveedor de tecnología IdP, y el proveedor de tecnología tendrá un contacto comercial
con cada emisor, como sucedía en el anterior modelo sueco, en el cual los precios se
basaban en un cargo por autenticación (de alrededor de 0,20 a 0,30 SEK/cada uno un
precio de mercado) y un cargo mensual fijo de 700 – 5.000 SEK por mes.
Algunas conclusiones al respecto:
La Junta de eID no tuvo que vender ni ceder ese primer modelo. Únicamente
informaron sobre el nuevo modelo de eID2 que iban a usar.
Los proveedores de tecnología del primer modelo trabajan en un mercado
competitivo para vender el método antiguo al sector privado.
La fase inicial de “instalación” para la Junta de eID fue asumida por el Gobierno
y el costo para la Junta de eID fue cerca de 10.000.000 SEK por año. El SP
pagará entonces todos los costos que se causen cuando la eID2 esté instalado
y en funcionamiento en un 100%.
Modelo de sostenibilidad (fuentes de ingreso o financiación): un consorcio conformado por
los principales bancos suecos se formó con el propósito de desarrollar un mecanismo de
identidad electrónica en general utilizable para todo tipo de servicios electrónicos públicos
y privados. Es un modelo donde se debe pagar, en la actualidad el precio se encuentra
en 3,00 SEK mensual por usuario único. En principio sirve para la autenticación con el
Estado con una subvención estatal por cada emisor de 2,03 SEK mensual por usuario
45
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
único. Para el sector privado no hay subvención. Es un modelo incluyente de múltiples
trámites estatales y que conserva alto grado se seguridad y privacidad mediante múltiples
dispositivos.
CAPEX: el operador.
OPEX: el Estado.
Tarifas: el mecanismo de identificación electrónica lo paga cada emisor de acuerdo con la
entrega de autenticaciones al sistema eID2 según su acuerdo contractual. El precio se
encuentra en 3,00 SEK por usuario único mensual. El precio del mecanismo de
identificación electrónica inicialmente para cada emisor es de 2,03 SEK por usuario único
y tiene una reducción del 15% si el emisor utiliza los proveedores definidos por la Junta de
eID.
Se establecen costos bajos para el uso del mecanismo suave y costos altos para el
mecanismo más robusto.
Transparencia: esta información financiera es pública.
ORGANIZACIONAL
Mapa de actores y roles de las entidades:
El ciudadano que obtiene su identidad electrónica.
La Junta eID que actúa como autoridad y orquestador del modelo.
Los proveedores IdP de identidad autorizados por la Junta eID, que se
encargan de comunicar la verificación de identidad.
El emisor eID u operadores que son Bank ID y Telia.
46
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
Proveedores de servicio que pueden ser entidades estatales o empresas
privadas que desarrollan trámites y servicios autenticando
electrónicamente a los ciudadanos.
Mercado: 9,6 millones de habitantes potenciales.
Alcance del modelo (beneficiarios): permitir a los ciudadanos suecos autenticarse por
medios electrónicos para realizar trámites y acceder a servicios del Estado y el sector
privado. En Suecia 6,5 millones de personas utilizan BankID sobre una base regular para
una amplia variedad de servicios privados y públicos.
Empresas, instancias o sectores que participan en el desarrollo del modelo: la
Superintendencia de Administración Tributaria, la Agencia para Gestión Pública, la Oficina
de Patentes y Negocios, Oficina de Registro y la Administración del Seguro Social; son los
patrocinadores oficiales. Los proveedores son: BankID y Correos de Suecia y Telia, cada
uno emite certificados de distinto tipo dependiendo de las necesidades de los emisores y
receptores. Otros que participan: Policía, sector salud, Ministerio Comercio y Hacienda.
Articulación con otras iniciativas de gobierno electrónico: permite registrar nuevas
compañías, realizar declaraciones de impuestos, manejar contribuciones a la seguridad
social para empleados, realizar declaraciones de IVA y enviar datos a las oficinas de
estadísticas y facturas electrónicas; se lanzaron las tarjetas de identificación nacional y los
ePassports y existen un conjunto de portales de contratación electrónica pública.
SOCIOCULTURAL
BankID, es el expedidor más grande en Suecia (>95%). Sé espera tener 1.200 millones
de transacciones en 2015, y alrededor de 6,5 millones de usuarios únicos:
47
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
Ilustración 7. Distribución por edad de las personas que tienen un BankID a septiembre de 2015
Fuente. Peter Dahl - 1. AE Assignment Colombia
BankID es un modelo de infraestructura común integrada por doce bancos los cuales
tienen como propósito la identificación y firma electrónica en las relaciones que se
generen entre ciudadanos y el sector público y privado en Suecia. Estos bancos tienen en
conjunto 8 millones de usuarios únicos potenciales y el 81% de ellos tiene BankID
actualmente.
Los 12 bancos que hacen parte de BankID, son los usuarios más grandes de este mismo
servicio de autenticación como se muestra en la siguiente gráfica, con 61,4% de las
transacciones (bancos de Internet). Los organismos oficiales cuentan con un 24,6% de
transacciones, los municipios y condados representan cerca del 3,3% (cerca de 90
millones de transacciones/año) y otros portales de servicios privados representan el
10,7% de las transacciones (cifras de julio de 2015).
48
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
Ilustración 8. Excluidas las transacciones bancarias por Internet de los 12 bancos
Fuente: Peter Dahl - 1. AE Assignment Colombia
Convenciones de la gráfica:
Negro: municipalidades locales.
Rojo: agencias del Gobierno Central.
Azul: servicios financieros diferentes. (Un gran usuario es SWISH, un servicio en el
cual los interesados pueden transferir dinero entre ellos).
Verde: otros servicios electrónicos privados.
Ilustración 9. Volumen de transacciones en el tiempo. (Las cifras exactas están clasificadas)
Fuente. Peter Dahl - 1. AE Assignment Colombia
49
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
Convenciones de la gráfica:
Azul: bancos de Internet (los 12 bancos).
Rojo: todas las demás transacciones.
Ilustración 10. Tipo de transacción
Fuente. Peter Dahl - 1. AE Assignment Colombia
BankID tiene tres productos PKI diferentes:
1. “BankID på kort” = Tarjeta Inteligente PKI.2. “BankID på fil” = Software PKI.3. “Mobilt BankID”= Celular PKI.
La utilización de celulares PKI se ha disparado y representa usos y comportamientos
completamente nuevos de los usuarios.
Las estrategias e indicadores implementados por el Estado sueco se han fundamentado
así:
Estrategia de apropiación y uso por parte de los usuarios: Suecia ha definido un modelo de inclusión digital a partir de la bancarización, generación de competencias de los ciudadanos, y el desarrollo de múltiples trámites estatales por medios electrónicos.
50
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
Estrategias de difusión y marketing: presencia en medios masivos, aprovechamiento de la cobertura y capacidad de difusión del sector financiero y de las telecomunicaciones.
Indicadores de uso: el emisor de eID más grande de Suecia es BankID (>95%). Los 12 bancos que lo conforman son a su vez el mayor usuario de BankID, con el 68% de las transacciones (bancos de Internet). El sector público representa aproximadamente el 7,4% (alrededor de 90 millones de transacciones / año) y otros servicios financieros, fuera de los 12 bancos, representan el 15% de las transacciones. Algunas cifras:o 4,5 millones de descargas de la App.
o 250 millones de autenticaciones por año.
o 15 millones de firmas electrónicas en el sector público.
Facilidad en el proceso de autenticación: es posible utilizar este mecanismo mediante el uso de medios electrónicos y teléfonos móviles. Más del 50% de los ciudadanos tienen una identificación electrónica.
Estrategia de implementación utilizada: las tasas de uso actuales son de unos 300 millones de operaciones por año. El sistema actual cuesta al Gobierno aprox. 3 céntimos de euro por cada entrada en este volumen de operación, lo cual permite determinar que a mayor número de usuarios y transacciones, menores serán sus costos. El nuevo sistema probablemente se moverá a tarifas de suscripción por persona y mes, para apoyar mejor los servicios de alto volumen.
Esquemas de formación de usuarios: existe un importante desarrollo de servicios gubernamentales por medios electrónicos y teléfonos móviles que ofrecen diversas formas de asistencia al ciudadano. Así mismo, el sector financiero y los emisores de eID han realizado una labor importante frente a la formación de los usuarios poniendo a disposición información respectiva de este modelo de autenticación en sus sitios Web.
Tipologías de cliente-objetivo: los ciudadanos como base primaria. Empresas que manejan modelo de recepción de la información. Entidades estatales que autentican sus trámites y procesos.
Especial referencia en este modelo, las entidades financieras a través de la alianza
denominada BankID. Para los usuarios, la implementación de la infraestructura
eID2 no afectará de ninguna manera. Los usuarios pueden seguir utilizando su
identificación electrónica de BankID o Telia.
51
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
4.2 ESTONIA
Capital: Tallin.
Lenguaje oficial: estonio.
Moneda: Euro (EUR).
Bandera:
Ilustración 11. Bandera Estonia
Fuente. http://www.banderas-mundo.es/
INDICADORES DE DESARROLLO
Nivel de ingresos: Ingreso alto (miembro de la OCDE).
Población total: 1,3 millones (2014).
Población urbana (% del total): 68% (2014).
Índice de Gini: 32,7 (2011).
Tabla 4. Indicadores de desarrollo Estonia
Fuente. Elaboración propia
52
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
ECONOMÍA Y CRECIMIENTO
PIB: US$ 25,90 mil millones (2014).
Crecimiento del PIB (% anual): 1,6% (2014).
Inflación: -0,3% (2014).
Superávit/déficit del efectivo (% del PIB): -0,1% (2012).
Tabla 5. Indicadores de economía y crecimiento Estonia
Fuente. Elaboración propia
CIENCIA, TECNOLOGÍA Y COMUNICACIONES
Gasto en investigación y desarrollo (% del PIB): 2,18% (2012).
Usuarios de Internet (por cada 100 personas): 84,2 (2014).
Subscripciones de teléfonos celulares por cada 100 habitantes: 161 (2014).
Subscripciones a Internet de banda ancha fija por cada 100 habitantes: 27,37 (2014).
Porcentaje de individuos utilizando Internet para interactuar con autoridades
públicas:51% (2014).
Porcentaje de empresas utilizando Internet para solicitar información de
autoridades públicas:48% (2014).
Porcentaje de individuos utilizando Internet para descargar formularios
oficiales de autoridades públicas:25% (2014).
53
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
Porcentaje de empresas utilizando Internet para enviar formularios llenos a
autoridades públicas:32% (2014).
Tabla 6. Ciencia, tecnología y comunicaciones Estonia
Fuente. Elaboración propia
4.2.1 DESCRIPCIÓN DEL PROYECTO
En Estonia, uno de los principales actores de gobierno electrónico es entre otros, el
Consejo e-Estonia, creado en 2014 (antes Consejo Informático de Estonia). Este es un
comité gubernamental que dirige el desarrollo de la sociedad digital y la gobernanza
electrónica en este país. Este consejo está conformado por cinco expertos, algunos
representantes del sector de las Tecnologías de la Información y las Comunicaciones (en
lo sucesivo TIC) y tres ministros.
La infraestructura y modelo estonio de e-government, en términos de portales o sitios Web
está compuesta por:
a. www.eesti.ee: este portal coordina la información proporcionada y los servicios
ofrecidos por diversas instituciones del Estado. Cuenta con un entorno de Internet
seguro para la comunicación con el Estado y ofrece información fiable y soluciones
electrónicas para los ciudadanos, empresarios y funcionarios respectivamente. El
acceso a información y servicios electrónicos relevantes en el portal depende de
hecho de si el usuario es un ciudadano, empresario o funcionario del Estado.
b. www.digidoc.sk.ee: este portal está disponible para Estonia respecto al uso de ID-
Tarjeta, y para usuarios de Estonia y Lituania, el uso del sistema Mobile –ID.
Permite la firma digital, la verificación de la validez de la firma digital, envío de
documentos a otros usuarios del portal y la recepción de documentos de otras
personas. El DigiDocService proporciona una forma rápida y fácil de aumentar la
54
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
seguridad de cualquier servicio Web para satisfacer las más altas exigencias. Esto
hace que sea posible llevar a cabo la autenticación basada en fuertes dispositivos
de autenticación de diferentes proveedores, y proporciona a los mismos la
oportunidad de incorporar firmas legales sobre cualquier dato creado dentro de su
servicio, lo cual provee validez y prueba de acción a largo plazo en los tribunales
en toda la UE.
c. www.viljandivald.ee: el concepto del portal es innovador, ya que se basa en una
herramienta de gestión de contenido de código abierto, lo que permite la
administración del sitio de manera fácil y uniforme. La solución desarrollada
incluye una estructura de página Web estándar para los gobiernos locales, las
herramientas para la administración del sitio y una función de interfaz con los
registros públicos.
En cuanto a la implementación de las tarjetas electrónicas de identificación, el
Parlamento de Estonia tomó la decisión de introducir una tarjeta de identificación
electrónica en el año 2000, y las primeras tarjetas se publicaron en enero de 2002.
De las cuales 130.000 fueron emitidas en el primer año.
Las tarjetas son emitidas bajo un único estándar y no hay características
opcionales que los titulares (ciudadanos) puedan elegir tener o no tener. Sin
embargo, si los ciudadanos desean suspender las funciones electrónicas de sus
tarjetas, tienen el derecho de suspender la validez de sus certificados. Esto
también elimina los datos del titular del directorio de certificado público en el
desarrollo de PKI - los números de identificación personal únicos son información
pública en Estonia.
La parte frontal de la tarjeta contiene:
Firma y la foto del titular.
Nombre del titular.
55
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
Código personal (código de identificación nacional).
Fecha de cumpleaños.
Género.
Estado de ciudadanía.
Número de tarjeta.
Validez de la tarjeta con fecha de caducidad.
El reverso de la tarjeta contiene:
Lugar de nacimiento del titular.
Fecha de emisión de la tarjeta.
Detalles de permiso de residencia (en su caso).
Los datos de la tarjeta y del titular en formato legible (excepto para la foto y
firma).
La información con la que cuenta la tarjeta no se duplica en el chip de la misma, que
contiene dos certificados y sus claves privadas asociadas y protegidas por los códigos
PIN. Los certificados digitales sólo contienen el nombre del titular y el código personal
(documento nacional de identidad). Los certificados digitales están diseñados tanto para la
autenticación de los ciudadanos como para la firma electrónica de documentos.
Una característica interesante de la tarjeta electrónica eID en Estonia es que el certificado
de autenticación también contiene una dirección de correo electrónico única asignada al
titular. La estructura de datos es la siguiente: [email protected], donde
NNNN representa cuatro números al azar. Esta dirección está pensada como una
dirección para toda la vida. No está asociado con un servicio de correo electrónico real, es
más bien una dirección de reenvío hasta la dirección "real" del titular. El titular puede
actualizar sus detalles de la dirección "real" siempre que sea necesario.
56
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
La dirección de correo electrónico está destinada a las comunicaciones del Gobierno, pero
también se puede utilizar en privado o para las relaciones con empresas del sector
privado. Las direcciones están disponibles al público a través del Registro Nacional de
Proveedores de Servicios de Certificación de Estonia.
Ilustración 12. eID Estonia
Fuente. www.id.ee
En el centro del sistema está el proveedor oficial del eID denominado Sertifi
tseerimiskeskus (SK - 'centro certificado'), quien es el que mantiene la infraestructura
electrónica necesaria para la expedición y el uso de la tarjeta electrónica de identificación.
Dos de los principales bancos de Estonia, Hansapank y Eesti Ühispank, en colaboración
con las empresas de telecomunicaciones Eesti Teléfono y EMT, establecieron una alianza
público privada que da origen a SK, aprovechando de esta manera la infraestructura de
los dos bancos. La tarjeta puede se puede obtener en las oficinas o sucursales de los
bancos colaboradores, sin embargo, es posible que al solicitar la misma, el ciudadano
también aplique a los trámites para obtención de la ciudadanía de Estonia.
La estrategia de la firma electrónica de Estonia no limita el uso de la autenticación digital;
también se puede utilizar para firmar documentos electrónicos. Sus usos incluyen poder
acceder a la asistencia sanitaria, por lo tanto, no se requiere tarjeta de salud separada,
pues sólo será necesaria presentar la tarjeta de identificación eID cuando se visite
Modernizar los servicios públicos electrónicos, implementar estándares de
calidad uniformes y apoyar la reforma y actualización de las soluciones de IT
más antiguas.
Mejorar las políticas relacionadas para una mejor toma de decisiones y
prestación de servicios.
Lanzar la “eResidencia” la cual permitirá otorgar una identidad digital a las
personas no residentes en el país, con el fin de que puedan acceder a
servicios electrónicos, de manera similar a como lo realiza la industria bancaria
suiza.
Adicionalmente, se ha tomado como referencia el documento Estrategia de
CiberSeguridad 2014-2017 (Comisión Europea, 2015), como elemento básico para la
planeación de ciberseguridad en Estonia y el cual parte de la estrategia de seguridad de la
Nación. La estrategia resalta desarrollos importantes recientes, evalúa las amenazas de
ciberseguridad existentes y presenta medidas para la mitigación del riesgo. Los objetivos
contemplados allí son los siguientes:
Establecer a nivel nacional, un sistema completo de medidas de seguridad,
que conste de varios niveles, para garantizar la ciberseguridad en toda Estonia.
Ser un país que se caracterice por un nivel muy alto de competencia y
consciencia sobre la seguridad de la información.
Proporcionar la regulación legal, para apoyar la seguridad y uso extensivo de
sistemas de información.
Ser uno de los países líderes en cooperación internacional para fortalecer la
ciberseguridad.
La implementación de la estrategia es coordinada por el Ministerio de Asuntos
Económicos y Comunicaciones. Todos los ministerios y entidades gubernamentales
60
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
participarán de esta implementación, destacándose, el Ministerio de Defensa, la Autoridad
de Sistemas de Información, Ministerio de Justicia, Policía, Ministerio de Relaciones
Internacionales, Ministerio del Interior y Ministerio de Educación e Investigación. Además,
en la implementación estarán cooperando ONG’s, asociaciones empresariales, gobiernos
locales e instituciones educativas.
4.2.3 EL MODELO
El modelo de Estonia se basa en un sistema de monopolio estatal, desarrollado mediante
una APP en la cual el Estado exclusivamente interviene y regula aspectos fundamentales
relacionados con tarifas al ciudadano y la masificación del mecanismo. Al obtener
ingresos, tanto de tarifas reguladas al ciudadano, como de entidades que utilizan los
mecanismos de identificación por transacción; el sistema es autosostenible, lo cual no
requiere de ningún tipo de aporte de recursos del Estado.
La masificación de este modelo supone la generación de incentivos para el desarrollo de
aplicaciones soportadas en el sistema, generando con ello consolidación y crecimiento del
ecosistema actual. Lo anterior supone una alta tasa de penetración y apropiación de los
servicios de acceso a Internet fijo y móvil, complementada con la expansión de los
mecanismos lectores de la tarjeta de identificación.
Este modelo permite que la tarjeta electrónica permita realizar trámites y acceder a
servicios ofrecidos, tanto por el sector público como por el sector privado, ya sea para
autenticarse ante éstos o firmar documentos electrónicos.
A modo de resumen del modelo de negocio de la autenticación electrónica en Estonia, se
presenta la explicación del CANVAS:
61
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
CANVAS
Ilustración 14. Canvas Estonia
Fuente. Elaboración propia
62
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
4.2.4 DESCRIPCIÓN DEL MODELO
El emisor de identidad SK (Certification Centre, legal name AS Sertifitseerimiskeskus) ha
proporcionado los servicios de certificación y firma digital a los estonios desde 2001. Su
presencia se extiende por toda la región del Báltico y ha participado en numerosos
proyectos internacionales de I+D (Investigación + Desarrollo). Desde 2002, SK ha emitido
certificados digitales para la tarjeta de identificación electrónica de Estonia y ha trabajado
para desarrollar y fomentar la implementación de aplicaciones electrónicas para la misma.
SK fue un pionero en la creación de servicios de verificación de firma electrónica (con el
despliegue del servicio DigiDoc) y en el desarrollo de sistemas de identificación que
utilizan dispositivos móviles (Mobile-ID).
El costo de la tarjeta para los usuarios finales es de 10 euros y actualizar la información o
el código PIN es gratuito si se hace en las oficinas del Gobierno, si se hace en un banco
colaborador cuesta entre 2 y 4 euros.
Los proveedores de servicios deben pagar según el número de transacciones por mes.
Pagan desde 25 euros por 400 transacciones hasta 6,000 euros por 750.000
transacciones. El precio, por lo tanto, está entre 0.008 y 0.06 euros por transacción,
substancialmente más bajo que otros servicios de pagos en línea. Se ofrece un paquete
inicial gratuito de 8.000 transacciones.
Mucho más que una simple foto legal de identificación, la tarjeta nacional obligatoria sirve
como la tarjeta de acceso digital a todos los e-servicios seguros de Estonia.
Algunos usos diferentes a los de autenticación y firma digital que permite esta tarjeta son:
63
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
Uso de la tarjeta de identificación como una tarjeta de fidelidad: significa principalmente que el archivo de datos de carácter personal será leído electrónicamente desde la tarjeta de identificación y se guarda en una base de datos (o que la tarjeta se compara con ella). Se puede decir que toda empresa que quiera usar la tarjeta de identificación como una tarjeta de fidelidad, crea una solución personalizada para ésta.
Uso de la tarjeta de identificación en los sistemas de control de acceso:
Estos sistemas trabajan generalmente con el mismo principio: un lector de tarjeta
inteligente lee un número de tarjeta única de la tarjeta de identificación insertada y
lo reenvía al sistema de control de acceso. Si el número de esta tarjeta se puede
encontrar en la base de datos de números permitidos, la persona puede, por
ejemplo, abrir una puerta cerrada. Si el número no está en la base de datos, el
usuario de la tarjeta no obtiene el acceso. Dos métodos de seguridad distintos se
pueden implementar en los sistemas de control de acceso:
o Lectura del archivo de datos personales de la tarjeta (por lo general esto es
suficiente).
o Autenticación con código PIN basado en PKI.
Si se utiliza el archivo de datos de carácter personal, se recomienda vincular los derechos
de acceso al número del documento, no el número de identificación personal, porque
cuando se pierde la tarjeta, el acceso con esta tarjeta específica puede ser revocado.
Para los certificados, el número de serie del certificado (no la de su dueño) cumple el
mismo propósito.
Ventajas: se pueden realizar trámites frente a entidades estatales como privadas, pero en
este modelo sólo participa el Estado como operador; permite la simplificación de trámites
mediante el uso de una única credencial; sirve como tarjeta de identidad y para firmar
electrónicamente; el marco normativo y organizacional garantiza la seguridad jurídica y
técnica para los usuarios de este modelo a nivel local y europeo. La tecnología permite la
interoperabilidad con otros modelos de la región.
64
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
Casos de uso: a continuación se presentan ejemplos de los usos posibles de la tarjeta de
identificación en Estonia:
Para viajar legalmente dentro de la Unión Europea.
Como tarjeta de seguro de salud.
Como prueba de identidad al ingresar en cuentas bancarias desde un
computador personal.
Como tarjeta prepagada de transporte público en Tallin y Tartu.
Para firmas digitales.
Para voto digital.
Para acceder a las bases de datos del Gobierno y revisar registros médicos,
archivos de impuestos, entre otros.
Para recoger prescripciones médicas.
A continuación se muestra la gráfica del modelo estonio de autenticación electrónica:
65
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
Ilustración 15. Modelo Estonia
Fuente. Elaboración propia
A modo de resumen del modelo estonio se enumeran sus principales actores y
actividades:
Actores:
o El ciudadano que obtiene su identidad electrónica.
o La Policía de Estonia y/o Junta de Guardia de Frontera que actúa en el
enrolamiento del ciudadano.
o Una alianza público privada denominada SK (Emisor ID) que contempla la
unión de bancos y compañías de telecomunicaciones.
o Las entidades estatales que desarrollan trámites y servicios autenticando
electrónicamente a los ciudadanos.
o Las empresas privadas que autentican al ciudadano de manera electrónica.
Paso a paso:
1. El ciudadano se dirige a uno de los puntos de atención de la Policía
Nacional de Estonia para el enrolamiento de su identidad.
2. La Policía de Estonia y/o Junta de Guardia de Frontera, a través de la
verificación de registros públicos establece que el solicitante podrá ser el
titular del eID.
3. Una vez verificada la identidad del ciudadano, el emisor del eID emite una
tarjeta electrónica que contiene el chip con firma digital.
4. El ciudadano titular de la tarjeta electrónica podrá utilizar su mecanismo de
autenticación electrónica y firma digital en todo tipo de trámites electrónicos
ofrecidos por el Estado.
5. La renovación del mecanismo de autenticación se podrá hacer de manera
presencial o electrónica en las oficinas o puntos de atención del emisor
eID.
66
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
4.2.5 PERSPECTIVAS
JURÍDICA
Marco de política que soporta el modelo: con la aparición de Internet los líderes
de Estonia tomaron una decisión consciente de utilizar esta tecnología para
construir una e-Sociedad abierta - un proyecto de cooperación entre gobiernos,
empresas y ciudadanos; para moldear el camino de la Nación sueca para el
futuro-. En consecuencia hay una avance en la producción de políticas de Estado
que llevan a que en 1994 se apruebe la política de información, en 1996 se crea la
Ley de Protección de Datos Personales, en el año 2000 se aprueba la Ley de
Firmas Digitales y otras normas que permiten realizar trámites por medios
electrónicos.
Sumado a lo anterior Estonia espera crecer y convertirse en un caso de éxito de
Europa en materia de e-government lo cual hace necesario tener en cuenta el
marco de la estrategia de Ciberseguridad 2014-2017 (Comisión Europea, 2015).
Instrumentos: Directiva Europea de Firma Electrónica 1999/93/CE. El Parlamento
Estonio (Riigikogu) aprobó la Ley de Firma Digital el 8 de marzo de 2000, la cual
entró en vigor el 15 de diciembre de 2000. La Ley regula cuestiones que son
esenciales para la implementación de una PKI a nivel nacional. Protección de
datos personales (RT I 2003, 26, 158). Ley de Identidad de Documentos (RT1 I
1999, 25, 365). Ley de Firmas Digitales (RT1 I 2000, 26, 150). Así como los
principios generales del Código Civil, Código de Comercio y Ley de propiedad.
67
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
Normas legales o políticas: el Parlamento Estonio (Riigikogu) aprobó la Ley de
Firma Digital (en adelante DSA) el 8 de marzo de 2000, la cual entró en vigor el 15
de diciembre de 2000. La Ley regula cuestiones que son esenciales para la
implementación de una PKI a nivel nacional y la firma digital infraestructura.
Términos y condiciones de uso para los usuarios: para utilizar los servicios
electrónicos de identificación de tarjetas y Digi-ID se debe: i) Descargar Software
de DNI, ii) Obtener un PIN, iii) Contar con un ordenador o teléfono móvil con
conexión a Internet y iv) Tener un lector de tarjetas. Así mismo se deberá tener en
cuenta lo siguiente:
o Nunca dar la tarjeta de identificación a otras personas. Puede ser mal utilizada
y el responsable es el titular.
o Si la tarjeta se pierde, se debe contactar personalmente a la Oficina de
Ciudadanía y Migración con el fin de invalidar la tarjeta. La revalidación de una
tarjeta es imposible, así que se debe aplicar para una nueva tarjeta.
o Una firma digital emitida por medio de la tarjeta de identificación es tan válida
y vinculante que una firma manuscrita.
o El código PIN2 es igual que una firma manuscrita por lo que antes de ingresar
en el código PIN2 hay que estar seguros de qué documento(s) se está(n)
firmando.
o Los navegadores Web pueden almacenar en caché (temporalmente) el código
PIN1 insertado durante la sesión activa del navegador. Esto se puede evitar
siguiendo estos tres principios:
1. Después de usar la tarjeta de identificación para algún servicio electrónico,
se debe cerrar la sesión en el servicio usando "Välju" / "Exit", "Logi välja" /
botones "Sulge" / "Cerrar" o "Salir".
68
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
2. Después de usar la tarjeta de identificación electrónica siempre hay que
retirarla del lector de tarjetas.
3. Se deben cerrar todas las ventanas del navegador Web (Internet Explorer,
Mozilla Firefox, Chrome, Safari) cuando se hayan hecho todos los pasos
anteriores.
Responsabilidades para los usuarios:
1. Nunca se puede dar la tarjeta de identificación a otras personas. Puede ser
mal utilizada y el responsable será siempre el titular.
2. En caso de pérdida de la tarjeta de identificación o de sus códigos, se debe
notificar inmediatamente a la línea de ayuda llamando al 1777 o contactar
personalmente a la Oficina de Ciudadanía y Migración en la que se invalida la
tarjeta.
3. Una firma digital emitida por medio de la tarjeta de identificación es tan
válida y vinculante como una firma manuscrita.
4. Se deben asegurar de entender qué documentos se está firmando.
5. ID-tarjeta y digi-ID son los métodos más fáciles, más convenientes y más
seguros de utilizar.
6. Si una persona con malas intenciones obtiene acceso al PIN y tarjeta de
identificación, él o ella será capaz de suplantar al titular y firmar digitalmente
otorgando a esta firma plena validez jurídica. Por lo tanto el usuario debe
seguir lo siguiente:
No revelar los códigos de su tarjeta de identificación a otras personas.
69
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
Nunca escribir cualquiera de los códigos en la tarjeta. Mantener los códigos
en un lugar seguro o preferiblemente, memorizarlas y destruir el código.
Si es posible, cambiar los códigos PIN1, PIN2 y PUK inmediatamente
después de la recepción de la tarjeta.
No utilizar las mismas combinaciones de números como PIN1 y PIN2.
Los códigos se deben cambiar de manera regular después de ciertos
períodos con el fin de minimizar el riesgo de suplantación.
La longitud mínima de PIN1 es de 4 dígitos, mientras que PIN2 debe
constar de un mínimo de 5 dígitos.
La longitud máxima de PIN1 y PIN2 es de 12 dígitos.
La longitud de PUK puede ser de 8 a 12 dígitos.
Al elegir nuevos códigos, evite que las combinaciones sean fáciles de
adivinar, tales como: 12345, 11111, su fecha de nacimiento, etc. Además,
recuerde utilizar diferentes combinaciones para PIN1 y PIN2.
Emisores y operadores de los proyectos: SK (Certification Centre, legal name AS
Sertifitseerimiskeskus) único operador en alianza público privada.
TÉCNICA
Estándares: la red de distribución incluye el uso de medios virtuales y correo,
así como puntos presenciales de autoridades de Policía y puntos en las
fronteras para la entrega de las tarjetas a los usuarios. Hay dos certificados en
formato X.509, guardados en la tarjeta de identificación. Estonia, ha optado
por adoptar la tecnología de Safelayer10.
10 Es un fabricante de software de seguridad para soluciones de infraestructura de clave pública (PKI), sistemas
de autenticación multifactor, firma electrónica, cifrado y transacciones seguras. Productos Trusted Electronic
70
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
Lineamientos tecnológicos: son abiertos y se encuentran disponibles para
integración técnica con el fin de facilitar acciones de inclusión digital.
Políticas de seguridad y privacidad: el marco normativo que regula el
tratamiento de datos personales en cuanto el uso de la tarjeta electrónica de
identificación en Estonia, se encuentra en la Ley de Protección de Datos
basada en la Directiva Europea Directiva 95/46/CE.
Descripción genérica de las soluciones tecnológicas: firma electrónica con
fuerte componente PKI. Se describe la arquitectura de ID-software. Su
propósito es dar visión general de los componentes que conforman ID-
software, sus interfaces internas y externas y el despliegue en entornos de
ejecución. ID-software incluye aplicaciones de usuario final (cliente de
escritorio DigiDoc3, programa de utilidad de DNI), bibliotecas de software
DigiDoc, componentes para la firma y autenticación en los navegadores Web,
los conductores de identificación de tarjetas y otros componentes
complementarios.
Mecanismos de autenticación: Incluye ID Card (PKI) y software de firma
digital.
Requerimientos técnicos y funcionales de las soluciones tecnológicas: El DigiDocService es un servicio Web basado en SOAP y el servicio puede ser
utilizado en todos los entornos que se apoyan en SOAP 1.0 consultas RPC-
Signature. Disponible en: http://www.safelayer.com/es/productos/trustedx-electronic-signature. Último acceso:
codificado. Además de la firma digital con Mobiil-ID, el DigiDocService también
proporciona las funcionalidades de realización de la autenticación y firma
digital con una tarjeta de identificación.
Interoperabilidad con soluciones tecnológicas de gobierno o institucionales: operable para la totalidad de trámites.
FINANCIERA
Modelo de sostenibilidad (fuentes de ingreso o financiación): se trata de un
modelo auto sostenible, pues siendo un modelo basado en una APP con único
operador, cuenta con inversión inicial privada y tiene un modelo tarifario regulado
promovido por el Estado a través de la integración a todo tipo de servicios
gubernamentales.
Los ciudadanos encuentran múltiples aplicaciones al mecanismo de identificación
electrónica, que además también les sirve como medio de identificación oficial.
Para los usuarios finales el costo de la tarjeta es de 10 euros y actualizar la
información o el código PIN es gratuito si se hace en las oficinas del Gobierno,
cuesta entre 2 y 4 euros si se hace en un banco. Los lectores de tarjetas se
venden en valores desde cerca de 6 euros los más simples.
Tarifas: para los usuarios finales el costo de la tarjeta es de 10 euros y actualizar
la información o el código PIN es gratuito si se hace en las oficinas del Gobierno,
cuesta entre 2 y 4 euros si se hace en un banco. Los lectores de tarjetas se
venden a cerca de 6 euros. Fuera de estos costos el servicio es prácticamente
gratis para los usuarios finales.
72
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
Los proveedores deben pagar según el número de transacciones por mes. Pagan
desde 25 euros por 400 transacciones hasta 6,000 euros por 750.000
transacciones. El precio, por lo tanto, está entre 0.008 y 0.06 euros por
transacción; substancialmente más bajo que otros servicios de pagos en línea. Se
ofrece un paquete inicial gratuito de 8.000 transacciones.
Transparencia: existe información pública.
ORGANIZACIONAL
Mapa de actores y roles de las entidades:
o El ciudadano que obtiene su identidad electrónica.
o La Policía de Estonia y/o Junta de Guardia de Frontera que actúa en el
enrolamiento del ciudadano.
o Una alianza público privada denominada SK (Emisor ID) que contempla la
unión de bancos y compañías de telecomunicaciones.
o Las entidades estatales que desarrollan trámites y servicios autenticando
electrónicamente a los ciudadanos.
o Las empresas privadas que autentican al ciudadano de manera electrónica.
Mercado: 1,3 millones de habitantes.
73
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
Alcance del modelo (beneficiarios): junto con Suecia es un referente a nivel mundial por su usabilidad y el nivel de bancarización.
Empresas instancias o sectores que participan en el desarrollo del modelo: el proveedor oficial del eID es Sertifi tseerimiskeskus (SK - 'centro certificado'). Sus socios son dos de los principales bancos de Estonia, Hansapank y Eesti Ühispank, en colaboración con las empresas de telecomunicaciones Eesti Telefon y EMT. Se trata de una APP. También tiene importantes alianzas para el desarrollo del eID con empresas de TELCO y proveedores de tecnología PKI como: i) Telegrupp, ii) Ektaco, iii) Safelayer, iv) Gemalto. Otros: CMB, Trub.
Articulación con otras iniciativas de gobierno electrónico: en 2005, la Comisión Nacional Electoral de Estonia escribió un nuevo capítulo en el desarrollo del gobierno electrónico: por primera vez en el mundo, la votación segura en línea a través de Internet se organizó a nivel nacional. La aplicación iVoting es considerada por los ciudadanos como simplemente otra aplicación en línea. Lo que más sorprende a los estonios hoy en día es el interés específico que esta aplicación sigue generando en el extranjero. Estos son algunos ejemplos de cómo se utiliza regularmente la tarjeta de identificación en Estonia:
o Como documento nacional de identidad para viajar dentro de la UE para
los ciudadanos de Estonia.
o Como tarjeta sanitaria nacional.
o Como prueba de identificación al iniciar sesión en las cuentas bancarias
desde un ordenador personal.
o Como un billete de transporte público de prepago en las ciudades de
Tallin y Tartu.
o Para la emisión de firmas digitales.
o Para i-Voting.
o Para acceder a las bases de datos del Gobierno.
74
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
o Para marcar uno de los registros médicos, impuestos de archivos, etc.
o Para recoger recetas electrónicas.
SOCIOCULTURAL
Estrategia de apropiación y uso por parte de los usuarios: uso de la
tarjeta de identificación como una tarjeta de fidelidad. Significa
principalmente que el archivo de datos de carácter personal será leído
electrónicamente desde la tarjeta de identificación y se guarda en una base
de datos (o lo que se compra con la tarjeta). Se puede decir que toda
empresa que quiera usar la tarjeta de identificación como una tarjeta de
fidelidad podrá crear una solución personalizada para ello (es decir, no hay
una biblioteca / plugin / aplicación universal que se utilice de manera similar,
por ejemplo en una librería, una tienda de ropa o un cine).
Estrategias de difusión y marketing: como estrategia de difusión se
instauró la política que en ninguna entidad del Gobierno de Estonia se
puede rechazar un documento firmado digitalmente ni exigir copia en papel
en su lugar.
Indicadores de uso: existe una alta adopción móvil en Estonia que
representa la tercera más alta de Europa. Lo anterior lleva a que se haya
masificado el uso del sistema, tanto con tarjetas de identificación, como
con los teléfonos móviles. Algunas cifras que demuestran lo anterior hasta
el 6 de septiembre de 2015 son:
o Número de firmas digitales realizadas: 236 726 527
75
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
o El 98% de las transacciones bancarias en Estonia se llevan a cabo a
través de Internet, utilizando autenticación electrónica.
o Número de tarjetas activas: 1 254 431.
o Número de autenticaciones electrónicas: 373 112 605
Facilidad en el proceso de autenticación: fácil uso para todo tipo de
usuarios gracias a la simplicidad que se tiene con el uso de la tarjeta
electrónica frente a los lectores, además con una misma credencial es
posible realizar procesos diferentes a los de autenticación y firmado
digital.
Estrategia de implementación utilizada: con el fin de alcanzar los
objetivos trazados por el Gobierno de Estonia en la masificación de este
modelo, se han creado grupos de expertos sectoriales dedicados a
analizar y garantizar el cumplimiento de la estrategia de eGovernment.
Esquemas de formación de usuarios: el relacionamiento con el cliente
puede ser presencial, telefónico o virtual a través de www.id.ee. El
ciudadano cuenta con un centro de servicio virtual donde recibe todo tipo
de ayudas para el uso de eID. Para propiciar el uso, se encuentra un sitio
Web para desarrolladores donde se estimula el desarrollo de nuevas
aplicaciones y herramientas.
Tipologías de cliente-objetivo: ciudadanos como base primaria, por ser
el eID el documento de identificación. Empresas que manejan el eID en
76
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
modelo de recepción de la información. Entidades estatales que
autentican sus trámites y procesos con el uso del eID.
Funciones principales: la de autenticación, hace que sea posible en un
entorno electrónico para asegurarse de que la persona es el que él o ella
dice ser. En entornos con un alto nivel de seguridad (bancos, etc.). Firma
digital, se hace posible firmar documentos de forma automática.
77
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
4.3 REINO UNIDO
Capital: Londres.
Lenguaje oficial: inglés.
Moneda: Libra esterlina.
Bandera:
Ilustración 16. Bandera Reino Unido
Fuente. http://www.banderas-mundo.es/
INDICADORES DE DESARROLLO
Nivel de ingresos: Ingreso alto (miembro de la OCDE).
Población total: 64,51 millones (2014).
Población urbana (% del total): 82% (2014).
Índice de Gini: 38,8 (2010).
Tabla 7. Indicadores de desarrollo UK
Fuente. Elaboración propia
ECONOMÍA Y CRECIMIENTO
78
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
PIB: US$ 2,942 mil millones (2014).
Crecimiento del PIB (% anual): 2,6% (2014).
Inflación: 1,5% (2014).
Superávit/déficit del efectivo (% del PIB): -5,5% (2012).
Tabla 8. Economía y crecimiento UK
Fuente. Elaboración propia
CIENCIA, TECNOLOGÍA Y COMUNICACIONES
Gasto en investigación y desarrollo (% del PIB): 1,72% (2012).
Usuarios de Internet (por cada 100 personas): 91,6 (2014).
Subscripciones de teléfonos celulares por cada 100 habitantes: 124 (2014).
Subscripciones a Internet de banda ancha fija por cada 100 habitantes: 37,38 (2014).
Porcentaje de individuos utilizando Internet para interactuar con autoridades
públicas:51% (2014).
Porcentaje de empresas utilizando Internet para solicitar información de
autoridades públicas:40% (2014).
Porcentaje de individuos utilizando Internet para descargar formularios oficiales de
autoridades públicas: 31% (2014).
Porcentaje de empresas utilizando Internet para enviar formularios llenos a 34% (2014).
79
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
autoridades públicas:
Tabla 9. Ciencia, tecnología y comunicaciones
Fuente. Elaboración propia
4.3.1 DESCRIPCIÓN DEL PROYECTO
El Gobierno del Reino Unido está conformado entre otros, por 24 departamentos
ministeriales, 22 departamentos no ministeriales, 316 agencias y otras estructuras
públicas (entre ellas el servicio de Gobierno Digital [SGD]), 72 estructuras de alto perfil, 11
corporaciones públicas y 3 entidades descentralizadas).
El SGD, es el responsable de 'GOV.UK‘, medio por el cual el Gobierno, proporciona a las
personas y empresas en Inglaterra y Gales, acceso digital fácil y efectivo de servicios
públicos e información de interés.
Esta nueva forma de interacción con el Gobierno está disponible desde el año 2012 y
proporciona un único punto de acceso a los servicios gubernamentales, reemplazo a
Directgov y Business Link, así como los sitios Web de cientos de departamentos
gubernamentales y organismos públicos (312 agencias y otras estructuras de Gobierno
con sitios Web fueron a la transición con GOV.UK y más de 1.800 sitios independientes
se han cerrado). Esta transición se completó en diciembre de 2014.
GOV.UK Verify es la nueva forma en que se demuestra que se está en línea con el
Gobierno del Reino Unido. GOV.UK Verfiy está siendo construido por el SGD, en
colaboración con los departamentos gubernamentales, el sector privado y el grupo asesor
del consumidor y de la privacidad.
Vale la pena mencionar que GOV.UK Verify, entró en etapa piloto Public Beta en octubre
2014 y actualmente está disponible en 6 servicios. A través de este medio, se ofrece total
garantía de identidad digital para las personas, sin tener que depender de envío de
80
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
artículos en el correo, llamar a un centro de llamadas o asistir a un servicio de manera
presencial. La persona será capaz de completar el proceso de verificación de su identidad
por primera vez totalmente en línea, sin necesidad de enviar o recibir algo a cambio. Será
posible utilizar un único conjunto de credenciales de acceso (por ejemplo, nombre de
usuario y contraseña, con el apoyo de un segundo paso para mayor seguridad) para
acceder a una gama de servicios digitales cada vez mayor.
Finalmente, se menciona que GOV.UK Verify es un modelo federado - el Gobierno
establece las normas y la Oficina del Gabinete gestiona el flujo de demanda del Gobierno
y las relaciones comerciales con empresas previamente certificadas y autorizadas
(proveedores IdP). Los proveedores IdP son las responsables de desarrollar y prestar
servicios que respondan a esas normas. Los trámites que se pueden realizar mediante el
uso de este modelo son estatales únicamente.
4.3.2 ESTRATEGIA DE GOBIERNO ELECTRÓNICO
Estrategia para inclusión de gobierno digital (Diciembre 201411).
Esta estrategia define cómo el Gobierno del Reino Unido y sus aliados en el sector
público, privado y no gubernamental deben incrementar la inclusión digital en el
relacionamiento entre el Gobierno y los ciudadanos. Esto quiere decir, ayudar a las
personas a ser capaces de usar y beneficiarse del uso de Internet. Las acciones
de esta estrategia están focalizadas en solucionar las barreras que han evitado
que las personas utilicen Internet y apoyar las iniciativas que mejoren esta
situación.
Para este propósito el Gobierno debe:
11 Reino Unido. Disponible en: https://www.gov.uk/government/publications/government-digital-inclusion-
strategy/government-digital-inclusion-strategy. Última consulta: octubre 10 de 2015.
o El ciudadano que obtiene su identidad electrónica.
o La Oficina del Gabinete del Reino Unido que actúa como orquestador.
o Los proveedores IdP de identidad que validan el cumplimiento de las normas
de seguridad y de servicios.
o Las entidades estatales que desarrollan trámites y servicios autenticando
electrónicamente a los ciudadanos.
Paso a paso:
1. Los usuarios serán guiados a través de la selección de un proveedor de
identidad de una lista de organizaciones contratadas por la Oficina del
Gabinete (que administra el GOV.UK Verify) para prestar el servicio. El
usuario se dirige de manera virtual o presencial y se enrola ante los
proveedores IdP de identidad.
2. El ciudadano efectúa el trámite ante una entidad estatal.
3. La entidad estatal valida la identidad del ciudadano ante el proveedor Idp
para asegurarse de que están tratando con la persona quien dice ser. Esto
se conoce como dato coincidente.
4. El proveedor Idp envía la confirmación de autenticidad a la correspondiente
entidad estatal.
5. Una vez verificado, el ciudadano recibe el servicio o trámite que está
solicitando.
92
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
4.3.5 PERSPECTIVAS
JURÍDICA
El Reino Unido cuenta con un marco regulatorio definido a partir de buenas prácticas, que
son emitidas por el Gabinete de Gobierno y los servicios de Gobierno Digital. La
legislación del Reino Unido habilita de manera general mecanismos de autenticación y
firmas electrónicas. Se trata de una legislación vanguardista cuyo modelo ha sido muy
seguido por la reciente Directiva Europea de Autenticación Electrónica (julio de 2014)14.
Marco de política que soporta el modelo: estrategia para inclusión de gobierno digital (diciembre 2014). Esta estrategia define cómo el Gobierno y sus aliados en el sector público, privado y no gubernamental; deben incrementar la inclusión digital. Las acciones de esta estrategia están focalizadas en solucionar las barreras que han evitado que las personas utilicen Internet y apoyar las iniciativas que mejoren esta situación.
Instrumentos: guías de buenas prácticas particulares para UK, aprobadas y certificadas por la Oficina del Gabinete. Directiva Europea 1999/93/EC sobre Firmas Electrónicas. Ley de Comunicaciones Electrónicas del 2000. Regulación de las Firmas Electrónicas 2002. Directiva de los Servicios 2006/123/EC. Ley de Protección de Datos de 1998. Estrategia nacional de ciberseguridad “Progresando y Adelante con el Plan de 2014”.
Normas legales o políticas: Reglamento Europeo de Autenticación Electrónica (julio de 2014). Ley de Comunicaciones Electrónicas del 2000. Regulación de las Firmas Electrónicas 2002. Directiva de los Servicios 2006/123/EC. Ley de Protección de Datos de 1998. Estrategia nacional de ciberseguridad “Progresando y Adelante con el Plan de 2014”.
14 UE. Disponible en: https://www.boe.es/doue/2014/257/L00073-00114.pdf. Último acceso: octubre 7
Responsabilidades para los usuarios: disponible en los términos y condiciones de uso del servicio. Es completamente indelegable e intransferible. Se trata de un mecanismo de autenticación más que de una firma electrónica.
Emisores y operadores de los proyectos: multioperador con selección estatal bajo ciertos criterios. Hasta la fecha sólo cuatro de nueve empresas tienen contratos call-off en el marco existente (Digidentity, Experian, oficina de correos y Verizon).
TÉCNICA
Enfoque basado en estándares que deben cumplir los proveedores de identidad
certificados para el proceso de validación y verificación de identidad.
Una vez que han comprobado su identidad con un proveedor de identidad (IdP), este
último, puede autenticar la identidad en múltiples servicios públicos, como y cuando, sea
necesario para el ciudadano. El servicio utiliza un “Hub”15 que permite a los proveedores
de identidad (IdP) autenticar las identidades de las partes (proveedores de servicios
gubernamentales y proveedores de identidad). Lo anterior permite confirmar, si:
El Gobierno almacena centralmente los datos de una persona.
La privacidad se está incumpliendo mediante el intercambio de datos
innecesarios.
Cualquiera de las partes (en las transacciones) comparten abiertamente los
detalles del usuario.
La empresa operadora del servicio (IdP) lleva a cabo una evaluación de riesgos para
comprender y cuantificar lo relacionado con la seguridad y calidad de datos dentro del
15 Se encargará de las comunicaciones entre los usuarios, los proveedores de identidad y proveedores de
servicios gubernamentales. Esto permitirá a los usuarios seleccionar y registrarse con un proveedor de identidad,
y luego usar su identidad segura para acceder a los diferentes servicios digitales.
94
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
servicio de autenticación. Uno de los ámbitos que abarca la evaluación es el registro de
información personal y el servicio de autenticación. Esto determina el nivel de fiabilidad
requerido para la identidad del usuario.
El estándar utilizado en este modelo es el denominado SAML, que describe los métodos
utilizados y las normas aplicadas al proceso de autenticación, desde la perspectiva de los
proveedores de identidad, hasta los proveedores de servicios gubernamentales.
Todos los servicios de conexión a la verificación de la identidad tienen que seguir la
especificación SAML. Al solicitar la autenticación de un individuo o de responder a esa
petición, el nivel de seguridad debe ser siempre especificado.
Estándares: estándares establecidos a través de buenas prácticas definidas por el Gobierno en GOV.UK. El estándar utilizado es el denominado SAML16.
Lineamientos tecnológicos: se establecen 4 niveles de aseguramiento para identificarse frente a los servicios digitales y las diferentes guías de buenas prácticas.El programa utiliza un 'Hub' que permite a los proveedores de identidad autenticar las identidades de las partes.
Políticas de seguridad y privacidad: estas políticas se encuentran enmarcadas en los principios de aseguramiento de identidad elaborada por el grupo de protección de privacidad y asesor del consumidor (PCAG por sus siglas en inglés) y que tienen como objetivo:o Proporcionar una visión independiente sobre cuestiones de privacidad y
preocupaciones de los consumidores.
o Reunir una amplia gama de experiencia en temas de privacidad y de consumo
con participación del Gobierno en un entorno abierto y respetuoso, donde
estas cuestiones se puedan discutir con franqueza y honestidad.
o Asegurar que los programas gubernamentales involucren de manera efectiva
cuestiones relacionadas con la privacidad y la confianza de los ciudadanos.
16 Reino Unido. Anexo 8. Identity Assurance Hub Service Profile – 2 SAML Attributes v1.1a 3
95
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
o Proporcionar un canal para Gobierno y una participación más amplia del
sector público con representantes de los sectores de consumo y privacidad.
o Abogar y promover enfoques respetuosos sobre la intimidad en el manejo de
la información de carácter personal.
o Comunicar y explicar los problemas de privacidad y de consumo claramente a
los ciudadanos.
En el siguiente cuadro, se señalan los nueve principios en los que se enmarca la
privacidad y seguridad de los datos personales en el Reino Unido:
PRINCIPIO DE ASEGURAMIENTO DE LA
IDENTIDADRESUMEN DE CONTROL OTORGADO A UN CIUDADANO
1. Control de UsuarioEl usuario puede ejercer el control sobre las actividades de aseguramiento
de identidad que le afecten, éstas sólo pueden tener lugar si existe
consentimiento o aprobación.
2. TransparenciaEl aseguramiento de la identidad sólo tiene lugar siempre que se entienda su
finalidad y cuando se esté totalmente informado.
3. MultiplicidadSe puede usar y elegir diferentes proveedores de identificación como se
quiera.
4. Minimización de datosLas interacciones sólo deben utilizar datos mínimos necesarios para
satisfacer las necesidades del ciudadano.
5. Calidad de los datos El ciudadano puede elegir cuando actualizar sus registros.
6. Servicio de acceso de usuario y portabilidad
Se tiene el derecho de acceso a copia de todos los datos que se requiera y
se pueden mover y eliminar los mismos cada vez que se quiera.
7. Certificación Se garantiza la confianza en el servicio de verificación de la identidad, ya
96
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
que todos los actores participantes tienen que ser certificados contra
requisitos comunes del Gobierno.
8. Resolución de conflictosEn caso de un conflicto, se puede ir ante un tercero independiente para que
lo resuelva.
9. Circunstancias excepcionales
Cualquier excepción debe ser aprobada por el Parlamento y está sujeta a un
escrutinio independiente.
Tabla 12. Principios en que se enmarca privacidad y seguridad de datos personales en Reino Unido
Fuente. Elaboración propia
Mecanismos de autenticación: un sólo mecanismo de autenticación con una clave verificada por empresas especializadas y certificadas por la Oficina del Gabinete.
Requerimientos técnicos y funcionales de las soluciones tecnológicas: en el Perfil de Identidad Service Assurance Hub SAML se describen los métodos utilizados y las normas aplicadas al proceso de autenticación desde la perspectiva de los proveedores de identidad, proveedores de servicios y los servicios correspondientes. Todos los servicios de conexión a la Verificación de la Identidad de Fomento (AIF) Servicio Hub tienen que seguir la especificación SAML. Al solicitar la autenticación de un individuo o de responder a esa petición, el nivel de seguridad debe ser especificado. Este documento describe cómo se especifica y se registra en las interacciones entre los servicios de cubo, proveedores de identidad y proveedores de servicios el nivel de seguridad17.
Interoperabilidad con soluciones tecnológicas de Gobierno o institucionales: GOV.UK está disponible desde 2012 y proporciona un único punto de acceso a los
17 Reino Unido. Anexo 7. Identity Assurance Hub Service SAML 2 2.0 Profile v1.1a 3
97
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
servicios gubernamentales, reemplazo a Directgov y Business Link, así como los sitios Web de cientos de departamentos gubernamentales y organismos públicos (312 agencias y otras estructuras de Gobierno con sitios Web que fueron a la transición con GOV.UK y más de 1.800 sitios independientes se han cerrado). Esta transición se completó en diciembre de 2014.
El Reino Unido cuenta con un sistema de interoperación basado en el GSI que es
la infraestructura de la red principal de conexión y unión a los departamentos y
organismos del Gobierno central. Proporciona una conexión segura y fiable a
Internet, incluyendo el acceso seguro a los servicios Web, transferencia de
archivos y búsqueda; servicios de directorio, publicación Web y de un mecanismo
para el intercambio de correo electrónico dentro de la comunidad GSI a través de
Internet.
El GSI es un servicio gestionado que ofrece el servicio de contratación pública
(anteriormente "la compra de soluciones”) y se entrega a través de una alianza con
Cable & Wireless del Reino Unido. El acuerdo marco GSI se extendió hasta agosto
de 2011, con la posibilidad de realizar contratos individuales con los clientes dentro
de los seis meses siguientes a la fecha indicada, por lo que este servicio puede ser
entregado a los clientes hasta febrero de 2012. Se ofrecerán servicios futuros a
través de la nueva Red de Servicios Públicos (PSN).
FINANCIERA
La Oficina del Gabinete que controla los servicios dispuestos en GOV.UK Verify,
ha establecido una inversión aproximada de 150 millones de libras para los
próximos años, con la emisión de una póliza correlativa por parte de las empresas
operadoras certificadas o IdPs en nombre de los Servicios de Gobierno Digital
(GDS).
El objetivo de la Oficina del Gabinete, es que todos los servicios digitales del
Gobierno Central que requieren servicios de aseguramiento de identidad utilicen
Gov.uk Verifiy antes de marzo de 2016.
98
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
Modelo de sostenibilidad (fuentes de ingreso o financiación): la Oficina del Gabinete estableció un contrato por £ 150 millones en nombre del Gobierno Digital Service (GDS). El Estado a través del Servicio de Gobierno Digital paga por todo. Es gratuito para el ciudadano.
CAPEX: los proveedores de identidad IdP.
OPEX: los proveedores de identidad IdP, a través de las tarifas que se cobran a los proveedores de servicios gubernamentales (Estado).
Transparencia: actualmente esta información financiera no se encuentra disponible al público.
ORGANIZACIONAL
Mapa de actores y roles de las entidades: relación entre ciudadanos, proveedores de identidad y entidades gubernamentales. GOV.UK Verify.
Mercado: 64,51 millones de habitantes. Alcance del modelo (beneficiarios): es un modelo que recién está
empezando a funcionar, aún se encuentra en versión Beta. Se espera lograr progresivamente el total de la población.
Empresas instancias o sectores que participan en el desarrollo del modelo: nueve empresas han firmado acuerdos marco para convertirse en empresas certificadas para GOV.UK Verify: i) Barclays, ii) Digidentity, iii) Experian, iv) Grupo GB, v) Morpho, vi) PayPal, vii) Oficina de correo, viii) Correo real, ix) Verizon. Actualmente sólo 4 están prestando efectivamente el servicio (Digidentity, Experian, Oficina de Correos y Verizon). Por parte del Gobierno, se encuentra la Oficina de Gabinete como responsable de la operación del sistema centralizado “Hub”.
Articulación con otras iniciativas de gobierno electrónico: opera y se conecta con diversas iniciativas de gobierno electrónico dentro del Estado y múltiples trámites.
99
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
SOCIOCULTURAL
Estrategia de apropiación y uso por parte de los usuarios: en la página Web se encuentran videos tutoriales explicando el paso a paso del proceso verificación de identidad que se realiza. El Gobierno ha dispuesto el programa “Go ON UK” el cual contiene toda la estrategia de apropiación.
Estrategias de difusión y marketing: difusión a través de medios masivos, redes sociales y el programa “Go ON UK”.
Indicadores de uso:
Usuarios logueados de abril de 2013 a septiembre 2015: 238.000.
Cuentas verificadas de abril de 2013 a septiembre 2015: 290.000
Cuentas básicas de abril de 2013 a septiembre 2015: 185.000.
Facilidad en el proceso de autenticación : es un proceso que no necesita demasiada
explicación. Amigable, centralizado para todos los servicios estatales.
Estrategia de implementación utilizada: mecanismos BTL en eventos académicos y
ATL a través de la fuerza de marketing de los operadores certificados.
Esquemas de formación de usuarios: disponibles principalmente de manera virtual a
través de guías de buenas prácticas disponibles en gov.uk. y en Go on UK.
1. Aumentar el número de personas que utilizan los servicios digitales: los departamentos aumentarán la conciencia de sus servicios digitales para que más personas los conozcan y los utilicen. Así mismo, buscan la manera de utilizar los incentivos para fomentar la adopción digital.
2. Capacitar en temas digitales a toda la administración pública: todos los departamentos se asegurarán de que tienen los niveles adecuados de
100
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
capacidad digital, incluyendo las habilidades especializadas, lo cual repercutirá en una mejor capacidad digital en los demás departamentos.
o Tipologías de cliente-objetivo: el servicio es dirigido principalmente al ciudadano - persona natural. GOV.UK Verify ofrece a las personas una forma cómoda y segura para demostrar su identidad al acceder a los servicios de gobierno digital. Solamente se da en la relación entre ciudadanos y entidades gubernamentales. Se encuentra en una fase piloto para temas tributarios y transporte.
101
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
4.4 PERÚ
Capital: Lima.
Lenguaje oficial: español.
Moneda: Nuevo sol.
Bandera:
Ilustración 19. Bandera de Perú
Fuente. http://www.banderas-mundo.es/
INDICADORES DE DESARROLLO
Nivel de ingresos: Ingreso mediano alto
Población total: 30,77 millones (2014)
Población urbana (% del total): 78% (2014)
Índice de Gini: 45,3 (2010)
Tabla 13. Indicadores de desarrollo Perú
Fuente. Elaboración propia
102
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
ECONOMÍA Y CRECIMIENTO
PIB: US$ 202,9 mil millones (2014)
Crecimiento del PIB (% anual): 2,4% (2014)
Inflación: 3,2% (2014)
Superávit/déficit del efectivo (% del PIB): 2,0% (2012)
Tabla 14. Economía y crecimiento Perú
Fuente. Elaboración propia
CIENCIA, TECNOLOGÍA Y COMUNICACIONES
Gasto en investigación y desarrollo (% del PIB): 0,12%
Usuarios de Internet (por cada 100 personas): 40,2% (2014)
Subscripciones de teléfonos celulares por cada 100 habitantes: 103 (2014)
Subscripciones a Internet de banda ancha fija por cada 100 habitantes: 5,74 (2014)
Tabla 15. Ciencia, tecnología y comunicaciones Perú
Fuente. Elaboración propia
103
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
4.4.1 DESCRIPCIÓN DEL PROYECTO
En Perú, el Registro Nacional de Identificación y Estado Civil (RENIEC), es el encargado
de responder a la necesidad de administrar y dirigir el sistema registral de los peruanos,
que involucra el registro civil, el de personas y el de naturalización; lo cual constituye el
registro único y base de datos de identificación de todos los peruanos. El RENIEC emite el
Documento Nacional de Identidad, único para la identificación personal en el país, y en
épocas electorales, elabora el padrón electoral, así como en forma permanente efectúa
verificaciones de firmas para los procesos de iniciativa de reforma constitucional, iniciativa
en la formación de las leyes, referéndum, iniciativa en la formación de dispositivos
municipales y regionales, revocatoria de autoridades, demanda de rendición de cuentas y
otros mecanismos de control.
Adicional a esto, el Estado designa al RENIEC como entidad de certificación nacional para
el Estado peruano y entidad de registro o verificación.
El RENIEC es un organismo que cuenta con la mejor tecnología informática actualizada,
además de personal calificado para desempeñarse con éxito en la actividad de registro e
identificación de personas; así mismo, participa en la aplicación de normas, procesos y
procedimientos que rigen esa actividad.
La página Web de RENIEC (Registraduría Nacional de Identificación y Estado Civil)
cuenta con una sección de “Identidad Digital” donde están explicados en texto y video, los
diferentes conceptos asociados como: identidad digital, certificado digital, utilidad de un
certificado digital y firma digital.
También es posible tener un mejor entendimiento del proceso de firma digital y sus
beneficios: identidad digital, certificado digital, utilidad de un certificado digital y firma
digital.
El portal del ciudadano tiene como finalidad ofrecer una serie de servicios en la Web que
el RENIEC brinda a los ciudadanos mediante el uso de su DNI electrónico (DNIe). Estos
servicios son posibles gracias a la seguridad que un dispositivo como el nuevo DNIe
104
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
ofrece para la obtención remota de, por ejemplo, certificados de inscripción y actas
oficiales, así como la posibilidad de firmar documentos digitales, entre otras operaciones.
Ilustración 20. Portal ciudadano RENIEC Perú
Fuente. Página Web Reniec
Para poder acceder a estos servicios, el usuario deberá contar con su DNIe, el cual se le
entrega al ciudadano junto con un par de credenciales, una de autenticación y una de
firma, cada uno con un PIN como los que se utilizan en tarjetas de débito o crédito. La
credencial de autenticación será utilizada para acceder a los servicios del portal y será
liberada al digitar el PIN de autenticación en el teclado virtual que se le presenta al hacer
conectividad a Internet, bases de datos, infraestructura para capacitación
en línea (e-Learning) y recursos humanos especializados. Además, los
servidores públicos deberán compartir recursos metodológicos, de
infraestructura y conocimiento, así como el intercambio de datos espaciales
con el objetivo de compartir buenas prácticas para mejorar su
aprovechamiento y evitar duplicidades.
4.4.3 EL MODELO
El modelo peruano se evidencia centralizado, operado directamente por el Estado y para
el Estado. Es un sistema confiable que permite la identificación del ciudadano y de las
personas jurídicas ante las entidades del Estado.
La masificación de este mecanismo se busca mediante la expedición de la tarjeta de
identificación digital a todos los peruanos, la cual puede ser usada para el proceso de
identificación y que funciona incluso para trámites presenciales. Este elemento es
interesante en la medida en que responde a la realidad de países en desarrollo, en donde
el acceso a Internet y la alfabetización digital universal están aún en proceso.
111
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
A modo de resumen del modelo peruano, a continuación se presenta la explicación del
CANVAS:
112
CANVAS
Ilustración 23. Canvas Perú
Fuente. Elaboración propia
4.4.4 DESCRIPCIÓN DEL MODELO
La base del sistema peruano es la tarjeta de identificación (DNI-e) que incorpora un chip
para configurarse como un sistema de autenticación mediante las siguientes aplicaciones:
Aplicación de Firma Digital - PKI: contiene grabados en el chip, certificados
digitales y claves, los cuales pueden usarse para validar la identidad y/o firmar
digitalmente.
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
Aplicación de Autenticación Biométrica - MOC: contiene grabadas en el chip
las plantillas de las huellas dactilares, lo que posibilita su comparación con las
del portador y la validación de su identidad en cuanto el usuario quiera acceder
a un servicio o información.
El uso de esta aplicación puede asociarse a la generación de la firma digital y
para iniciar otros procesos propios de la tarjeta que requieran validar la
identidad del usuario, tales como el cambio de PIN y su desbloqueo.
Aplicación de identidad ICAO eMRTD: contiene almacenados en el chip los
datos de identidad del ciudadano según estándar de ICAO, los cuales son
idénticos a los que van grabados en la capa receptiva de la tarjeta de
policarbonato. Esto, además de constituirse en un elemento más para validar la
autenticidad de la tarjeta y de la identidad de su portador, facilita la ágil lectura
y toma de datos, de ser esto aceptado por su titular (control migratorio, policial,
etc.).
Por su parte, el proceso del modelo de autenticación de Perú supone la solicitud del
mecanismo o DNI-e ante el RENIEC, quien establece si el ciudadano puede ser titular de
este mecanismo; luego de establecer dicha situación el RENIEC procede a la emisión y
entrega del DNI-e al ciudadano, quien luego de esto podrá realizar los diferentes trámites
electrónicos frente a las entidades estatales.
Ventajas: posibilita la simplificación de trámites mediante el uso de una única
credencial; sirve como tarjeta de identidad y para firmar electrónicamente.
También permite realizar trámites en línea y presenciales; como tarjeta
inteligente ofrece beneficios significativos de:
o Interoperabilidad local, ya que puede diseñarse una tarjeta para que
acceda a múltiples aplicaciones.
o Escalabilidad de aplicaciones debido a que si hay espacio disponible,
pueden agregarse más aplicaciones dentro de la tarjeta.
114
o Serviría de plataforma de seguridad para la modernización de los procesos
administrativos.
o Hace uso de la tecnología de Infraestructura de Clave Pública (PKI),
tarjetas inteligentes y biometría; fomentando así el uso de las Tecnologías
de la Información en la implementación de nuevos servicios.
o Como tarjeta inteligente biométrica, proporcionará la capacidad de
verificación comparando un parámetro biométrico escaneado, contra una
simple plantilla guardada en el chip de la tarjeta.
o Portabilidad, ya que su tamaño pequeño le permite a las personas llevar
grandes cantidades de información en un medio actualizable, con relativa
facilidad.
o Posee un sistema operativo que evita que las claves sean expuestas fuera
de la tarjeta y de esta manera puedan ser leídas, removidas o manipuladas
por alguien.
o Proporciona una capacidad de almacenamiento de información superior a
los códigos de barras tradicionales, ya que no solamente sirve de
repositorio de las claves privadas y certificados, sino que permite incluso
actualizar la información contenida en el chip y realizar operaciones dentro
de éste.
Casos de uso: el modelo de Perú permite que los ciudadanos puedan usarlo en los siguientes escenarios:
o Documento Nacional de Identidad.
o Documento de viaje en los países con convenio.
o Autenticación de identidad para trámites presenciales y en línea.
o Elemento clave para la virtualización de servicios que brindan instituciones
públicas e iniciativas de gobierno electrónico.
o Votación electrónica.
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
o Identificación de beneficiarios de programas sociales y políticas de Estado,
para mejora de procesos de asignación y distribución de recursos.
o Control seguro para el acceso a redes e instalaciones físicas.
Ilustración 24. Modelo Perú
Fuente. Elaboración propia
A modo de resumen del modelo peruano se enumeran sus principales actores y
actividades:
Actores:
o El ciudadano que obtiene su identidad electrónica.
o El Registro Nacional de Identificación y Estado Civil (RENIEC) que actúa
en el enrolamiento del ciudadano.
o Las entidades estatales que desarrollan trámites y servicios autenticando
electrónicamente a los ciudadanos.
Paso a paso:
116
1. El ciudadano se dirige a uno de los puntos de atención de RNIEC para el
enrolamiento de su identidad.
2. La RENIEC, a través de la verificación de registros públicos establece que
el solicitante podrá ser el titular del DNI electrónico.
3. Una vez verificada la identidad, y enrolado su registro biométrico, RNIEC
emite una tarjeta electrónica que contiene el chip con firma digital.
4. El ciudadano titular de la tarjeta podrá utilizar su mecanismos de
autenticación electrónica y firma digital en todo tipo de trámites electrónicos
ofrecidos por el Estado.
5. La renovación del mecanismo de autenticación se podrá hacer de manera
presencial o electrónica ante el RENIEC.
4.4.5 PERSPECTIVAS
JURÍDICA
o Marco de política que soporta el modelo : la Oficina Nacional de Gobierno Electrónico e Informática (ONGEI) de la Presidencia del Consejo de Ministros formula las políticas públicas en Gobierno Electrónico en Perú, conforme al numeral 26.2, del artículo 26, de la ley Nº 29904, Ley de Promoción de la Banda Ancha y Construcción de la Red Dorsal Nacional de Fibra Óptica. La política de gobierno electrónico compromete a todos los poderes del Estado, organismos autónomos, gobiernos descentralizados, instituciones políticas y la sociedad civil, a través de sus distintas organizaciones. Todo lo anterior con base en la Ley Modelo de Firma Electrónica de 2001 de la Uncitral.
o Normas legales o políticas: se encuentra la ley No. 29222 que modifica el artículo 37 de la ley Nº 26497, que cita el Documento Nacional de Identidad (DNI), éste tendrá una validez de ocho (8) años, el cual será renovado por el plazo inicial. La invalidez se presenta cuando el citado documento sufre de un deterioro considerable, por cambios de nombre, o de alteraciones sustanciales en la apariencia física que originen que la fotografía pierda valor identificatorio.
o Instrumentos: Ley Modelo de Firma Electrónica de 2001 de la CNUDMI. Ley No. 29222 que modifica el artículo 37 de la ley Nº 26497 sobre el DNI. ley Nº 27310 sobre Firmas y Certificados Digitales. Decreto supremo 052-2008-PCM reglamenta la Ley de Firmas y Certificados Digitales. Ley Nº 26497 Ley Orgánica
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
del Registro Nacional de Identificación y Estado Civil – RENIEC. Ley 29733 Ley de Protección de Datos Personales.
Términos y condiciones de uso para los usuarios: fijan las relaciones entre el Estado y el ciudadano en el uso del DNI electrónico así:
o Propiedad. RENIEC es propietario del software, por lo que la propiedad intelectual y/o derecho de autor son exclusivos de esta institución, así como, los derechos legales de copia, patentes, marca, manuales de usuario, secretos comerciales y cualquier otro vinculado que pudiese surgir, incluida toda la información o documentación que el RENIEC proporcione a la entidad.
o Costo. RENIEC cede al usuario la licencia de uso, copia, distribución y publicación del software sin costo alguno y bajo su responsabilidad, debiendo ser usado dentro del marco legal técnico vigente.
o Licencia Limitada. “Usted no puede, parcial o total y bajo ninguna forma o medio (y no permitirá a ningún tercero que lo haga): Reproducir, modificar o adaptar el software.
Alquilar, arrendar, prestar, ceder o vender el software.
Retirar los logos incluidos en el software.
Usar o introducir cualquier tipo de dispositivo, componente o rutina que
interfiera o que pueda tratar de interferir con las operaciones del software.
Usar el software quebrantando las licencias de las librerías listadas en los
“créditos””.
Privacidad y seguridad: se basan en afirmar, conocer, aceptar y cumplir las
“políticas de privacidad y seguridad” declaradas en los términos y condiciones de uso
establecidas por el RENIEC.
o “Terceros. Si se utiliza software con certificados de Terceros, o si de otra forma un
Tercero hace uso del software usando otros certificados, estando autorizado o no,
RENIEC no se responsabiliza por las operaciones de firma digital efectuadas, ya
que se estarían violando “políticas de seguridad””.
o Exclusión de garantías. RENIEC no otorga garantías de ningún tipo por el uso del
software, ya sea de manera expresa, implícita, legal o de cualquier otra forma.
o Limitación de responsabilidad. RENIEC no se hace responsable de la pérdida de
ingresos o daños directos o indirectos, especiales, incidentales, derivados, o
punitivos, incluso si los daños directos no son suficientes para servir de
118
compensación. Por lo tanto, ninguna forma de indemnización podrá ser reclamada
ni al RENIEC ni a ninguno de sus funcionarios.
o Vigencia y resolución. RENIEC puede dar por terminados los siguientes
términos de uso en cualquier momento y sin previo aviso. A la terminación
del presente, RENIEC dará de baja el software y el usuario deberá dejar de
usar el mismo y borrar todas las copias del software existentes bajo su
responsabilidad.
o Modificación de los términos de usos y políticas. RENIEC puede cambiar o
modificar, sin previo aviso, estos términos o cualquier otra política que regule el
uso del software para, por ejemplo, reflejar cambios en la ley, adicionar o remover
funcionalidades. La modificación de los términos o políticas serán anunciadas en
www.reniec.gob.pe
Responsabilidades para los usuarios: o Limitación de responsabilidad. El RENIEC no se hace responsable por la pérdida
de ingresos o daños directos e indirectos, especiales, incidentales, derivados, o punitivos, incluso si los daños directos no son suficientes para servir de compensación.
Emisores y operadores de los proyectos: direccionamiento estatal, operador estatal monopólico para la autenticación frente al Estado peruano.
TÉCNICA
El DNI-e combina tecnologías como la de Smart Cards, personalización por grabado láser,
biometría y firma digital.
o Tarjeta SMART CARD: se denomina Smart Cards a aquellas tarjetas inteligentes con
chip incrustado. El chip de que dispone el DNI-e cuenta con las siguientes
características:
Chip de contactos según norma ISO/IEC 7816.
Sistema operativo Java Card. Permite la incorporación posterior de aplicaciones y
contenidos adicionales.
Chip con capacidad criptográfica para gestión de claves RSA y firma digital con
certificados.
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
Memoria EEPROM de 64Kb.
Seguridad del chip según estándares Common Criteria nivel EAL4+ ó FIPS 140-
2.
o Grabado láser en policarbonato: este proceso tecnológico ofrece las siguientes
características:
El policarbonato del que está fabricado el soporte de la tarjeta permite la
incorporación de elementos de seguridad física de última tecnología y su
personalización mediante grabado láser.
El haz de luz láser traspasa la capa superficial de la tarjeta y altera
molecularmente la capa receptiva intermedia (carbonizado), con lo cual se logra
el efecto de impresión y también el efecto de impresión con relieve o táctil.
Dado el proceso de fusión y alta presión en la integración de las capas de la
tarjeta durante su fabricación éstas no pueden ser separadas.
o Tecnología biométrica: el DNI-e ofrece a través de su aplicación Match-on-Card una
autenticación por tecnología biométrica. El proceso se realiza de la siguiente
manera:
Dentro del proceso de inscripción de los ciudadanos se toma sus huellas
dactilares (enrolamiento).
A las imágenes de las huellas se les extraen las minucias y se obtienen las
plantillas biométricas.
Las plantillas biométricas de ambos dedos índices se almacenan en el chip.
Para la validación de la identidad del ciudadano, al acercarse éste a un punto
de atención coloca su índice sobre un lector.
El equipo extrae las minucias que caracterizan a la huella en particular y genera
una plantilla biométrica.
120
Esta nueva plantilla biométrica es enviada a la aplicación Match-on-Card, la cual
se compara con la original que fue guardada durante el enrolamiento y que
pertenece al ciudadano titular del documento.
La propia aplicación Match-on-Card de la tarjeta da la respuesta en cuanto a si
ambas plantillas corresponden o, lo que es lo mismo, valida la identidad.
La aplicación Match-on-Card cuenta con parámetros de operación idóneos en
los que se refiere a tiempo de respuesta, tasa de falsa aceptación, tasa de falso
rechazo e igualmente en cuanto a su operación dentro de los estándares
tecnológicos vigentes.
o Tecnología de Firma Digital PKI: el DNI electrónico ofrece a través de su aplicación
PKI la posibilidad de autenticarse y de firmar digitalmente documentos electrónicos.
La firma digital comprende un proceso criptográfico valiéndose de un par de claves
asimétricas, el cual está dividido en su emisión propiamente dicha y en su
validación.
o Emisión:
Con el DNI electrónico colocado en el lector de tarjetas de contacto del PC,
el aplicativo solicita el PIN al emisor.
A partir del documento original se calcula, mediante un algoritmo de hash
como el SHA-1, un resumen de longitud fija que lo identifica de manera
única.
Ese resumen es cifrado con la clave privada del emisor mediante un
algoritmo de firma como el RSA, con lo cual se produce la firma digital.
El paquete producido incluye el certificado digital del emisor.
o Validación:
El receptor del documento firmado digitalmente lo abre para visualizarlo y el
aplicativo inicia su validación.
Se calcula de nuevo el código hash a partir del documento original incluido
en el paquete.
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
Con la clave pública se descifra el código hash del documento original, que
fue enviado por el emisor en el paquete.
Se compara ambos resúmenes hashes y, de resultar iguales, queda
verificada la autenticidad, origen e integridad del documento recibido.
Estándares: el DNI electrónico deberá cumplir con los requisitos y
especificaciones técnicas mínimas exigidas por diversas normas internacionales: i)
Smartcards, v) Biometría, vi) Estándares internacionales, vii) Durabilidad y viii)
Emisión paralela; los anteriores elementos responden a la multiplicación,
funcionalidad dual, emisión a demanda y sobre todo la interoperabilidad.
Interoperabilidad: 15 trámites, con distintas entidades estatales.
FINANCIERA
El valor del DNI electrónico lo asumen los ciudadanos, tiene un valor de 40 soles
peruanos lo que equivale a unos 38.950 pesos colombianos, aunque los trámites
no tienen costo alguno.
En cuanto a los costos de implementación del modelo, el Ministerio de Economía y
Finanzas asume a través de asignación presupuestal los recursos financieros
necesarios y los otorga al RENIEC.
El DNI-e se constituye en un elemento de alto impacto en beneficio de la
ciudadanía, agilizando los procesos y reduciendo los costos, tanto de su parte
como de las entidades del Estado, y particulares que hagan uso de ésta importante
herramienta tecnológica; esto sobre todo en la medida que se asocie a otras
iniciativas como la virtualización de servicios por Internet.
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
o Modelo de sostenibilidad: el DNI ordinario tiene un precio de S/. 29.00, que ha ido aumentando, pues su valor está atado al de la UIT (es el 0.78% de 1 UIT), siendo que su valor real es de S/. 23.00 (que es lo que se cobra por el duplicado). El DNI electrónico cuesta 40 soles.
o CAPEX: Estado. DNI y CS pagado por las personas. Privados para FEA. No auto sostenible.
o OPEX: los costos de infraestructura y personal son asumidos por la RENIEC a través del presupuesto general. El modelo de atención al ciudadano también es asumido directamente por el Estado.
o Tarifas: los trámites no tienen costo alguno, el único costo para el ciudadano es la adquisición del DNI electrónico.
o Transparencia: existe información pública.
ORGANIZACIONAL o Mapa de actores y roles de las entidades: el RENIEC es un organismo
que cuenta con la mejor tecnología informática actualizada, además de personal calificado para desempeñarse con éxito en la actividad de registro e identificación de personas, como en la aplicación de normas, procesos y procedimientos que rigen esa actividad.
o Mercado: 30,77 millones. La población representa el 65% de la población colombiana y sus condiciones socioeconómicas son similares a las de Colombia.
o Alcance del modelo (beneficiarios): aunque es un modelo avanzado técnicamente, el uso y la apropiación de los beneficiarios no ha sido la más provechosa debido a la limitada oferta de trámites en el gobierno electrónico.
Empresas, instancias o sectores que participan en el desarrollo del modelo: la operación está a cargo del RENIEC, y cuenta con el apoyo de ONGEI, el CONCYTEC y el INDECOPI. El DNI Electrónico (DNIe) tiene 15 mecanismos de seguridad, físicos y lógicos, teniendo como proveedores a: Indenova, Camerfirma, Safenet y Morpho.
Articulación con otras iniciativas de gobierno electrónico: los objetivos de la agenda digital (estrategias del gobierno electrónico) relacionados con el RENIEC son:o Impulsar la interoperabilidad entre las instituciones del Estado para la
cooperación, el desarrollo, la integración y la prestación de más y mejores
servicios para la sociedad.
o Proveer a la población: información, trámites y servicios públicos accesibles
por todos los medios disponibles.
124
o Desarrollar e implementar mecanismos para asegurar el acceso oportuno a la
información y una participación ciudadana como medio para aportar a la
gobernabilidad y transparencia de la gestión del Estado.
o Implementar mecanismos para mejorar la seguridad de la información.
o Mejorar las capacidades, tanto de funcionarios públicos como de la sociedad,
para acceder y hacer uso efectivo de los servicios del gobierno electrónico.
o Adecuar la normatividad necesaria para el despliegue del gobierno electrónico.
Voto electrónico por ejemplo.
SOCIOCULTURAL
o Estrategia de apropiación y uso por parte de los usuarios: la RNIEC ha
considerado el desarrollo de una estrategia de apropiación progresiva con la
incorporación paulatina de servicios a través de medios electrónicos que
podrán ser utilizados por los ciudadanos en diferentes instancias del Gobierno.
Esto se encuentra en la página Web de la RNIEC, en el enlace de DNI
electrónico, pero no existe disponible un documento independiente explícito
sobre el modelo.
o Estrategias de difusión y marketing: se utilizan básicamente herramientas
de difusión masiva a través de medios públicos de comunicación. Existe
también en una primera fase una fuerte sensibilización académica que se
puede reflejar en el activismo por parte de funcionarios y de personas
vinculadas con la academia.
o Indicadores de uso: los indicadores operacionales para medir el modelo son:
1.Cantidad de personas mayores de edad identificadas con el DNI-e, 2.
Cantidad de personas mayores de edad identificados con el DNI-e a nivel
nacional, 3. Cantidad de la población mayor de edad con conocimiento de
importancia de TIC, 4. Cantidad de instituciones gubernamentales que
participan activamente en la intervención, 5. Cantidad de ambientes para el
desarrollo del DNI-e, 6. Cantidad de procesos que se realizan para
incrementar la capacidad operativa y la puesta en marcha de la
implementación del DNI-e, 7. Cantidad de personas con conocimiento pleno
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
de la importancia del DNI-e, 8. Cantidad de campañas realizadas y 9.
Ejecución presupuestal.
De otra parte se pueden ver las siguientes cifras:
o Número de DNI electrónicos emitidos: 6 millones.
o Número de trámites que incluyen autenticación electrónica: 2.
Facilidad en el proceso de autenticación: amigable, contiene manual del
usuario, disponible para todos los usuarios por el RENIEC.
Estrategia de implementación utilizada: no disponible aún. Se pueden verificar
sin embargo, algunas acciones en la página Web de RENIEC.
Esquemas de formación de usuarios: a través de medios presenciales,
telefónicos y por Internet. La RENIEC crea la escuela registral que funciona como
ente transmisor de una educación especializada y de calidad en materia de
registros civiles y de identificación de personas naturales, aportando así, desde su
posición en la institución, al beneficio de los objetivos del RENIEC, del progreso
del país y todos los peruanos.
El RENIEC creó, el 27 de diciembre de 2002, la Escuela Nacional de Registro del
Estado Civil e Identificación (ENRECI); la misma que luego devino en el Centro de
Altos Estudios Registrales (CAER) el 30 de diciembre de 2008. Esta escuela tiene
la tarea de desarrollar actividades de capacitación en temas de registro civil,
identificación y afines; orientadas a los servidores de la entidad y registradores del
estado civil en materias como "Desarrollo Humano", "Registros Civiles", "RUIPN",
"Gestión Administrativa", "Actividades Electorales" y "Certificación Digital"
generando progreso al país por medio de su plataforma virtual.
Tipologías de cliente-objetivo: ciudadanos, personas naturales principalmente.
Por la naturaleza del mecanismo no contempla empresas o sociedades
comerciales. Ciudadano – entidades estatales.
126
4.5 CHILE
Capital: Santiago de Chile.
Lenguaje oficial: español.
Moneda: Peso.
Bandera:
Ilustración 25. Bandera de Chile
Fuente: http://www.banderas-mundo.es/
INDICADORES DE DESARROLLO
Nivel de ingresos: Ingreso alto (miembro de la OCDE).
Población total: 17,7 millones (2014).
Población urbana (% del total): 89% (2014).
Índice de Gini: 50,8 (2011).
Tabla 16. Indicadores de desarrollo Chile
Fuente. Elaboración propia
ECONOMÍA Y CRECIMIENTO
PIB: US$ 258,1 mil millones (2014).
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
Crecimiento del PIB (% anual): 1,9% (2014).
Inflación: 4,4% (2014).
Superávit/déficit del efectivo (% del PIB): 0,5% (2012).
Tabla 17. Economía y crecimiento Chile
Fuente. Elaboración propia
CIENCIA, TECNOLOGÍA Y COMUNICACIONES
Gasto en investigación y desarrollo (% del PIB): 0,42% (2010).
Usuarios de Internet (por cada 100 personas): 72,4% (2014).
Subscripciones de teléfonos celulares por cada
100 habitantes:133 (2014).
Subscripciones a Internet de banda ancha fija por
cada 100 habitantes:14,08 (2014).
Tabla 18. Ciencia, tecnología y comunicaciones Chile
Fuente. Elaboración propia
4.5.1 DESCRIPCIÓN DEL PROYECTO
La Unidad de Modernización del Estado (división del Ministerio Secretaría General de la
Presidencia de la República), busca acercar el Estado a las personas. Entre sus objetivos
como equipo está la modernización y gobierno digital, mejorando la atención y calidad de
servicio que diariamente entregan las instituciones públicas a los ciudadanos.
128
En este contexto, de modernización del Estado y gobierno electrónico, se aborda este
desafío no sólo como una “tecnologización” del Estado, sino como un cambio de
paradigma: un proceso integral que busca generar las condiciones para vivir en un Estado
cercano, inclusivo, transparente y participativo; orientado a satisfacer de mejor manera las
necesidades de los ciudadanos, contribuyendo así a mejorar su calidad de vida.
Teniendo en cuenta lo anterior, se formula la iniciativa Clave Única, la cual busca proveer
a los ciudadanos de una Identidad Electrónica Única (RUN y clave) para la realización de
trámites en línea del Estado, eliminando así la necesidad de realizar múltiples registros
para cada servicio.
Para la autenticación en línea, las instituciones públicas disponen de una aplicación cuyo
enrolamiento y verificación será realizado por el Servicio de Registro Civil e Identificación
y mediante la cual, los datos de identificación se transmiten de manera segura y confiable
a través de la plataforma de interoperabilidad del Estado.
Por último, se menciona que el Ministerio, operará el sistema “Clave Única” a través de
una solución tecnológica End-Point Open ID que consulta la base de datos del SRCeI
para verificar si la clave ingresada corresponde a la persona a quien se le entregó dicho
medio de identificación. Por lo tanto, la operación del sistema la provee el Ministerio
mientras que el SRCeI autentica la identidad de las personas. La clave personal nunca
está en conocimiento ni del Ministerio, ni de la institución o del servicio público en que el
usuario se autentica.
La iniciativa Clave Única de Chile busca proveer a los ciudadanos de una Identidad
Electrónica Única (RUN y clave) para la realización de trámites en línea del Estado,
eliminando así la necesidad de realizar múltiples registros para cada servicio. En este
sentido, es importante destacar que la identidad digital facilita la implementación del
modelo de portal centralizado de la red multiservicios del Estado al proveer el acceso a
diversos servicios mediante una autenticación común.
Para la autenticación en línea, las instituciones públicas disponen de una aplicación cuyo
enrolamiento y verificación será realizado por el servicio de Registro Civil e Identificación y
mediante la cual, los datos de identificación se transmiten de manera segura y confiable a
través de la plataforma de interoperabilidad del Estado.
Todos las personas usuarias del registro civil, mayores de 14 años, pueden obtener esta
clave. Para obtener la contraseña, es necesario realizar tres simples pasos:
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
1. Dirigirse al registro civil con el carné de identidad, donde le harán entrega de
un comprobante correspondiente al “código de activación de cuenta en oficina
Internet”.
2. Posteriormente, ingresar al link que fue enviado a su correo electrónico
(Asunto: confirmación registro Oficina Internet-SRCeI) donde se le solicitará
digitar el número de su Carné de Identidad (RUN) y el “código de activación”
disponible en el comprobante. De manera alternativa, puede ingresar
directamente a www.registrocivil.cl y pinchar el link “activar Clave Única”, en el
menú del costado izquierdo.
3. Finalmente, se abrirá una ventana en la cual aparecerán sus datos: RUN,
nombre completo y correo electrónico. En ésta, el sistema le solicitará ingresar
una contraseña, que debe contener al menos 6 caracteres.
Dentro de esta página Web también es posible ver los servicios que actualmente
funcionan con la Clave Única, de la mano de la campaña de digitalización de trámites
públicos ChileSinPapeleo, enmarcada dentro de la iniciativa ChileAtiende.
A manera de ejemplo, la solicitud del certificado de situación militar al día, en manos de
la Dirección General de Movilización Nacional, se da click en ir al trámite y el usuario es
redireccionado a los trámites disponibles de la institución:
Ilustración 26. Trámites DGMN
Fuente. Página Web claveunica.cl
Se selecciona el trámite a realizar y aparecerá el siguiente login.
130
Ilustración 27. Autenticación Clave Única
Fuente. Página Web claveunica.cl
En este paso se solicita el Rol Único Nacional, es decir, el número identificatorio único e
irrepetible que posee todo chileno, residente o no en Chile, y todo extranjero que
permanezca en el país; así mismo se solicita la respectiva contraseña para finalmente
iniciar el trámite o servicio elegido.
4.5.2 ESTRATEGIA DE GOBIERNO ELECTRÓNICO
La modernización del Estado, en materia de gobierno digital, es el conjunto de
transformaciones, innovaciones tecnológicas, políticas e institucionales, que mejoran la
capacidad del Estado para responder de manera oportuna, eficaz y eficiente a las
necesidades de la ciudadanía.
Su objetivo central es crear mejores servicios públicos, los que mediante la participación y
la transparencia, generen satisfacción en la ciudadanía y sean un actor relevante para
aumentar la confianza de las personas en el Estado y sus instituciones.
Misión: coordinar, orientar y apoyar a los distintos ministerios e instituciones
para mejorar la gestión del Estado de cara al ciudadano, a través del uso
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
estratégico de las TIC’s, lo que se plasma en políticas públicas que dirigen el
quehacer gubernamental.
Visión: alcanzar un Estado más confiable, inclusivo, participativo y abierto; que
se relacione con la sociedad en forma proactiva, amigable y eficiente; con el fin
de generar bienestar en la ciudadanía, en condiciones de equidad, a través del
uso estratégico de las TIC’s.
Objetivos estratégicos: para alcanzar esta visión, SEGPRES cumple los
siguientes roles fundamentales:
o Facilitar el logro de los compromisos presidenciales a través de la
coordinación con otras instituciones públicas, mediante diferentes
instancias, como por ejemplo:
o Coordinación con los encargados de informática de las instituciones
públicas.
o Participación en equipos de trabajo asociados a proyectos transversales.
o Apoyo a proyectos estratégicos que desarrollan otras instituciones, pero
que contribuyen significativamente al logro de los compromisos
presidenciales.
o Liderar el plan de acción de Gobierno digital como parte de las iniciativas a
impulsar de la agenda digital de Chile, en la cual se está trabajando.
o Desarrollar y liderar proyectos desde la Unidad de Modernización del
Estado y Gobierno digital, que son habilitantes para el logro de los
compromisos.
4.5.3 EL MODELO
En el caso chileno, el modelo resultante se evidencia como un modelo centralizado
operado directamente por el Estado. El sistema se enfoca básicamente en la identificación
del ciudadano ante las entidades del Estado exclusivamente.
132
El sistema se focaliza en proveer un mecanismo digital único para todos los casos en que
el ciudadano desee realizar trámites virtuales con entidades del Estado, manteniendo en
todo caso la opción de trámites con presencia física o tradicional.
A modo de resumen del modelo de autenticación electrónica chileno, se presenta la
explicación del CANVAS:
CANVAS
Ilustración 28. Canvas Chile
Fuente. Elaboración propia
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
4.5.4 DESCRIPCIÓN DEL MODELO
La iniciativa chilena busca proveer a los ciudadanos de una Identidad Electrónica Única
(RUN y clave) para la realización de trámites en línea del Estado, eliminando así la
necesidad de realizar múltiples registros para cada servicio.
Para la autenticación en línea, las instituciones públicas disponen de una aplicación cuyo
enrolamiento y verificación será realizado por el Servicio de Registro Civil e Identificación
y mediante la cual, los datos de identificación se transmiten de manera segura y confiable
a través de la plataforma de interoperabilidad del Estado.
Todos las personas usuarias del Registro Civil mayores de 14 años pueden obtener esta
clave.
Para obtener la contraseña, es necesario realizar cuatro simples pasos:
1. Dirigirse al Registro Civil con el Carné de Identidad, donde se le hace entrega de
un comprobante correspondiente al “código de activación de cuenta en oficina
Internet”.
2. Posteriormente, ingresar al link que fue enviado a su correo electrónico (Asunto:
confirmación registro Oficina Internet-SRCeI) donde se le solicitará digitar el
número de su Carné de Identidad (RUN) y el “código de activación” disponible en
el comprobante. De manera alternativa, puede ingresar directamente a
www.registrocivil.cl y pinchar el link “activar clave única”, en el menú del costado
izquierdo.
3. Luego, se abrirá una ventana en la cual aparecerán sus datos: RUN, nombre
completo y correo electrónico. En ésta, el sistema le solicitará ingresar una
contraseña, que debe contener al menos 6 caracteres.
4. Finalmente, el ciudadano podrá autenticarse electrónicamente frente a las
entidades estatales para realizar los diferentes trámites administrativos previa
validación de la base de datos centralizada del Gobierno por parte del Registro
Civil e Identificación del estado chileno.
134
Ventajas: único registro para autenticarse frente a las entidades estatales (RUN y ClaveÚnica); todas las transacciones son monitorizadas por el Servicio de Registro Civil e Identificación mediante su base de datos centralizada con el fin de garantizar la privacidad y seguridad de los datos de los usuarios; simplificación de trámites.
Casos de uso: ClaveÚnica busca integrar a este sistema de autenticación la mayor cantidad de trámites posibles. A febrero de 2015 están habilitados 60 trámites dentro de los que se mencionan los siguientes: entrega de certificados SIMCE Inglés; acreditación del Sello Conductor Seguro; programa de apoyo a la inversión en zonas de oportunidades; voluntariedad para el servicio militar; certificado de situación militar para voluntariado; recepción de denuncias sobre atentados a la libre competencia en los mercado.
A continuación una descripción gráfica del modelo chileno:
Ilustración 29. Modelo Chile
Fuente. Elaboración propia
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
A modo de resumen del modelo peruano se enumeran sus principales actores y
actividades:
Actores:
o El ciudadano que obtiene su identidad electrónica.
o El Sistema de Registro Civil e Identificación (SRCeI) que actúa en el
enrolamiento del ciudadano y la entrega del método de autenticación.
o Las entidades estatales que desarrollan trámites y servicios autenticando
electrónicamente a los ciudadanos.
Paso a paso:
1. Enrolamiento del ciudadano ante el SRCeI.
2. El usuario ingresa al sitio web de ClaveÚnica y obtiene su código de
activación.
3. El usuario se autentica frente a la entidad del estado correspondiente.
4. La entidad estatal verifica frente a las bases de datos del SRCel la
autenticación del ciudadano. SRCel valida la autenticación del ciudadano.
5. La entidad estatal confirma la identidad y habilita al ciudadano para la
realización de trámites.
4.5.5 PERSPECTIVAS
JURÍDICA
La Clave Única es un sistema que se pone a disposición de los demás órganos de
la administración del Estado por aplicación de los principios de eficiencia y
coordinación que debe observar dichas instituciones, conforme lo dispone el
artículo 3°, Inciso segundo del Decreto con Fuerza de ley N° 1/19.653, de 2001,
del Ministerio Secretaria General de la Presidencia que fija el texto refundido,
coordinado y sistematizado de la ley N° 18.575, Orgánica Constitucional de Bases
Generales de la Administración del Estado, en adelante, LOCBGAE. Asimismo,
este sistema se encuentra en plena consonancia con los principios de economía
136
procedimental y no formalización, establecidos en los artículos 9 y 13 de la ley N°
19.880, que establece las bases de los procedimientos administrativos que rigen
los actos de los órganos de la administración del Estado.
“ClaveÚnica” es una firma electrónica de conformidad a lo dispuesto al artículo 2,
letra f) de la ley N° 19.799. A mayor abundamiento, de conformidad a lo dispuesto
en el artículo 3 de la misma ley, dicha firma se mirará como firma manuscrita para
todos los efectos legales.
Esta firma electrónica puede emplearse en los procedimientos administrativos (art.
19 de la ley N° 19.8804) y en cualquier clase de acto jurídico salvo cuando dicho
acto: (1) exija una solemnidad que no sea susceptible de cumplirse mediante
documento electrónico; (2) Aquellos en que la ley requiera la concurrencia
personal de alguna de las partes y (3) Aquellos relativos al derecho de familia (Art.
3 Ley N° 19.799).
De acuerdo a lo establecido en la ley N° 19.880, en la ley N°19.799 y su
reglamento, los órganos de la administración del Estado pueden relacionarse con
las personas a través de técnicas y medios electrónicos con firma electrónica,
cuando éstos hayan consentido en esta forma de comunicación. En este sentido,
como regla general, basta el empleo de una firma electrónica “simple”, como lo es
“ClaveÚnica” y que exista el consentimiento del usuario en cuanto al uso de esta
herramienta.
El marco jurídico completo aplicable se conforma con las siguientes normas
principales:
Documento Nombre del documento
Ley N° 18.575, DE 5 DE DICIEMBRE DE 1985. MINISTERIO
DEL INTERIOR
Ley Orgánica Constitucional de Bases Generales
de la Administración del Estado.
Ley N° 19.628, de 28 de agosto de 1999. MINISTERIO
SECRETARÍA GENERAL DE LA PRESIDENCIASobre protección de la vida privada.
o Marco de política que soporta el modelo: a partir de la promulgación en el año
2008 de la ley 20285 de acceso a la información pública, se considera que inicia el
fomento a la trasparencia en el Gobierno. Este proceso comienza en parte en el
año 1999, con la ley No 19653, sobre probidad y trasparencia pública, la cual
modificó la ley Orgánica Constitucional Bases Generales de la Administración del
Estado (ley 18575).
Posteriormente, en el año 2005 se introdujo el artículo 8 de la Constitución de la
República, ampliando el acceso de la información de todos los órganos del Estado.
o Instrumentos: Ley Modelo de Firma Electrónica de la CNUDMI de 2001. Ley N°19.799 de 2002 sobre documentos electrónicos, firma electrónica y servicios de certificación. Decreto N° 181 reglamenta la ley 19.799 de 2002. Ley N°19.496, Protección a los Derechos del Consumidor. Ley 20285 de 2008 de Acceso a la Información Pública. Artículos 9 y 13 de la ley N° 19.880, que establece las bases de los procedimientos administrativos que rigen los actos de los órganos de la administración del Estado. Ley 19628 de 1999 sobre protección de datos de carácter personal.
o Normas legales o políticas : el Ministerio Secretaría General de la Presidencia de
la República cuenta con proyectos de estándares y normativas de gobierno digital
(proyecto de datos abiertos, normativas técnicas). Además de eso los ejes
estratégicos (implementación de herramientas TIC habilitantes, mayor
coordinación entre las instituciones del Estado, simplificación y digitalización de
trámites).
o Términos y condiciones de uso para los usuarios: antes de activar el
mecanismo de Clave Única en Chile, el usuario debe aceptar los términos de uso
los cuales se señalan a continuación:
La Clave Única registrada por el usuario(a) debe ser única, personal, confidencial e intransferible.
Su duración es indefinida, sin perjuicio de su actualización periódica voluntaria o solicitada por el Registro Civil.
Todo uso del nombre de usuario(a) y clave única es de única y exclusiva responsabilidad del titular.
El usuario(a) declara comprometerse a adoptar todas las medidas para que el nombre de usuario (a) y clave única no sean conocidos, entregados, utilizados por terceras personas autorizadas o no, divulgados, publicados, cedidos o cualquiera otra acción que suponga un uso indebido de dicha información de carácter personal, confidencial e intransferible.
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
o Responsabilidades para los usuarios: se establece que para recuperar la clave,
el usuario debe ingresar al sitio dispuesto para esto y seguir las instrucciones en
pantalla. Si registra correo electrónico y establece preguntas secretas, deberá
seleccionar una de ellas para recuperar su clave única. En caso que sólo tenga un
correo electrónico registrado, se le enviará un nuevo código de activación que le
permitirá crear una nueva clave única. Si sólo registró preguntas secretas, a través
de éstas podrá crear una nueva clave única.
En el caso que la persona acceda al sitio Web www.registrocivil.cl, con su nombre
de usuario(a) y clave única, la responsabilidad derivada de la falta de cuidado,
indebida reserva, mal uso o uso por terceros autorizados o no, ocasionándose o no
perjuicios directos previstos e imprevistos, o de cualquier otra especie, es
exclusiva responsabilidad del titular.
o Emisores y operadores de los proyectos: operador estatal, subvencionado completamente por el Estado. Aún están presentes algunos proveedores de servicios de certificación.
TÉCNICA
Existen librerías disponibles para PHP, Java, Python, C# y otros. Se puede
encontrar una lista exhaustiva en el sitio Web de Open ID:
o Crear el mecanismo de autenticación
Utilizando los ejemplos dados en las librerías, realizar requests al endpoint de
Clave Única:
https://www.claveunica.cl/autenticacion/openid
o Solicitar atributos adicionales usando el protocolo Attribute Exchange
(opcional)
La mayoría de estas librerías soportan el protocolo AX (Attribute Exchange).
Mediante este protocolo se pueden solicitar atributos adicionales del usuario
autenticado. Por ejemplo, se podría solicitar el RUT, nombre, apellidos, etc.
Luego, si el usuario autoriza compartir estos atributos, se puede obtener estos
140
valores. Para mayor información de cómo utilizar AX se debe seguir este
enlace.
o Validar la respuesta obtenida desde Clave Única
Para asegurar que la respuesta sea auténtica se deben realizar dos
validaciones:
Validar que la respuesta sea Open ID auténtica. Las librerías Open ID
siempre traen dicha función.
Verificar que la identidad Open ID obtenida venga desde Clave Única.
Por lo tanto, es muy importante verificar que la identidad Open ID
comience con https://www.claveunica.cl/
o Generar la sesión en sitio Web
Una vez que se obtiene la respuesta de autenticación correcta, se debe
generar la sesión en el sitio Web. Clave Única responderá con un identificador
único, para que se pueda reconocer a través de las distintas sesiones.
Los sitios Web del Gobierno y/o terceras personas ahora pueden permitir la
autenticación a través de la Clave Única. La Clave Única libera a los usuarios
de manejar distintas cuentas para distintos sitios Web, además de permitirles
autenticarse como chileno. También libera a los desarrolladores de la labor de
almacenar y administrar contraseñas. Esta página describe cómo integrar
Clave Única a un sitio Web.
Clave Única soporta el protocolo Open ID 2.0. El protocolo se inicia cuando un
sitio externo emite una petición a Clave Única para autenticar a una persona.
Clave Única verifica la autenticidad del chileno a través de sus contraseñas
obtenidas en el Servicio de Registro Civil e Identificación. Luego, devuelve al
sitio externo un identificador con que el sitio pueda reconocer al usuario. El
identificador es consistente, permitiéndole así al sitio reconocer al usuario a lo
largo de múltiples sesiones.
Clave Única además soporta la extensión Open ID Attribute Exchange 1.0.
Esta extensión le permite a los desarrolladores acceder, con el permiso del
usuario, a información como: RUT, nombre, apellidos, etc.
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
Estándares: Open ID con temas de seguridad. Lineamientos tecnológicos: la Clave Única soporta el protocolo Open ID 2.0. El
protocolo se inicia cuando un sitio externo emite una petición a Clave Única para autenticar a una persona. Clave Única verifica la autenticidad del chileno a través de sus contraseñas obtenidas en el servicio de registro civil e identificación. Luego, devuelve al sitio externo un identificador con que el sitio pueda reconocer al usuario. El identificador es consistente, permitiéndole así al sitio reconocer al usuario a lo largo de múltiples sesiones. Clave Única además soporta la extensión Open ID Attribute Exchange 1.0. Esta extensión le permite a los desarrolladores acceder, con el permiso del usuario, a información como: RUT, nombre, apellidos, etc.
Políticas de seguridad y privacidad: el servicio de registro civil e identificación entregará al usuario un comprobante, correspondiente al “código de activación de cuenta en oficina Internet”. Al momento de ingresar el código de activación, el SRCeI informa al usuario sobre el alcance de la “ClaveÚnica” y de los resguardos que debe mantener para que no se haga un uso inadecuado o malicioso de la misma. Las políticas de privacidad establecidas por el Servicio de Registro Civil están disponibles al momento de activar la ClaveÚnica en el sitio Web del Servicio de Registro Civil, a saber:
El Servicio de Registro Civil e Identificación asegura la confidencialidad de los
datos personales de los(as) usuarios(as) que se registren en
www.registrocivil.gob.cl mediante el o los formulario(s) establecido(s) para esos
efectos. Sin perjuicio de sus facultades legales, el servicio sólo efectúa tratamiento
de datos personales de aquellos entregados voluntariamente por los(as)
usuarios(as) a través de su sitio Web.
Los datos personales de los(as) usuarios(as) son recopilados a través de las
solicitudes de transparencia, Sistema Atención Ciudadana (SIAC) y solicitud de
certificados en línea publicados en el sitio Web, los cuales son utilizados sólo
dentro de la competencia y atribuciones del Servicio de Registro Civil e
Identificación.
El Servicio de Registro Civil e Identificación podrá comunicar a otros organismos
del Estado, los datos personales de sus usuarios, conforme lo establecido en la ley
19.628, ley N° 19.477 y demás leyes especiales.
142
El Servicio de Registro Civil e Identificación, en caso de ser requerido
judicialmente, comunicará los datos personales de los(as) usuarios(as) que le sean
solicitados.
Las personas pueden en todo momento ejercer los derechos otorgados por la ley
N° 19.628, sobre protección de la vida privada y sus modificaciones posteriores,
sin perjuicio de los límites que contempla la normativa legal al ejercicio de estos
derechos y de las recomendaciones del Consejo para la transparencia sobre
protección de datos personales por parte de los órganos de la Administración del
Estado.
Descripción genérica de las soluciones tecnológicas: mecanismo utilizado – Clave Única que simplifica, la intervención del ciudadano, pero simplifica también las características de seguridad. El servicio valida que las credenciales Open ID sean correctas y que la identidad del usuario venga de Clave Única. Si es así, autentica al usuario e inicia su sesión.
Mecanismos de autenticación: se refiere a una clave única y un software de firma digital.
Requerimientos técnicos y funcionales de las soluciones tecnológicas: debe crear el mecanismo de autenticación, solicitar atributos adicionales usando el protocolo Attribute Exchange (Opcional), validar la respuesta obtenida desde Clave Única. Para asegurar que la respuesta sea auténtica se deben realizar dos validaciones: la primera que la respuesta sea Open ID auténtica, verificando que la identidad Open ID obtenida venga desde Clave Única y por último generar la sesión en el sitio Web.
Interoperabilidad: 60 trámites18.
FINANCIERA
El modelo es subvencionado de manera completa por el Estado en el costo de su
infraestructura y soporte. No tiene costo para el ciudadano.
Es importante destacar que en Chile coexiste el modelo de firmas digitales, utilizadas hoy
día por el sector privado donde cada proveedor de servicios de certificación asume el
18 Clave Única Chile. Disponible en: https://www.claveunica.cl/preguntas/servicios. Último acceso: octubre 15 de
costo de su infraestructura PKI y el costo al usuario final es en promedio de unos 70
dólares año.
Modelo de sostenibilidad: subvención estatal total. Participan las entidades estatales directamente con recursos del presupuesto general. Se proporciona gratuitamente el sistema tecnológico que permitirá el uso de “Clave Única”; así mismo la asesoría técnica necesaria para la implementación y operación del sistema en las entidades adherentes; se provee el servicio de conexión entre la institución y el SRCeI, para efectos de autenticar electrónicamente a una persona. Cada entidad adherente debe adoptar las medidas que sean necesarias para que la transmisión sea proporcionada de forma segura.
CAPEX: asumidos enteramente por el Estado a través de asignación presupuestal.
OPEX: asumidos enteramente por el Estado a través de asignación presupuestal. No auto sostenible.
Tarifas: el servicio es gratuito.
Transparencia: no es suficiente la información pública disponible.
ORGANIZACIONAL
Mapa de actores y roles: responsable ejecución: modernización, gobierno digital y Ministerio Secretaría General de la Presidencia. Director Nacional del SRCeI. Existen 4 privados en el modelo.
Mercado: 17,7 millones. La población sólo representa el 38% de la población colombiana.
Alcance del modelo (beneficiarios): referente a nivel mundial en los trámites que se ofrecen. Por el tamaño del mercado el sistema de autenticación no ha logrado penetrar en la mayoría de los habitantes.
Empresas, instancias o sectores que participan en el desarrollo del modelo: MINSEGPRES y la integración de 9 instituciones a la plataforma. Hay entidades aliadas, entre las que se destacan: Agencia de Calidad de la Educación, Comisión Nacional de Seguridad de Tránsito, Corporación de Fomento de la Producción, Dirección del Trabajo, Dirección General de Movilización Nacional, Fiscalía Nacional Económica, Gendarmería de Chile, Instituto de Desarrollo Agropecuario, Instituto de Previsión Social, Municipalidad de Ñuñoa, Servicio de Registro Civil e Identificación, Subsecretaría de Agricultura, Subsecretaría de Transportes,
144
Subsecretaría de Vivienda y Urbanismo, Superintendencia de Electricidad y Combustibles, Superintendencia de Insolvencia y Reemprendimiento.
Articulación con otras iniciativas de gobierno electrónico: progresivamente, se irán incorporando más instituciones que posean otros servicios en línea, con el fin de agilizar la gestión de trámites, facilitar la postulación a programas y beneficios, y la colaboración en instancias de participación ciudadana, entre otros.
SOCIOCULTURAL
Esta iniciativa busca proveer a los ciudadanos de una Identidad Electrónica Única para la
realización de trámites en línea del Estado y proporcionarle al ciudadano diferentes
ventajas con el uso de este modelo.
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
Ilustración 30. Infografía sociocultural Chile
Fuente: Página Web Clave Única: https://www.claveunica.cl
Estrategia de apropiación y uso por parte de los usuarios: en la página Web de Clave Única, se presenta contenido relacionado con el alcance y uso de la Clave Única. Entre otros se explica, qué es, servicios habilitados, cómo obtenerla, cómo cambiarla y el procedimiento si se olvidó la misma.
Mediante la campaña de digitalización de trámites públicos, Chile sin Papeleo, impulsada por la Segpres, se ha logrado que varios trámites del Estado puedan
realizarse por Internet. Desde el lanzamiento de esta campaña, en agosto de 2012, son 115 las instituciones que se han comprometido a Chile sin Papeleo, para aumentar la cantidad de trámites en línea.
Estrategias de difusión y marketing: estrategias ATL y BTL a nivel de marketing, en las que se anuncia los alcances del proyecto y su forma de uso. Adicionalmente existe una estrategia de redes sociales en la página de Internet de Clave Única.
Indicadores de uso:
Ilustración 31. Avances en Clave Única
Fuente: Ministerio Secretaria Gral. De la Presidencia: http://www.observatoriodigital.gob.cl/gobierno-digital-al-dia/clave-unica
Facilidad en el proceso: proceso fácil y amigable con una sola credencial.
Estrategia de implementación: existe un convenio de cooperación para la implementación del sistema de “Clave Única”.
Esquemas de formación de usuarios: si el usuario tiene algún inconveniente con el entendimiento o uso de la Clave Única, éste podrá dirigirse a la mesa de ayuda telefónica del Registro Civil e Identificación, o, remitirse a la documentación en línea en el sitio del Registro Civil e Identificación (www.claveunica.cl). Se evidencia que algunos ministerios realizan programas de capacitación para el uso del sistema de ventana única.
Tipologías de cliente-objetivo: solamente aplica en la relación Estado – ciudadano, no cubre el sector privado.
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
5. ANÁLISIS DE CASOS NACIONALES
5.1 COLOMBIA
Capital: Bogotá D.C.
Lenguaje oficial: español.
Moneda: peso colombiano.
Bandera:
Ilustración 34. Bandera Colombia
Fuente: http://www.banderas-mundo.es/
INDICADORES DE DESARROLLO
Nivel de ingresos: Ingreso medio alto
Población total: 47,77 millones (2014).
Población urbana: 24% (2014)
Índice de gini: 53,5% (2013)
Tabla 20. Indicadores de desarrollo Colombia
Fuente. Banco Mundial
ECONOMÍA Y CRECIMIENTO
PIB: $377,7 mil millones
150
Crecimiento del PIB (% anual): 4.6% (2014)
Inflación: 3.66% (2014)
Superávit/déficit del efectivo (% del PIB): 2,8% (2012)
Tabla 21. Economía y crecimiento Colombia
Fuente. Banco Mundial
CIENCIA, TECNOLOGÍA Y COMUNICACIONES
Gasto en investigación y desarrollo (% del PIB): 0,17% (2012)
Usuarios de Internet (por cada 100 personas): 52,6% (2014)
Subscripciones de teléfonos celulares por cada 100 habitantes: 113 (2014)
Subscripciones a Internet de banda ancha fija por cada 100 habitantes: 10,27 (2014)
Tabla 22. Ciencia, tecnología y comunicaciones Colombia
Fuente. Banco Mundial
5.1.1 DESCRIPCIÓN DEL PROYECTO
Colombia cuenta con un modelo de autenticación electrónica que privilegia la neutralidad
tecnológica respecto de los mecanismos que se encuentran a disposición para este fin. Se
definen desde métodos de autenticación simples, hasta mecanismos de autenticación
robustos y firmas electrónicas y digitales.
El marco institucional en lo referente a la autenticación electrónica dentro del Estado
colombiano, se ha definido recientemente en la ley 1753 de 2015 – Plan Nacional de
Desarrollo -, donde se establece a partir del artículo 45 la competencia que sobre esta
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
temática tiene el Ministerio de Tecnologías de Información y Comunicación (en lo sucesivo
MinTIC), y allí se define específicamente que éste deberá establecer: estándares,
modelos, lineamientos y normas técnicas para la incorporación de las Tecnologías de la
Información y las Comunicaciones (TIC), que contribuyan a la mejora de los trámites y
servicios que el Estado ofrece al ciudadano, los cuales deberán ser adoptados por las
entidades estatales.
En ese orden de ideas es el MinTIC quien tiene a su cargo la definición del modelo de
autenticación electrónica dentro del Estado colombiano.
Ahora bien, en ese marco institucional, será necesario complementar lo descrito en la ley
527 de 1999 y de uno de sus decretos reglamentarios (333 de 2014) – sobre validez
jurídica y probatoria de la información electrónica – donde se establecen algunas
competencias en entidades que también participan en el modelo actual de autenticación
electrónica del Estado:
a. Inspección, control y vigilancia de los servicios de certificación digital, a cargo de la
Superintendencia de Industria y Comercio.
b. Acreditación de las entidades de certificación digital, a cargo de la Organización
Nacional de Acreditación de Colombia – ONAC.
c. Establecimiento de las condiciones de confiabilidad y apropiabilidad de las firmas
electrónicas bajo los criterios definidos en el decreto 2364 de 2012, por parte de
firmas auditoras o peritos técnicos.
Es importante señalar, que hoy, de conformidad con lo descrito por la ley 527 de 1999, y
atendiendo lo analizado en las diferentes entidades que se ha tenido la oportunidad de
visitar en el análisis nacional, se han encontrado mecanismos de autenticación de
diversas características como:
i. Mecanismos simples de autenticación – definidos a partir del artículo 17 de la ley
527 de 1999.
(i) Mecanismos robustos de autenticación - definidos desde la Circular Externa 042
de 2012 emitida por la Superintendencia Financiera de Colombia y entre los que se
encuentran:
a. One Time Passwords (OTP) con doble factor de autenticación.
152
b. Biometría, en diferentes modalidades.
c. Tarjetas EMV (Estandar European Mastercard y Visa) con doble factor de
autenticación.
d. Firmas digitales.
(ii) Firmas electrónicas, que en Colombia pueden ser emitidas por cualquiera (siempre
y cuando se puedan verificar las condiciones de confiabilidad y apropiabilidad del
mecanismo, esto es la autenticidad e integridad del método según lo dispuesto por
el decreto 2364 de 2012);
(iii) Firmas digitales, que en Colombia, conforme lo describe el decreto 333 de 2012
pueden ser emitidas por las entidades de certificación digital, tanto abiertas como
cerradas, y éstas deben ser acreditas por el ONAC como se indicó anteriormente.
5.1.2 EL MODELO
Se encuentra pertinente evidenciar los siguientes componentes que definen la estructura
esencial de este modelo:
a) Gobernanza y distribución del servicio: La Registraduría Nacional del Estado Civil,
es la entidad encargada de proveer la identidad oficial en Colombia. Los métodos
de autenticación sin embargo no utilizan de manera general esta fuente de
información sobre la identidad (incluso en la autenticación biométrica, dónde sólo
de manera reciente se ha venido permitiendo el acceso a la base de datos
biográfica y biométrica de la RNEC), y por lo tanto puede hablarse de repositorios
distribuidos, desde donde diferentes operadores validan la identidad de las
personas. Por ejemplo:
Métodos simples de autenticación, utilizan como método de enrolamiento
de la identidad fuentes propias o autogestionadas.
Métodos robustos de autenticación, utilizan base de datos propias y del
sistema financiero (Datacrédito y CIFIN).
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
Firmas electrónicas, utilizan bases de datos financieras y de entidades
Firmas digitales, utilizan base de datos del sistema financiero (Datacrédito
y CIFIN), así como bases de datos oficiales (RNEC, Procuraduría etc.).
b) Universalidad: No es universal. El sistema de autenticación electrónica ante
trámites estatales tiene una alta dispersión, pues no hay una solución que se esté
empleando de manera genérica. Existen diversidad de posibilidades de
autenticación, con un impacto poblacional muy reducido para trámites electrónicos
del Estado.
c) Enrolamiento: la red de distribución incluye el uso de medios virtuales
preferiblemente, y en el caso de las firmas digitales o la biometría se utilizan
métodos presenciales, para garantizar de manera fehaciente la identidad de los
titulares.
d) Estructura de mercado: el sistema es de libre competencia, y en el caso de los
mecanismos de autenticación robustos, firmas electrónicas y firmas digitales; se
encuentra estructurado a través de la libre entrada y cumplimiento de requisitos.
e) Financiación: la financiación del modelo es mixto y depende directamente del tipo
de función que realice la entidad o del trámite que se esté realizando. En la
autenticación simple normalmente los costos (Capex y Opex están a cargo del
Estado). En el caso de la autenticación robusta y de firmas electrónicas o digitales
(salvo el caso de la DIAN) el costo del mecanismo se encuentra a cargo del
particular (empresas o ciudadanos).
f) Relación ámbito público y privado: no hay un relacionamiento directo en la
autenticación electrónica, pues cada sector utiliza de manera independiente
mecanismos, lo que tiene como efecto el uso de múltiples credenciales de
autenticación por parte de los ciudadanos.
g) Niveles de servicio: varían dependiendo directamente del tipo de mecanismo que
se esté empleando y del proveedor que lo emita. En el caso de las firmas digitales
normalmente la emisión toma 3 días, y la atención de incidencias es inmediata a
partir de una estructura muy bien definida en la actualidad.
154
En suma, el modelo se despliega de la siguiente forma:
CANVAS
Ilustración 35. Canvas Nacional
Fuente. Elaboración propia
5.1.3 DESCRIPCIÓN DEL MODELO
En Colombia, el marco jurídico de utilización de los mecanismos de autenticación,
comprende normas de diferente naturaleza, tales como:
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
a. La ley 527 de 1999, sobre validez jurídica y probatoria de la información
electrónica, establece las firmas digitales y las entidades de certificación digital.
b. La ley 794 de 2003, reforma del Código de Procedimiento Civil, donde se señala la
necesidad de garantizar atributos de autenticidad e integridad en el desarrollo de
actos de comunicación.
c. Ley 1564 de 2012, la cual regula la actividad procesal en asuntos civiles,
comerciales, de familia y agrarios por medios electrónicos.
d. La ley 962 de 2005, que establece en su artículo 6, la necesidad de que las
actuaciones de la administración pública por medios electrónicos garanticen
atributos de autenticidad, integridad y disponibilidad.
e. El decreto 2364 de 2012, que reglamenta el uso de las firmas electrónicas.
f. El decreto 333 de 2014, que señala las condiciones de constitución y
funcionamiento de las entidades de certificación digital.
g. La ley 1437 de 2011, Código de Procedimiento Administrativo y de lo Contencioso
Administrativo donde se define el procedimiento administrativo electrónico, y
dentro de éste la necesaria garantía de autenticidad, integridad y disponibilidad de
la información electrónica.
h. La ley 1450 de 2011, norma sobre el plan de desarrollo, que permite a las
entidades estatales o a los particulares que desarrollen función pública, el acceso
a la base de datos biográfica y biométrica de la Registraduría Nacional del Estado
Civil.
i. Resolución 3341 de 2014, emitida por la Registraduría Nacional del Estado Civil
donde se definen las condiciones que deben reunir quienes quieran ser
operadores de biometría dactilar ante la base de datos biográfica y biométrica de
esa entidad.
j. Ley 1581 de 2012, estatutaria de protección de datos personales, donde se
definen las condiciones de protección de los datos personales, estableciendo
también la necesidad de garantizar autenticidad e integridad en el tratamiento de
los mismos.
156
k. Ley 1712 de 2014, de transparencia y acceso a la información pública donde se
establecen las condiciones de acceso a la información, incluyendo las razones de
seguridad que deben ser tenidas en cuenta.
l. Ley 1753 de 2015, Plan de Desarrollo, donde se establece entre otras:
a. Las competencias que en materia de autenticación electrónica del Estado
tiene MinTIC.
b. La posibilidad para las entidades financieras de acceder a la base de datos
biográfica y biométrica de la Registraduría Nacional del Estado Civil.
La autenticación electrónica debe analizarse desde dos aspectos a saber: 1) la
autenticación como el método de verificar la identidad de las personas, 2) la autenticación
como el mecanismo para determinar la integridad del contenido de un documento (firma
electrónica). El análisis de tales aspectos debe hacerse a su vez desde dos enfoques: el
enfoque tecnológico y el enfoque jurídico. El enfoque tecnológico consiste en la
determinación de las herramientas que se utilizarán en un entorno virtual a fin de verificar
la identidad de las personas y, el enfoque jurídico consiste en precisar el alcance legal de
estos mecanismos a fin de determinar los mecanismos que permitan garantizar la
autenticidad de un mensaje de datos y la integridad del mismo.
El enfoque tecnológico está dirigido a seleccionar el tipo de software y hardware, que
permita identificar a las personas de la manera más exacta posible. Un ejemplo de esta
tecnología serían los captores biométricos que cumplan con estándares de seguridad del
FBI, y en general con estándares internacionales de seguridad de la información. Otro
ejemplo serían los token o dispositivos de almacenamiento de firmas electrónicas que
permitan identificar a las personas ante un sistema de información. En este ámbito de
seguridad, la criptografía, se ha convertido en una herramienta esencial para garantizar la
identidad de las personas, ya sea a través de claves compartidas, criptografía simétrica,
asimétrica, criptografía de clave asistida, entre otras.
Por su parte, el enfoque jurídico se centra en la idoneidad de los mecanismos de firma
(digital, firma electrónica simple y certificada), que deben usarse en los diferentes
entornos transaccionales de las entidades del Estado y de los particulares al prestar
servicios públicos y en general en entornos transaccionales privados. También debe
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
tenerse en cuenta, el principio de equivalentes funcionales contenido en la Ley Modelo de
la UNCITRAL, atrás reseñado.
La normatividad en materia de comercio electrónico y de seguridad electrónica referente a
la autenticidad e integridad de mensajes de datos o documentos electrónicos, en la gran
mayoría de países pertenecientes a la ONU, contempla los dos tipos de firmas, las
electrónicas y las digitales o electrónicas avanzadas. En Colombia se tienen tres tipos de
firmas electrónicas, a saber: la firma electrónica simple, la firma electrónica certificada y la
firma digital, tal y como se describió páginas atrás. La normatividad le asigna un distinto
valor probatorio a cada una de estas firmas, en función de un sistema de presunciones
legales referentes a la autenticidad e integridad de los mensajes de datos y documentos
electrónicos.
El régimen de firmas electrónicas y su marco normativo en Colombia, (ley 527 de 1999,
decreto 333 de 2014, decreto 2364 de 2012 y decreto (estos últimos incorporados al
decreto 1074 de 2015) ley 019 de 2012), es el marco de la autenticación electrónica que
debe analizarse para definir un modelo de autenticación electrónica unificado.
Firmas electrónicas simples y certificadas
La doctrina ha clasificado los métodos de autenticación en tres categorías: 1) los
que se basan en lo que el usuario o el receptor sabe (por ejemplo, contraseñas,
números de ejemplo, códigos y otra información almacenada en dispositivos) y 3)
los que se basan en las características físicas del usuario (por ejemplo, la
biometría).
Es de resaltar que de lo previsto en la normativa es posible establecer en principio
que la firma electrónica es un mecanismo técnico que puede ser prestado por
cualquier persona que satisfaga los requisitos establecidos en la ley y decreto
antes citados.
No obstante lo anterior, la ley 527 dio un paso significativo a nivel de seguridad
jurídica y técnica al crear la figura de las Entidades de Certificación Digital como
aquellas personas que, de acuerdo con el artículo 30 modificado por el artículo 161
del decreto Ley 019 de 2012, están en capacidad de prestar servicios tales como
“1. Emitir certificados en relación con las firmas electrónicas o digitales de
158
personas naturales o jurídicas. (…) 2. Ofrecer o facilitar los servicios de generación
de los datos de creación de las firmas digitales certificadas. 3. Ofrecer o facilitar los
servicios de registro y estampado cronológico en la generación, transmisión y
recepción de mensajes de datos. 4. Ofrecer o facilitar los servicios de generación
de datos de creación de las firmas electrónicas. (…) 5. Cualquier otra actividad
relacionada con la creación, uso o utilización de firmas digitales y electrónicas".
De lo anterior es posible concluir que las Entidades de Certificación Digital pueden
prestar el servicio de firma electrónica con carácter certificado y es en este punto
donde radica la diferencia con las firmas electrónicas simples. Mientras la firma
electrónica simple (no certificada) puede ser creada por cualquier persona bajo los
parámetros de ley, la firma electrónica certificada es aquella que además de
cumplir lo dispuesto en la normativa exige la participación de una entidad de
certificación, que como tercero de confianza, garantiza de manera efectiva que el
firmante sea quien dice ser basándose en una serie de verificaciones previas que
permiten incluso eliminar el riesgo de suplantación de identidad, que de igual forma
garantiza la utilización de medios tecnológicos pertinentes basados en el estado
del arte de la ciencia y que por lo tanto tiene la capacidad de emitir certificados
digitales sobre dicha firma . En este orden de ideas, es posible establecer que la
firma electrónica certificada resulta más segura por cuanto es un tercero de
confianza (la entidad de certificación digital) el responsable de efectuar la
validación de identidad del iniciador del mensaje de datos y además proveer otros
servicios de certificación que garanticen la no suplantación de identidad, la no
alteración de documentos y el no repudio.
Teniendo en cuenta lo establecido en el artículo 7 º de la ley 527 de 1999, el
decreto 2364 de 2012 dio paso a reglamentar lo establecido en dicha norma. De
esta forma, es posible evidenciar que el decreto antes citado se estructura de la
siguiente forma: i) definiciones o términos de referencia, ii) principios que aplican a
las firmas electrónicas, iii) el requisito de firma, iv) atributos que debe satisfacer la
firma electrónica, v) efectos de la firma electrónica, vi) criterios que satisfacen la
seguridad de la firma, vii) efectos jurídicos de la firma, viii) firma pactada mediante
acuerdo, ix) obligaciones del firmante.
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
Se consagró la confiabilidad y apropiabilidad como requisitos para la firma. Al
respecto, es de notar que el decreto 2364 de 2012 establece en su artículo 4 que
la firma electrónica se considerará confiable para el propósito por el cual el
mensaje de datos fue generado o comunicado si: a) Los datos de creación de la
firma, en el contexto en que son utilizados, corresponden exclusivamente al
firmante, b) Es posible detectar cualquier alteración no autorizada del mensaje de
datos, hecha después del momento de la firma, y agrega el artículo en su
parágrafo que lo dispuesto anteriormente se entenderá sin perjuicio de la
posibilidad de que cualquier persona: 1. Demuestre de otra manera que la firma
electrónica es confiable, ó 2. Aduzca pruebas de que una firma electrónica no es
confiable.
Es de notar que el citado decreto estableció que la firma electrónica tendría la
misma validez y efectos jurídicos que la firma, si aquella cumple con los requisitos
legales relativos a confiabilidad y apropiabilidad, es decir, la acreditación y prueba
de la confiabilidad y apropiabilidad de la firma.
Finalmente, el decreto estableció que el firmante de un mensaje de datos, es decir
la persona que posee los datos de creación de la firma que actúa a nombre propio
o a nombre de otro, debe cumplir una serie de obligaciones legales en el uso de la
firma electrónica, éstas son: 1) Mantener control y custodia sobre los datos de
creación de la firma. 2. Actuar con diligencia para evitar la utilización no autorizada
de sus datos de creación de la firma. 3. Dar aviso oportuno a cualquier persona
que posea, haya recibido o vaya a recibir documentos o mensajes de datos
firmados electrónicamente por el firmante, si: a) El firmante sabe que los datos de
creación de la firma han quedado en entredicho; o b) Las circunstancias de que
tiene conocimiento el firmante dan lugar a un riesgo considerable de que los datos
de creación de la firma hayan quedado en entredicho.
Así las cosas, es importante tener en cuenta que dentro de los atributos jurídicos
de la firma electrónica se encuentra la autenticidad e integridad. Precisamente es
claro que no se puede escindir la firma electrónica del mensaje de datos por
cuanto la firma, como lo menciona la CNUDMI, debe identificar al iniciador del
mensaje de datos y debe ser fiable como apropiada para los fines por los cuales se
160
generó o comunicó ese mensaje, lo cual implica que debe generar integridad
sobre el documento electrónico que está siendo firmado.
Firma digital
En cuanto a la firma digital, ésta ha sido definida en el artículo 2 de la ley 527 de
1999 como un valor numérico que se adhiere a un mensaje de datos y que,
utilizando un procedimiento matemático conocido, vinculado a la clave del iniciador
y al texto del mensaje permite determinar que este valor se ha obtenido
exclusivamente con la clave del iniciador y que el mensaje inicial no ha sido
modificado después de efectuada la transformación; adicionalmente la firma digital
contiene una clave privada, reconocida como “el valor o valores numéricos que
utilizados conjuntamente con un procedimiento matemático conocido, sirven para
generar la firma digital de un mensaje de datos” , y una clave pública conocida
como el “valor o valores numéricos que son utilizados para verificar que una firma
digital fue generada con la clave privada del iniciador” .
En ese sentido, la firma digital corresponde a un procedimiento matemático
conocido que garantiza los siguientes atributos jurídicos: i) Autenticidad: garantiza
la identidad del emisor de un mensaje y la plena seguridad que quien remite el
mensaje de datos es realmente quien dice ser; este proceso se realiza mediante la
emisión de un certificado digital en el cual se hacen las respectivas validaciones. ii)
Integridad: garantiza que el mensaje de datos no haya sido alterado después de la
firma. Al vincularse la firma con el contenido del mensaje, en caso que esa
información cambie, la firma será invalidada. iii) No repudio: el emisor no podrá
negar el conocimiento de un mensaje de datos ni los compromisos adquiridos a
través de éste, por cuanto se presume que quería ser vinculado al mismo.
Adicionalmente, es de suma importancia tener en cuenta que el artículo 28 de la
ley 527 de 1999 regula lo relativo a la firma digital. Este artículo dispuso que
cuando una firma digital haya sido fijada en un mensaje de datos se presume que
el suscriptor de aquella tenía la intención de acreditar ese mensaje de datos y de
ser vinculado con el contenido del mismo. Así también, se señaló que con el fin de
que una firma digital tuviera la misma fuerza y efectos que el uso de una firma
manuscrita, es decir, cumpla con la equivalencia funcional de la firma manuscrita,
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
debía incorporar los siguientes atributos: 1) Debe ser única a la persona que la
usa, 2) Debe ser susceptible de ser verificada, 3) Debe estar bajo el control
exclusivo de la persona que la usa, 4) Debe estar ligada a la información o
mensaje, de tal manera que si éstos son cambiados, la firma digital es invalidada,
5) Debe estar conforme a las reglamentaciones adoptadas por el Gobierno
Nacional.
Es importante recordar que al ser la firma digital el equivalente funcional de la firma
manuscrita, en ésta se relaciona un conjunto de información y los datos personales
propios del firmante, especificados en un certificado digital. El certificado digital,
como lo dispone el decreto 333 de 2014 (hoy Decreto Único Reglamentario 1074
de 2015), es un mensaje de datos firmado por la entidad de certificación que
identifica, tanto a la entidad de certificación que lo expide como el suscriptor, y
contiene la clave pública de éste.
Así las cosas, la firma digital que tiene los mismos efectos de una firma
manuscrita, es la denominada firma digital certificada, pues se requiere la
intervención de un tercero que certifique la identidad de una persona, mitigando así
los riesgos de suplantación y de repudio tan característicos de las comunicaciones
electrónicas. La firma digital autogenerada podrá tener entonces aplicación, pero
con las mismas condiciones de un simple mecanismo de firma electrónica, es decir
que una firma digital que no sea certificada por una entidad de certificación digital,
se entenderá, para todos los efectos jurídicos, como una firma electrónica simple,
donde será entonces necesario probar la confiabilidad y apropiabilidad del
mecanismo para que tenga los efectos de una firma electrónica y por lo tanto será
necesario que dichas condiciones sean previamente establecidas por las partes a
través de un acuerdo.
Teniendo en cuenta lo anterior, es de suma importancia resaltar que debido a ese
procedimiento matemático – firma digital – certificado por una entidad de
certificación, se pueden lograr atributos de seguridad jurídica que son propios de la
firma manuscrita, como son la autenticidad, integridad y el no repudio antes
descritos. Las características de aseguramiento jurídico y técnico de la firma digital
hicieron que el legislador adoptara con respecto de ésta una presunción de
confiabilidad y apropiabilidad. En ese sentido, la diferencia entre una firma digital y
162
una firma electrónica simple es que la firma digital es más robusta técnicamente, y
desde un punto de vista jurídico, también es más robusta por cuanto ésta tiene
mayor fuerza probatoria, pues no será necesario probar su confiabilidad y
apropiabilidad, porque para la emisión de una firma digital – que tiene por finalidad
identificar a una persona – se hace necesaria la intervención de una entidad de
certificación digital que en Colombia cumple las funciones de autoridad de registro
y autoridad de certificación. La entidad de certificación digital es precisamente un
tercero de confianza que garantiza la identidad de las personas en medios
electrónicos.
En este orden de ideas, la firma digital será el mecanismo que garantiza la
identidad y responsabilidad del autor de un documento o transacción electrónica y
de conformidad con el artículo 28 de la ley 527 de 1999, será el equivalente
funcional a la firma manuscrita, es decir, gozará de la misma fuerza y validez
probatoria toda vez que de ésta se desprenden los tres atributos de seguridad
jurídica antes mencionados.
Ventajas: libre elección de la entidad de certificación y del mecanismo de firma electrónica que se quiera utilizar, con el uso de la firma digital es posible autenticarse y firmar digitalmente.
Casos de uso: sobre la firma digital, en Colombia, se destacan los siguientes importantes usos:
o En primer término, se puede afirmar que los certificados digitales sirven para
firmar digitalmente, validando los documentos electrónicos. Esto se explica por
la desmaterialización de documentos físicos que requieren un valor jurídico
otorgado por la firma manuscrita, tales como estados financieros,
autorizaciones, órdenes de compra, certificación de disponibilidad
presupuestal y cualquier comunicación escrita que involucre el uso de una
firma o que trate de garantizar la seguridad en el origen y la integridad de la
información.
o En segundo lugar, la certificación digital se puede aplicar en sistemas de
correo electrónico seguro. En este escenario, la utilidad radica en el
aseguramiento de comunicaciones de correo electrónico, implementando una
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
garantía de autenticidad del origen de los mensajes, de su integridad y
confidencialidad; y de la de sus adjuntos, y del no repudio de la comunicación.
o La tercera posibilidad de aplicación está constituida por el aseguramiento de
transacciones Web, mediante firmas digitales para el aseguramiento de
transacciones instrumentadas a través de Internet.
o Una cuarta aplicación desarrolla sistemas de gestión de identidad, mediante la
implementación de certificados digitales para la autenticación de usuarios ante
sistemas de información y aplicaciones en general. Esta solución está
enfocada a la gestión de identidad, contando con un único elemento de
identificación que añade valor jurídico a las operaciones de autenticación y
control de acceso.
o La quinta posibilidad de aplicación de la certificación digital está constituida
por la gestión de reportes e informes, pues mediante la incorporación de la
firma digital y de los sistemas administradores de firma digital para la gestión
de grandes volúmenes de documentos, se puede hacer más eficiente y segura
la administración de informes y reportes periódicos. Este es el modelo que en
la actualidad tienen varias de las superintendencias de nuestro país, en su
comunicación con las entidades vigiladas.
5.1.4 PERSPECTIVAS
JURÍDICA
Marco de política que soporta el modelo : Plan Nacional de Desarrollo (ley 1753 de 2015); Política Pública Agenda de Conectividad; Plan Vive Digital y Estrategia Gobierno en Línea (hoy bajo la Dirección Gobierno en Línea de MinTIC).
Instrumentos: Ley 527 de 1999 sobre comercio electrónico. Ley 1273 de 2009 de delitos informáticos. Decreto 2364 de 2012. Decreto 333 sobre constitución y funcionamiento de las entidades de certificación digital, y todo el marco normativo del procedimiento administrativo electrónico, que exige autenticidad, integridad y
164
disponibilidad en las actuaciones administrativas electrónicas (ley 962 y ley 1437). Ley 1581 de 2012 sobre protección de datos personales.
Normas legales:- Ley 527 de 1999
- Ley 962 de 2005
- Ley 1437 de 2011
- Ley 1753 de 2015
Términos y condiciones de uso para los usuarios: sólo se encuentran debidamente documentados en el caso de firmas digitales que cuentan de conformidad con el decreto 333 de 2014 con declaración de prácticas de certificación de las entidades de certificación digital. En el caso de biometría dactilar también se definen las condiciones de uso en la resolución 3341 de 2013 expedida por la RNEC.
Responsabilidades para los usuarios. En general se refieren a la necesidad de garantizar:
a. El control exclusivo del mecanismo por parte del titular.
b. El uso del mecanismo sin que haya delegación a terceros.
En el caso de las firmas digitales estas responsabilidades se encuentran
delimitadas en la Declaración de Prácticas de Certificación.
Emisores y operadores de los proyectos Para mecanismos de autenticación
simples: Autogenerados, ETEK, Olimpica, Avanxo y en general proveedores IT
(Cifin, Datacrédito, entre otros).
Para mecanismo de autenticación robustos: Gmalto, Vasco, RSA, Visa,
Mastercard, entre otros.
Para firmas electrónicas: Autogenerado, ETEK, Avanxo, Docusign, Microsoft,
Deceval, Papel Cero, DoyFe, entre otros.
Para firmas digitales: Andes, Certicámara, GSE y DIAN.
Para biometría: RNEC y operadores homologados, Certicámara, Thomas Gerg &
Sons y Carvajal.
En las firmas digitales, ONAC cuenta con definiciones de las entidades
autorizadas en su página Web.
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
Por destacar: existe un marco jurídico habilitante claro, amplio y unas políticas
de Estado sostenibles que permite el uso regulado y masificado del mecanismo
de Autenticación Electrónica, enmarcado en los principios constitucionales y
legales de Colombia, leyes modelo y buenas prácticas internacionales.
TÉCNICA
Estándares: sólo aplica para firmas digitales y biometría. En firmas digitales, deben estar en formato X.509.En el caso de biometría se encuentran los definidos por la RNEC en la Resolución 3341 de 2013.
Lineamientos tecnológicos: no se encuentran definidos por el Estado, salvo el caso de las entidades de certificación digital emisoras de firmas digitales que deben cumplir con criterios específicos de acreditación desarrollados por el ONAC.
Políticas de seguridad y privacidad: no existe obligatoriedad para los diversos mecanismos de autenticación, salvo el caso de las firmas digitales donde se deben cumplir las prácticas descritas en la ISO 27001 de 2013 y conforme lo señalan los Criterios Específicos de Acreditación también los definidos por Webtrust.
Descripción genérica de las soluciones tecnológicas: depende directamente del tipo de mecanismos dispuestos.o Mecanismos simples de autenticación.
o Mecanismos robustos de autenticación.
o Firmas electrónicas.
o Firmas digitales.
o Biometría.
Mecanismos de autenticación: métodos tales como: códigos, contraseñas, datos biométricos, o claves criptográficas privadas; que permiten identificar a una persona, en relación con un mensaje de datos, siempre y cuando el mismo sea confiable y apropiado respecto de los fines para los que se utiliza la firma, atendidas todas las circunstancias del caso, así como cualquier acuerdo pertinente.
166
Requerimientos técnicos y funcionales de las soluciones tecnológicas: depende directamente del tipo de solución tecnológica a utilizar, y no existe una definición requerimientos mínimos.
Interoperabilidad con soluciones tecnológicas de Gobierno o institucionales: no existe interoperabilidad, cada solución de autenticación electrónica en las entidades estatales funciona de manera independiente.
FINANCIERA
Modelo de sostenibilidad (fuentes de ingreso o financiación) : no existe uniformidad. En el caso de la DIAN cubre CAPEX y OPEX de las firmas digitales con su propio presupuesto. En el caso de otras modalidades de autenticación simples se hace de la misma forma.
En la mayoría de los casos es el particular quien debe asumir los costos de la autenticación electrónica del Estado, y éste se encarga de asumir la operación.
Tarifas: para los usuarios finales el costo de firmas digitales oscila entre $50.000 y $120.000 de certificados digitales con vigencia 1 año.
SOCIOCULTURAL
Colombia ha venido desarrollando su modelo de autenticación electrónica a partir de un
marco regulatorio bastante prolijo, pero disperso, sin que hayan esfuerzos
interinstitucionales de política pública que permitan su coordinación, o el manejo uniforme
de estos métodos.
Ahora bien, desde al año 2000 con el Documento CONPES 3072 de ese año, y la
definición de la política Agenda de Conectividad, la autenticación electrónica ha sido un
factor clave para el desarrollo de la virtualización de diversos trámites del Estado.
Se han utilizado entre otros, mecanismos diversos como: pin, contraseña, OTP, firmas
electrónicas, firmas digitales, y biometría (ésta última principalmente en la modalidad
dactilar).
En la autenticación electrónica del Estado se ha venido definiendo la aplicación de los
variados métodos a partir de las condiciones de riesgo de cada uno de los trámites
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
involucrados y de la usabilidad (o apropiabilidad) de los mecanismos; siendo
paradigmático el uso de firmas digitales, que normalmente son requeridas para
transmisión de información de particulares al Estado, y donde en la mayoría de las
situaciones es directamente pagada por el ciudadano o por las empresas (Una excepción
importante es el uso de firmas digitales por parte de la DIAN donde los mecanismos de
firma son directamente sufragados por la entidad).
Indicadores:o Número de firmas digitales colocadas en el mercado, por entidades abiertas:
82.000.
o Número de firmas digitales emitidas por la DIAN para contribuyentes: 750.000.
o Ciudadanos que hacen trámites con el Estado por medios electrónicos 38%.
o Empresas que hacen trámites con el Estado por medios electrónicos 45%.
o Personas de más de 5 años que hacen trámites con organismos
gubernamentales por medios electrónicos en 2014: 944 mil19.
o Microestablecimientos que realizaron transacciones con organismos
gubernamentales por medios electrónicos en 2014: 1.12620.
En la actualidad, existen entidades públicas y privadas que han habilitado sus sistemas
para operar con firma digital en esquemas de autenticación, envío de información y
recepción de información; lo que garantiza alta seguridad jurídica y tecnológica. Entre
ellas se destacan: DIAN, Superintendencia Financiera, Superintendencia de Sociedades,
Superintendencia de Salud, Ministerio de Hacienda y Crédito Público (SIIF Nación),
INVIAS, Procuraduría General de la Nación, Aeronáutica Civil, Mincomercio (VUCE),
Invima–Registro sanitario, Superintendencia de Seguridad, Corficolombiana, Cámaras de
Comercio (Sistema RUE), Notarías, ACH, Consejo Superior de la Judicatura (entre otras).
Finalmente, en este punto se destacan las visitas y reuniones realizadas a diferentes
entidades nacionales, las cuales fueron seleccionadas teniendo en cuenta que hicieran
parte de los diferentes sectores económicos del país para obtener de esta manera una
radiografía general sobre el uso del mecanismo de Autenticación Electrónica a nivel
nacional, como lo es el sector bancario con el Banco de la República; el sector de la
19 DANE - Encuesta Nacional de Calidad de Vida - ECV 2014
20 DANE – Encuesta de Microestablecimientos – Resultados módulo TIC 2014.
168
educación con el SENA; el sector salud con la Nueva EPS; y por otra parte la selección se
centró en conocer el estado del arte en materia de Autenticación Electrónica en algunas
entidades públicas del Estado como los las entidades territoriales con la Alcaldía de
Bogotá, el sistema tributario en cabeza de la DIAN y por último el orquestador nacional de
identificación, la Registraduria nacional del Estado Civil.
Sobre estas visitas existen sendas actas reflejadas en los Anexos de este documento, y
que se pueden sintetizar en el siguiente cuadro:
Entidad Método identificado Perspectiva jurídica
Perspectiva técnica
Perspectiva financiera
Perspectiva Sociocultural
Alcaldía de
Bogotá
Métodos de
autenticación simples,
firmas electrónicas y
firmas digitales.
Definición del
mecanismo por riesgo
y usabilidad del
trámite.
Ley 527 y
Acuerdo Distrital
629 de 2008
Mecanismos
simples,
robustos, firmas
digitales
dependiendo de
riesgos
Capex y Opex
estatal
Apropiación en
función del
ofrecimiento de
trámites en línea
DPS
Métodos de
autenticación simple,
basados en sistemas
de preguntas reto, con
especial énfasis en
población no
bancarizada.
Ley 527 Mecanismos
simples de
autenticación.
Verificación a
través de
cuestionario de
preguntas reto.
Capex y Opex
estatal
Apropiación por
desarrollarse.
SENA
Firmas digitales,
adquiridas a través de
un cupo ilimitado que
es utilizado conforme
a las necesidades de
la entidad.
Ley 527 Estandares
definidos por la
oficina de
sistemas
Capex y oPex
estatal
En desarrollo, a
partir de nuevos
trámites en línea
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
NUEVA EPS
Métodos de
autenticación simples,
firmas electrónicas y
firmas digitales.
Definición del
mecanismo por riesgo
y usabilidad del
trámite.
Ley 527 Los definidos en
las normas
Capex y Opex
estatal
En desarrollo
REGISTRADU
RIA NACIONAL
DEL ESTADO
CIVIL
Biometría, con un alto
grado de seguridad y
mitigando por
completo el riesgo. Se
han definido
operadores privados a
partir de la Resolución
3341 de 2013.
Ley 527, Decreto
Ley 019 de 2012,
Ley 1450 de
2008, Ley 1753
de 2015
Estándares
internacionales,
FBI y los
aplicados por
Morpho
Capex Privado
Opex Público
Funciona a
través de
operadores
homologados
Apropiación en
función de
nuevos trámites
que requieren
huella verificada
electrónicament
e.
DIAN
Firmas digitales, en
proceso de migración
a otros mecanismos
de autenticación.
Ley 527, y
Decreto 333
pues fue entidad
cerrada
X 509 V 3, Capex y Opex
completamente
estatal
Apropiación
total en la
relación estado
contribuyente.
BANCO DE LA
REPÚBLICA
Métodos de
autenticación simples,
firmas electrónicas y
firmas digitales.
Definición del
mecanismo por riesgo
y usabilidad del
trámite.
Ley 527,
Resoluciones de
la Junta Directiva
Estándares
propios de la
firma digital, pero
también utilizan
mecanismos
simples
Capex mixto
Opex mixto
Por ejemplo en el
sistema
Cambiario.
Apropiación en
función de la
obligatoriedad
para diversos
actores
financieros.
Tabla 23. Visitas y reuniones realizadas
Fuente. Elaboración propia
170
A continuación, en los siguientes apartes, se realiza el análisis detallado de los casos más
destacados.
5.1.5. Análisis del caso del departamento para la prosperidad social (DPS)
a. Generalidades de la entidad
El Departamento para la Prosperidad Social DPS es el organismo del Gobierno Nacional que busca
fijar políticas, planes generales, programas y proyectos para la asistencia, atención y reparación a las
víctimas de la violencia, la inclusión social, la atención a grupos vulnerables y su reintegración social y
económica. Alcanzar este propósito, el Departamento trabaja integralmente en la formulación y
ejecución de políticas sociales, además de realizar la coordinación de la Unidad de Atención y
Reparación Integral a las Víctimas, el Instituto Colombiano de Bienestar Familiar, la Agencia Nacional
para la Superación de la Pobreza Extrema, el Centro de Memoria Histórica y la Unidad Administrativa
Especial para la Consolidación Territorial.
La misión del DPS es la de “Formular y dirigir políticas para el Sector de Inclusión Social y
Reconciliación e implementar acciones para la estabilización socioeconómica de la población
vulnerable”.
Objetivos y funciones
Los objetivos y funciones del DPS comprenden:
o Dirigir las acciones sectoriales que contribuyan a la creación de condiciones para la
reconciliación.
o Generar condiciones en la población y territorios que permitan la reconciliación y la no
repetición.
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
o Contribuir a la superación de la pobreza con una oferta efectiva.
o Lograr la atención a las poblaciones y territorios de manera eficiente.
o Mejorar la gestión del DPS.
Servicios en línea
El DPS ofrece al ciudadano servicios en línea enfocados a los grupos de población que
atiende, en especial: mujeres, grupos minoritarios, jóvenes, así como familias y atención a
autoridades territoriales con las que colabora.
Ilustración 36. Servicios en línea DPS
Fuente: Página Web DPS
b. Hallazgos por perspectiva
En este apartado se incluye un análisis por cada una de las perspectivas respecto de los
aspectos relevantes encontrados en la entidad
PERSPECTIVA OBSERVACIONES
Elementos
jurídicos
encontrados
El DPS cuenta con un portal de servicio al ciudadano, el cual tiene un
proceso de autenticación para identificar a las personas a través de
172
PERSPECTIVA OBSERVACIONES
preguntas reto asociadas al perfil, a través de 35 fuentes cuentan con un
master data desarrollado por el DPS directamente. Se solicita el número de
cédula como dato de entrada base (identificador) y cuenta con una política
de privacidad.
Las entidades tienen acceso a través de usuario y contraseña como el
Ministerio de Educación, actualmente se está habilitando para otras
entidades adscritas.
Al momento de consultar a través de una red no segura, no cuenta con
previsión ni aseguramiento.
Para el enrolamiento correspondiente, este es de manera presencial, se
realiza en los puntos de atención y la identificación inicial se realiza con la
cédula de ciudadanía, sin embargo se han detectado muchos casos de
suplantación de identidad; esperan desarrollar capacidades para enrolar
electrónicamente.
Elementos
técnicos
encontrados
El DPS muestra el portal de consulta orientado a los ciudadanos
beneficiaros de los diferentes planes. Actualmente se encuentra en etapa
de pruebas antes de publicarlo para el uso público.
Las consultas se realizan por medio de la cedula de ciudadanía sin usar
clave para el usuario, en lugar de la clave se realizan preguntas que conoce
únicamente el ciudadano como mecanismo de autenticación.
El número de preguntas, el número de posibles respuestas, el número de
reintentos y el tiempo de bloqueo es configurable en el portal de consultas.
La funcionalidad de autenticación esta implementada por medio de un
servicio para ser reutilizado por futuras aplicaciones.
Se registra la IP desde donde se realizan las consultas. El servicio se
encontrará desplegado por https/ssl. Se tiene las mismas características de
vulnerabilidad que tendría cualquier otro sistema que permita hacer
consultas en sitios públicos como cafés internet.
Se esperan llegar a tener un mínimo de 300 consultas diarias en el portal de
consultas. Como referencia, en el centro de llamadas se presenta un
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
PERSPECTIVA OBSERVACIONES
número superior a las 2.000 llamadas diarias
Implícitamente, se están utilizando una serie de estándares técnicos:
Arquitectura Orientada a Servicios - Enterprise Service Bus
Arquitectura Empresarial TOGAF
Prácticas ECM con SharePoint.
Identificación de Unidades de Información
Elementos
financieros
encontrados
Con el presupuesto nacional de la Nación, se financió el desarrollo interno
del modelo de seguimiento de familias en acción, jóvenes en acción y plan
de viviendas.
Elementos
organizacionales
encontrados
Dentro de la jefatura de IT, existen dos equipos, uno de arquitectura de TI y
otro de gestión de proyectos. A nivel tecnológico los cargos de carrera
administrativa no están al nivel de los requerimientos necesarios para
gestionar los temas tecnológicos de la Entidad. Se subcontrata el personal
técnico para la operatividad, y presentación de servicios de información.
Actualmente el DPS cuenta con servicios para compartir información de los
beneficiarios con las diferentes entidades miembros del sector.
Algunos de los servicios se encuentran implementados en el portal de
beneficiarios para que usuarios de las entidades se autentiquen, realicen la
consulta y descarga de los archivos requeridos.
Elementos socio
culturales
encontrados
El DPS cuenta con las áreas de comunicaciones, talento humano,
participación ciudadana y los eventos de grupos focales como familias en
acción y jóvenes en acción para presentar los servicios del portal.
Se está adelantando la estructuración de una iniciativa de llevar a las
regiones por medio de los kioscos vive digital (KVD iniciativa del Plan Vive
Digital) los programas de beneficios del DPS.
El portal se comenzará con un piloto con ciertos grupos focales.
Los subsidios son condicionados a los beneficiarios y están restringidos a
174
PERSPECTIVA OBSERVACIONES
un estudio de requisitos; desde el cual, se inicia la recepción de solicitudes
para optar por los beneficios.
La entidad cuenta con 35 direcciones seccionales del DPS desde donde se
atienden los solicitantes.
La entidad ve muy difícil lograr el traslado de recursos entre las entidades
del sector y otras que utilizan los servicios del portal.
No es evidente, una estrategia de capacitación, divulgación, interiorización,
sostenibilidad y gestión del cambio, totalmente estructurada y articulada,
que coadyuve o impacte representativamente en el segmento poblacional
del DPS, frente al acceso y uso de futuros trámites y servicios electrónicos
de la Entidad.
Tabla. Hallazgos por perspectiva DPS
Fuente: Elaboración propia
Entorno jurídico seguro y adecuado: de conformidad con la normatividad legal
vigente aplicable a la autenticación electrónica en Colombia, debe afirmarse que el
entorno jurídico en materia de autenticación electrónica en nuestro país y que le es
aplicable a todas las entidades del estado, incluyendo al DPS; prevé y brinda las
herramientas jurídicas necesarias que permiten contar con un entorno jurídico con
los más altos niveles de seguridad. No existe una norma interna (resolución,
directiva, decreto, carta circular, circular externa, etc.), en materia de métodos y/o
herramientas de seguridad que deben aplicarse en flujos electrónicos o SGDEA.
Entorno tecnológico seguro y adecuado: Existen en el mercado las
herramientas necesarias para asegurar los entornos virtuales de las Entidades del
Estado. EL DPS utiliza el estándar Knowledge-Base Autentication (KBA) para
realizar la autenticación de los beneficiarios de los programas. Este sistema, que
utiliza una serie de preguntas asociadas al ciudadano, permite garantizar, en
principio la autenticidad del ciudadano, esto es, la identidad del ciudadano de
manera remota. Presencialmente, el método que se usa para la entrega de los
beneficios es a través de la exhibición del documento de identidad.
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
Entorno administrativo seguro y adecuado: La Entidad cuenta con un entorno
administrativo que permite definir con claridad los procedimientos y herramientas
de autenticación necesarias para asegurar el flujo de información interna y externa;
los procedimientos de verificación de la idoneidad de los participantes son claros y
existen un proceso definido en tal sentido. Se cuenta con flujos de procesos
definidos y con tablas de retención documental y valoración documental.
Factores de Autenticación
o Algo que sé: Sí
o Algo que tengo: No
o Algo que soy: No.
5.1.6. Caso de la Alcaldía de Bogotá (Alta Consejería Distrital de TIC)
a. Generalidades entidad
Es la Oficina encargada de asesorar, articular, coordinar y supervisar el uso y apropiación
de las Tecnologías de la Información y las Comunicaciones -TIC- en el Distrito para
consolidar una ciudad digital enmarcada en la prestación de mejores servicios desde las
diferentes entidades hacia la ciudadanía y la construcción de una sociedad del
conocimiento.
La misión de la entidad se define así: “La Secretaría General asesora y asiste al Alcalde
Mayor en el ejercicio de sus atribuciones constitucionales y legales, formula políticas para
el fortalecimiento de la función administrativa y la articulación de las entidades distritales,
diseña instrumentos efectivos de coordinación y de gestión en el Distrito Capital para el
mejoramiento continuo del servicio al ciudadano, la promoción del desarrollo institucional,
la orientación de la gestión jurídica y judicial, la gestión disciplinaria interna, la gestión
documental integral y la promoción, cooperación e internacionalización de Bogotá,
176
apoyada en nuevas tecnologías de la información y de comunicaciones, con un equipo
humano idóneo y con vocación de servicio a la comunidad”.
Funciones
Son funciones de la entidad las siguientes:
o Dirigir y liderar la formulación, articulación y seguimiento de las políticas,
lineamientos y directrices distritales en materia de Tecnologías de Información y
Comunicaciones para el fortalecimiento de la función administrativa y misional
de los sectores y entidades de Bogotá Distrito Capital.
o Dirigir y liderar la formulación, articulación y seguimiento de las políticas y
estrategias del Distrito Capital en materia de gobierno en línea, participación
ciudadana a través de medios virtuales, transparencia en la gestión y
contratación pública, democratización de la información y apropiación social de
las Tecnologías de Información y Comunicaciones.
o Dirigir y liderar la formulación, actualización, desarrollo y supervisión del Plan
Maestro de Tecnologías de Información y Comunicaciones (TIC) para el Distrito
Capital.
o Dirigir y liderar la inclusión de la política pública de TIC en el Plan de Desarrollo.
o Participar en el Consejo de Gobierno Distrital para coordinar los asuntos
relacionados con las Tecnologías de Información y Comunicaciones.
o Coordinar ante el Ministerio de las Tecnologías de Información y las
Comunicaciones del Gobierno Nacional los planes, programas y proyectos
relacionados con Bogotá Distrito Capital como ente territorial.
o Participar en la Comisión Distrital de Ciencia, Tecnología e Innovación –
CODICITI–, o la que haga sus veces.
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
o Participar en la Comisión Distrital de Sistemas –CDS-, o la que haga sus
veces.
o Promover convenios y alianzas para impulsar, desarrollar y consolidar el uso
y aplicación de las Tecnologías de Información y las Comunicaciones desde
la Administración Distrital para el desarrollo de Bogotá D.C. como ciudad
digital e inteligente, el emprendimiento tecnológico y el avance de la
sociedad del conocimiento.
o Actuar como vocero de la Administración Distrital frente a los gremios, la
industria, la academia, los grupos sociales y demás organismos nacionales e
internacionales en relación con los avances, planes, programas y proyectos
que el Distrito Capital adelanta en materia de Tecnologías de Información y
Comunicaciones.
o Asesorar a los sectores y entidades del Distrito en la formulación y articular el
desarrollo de las estrategias, planes y programas relacionados con la
implementación de los sistemas de tecnología e información, de conformidad
con las normas del gobierno nacional en materia de TIC, el Estatuto
Orgánico de Bogotá, el Plan de Ordenamiento Territorial, los planes
maestros asociados y el Plan de Desarrollo vigente, así como con los
lineamientos definidos por la Comisión Distrital de Sistemas – CDS.
o Formular los principios de articulación en materia de TIC que deben tener las
entidades distritales para prevenir y atender situaciones de emergencia en el
Distrito Capital.
o Dirigir, liderar y efectuar el seguimiento a la implementación y el normal
funcionamiento de las plataformas tecnológicas habilitantes del gobierno
digital: 1) Red Distrital de Conectividad, 2) Perfil Digital del Ciudadano, 3)
Plataforma Distrital de Interoperabilidad, 4) Canales hipermedia y 5) Sistema
de aseguramiento de la información y patrimonio digital.
178
o Promover los estudios e investigaciones relacionados con la aplicación,
masificación y apropiación social de las Tecnologías de Información y
Comunicaciones (TIC) en el Distrito Capital.
Servicios en línea
Desde la entidad dependen varios servicios en línea que se relacionan con las
diversas áreas de actuación del Distrito Capital, destacando:
Portales para la realización de trámites relacionados con áreas de servicios
sociales, educación, vivienda, transporte, medio ambiente, salud, recreación y
deporte, y actividad empresarial y económica.
Ilustración 37. Servicios en línea Alcaldía Mayor
Fuente: Página Web bogota.gov.co
Portal relacionado con una sede virtual de los Super CADE para interactuar con las
diversas entidades del Distrito.
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
Ilustración 38. Servicios en línea Super Cade
Fuente: Página Web bogota.gov.co
Versión portal de la línea 195 del Distrito en la cual se puede obtener información sobre
entidades, trámites y temas relacionados
Ilustración 39. Chat Línea 195
Fuente: Página Web bogota.gov.co
Agregación de los anteriores en un portal de entrada que permite ubicar los diferentes
servicios relacionados en los anteriores, incluyendo tanto servicios a la ciudadanía como
servicios de información y bancos de documentos.
180
Ilustración 40. Dirección Distrital de Servicio al Ciudadano
Fuente: Página Web bogota.gov.co
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
Ilustración 41. Servicios en línea Alcaldía Mayor
Fuente: Página Web bogota.gov.co
b. Hallazgos por perspectiva
En este apartado se incluye un análisis por cada una de las perspectivas respecto de los
aspectos relevantes encontrados en la entidad
PERSPECTIVA OBSERVACIONES
Elementos
jurídicos
encontrados
La oficina encargada de asesorar, articular, coordinar, y supervisar el uso y
la apropiación de las tecnologías de la información y las comunicaciones –
TIC, cuenta con el desarrollo de una plataforma denominada Perfil digital
del ciudadano, es una base de datos la cual busca caracterizar y tener en
un sitio centralizado información de las personas que interactúan con el
Distrito en diferentes entidades.
No se habla específicamente a través de este portal de Autenticación
electrónica, sino de tener un registro de las personas que acceden al
distrito, para tal fin se expidió la Directiva 022 de 2011 - Estandarización de
182
PERSPECTIVA OBSERVACIONES
la información de identificación, caracterización, ubicación y contacto de los
ciudadanos y ciudadanas que capturan las entidades del Distrito Capital.
Así mismo, manejan estrategia GEL, para lo cual se generó una resolución
en el 2008 con aproximadamente 7 políticas sobre varios temas
tecnológicos, los cuales hasta la fecha no se han puesto en práctica. No
cuentan con mecanismos de seguridad de la información.
Elementos
técnicos
encontrados
La alta consejería realizó la definición de la guía de usabilidad para la
construcción de sitios web en las entidades del distrito.
Se ha involucrados estándares y lineamientos como: Guía para la
construcción de sitios web. No se han iniciado trabajos de estándares de
autenticación. Hacienda e IDU han adelantado iniciativas de autenticación
electrónica separadas.
Dentro de la Norma Técnica Distrital se involucró el uso del estándar NTC-
ISO 27001:2006. Para la gestión de requisitos de seguridad de la
información y la NTC-ISO 15489-1. Información y Documentación. Gestión
de Documentos; los cuales se están utilizando en las diferentes iniciativas
tecnológicas del Distrito.
La alta consejería está trabajando el tema de implementación de la norma
ISO 27001 en los servicios tecnológicos de la entidad.
Se está trabajando en el diagnóstico de los elementos de seguridad de la
información con la comisión distrital de sistemas.
La entidad se esfuerza por definir un estándar técnico para la definición de
requerimientos de autenticación pero aún no ha sido estandarizado en el
distrito.
Se ha elaborado un procedimiento para el desarrollo de aplicaciones y
sistemas de información. Existe un proceso de diseño de arquitectura
tecnológica.
Se tiene un convenio con la RNEC para tener a disposición la base de
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
PERSPECTIVA OBSERVACIONES
datos del registro de ciudadanos y con ello poder depurar el registro de
ciudadanos que se relacionan con el distrito.
Elementos
financieros
encontrados
Lo proyectos liderados por la alta consejería son financiados con
presupuesto directo de este órgano asesor y algunas entidades adscritas.
Así también, algunos proyectos se realizan con convenios como por
ejemplo con el MinTIC y Colciencias.
100% del Presupuesto de la Alta Consejería de las TIC que depende de la
Secretaría General de la Alcaldía de Bogotá. (Capex y Opex)
Una vez implementados los proyectos los gastos de operación, se financian
con los recursos del presupuesto de las entidades participantes.
No existe financiación privada.
Elementos
organizacionales
encontrados
La arquitectura organizacional en el distrito, busca tener en cada proyecto,
líneas específicas en tres distintos aspectos; política, gerencia de proyectos
y casa de software.
Elementos socio
culturales
encontrados
No existe lineamiento de apropiación liderados por la Consejería. La
dirección distrital de servicio al ciudadano, maneja lo que está de cara a la
ciudadanía y son ellos los dados a tener un plan de acción concreto.
Concretamente respecto del tema del perfil digital del ciudadano, se
contempla un plan de comunicaciones que se espera tener en el año 2016.
Existe una Política de servicio al ciudadano, que orienta a las entidades a
sensibilizar a la ciudadanía como veedores de un servicio transparente y
oportuno; garantizar la infraestructura física y tecnológica de los puntos de
atención para que sean accesibles a toda la población; fortalecer los
modelos internos para brindar respuestas más oportunas, integrales y de
calidad a las solicitudes y mayor articulación entre las instituciones para el
mejoramiento de los canales de servicio a la ciudadanía.
184
PERSPECTIVA OBSERVACIONES
Entre los medio o estrategias con los cuales se interactúa, capacita o
interioriza las iniciativas distritales, se destaca las siguientes iniciativas;
Súper Cade, Cade, Cade Virtual, Supercade Móvil,
RapiCade, Línea 195, Portal Bogotá: Sitio web oficial de Bogotá, El Sistema
Distrital de Quejas y Soluciones – SDQS.
Tabla. Hallazgos por perspectiva Alcaldía Mayor
Fuente: Elaboración propia
Entorno jurídico seguro y adecuado: de conformidad con la normatividad legal
vigente aplicable a la autenticación electrónica en Colombia, debe afirmarse que el
entorno jurídico en materia de autenticación electrónica en nuestro país y que le es
aplicable a todas las entidades privadas y entidades del estado, incluyendo la
ALCALDÍA; prevé y brinda las herramientas jurídicas necesarias que permiten
contar con un entorno jurídico con los más altos niveles de seguridad. No existe
una norma interna (resolución, directiva, decreto, carta circular, circular externa,
etc.), en materia de métodos y/o herramientas de seguridad que deben aplicarse
en flujos electrónicos o SGDEA. No se habla específicamente a través de este
portal de Autenticación electrónica, sino de tener un registro de las personas que
acceden al distrito, para tal fin se expidió la Directiva 022 de 2011 -
Estandarización de la información de identificación, caracterización, ubicación y
contacto de los ciudadanos que capturan las entidades del Distrito Capital.
Entorno tecnológico seguro y adecuado: existen en el mercado las
herramientas necesarias para asegurar los entornos virtuales de las Entidades del
Estado y de los privados que cumplen o no funciones públicas. En la Alcaldía
existen diferentes iniciativas, como el Perfil digital del ciudadano, cuyo objeto es
contar un sitio centralizado donde los ciudadanos puedan interactuar con el
Distrito. No obstante, la información es dispersa y la recolección de datos no es
uniforme.
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
Entorno administrativo seguro y adecuado: la entidad cuenta con un entorno
administrativo que permite definir con claridad los procedimientos y herramientas
de autenticación necesarias para asegurar el flujo de información interna y externa;
los procedimientos de verificación de la identidad no se garantizan. Se cuenta con
flujos de procesos definidos y con tablas de retención documental y valoración
documental. A la fecha se encuentran desarrollando un proyecto que permitirá
unificar las bases de datos de las diferentes entidades del distrito.
Factores de Autenticación
o Algo que sé: Sí.
o Algo que tengo: Sí.
o Algo que soy: No.
Los sistemas de información internos: la Alcaldía cuenta con diferentes
sistemas de información internos que le permiten tener un adecuado flujo de la
información. No obstante esté flujo es físico y no se tienen implementados
sistemas de gestión documental electrónico de archivo.
5.1.7. Sena
a. Generalidades entidad
El SENA está encargado de cumplir la función que le corresponde al Estado de invertir en
el desarrollo social y técnico de los trabajadores colombianos, ofreciendo y ejecutando la
formación profesional integral, para la incorporación y el desarrollo de las personas en
actividades productivas que contribuyan al desarrollo social, económico y tecnológico del
país.
Definición y Objeto
186
El SENA nació durante el gobierno de la Junta Militar, posterior a la renuncia del General
Gustavo Rojas Pinilla, mediante el Decreto-Ley 118, del 21 de junio de 1957. Su función,
definida en el Decreto 164 del 6 de agosto de 1957, fue brindar formación profesional a
trabajadores, jóvenes y adultos de la industria, el comercio, el campo, la minería y la
ganadería.
Así mismo, siempre buscó proporcionar instrucción técnica al empleado, formación
complementaria para adultos y ayudarles a los empleadores y trabajadores a establecer
un sistema nacional de aprendizaje. La Entidad tiene una estructura tripartita, en la cual
participarían trabajadores, empleadores y Gobierno, se llamó Servicio Nacional de
Aprendizaje (SENA), que se conserva en la actualidad y que muchos años después,
busca seguir conquistando nuevos mercados, suplir a las empresas de mano de obra
calificada utilizando para ello métodos modernos y lograr un cambio de paradigma en
cada uno de los procesos de la productividad.
El SENA está encargado de cumplir la función que le corresponde al Estado de invertir en
el desarrollo social y técnico de los trabajadores colombianos, ofreciendo y ejecutando la
formación profesional integral, para la incorporación y el desarrollo de las personas en
actividades productivas que contribuyan al desarrollo social, económico y tecnológico del
país.
Funciones
Son funciones de la entidad las siguientes:
1. Impulsar la promoción social del trabajador, a través de su formación profesional
integral, para hacer de él un ciudadano útil y responsable, poseedor de valores
morales éticos, culturales y ecológicos.
2. Velar por el mantenimiento de los mecanismos que aseguren el cumplimiento de
las disposiciones legales y reglamentarias, relacionadas con el contrato de
aprendizaje.
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
3. Organizar, desarrollar, administrar y ejecutar programas de formación profesional
integral, en coordinación y en función de las necesidades sociales y del sector
productivo.
4. Velar porque en los contenidos de los programas de formación profesional se
mantenga la unidad técnica.
5. Crear y administrar un sistema de información sobre oferta y demanda laboral.
6. Adelantar programas de formación tecnológica y técnica profesional, en los
términos previstos en las disposiciones legales respectivas.
7. Diseñar, promover y ejecutar programas de formación profesional integral para
sectores desprotegidos de la población.
8. Dar capacitación en aspectos socioempresariales a los productores y
comunidades del sector informal urbano y rural.
9. Organizar programas de formación profesional integral para personas
desempleadas y subempleadas y programas de readaptación profesional para
personas discapacitadas.
10. Expedir títulos y certificados de los programas y cursos que imparta o valide,
dentro de los campos propios de la formación profesional integral, en los niveles
que las disposiciones legales le autoricen.
11. Desarrollar investigaciones que se relacionen con la organización del trabajo y el
avance tecnológico del país, en función de los programas de formación
profesional.
12. Asesorar al Ministerio del Trabajo en la realización de investigaciones sobre
recursos humanos y en la elaboración y permanente actualización de la
clasificación nacional de ocupaciones, que sirva de insumo a la planeación y
elaboración de planes y programas de formación profesional integral.
188
13. Asesorar al Ministerio de Educación Nacional en el diseño de los programas de
educación media técnica, para articularlos con la formación profesional integral.
14. Prestar servicios tecnológicos en función de la formación profesional integral,
cuyos costos serán cubiertos plenamente por los beneficiarios, siempre y cuando
no se afecte la prestación de los programas de formación profesional.
Servicios en línea
Los servicios en línea del SENA, se encuentran disponibles en la página de SENA Virtual
donde se puede visualizar la oferta de cursos disponibles y además inscribirse si fuera el
caso. El SENA utiliza la herramienta Blackboard, que es una plataforma de aprendizaje
colaborativo e interactivo. En el lado derecho de la página se encuentra la autenticación
de identidad para ingreso, donde posteriormente se pueden ver los documentos
disponibles del curso que esté activo e interactuar con otros estudiantes y el profesor a
través de la plataforma.
Ilustración 42. Servicios en línea SENA
Fuente: Página Web sena.edu
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
Además para ver la oferta de programas de formación ofertados e inscribirse, el SENA
dispone de la página web Sofía Plus donde se pueden buscar escogiendo el tipo de
estudio que se piensa realizar (carrera o curso) y la modalidad (presencial o virtual). En
esta página también es posible registrarse con el fin de inscribirse a algún programa o una
vez esto ya se ha realizado, se puede acceder al sistema (ver costado derecho).
Ilustración 43. SENA Sofía Plus
Fuente: Página Web sena.edu
b. Hallazgos por perspectiva
En este apartado se incluye un análisis por cada una de las perspectivas respecto de los
aspectos relevantes encontrados en la entidad
Preliminarmente, cabe indicar que como parte del Programa de Gobierno en Línea, se
presentaron estos importantes hitos en el desarrollo de sus sistemas:
Comienza en 2009 para la expedición de certificados de estudio.
Se expiden certificados digitales para funcionarios públicos.
190
PERSPECTIVA OBSERVACIONES
Elementos jurídicos
encontrados
Tipos de certificados función pública.(perfil)
No está clara la normatividad que los rige. Se basan en el tema de normas de contraloría, más el tema de retención documental.
Se emiten Certificados de 24k, ya que no se ha actualizado la norma asociada con estándares de preservación.
El formato de firma estándar ISO LTV añaden las evidencias cuando se emiten y cuando se comprueban.
Elementos técnicos
encontrados
En temas de Autenticación:
El estudiante lo hace con nombre de usuario y contraseña en las plataformas del SENA.
Se utilizan mecanismos de firma digital para la expedición de los certificados.
Sede electrónica. documentos normativos.
Instancia de control por obtener el documento a partir del original.
Certificación de estudiantes.
Lectura por medio de elementos biométricos.
Al interior se maneja la autenticación.
Firma digital, usuario y contraseña.
Servicio de soporte técnico.
Seguridad de la información es una deficiencia.
No hay actualizaciones en la web; por lo tanto, si el documento que se generó contiene errores, se debe generar otro.
Existe un módulo de firma centralizada solamente, el uso de firmas digitales está en producción.
Elementos financieros
encontrados
Inversión inicial para herramienta equipo -cliente y se inserta la firma digital.
SENA es el directo poseedor de la infraestructura. Infraestructura similar con una entidad de certificación digital.
Costo de la autenticación: valor fijo a emitir según la cantidad de certificados que se requieran ilimitado en usuarios.
Licencia 564 millones.
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
PERSPECTIVA OBSERVACIONES
La persona inscrita que no realicen el curso respectivo, representa en todo caso un costo para el SENA.
Elementos organizacionales
encontrados
El usuario no es cuidadoso en la generación de los token.
Hay reutilización de los dispositivos.
Se cuenta con 24.000 contratistas.
50.000 a 60.000 usuarios concurrentes.
El Operados postal para los servicios físicos es 4-72.
Elementos socio culturales
encontrados
Se generan 900 certificados digitales.
A los empresarios se les envían comunicaciones de conclusión de estudios.
Comunicación de alto volumen.
Experiencia / beneficios y obstáculos
El proceso de adoptar la cultura de 0 papel ha sido difícil
Las entidades de control todavía solicitan documentos en físico. Como razón se indica que pueden fundamentarse en tablas de retención documental
Ilustración 44. Hallazgos por perspectiva SENA
Fuente: Elaboración propia
Entorno jurídico seguro y adecuado: de conformidad con la normatividad legal
vigente aplicable a la autenticación electrónica en Colombia, debe afirmarse que el
entorno jurídico en materia de autenticación electrónica en nuestro país y que le es
aplicable a todas los privados y entidades del estado, incluyendo al SENA; prevé y
brinda las herramientas jurídicas necesarias que permiten contar con un entorno
jurídico con los más altos niveles de seguridad. No existe una norma interna
(resolución, directiva, decreto, carta circular, circular externa, etc.), en materia de
métodos y/o herramientas de seguridad que deben aplicarse en flujos electrónicos
o SGDEA.
192
Entorno tecnológico seguro y adecuado: existen en el mercado las
herramientas necesarias para asegurar los entornos virtuales de las Entidades del
Estado. El SENA utiliza firmas digitales desde el año 2009 con el objetivo de
expedir certificados de estudios firmados digitalmente. Al interior de la entidad
cuentan con una autenticación interna a través de firma digital y sistemas PIN,
usuario y contraseña. Cuentan con integraciones con la Cancillería, y cuentan con
traslados de dispositivos.
Entorno administrativo seguro y adecuado: la entidad cuenta con un entorno
administrativo que permite definir con claridad los procedimientos y herramientas
de autenticación necesarias para asegurar el flujo de información interna y externa;
los procedimientos de verificación de la identidad de los estudiantes virtuales no se
garantizan. Se cuenta con flujos de procesos definidos y con tablas de retención
documental y valoración documental.
Factores de Autenticación
o Algo que sé: Sí
o Algo que tengo: Sí
o Algo que soy: Sí
La entidad tiene un avance importante en determinados procesos donde usa esquemas
robustos de autenticación como la firma digital expedidas por entidades de certificación
digital. No obstante, en diferentes procesos no se tiene implementado ningún mecanismo
de autenticación generando riesgos de suplantación, alteración y pérdida de información.
SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA
6. ANALISIS COMPARATIVO
Análisis comparativo: presenta la comparación de los diferentes casos analizados, de
manera que permita identificar tendencias, prácticas comunes, divergencias,
problemáticas y aprendizajes que deban ser tenidos en cuenta para el caso colombiano.
6.1. ANÁLISIS CANVAS
194
Ilustración 45. Análisis Canvas
Fuente. Elaboración propia
Como conclusiones de los canvas analizados se debe resaltar lo siguiente:
Promesa de valor: los elementos más valorados por los usuarios, son:
autenticidad de quien realiza las transacciones, ahorros en transporte y tiempo,