Identidad digital: cerco al anonimato sin sacrificar la privacidad

Ya han pasado cinco años desde que entró en vigor una de las leyes más icónicas de la historia moderna: el Reglamento General de Protección de Datos (RGPD) europeo, convertido en el estandarte internacional de la privacidad y que suele servir de referencia cada vez que surge el tema. Desde aquel 25 mayo de 2018, España, cuya trasposición nacional, la Ley Orgánica de Protección de Datos que arrancó el 6 de diciembre de ese mismo año, se ha convertido en el país de la UE que más sanciones ha impuesto, con 646 multas. El problema es que, en ocasiones, esa privacidad que tan desesperadamente necesitamos proteger choca frontalmente con la urgencia de frenar el anonimato y la suplantación digital que tantos males provocan en la vida online.

Tanto los motivos como las técnicas para hacerse pasar por otra persona o simplemente ocultarse tras un perfil falso son tan amplios como el propio Internet. Incluso hay quien tiene buenas razones para acogerse al anonimato, desde las mujeres oprimidas por el régimen talibán en Afganistán hasta los periodistas y activistas que denuncian violaciones de los derechos humanos países totalitarios como China y Arabia Saudí. Pero, a excepción de estos ejemplos sobradamente justificados, la ausencia de garantías sobre la identidad digital de la persona que hay al otro lado de la pantalla suele acarrear más riesgos que ventajas.

Más allá de los típicos catfish que dio a conocer el programa homónimo de la MTV, una de las situaciones más tristemente famosas es la del grooming, o engaño pederasta, que consiste en adultos se hacen pasar por jóvenes para ganarse la confianza de menores de edad con el fin de poder abusar sexualmente de ellos. Luego está el mucho más común ciberacoso y ciberodio generalizado que se da en las redes sociales y que suele provenir de perfiles sin una identidad definida.

Por último, la capacidad de los ciberdelincuentes de hacerse pasar por otra persona, es decir, de robar sus datos personales para suplantar su identidad en Internet, puede suponer una infinidad de problemas legales y civiles para la víctima. Aunque el porcentaje de españoles que han sufrido este problema es relativamente pequeño, pues en 2019 solo afectaba al 6% de la población, la cifra neta rozaría las tres millones de víctimas, que no son pocas. Además, los últimos avances en inteligencia artificial están haciendo que cada vez sea más fácil hacerse pasar por cualquiera gracias a los deepfakes.

LA INDUSTRIA DE LA IDENTIDAD

El riesgo se vuelve cada vez mayor si tenemos en cuenta que, a medida que la vida se traslada cada vez más al plano digital, empresas y gobiernos nos obligan a compartir nuestros datos personales para poder acceder a sus productos y servicios online. Si los sistemas de autenticación, almacenamiento y gestión de estos estos datos no se diseña de forma correcta, los ciberdelincuentes podrán fácilmente hacerse con nuestra información.

La identidad digital se alza, así, como un concepto sujeto a un delicado equilibrio entre salvaguardar la intimidad de las personas y protegerlas de quienes intentan aprovecharse de las infinitas máscaras que ofrece Internet. El problema es que no existe un estándar homogéneo para gestionar nuestra identidad digital, por lo que, dentro de los requisitos legales, cada compañía tiene su propia forma de solicitar, gestionar y almacenar nuestras credenciales para verificar quiénes somos.

Este proceso, conocido como onboarding digital o alta móvil, ha cobrado tanta relevancia que ya ha dado lugar a su propia industria a través de proveedores de soluciones de identificación digitales, como Veridas. Desde 2020 esta compañía es la responsable de gestionar los accesos al Portal de Educación ‘Educa’ del Gobierno de Navarra mediante un simple selfie, sin necesidad de claves ni contraseñas. En 2019, un estudio de la consultora IDC estimó que las mejoras en el proceso de incorporación u onboarding de clientes digitales eran una de las prioridades en la inversión en transformación digital, cuyo desembolso experimentaría una tasa de crecimiento anual compuesta del 16,5% hasta 2022.

Aunque no se identifican estudios posteriores que confirmen esa predicción, la cifra probablemente haya aumentado si se tiene en cuenta que la investigación tuvo lugar antes del estallido de la pandemia de COVID-19, que obligó a todas las organizaciones a acelerar sus procesos de verificación en remoto. De hecho, entre 2020 y 2021 el Gobierno aprobó varias medidas de carácter excepcional para ampliar las capacidades de la Administración y las empresas privadas de utilizar métodos de identificación por videoconferencia para la expedición de certificados electrónicos cualificados. Pero lo que empezó siendo una medida excepcional se está convirtiendo en una realidad cada vez más asentada.

El informe de la UE sobre onboarding digital para el sector bancario afirma: “Ya existen proveedores de soluciones que aplican tecnologías digitales emergentes destinadas a simplificar los pasos de identificación, verificación y recopilación tanto para el usuario (el solicitante) como para sus clientes (una entidad financiera u otro proveedor de servicios, como una agencia de viajes). Estas soluciones cubren todas las fases de la integración y proporcionan a los clientes autocontrol sobre sus datos compartidos, ofreciendo así la posibilidad de portabilidad de datos entre otras instituciones financieras y empresas, preservando al mismo tiempo los derechos de privacidad del solicitante”.

A nivel público, además de los procesos de onboarding gestionados por proveedores privados, los ciudadanos también se enfrentan a un abanico de opciones de identificación digital, cada uno con sus propias ventajas y desventajas para los usuarios. Junto a nuestro querido y viejo DNI analógico, en España actualmente existen cuatro tipos de sistema de identificación digital a nivel estatal (DNIe, Certificado Digital, Cl@ve PIN y Cl@ve Permanente), aunque ninguno especialmente fácil de activar.

DNI DIGITAL EUROPEO

Este mosaico de opciones públicas y privadas y las cada vez mayores preocupaciones en torno a la privacidad de la ciudadanía están motivando que el mundo se interese cada vez más por soluciones que garanticen una autenticación segura, pero que, al mismo tiempo devuelvan el control a las personas sobre los datos personales que comparten con cada organización. Esta fue la principal motivación de la Comisión Europea (CE) cuando, hace ya dos años, empezó a proponer la creación de un sistema de Identidad Digital Europea.

“La identidad digital europea nos permitirá hacer en cualquier Estado miembro lo mismo que en casa, sin costes adicionales y con menos trabas. Ya sea alquilar un piso o abrir una cuenta bancaria fuera de nuestro país de origen. Y hacerlo de forma segura y transparente. Para que decidamos cuánta información queremos compartir sobre nosotros, con quién y para qué. Esta es una oportunidad única para llevarnos a todos más lejos en la experiencia de lo que significa vivir en Europa, y ser europeo”, dijo entonces la vicepresidenta ejecutiva de la CE para una Europa Adaptada a la Era Digital, Margrethe Vestager.

La idea no es tanto que todos los ciudadanos de la UE compartamos el mismo tipo de identificación comunitaria, sino crear un sistema que reconozca y permita operar con cada una de las identidades digitales avaladas por cada país miembro. Dicho sistema funcionaría como una especie de cartera o billetera virtual (una especie de app) que, según la CE, podría integrar hasta seis servicios diferentes:

• Firma electrónica: como la que escribimos a mano, pero en formato digital.
• Sello de tiempo: una prueba electrónica de que ha existido un conjunto de datos en un momento determinado
• Identificación electrónica: un método para que las empresas y los consumidores demuestren su identidad por vía electrónica, y que sería lo más parecido a un DNI virtual.
• Certificado cualificado de autenticación de sitio web: un sistema para garantizar la autenticidad y la fiabilidad de los sitios web destinado a los propios usuarios.
• Sello electrónico: que garantiza tanto el origen como la integridad de un documento, por ejemplo, las entradas adquiridas para acudir a un evento cultural o deportivo.
• Servicio de entrega electrónica certificada: un servicio para proteger contra el riesgo de pérdida, robo, daño o alteración al enviar documentación.

Si los servicios le parecen complicados, es porque lo son. Cuando un año después de la propuesta inicial se supo que la CE aún estaba dándole vueltas al asunto, el antiguo presidente de Estonia (país famoso por su alto nivel de digitalización y donde todo se puede hacer por Internet, salvo casarse y divorciarse) Toomas Hendrik tuiteó: “Venga ya. Estonia tiene una Identidad Digital segura desde hace 20 años. La ‘visión’ de su absoluta necesidad llegó hace ya un cuarto de siglo. ¿Quiere la Comisión que Europa sea competitiva o no?”.

Razón no le falta, y es que “los países que implanten el DNI digital podrían desbloquear un valor equivalente a entre el 3% y el 13% de su PIB para 2030”, según un informe de McKinsey, que suele citarse frecuentemente en toda la información relativa a la identidad digital. Eso sí, la cifra más alta del rango corresponde precisamente a los países menos avanzados, que son donde se concentra la mayor parte de los cerca de 850 millones de ciudadanos del mundo que no tienen ninguna forma de identificación oficial. En el caso de España, el potencial económico se queda cerca del 4%.

Disponer de una identidad digital lograría que esas personas pudieran acceder a todos los servicios digitales de los que ahora mismo permanecen excluidas por su incapacidad de identificarse, lo que representa el principal vector de aporte de valor de un DNI digital. Eso sí, la consultora no duda en admitir que “la identificación digital puede utilizarse para bien o para mal, y conlleva riesgos incluso cuando se destina a la creación de valor compartido”.

Aun así, el estudio dedica un espacio especial a destacar aquellas áreas en las que la herramienta aportaría más valor. En concreto, el texto organiza los 100 casos de uso analizados en seis tipos de interacciones entre distintas clases de actores y organizaciones y señala algunos ejemplos clave para cada una de las interacciones:

1. Consumidores – proveedores de productos y servicios: registros, pagos seguros y mejor conocimiento del cliente.
2. Trabajadores – empleadores: búsqueda de talento, verificación del currículum y sistemas de pago más eficientes
3. Microempresas – administración pública: registros, contrataciones y transacciones.
4. Contribuyentes – administración pública: servicios públicos digitales, gestión tributaria digital y desembolso directo de prestaciones públicas.
5. Sociedad civil – administración pública: voto electrónico, verificación de donaciones políticas, matriculación escolar.
6. Propietarios de activos – proveedores y compradores de activos: formalización de la propiedad de la tierra, aceleración del proceso de compraventa.

El abanico de posibilidades que abren los sistemas de identificación digital bien construidos, sumado a la mayor seguridad que aportarían, los convierten en el siguiente ingrediente básico para la vida 4.0. No se trata de sacrificar nuestra privacidad, sino de poder vivir en Internet con las mismas seguridades, garantías e intimidad que tenemos en el mundo físico.