Después de analizar diferentes aspectos de las experiencias con la utilización de certificados electrónicos caben varias conclusiones. En primer lugar, resulta irónico observar que en cierto modo el uso de los certificados electrónicos en vez de simplificarse con el tiempo se ha vuelvo más difícil en la actualidad.
Se puede decir que los problemas descritos redundan en una deficiencia de la usabilidad y la calidad de los productos y aplicaciones (DNIe, firma electrónica en aplicaciones Web, etc.). Esto ha creado barreras que la mayoría de los usuarios no están dispuestos a superar y que además probablemente en la mayoría de los casos no sepan cómo superar.
Esta situación resulta especialmente acusada en el caso del DNI electrónico. Si se quiere corregir esta situación, el único nivel de usabilidad realista es el propio del principio “plug&play”: la experiencia del usuario tiene que ser enchufar y listo, ocultándole cualquier detalle técnico, no se le pueden imponer condiciones adicionales como la adquisición de un lector para el caso del DNIe.
O se entrega con el propio DNIe en la comisaria o bien se impulsan políticas que fomenten su inclusión con los equipos. Cualquier tarea o gasto adicional para el usuario supone una barrera que la mayoría de ellos no van a estar dispuestos a cruzar. Muy recomendable, por cierto, también este artículo para profundizar un poco más en el tema.
El principio de neutralidad tecnológica de la Ley 11/2007 (que el usuario pueda elegir los productos como navegadores que quiera utilizar con la Administración) resulta encomiable y va la dirección correcta, pero hoy por hoy, debido a la falta de los estándares adecuados, resulta realmente problemático de implementar en la práctica.
Esto implica una situación insatisfactoria para todas los partes:
- Para Administración porque aumenta la complejidad y costes de desarrollo, y disminuye la calidad de las aplicaciones finales. Mi experiencia personal, desde luego, es que el desarrollo de soluciones fiables e interoperables con firma electrónica es un dolor.
- Para los fabricantes porque frena la demanda activa de los usuarios, su motivación de utilizar aplicaciones de Administración electrónica. El impulso no deja de ser “artificial”, impuesto por una Ley, no por convencer al usuario. Esto es mejor que la ausencia total de impulso, pero no es la fórmula idónea de impulsar la Administración electrónica.
- Para el ciudadano porque no puede aprovechar todo el potencial que la Administración electrónica le puede ofrecer y resulta muy frustrante fracasar en el intento de utilizar estos nuevos servicios.
¿Quiere decir esto que utilizar los certificados X.509 en la Administración electrónica ha sido una equivocación?
En mi opinión personal, ésta sería una conclusión muy equivocada.
Se trata de una tecnología demasiado buena y segura como para descartarla, en realidad es una tecnología ideal para implementar la identidad digital y la realización de firmas electrónicas que merezcan ese nombre. El problema es que esta tecnología ha sido perjudicada por problemas ajenos a ella, problemas del entorno tecnológico en el que debe operar Merece la pena esforzarse para solucionar los problemas y aprovechar las magníficas prestaciones que ofrecen los certificados electrónicos y la firma electrónica basada en certificados.
Por tanto, el problema no es la tecnología en sí, como se ha podido ver, es la falta de una estandarización suficiente en determinadas cuestiones técnicas e impulso insuficiente por parte de los fabricantes y las instituciones interesadas ya que la demanda del sector privado de esta funcionalidad es baja. Cualquier tecnología similar sufriría problemas parecidos ante la situación similar en el entorno tecnológico.
Para solucionar los problemas es necesaria una doble perspectiva: una visión nacional (en el caso de España, por ejemplo, solucionar los problemas técnicos del DNIe e impulsar políticas que eliminen las demás barreras de uso) y otra internacional en el cual la instituciones responsables del impulso de la Administración electrónica, como aquellas propias de la UE logren los acuerdos necesarios con los fabricantes y organizaciones de normalización pertinentes para evolucionar hacia un entorno tecnológico adecuado.
Existen, no obstante, alternativas interesantes como incorporar sistemas de identidad digital no basados en certificados que aseguren un registro fiable de sus usuarios para poder comprobar a la postre de modo fehaciente su identidad.
¿Pero tiene realmente sentido a estas alturas emprender un camino nuevo con los esfuerzos que implicaría para consolidarlo y no sería además la excusa perfecta para emitir el certificado de defunción definitivo de los certificados electrónicos dejando así de lado todo lo recorrido?
Parece un contrasentido cuando ya hay tanto conseguido, una infraestructura considerable de servicios como se puede comprobar fácilmente a través de la Red 060 y un marco legal también muy desarrollado. Sobre todo cuando lo que falta no es tanto. En realidad son unas pocas barreras perfectamente identificadas, las que están siendo un freno para acceder a un conjunto enorme de servicios, remover esas barreras sería el paso a la eclosión del acceso a los servicios electrónicos.
Solucionar los problemas expuestos es posible y técnicamente en realidad ni siquiera muy difícil. Lograrlo es principalmente una cuestión de coordinación y voluntad de todos los actores implicados: fabricantes, instituciones de normalización, Gobiernos y Administración.
Información Bitacoras.com…
Valora en Bitacoras.com: Después de analizar diferentes aspectos de las experiencias con la utilización de certificados electrónicos caben varias conclusiones. En primer lugar, resulta irónico observar que en cierto modo el uso de los certificados el…..
Para mi, el Gobierno debería impulsar una solución que fuera “el navegador para la administración electrónica”. Podría coger por ejemplo firefox, de código abierto, y meterle todo lo que fuera necesario (certificados, autoridades de certificación, la versión correcta de java con las librerías necesarias) y adaptarlo con todos los adornos posibles (acceso fácil a todos los trámites, legislación, etc.) al estilo de aquel navegador que salió especializado para redes sociales de cuyo nombre no puedo acordarme.
Bajándose el ciudadano este navegador -multiplataforma- podría asegurarse al menos de que ya tiene el 90% del camino hecho. Quizá lo que le restaría es instalar el lector de dnie, que ya habría que solucionarlo de otra manera, como tú dices, regalando los dispositivos o bien impulsando por ley que todos ordenadores que se vendieran en España llevaran el lector de tarjetas.
Pues me parece una idea buena. Tener un navegador de referencia basado en un producto open source como Firefox podría ayudar sin duda a aliviar el problema del entorno tecnológico que describen los artículos.
Además, si se desarrollase una integración de la funcionalidad de firma electrónica dentro del propio navegador para dotarle directamente de esta capacidad, se podría contribuir el desarrollo de vuelta al proyecto original lo cual también, de paso, quizás podría hacer de acicate para los productos de la competencia fuesen pensando más en ir en esa línea.
Sería un gran beneficio para todos.
Muchas gracias por esta interesante serie y, por supuesto, por este impresionante blog.
Permitíme un comentario y un par de preguntas sobre este tema. Tengo alguna formación pero no me considero un super-experto en el tema, por lo que es probable que comenta algún error. De entrada pido excusas.
Mi interés por estas tecnologías se debe a su potencial uso en el ejercicio de nuestras Libertades Políticas utilizando la Red; en otras palabras, la eternamente prometida eDemocracia. Esto centra mi interés en la firma electrónica reconocida y obliga a ceñirse escrupolosamente a la legislación vigente; en el caso de la firma electrónica, la Ley 59/2003, trasposición de la Directiva 1999/93/CE.
De las dos *componentes* de la firma electrónica reconocida (art.3.3) creo que los certificados reconocidos tienen una oferta suficientemente amplia y su obtención no supone un problema técnico para la mayoría de las personas. No sé, … creo que no me equivoco.
Por eso me gustaría centrarme en los dispositivos seguros de creación de firma (SSCDs). Antes de nada señalar un interesante enlace de la Comisión Europea, el estudio CROBIES del año pasado:
http://ec.europa.eu/information_society/policy/esignature/crobies_study/index_en.htm
Es un tanto impactante, en particular el WP4; del que se deduce un buen *pisto* en la diversidad de SSCDs certificados a lo largo de Europeo. Desde la posibilidad de autocertificación en Italia (http://www.ocsi.isticom.it) hasta esquemas de certificación, a paso de oca, como en España (https://www.ccn.cni.es/).
En este momento procede recordar el art.28.2 que reconoce en España un SSCD certificado en cualquier país de la EEE. Esto abre un interesante campo de investigación y una pregunta: ¿cuántas SSCDs están legalmente certificadas al día de hoy?
En España, parece que ENAC (entidad de acreditación a las que se refiere el art.27.2) ha acreditado solo al CCN (http://www.enac.es/c/document_library/get_file?folderId=114&name=45_CPR110.pdf), una extraña exclusividad que no comprendo, pero en la que prefiero no entretenerme. Una búsqueda en el BOE parece revelar que sólo el DNIe ha sido certificado (http://www.boe.es/aeboe/consultas/bases_datos/doc.php?id=BOE-A-2011-8307). Esta hipotética exclusividad si que me deja *mosca*, ¿me equivoco cuando afirmo que el DNIe es el único SSCD reconocido por la única entidad de certificación?
Además me parece que se les ha ido la mano con el Perfil de Protección Tipo 3. Cabe recordar que la publicación que menciona el art.28.1, la Decisión de la Comisión de 14/jul/03, establece *a secas* la norma CW14169, lo cual incluye los tres tipos de Perfiles de Protección, no sólo el más estricto y restrictivo Tipo 3.
Esto me anima a investigar que ha ocurrido en otros países. Un buen punto de partida en esta investigación, en la que apenas he profundizado, son las entidades de acreditación del EEE (http://www.european-accreditation.org/content/ea/members.htm) e intentar localizar qué entidades de certificación han acreditado y, por tanto, qué SSCDs han certificado. En virtud del art.28.2, cualquier SSCD certificado será legalmente aceptable en España. Pero sin olvidar que el artículo 3.4 de la Directiva permite a los Estados miembro designar directamente a la entidad de acreditación.
Lo poco que he averiguado es que en Italia la entidad de acreditación es Accredia, pero yo diría que el Estado italiano ha designado directamente al OCSI (http://www.ocsi.isticom.it); aunque no termino de aclararme qué han certificado en Italia. En Francia parece que la ANSSI (http://www.ssi.gouv.fr/) ha acreditado el microcontrolador que utiliza la tarjeta CERES de la FNMT.
En fin … la pregunta importante sería ¿existe algún módulo criptográfico software que haya sido acreditado como SSCD en algún pais de la EEE? O mejor aún, ¿algún módulo criptográfico software que utilice el repositorio de certificados de los navegadores? La verdad es que no me parece descabellado porque creo que los Perfiles de Protección más bajos de la CW14169 lo admiten. Creo.
Me gustaría introducir otra pregunta para la que sólo tengo alguna pista. Dado un documento correctamente firmado con una firma digital reconocida, ¿qué evidencia queda en el propio documento de que la firma ha sido realizada mediante un SSCD certificado? No llego a verlo claro.
En fin … perdón por este comentario tan largo. La verdad es que toda esta información debería estar más clara y accesible para el público en general.
Noticia interesante sobre el eDNI
A pesar de que ya son 23 millones los DNI electrónicos expedidos, de acuerdo con los últimos datos de la Policía Nacional, aún es necesario hacer un gran esfuerzo para fomentar su uso. Por este motivo, el Ministerio de Industria ha querido unirse con el sector privado con el objetivo de emprender una verdadera iniciativa de impulso del DNI electrónico, que se prevé se extienda hasta el 31 de diciembre de este mismo año, y que contempla la realización conjunta de acciones de información y divulgación sobre un conjunto de servicios del sector privado.
Entre las actuaciones previstas en el marco del proyecto se encuentran el diseño y elaboración de materiales divulgativos tales como folletos, vídeos y otros contenidos digitales que favorezcan la difusión de los servicios; así como actividades de formación internas en las propias entidades colaboradoras.
Para ello, Industria ha seleccionado mediante procedimiento público a 16 entidades privadas. Empresas proveedoras de servicios financieros y/o de seguros (Bankia, ING Direct, Banco Santander, Cajamar Caja Rural, Grupo Caja 3, MAPFRE y Sanitas), entidades de servicios de comunicaciones y suministros (Iberdrola, Repsol YPF, Vodafone y Telefónica), además de otras entidades como Metaposta, el Colegio Oficial de Ingenieros Aeronáuticos, Twindocs, Isigma y Weemba.es han sido los colaboradores seleccionados.