La seguridad del DNIe, otra oportunidad perdida

5 de julio de 1993. La revista estadounidense The New Yorker publica una visionaria viñeta que hace famoso al dibujante Peter Steiner. Un perro sentado frente a un ordenador le explica a un congénere: “en internet nadie sabe que eres un perro”. Casi 25 años después, la identificación electrónica sigue siendo uno de los asuntos más controvertidos en la sociedad digital. Phising, sustracción de datos de tarjetas de crédito para realizar transacciones comerciales o el uso inadecuado de las redes sociales, ya sea por particulares o en combinación con intereses geoestratégicos, son solo algunas de las consecuencias de un reto sin resolver.

En este contexto, si atendemos a la relación de ciudadanos y empresas con las Administraciones públicas, contemplamos la adopción de una opción técnica muy garantista, pero no exenta de dificultades de uso: los certificados electrónicos. A la misma se sumaron dos complejidades conceptuales. De un lado, por motivos fundamentalmente jurídico-administrativos, la legislación española ha venido vinculando, de forma innecesaria, dos conceptos diferentes: identificación electrónica y firma digital. De otro lado, si bien la última es requisito para casos tasados de relevancia en el ejercicio de los derechos de los interesados, se abusó del uso de los certificados electrónicos frente a otras soluciones de reconocida utilidad.

Es en este marco en el que en 2006 comienza la expedición del DNI electrónico (DNIe). Con el objetivo de combinar en un sólo soporte el medio tradicional de identificación ciudadana con el mecanismo para la identificación y firma electrónica, se incluyeron sendos certificados electrónicos en un chip incrustado en la tarjeta.

La competencia sobre la gestión técnica del servicio recayó en la Dirección General de la Policía. Si bien el DNIe comenzó siendo la gran y única esperanza para conseguir el despegue de los servicios administrativos electrónicos, los resultados han contrariado estas expectativas con un uso residual del que no existen datos recientes. Las últimas estadísticas oficiales datan del año 2013, y estudios de instituciones privadas revelaban que en 2014 sólo se había utilizado para un 0,02% de los trámites públicos.

Las razones de la escasa aceptación del DNIe son diversas. Necesidad de disponer de un lector específico correctamente configurado, falta de compatibilidad en los procesos de firma con los navegadores más extendidos, extrema dificultad de uso en dispositivos móviles o escasa oferta de servicios online que le reconocen como medio de identificación fuera del ámbito público, así como la falta de promoción en el momento de expedición o convergencia con otras iniciativas de uso más sencillo.

El pasado 16 de octubre se publicó una vulnerabilidad en los chips de la empresa alemana Infineon, proveedor del DNIe, así como de otras administraciones con servicios de identificación electrónica, algunas de las cuáles han tenido una rápida reacción. El prestador de servicios de certificación vasco, Izenpe, deshabilitó los certificados de más de 20.000 ciudadanos y 10.000 empresas, publicando una detallada página informativa. El gobierno de Estonia, viendo afectadas unas 750.000 tarjetas, difundió un comunicado y una extensa página de preguntas frecuentes, optando posteriormente por deshabilitarlos el 31 de octubre.

Esa transparencia y proactividad de la gestión de la crisis contrasta con la reacción de la Dirección General de la Policía. El 8 de noviembre publicó en su web una confusa nota informativa donde no se explica el problema, sus consecuencias sobre los documentos firmados, ni se detallan con exactitud las medidas a tomar y sus plazos. Todo ello sumado a la imposibilidad de enlazar directamente a la nota, dificultando e imposibilitando su difusión y viralización. Es más, rebatiendo lo publicado, algunos ciudadanos han notificado que pueden seguir utilizando con normalidad sus certificados vulnerables, sin haber obtenido respuesta.

Parece pretenderse que el problema pase desapercibido, estrategia que no puede justificarse con su uso residual, dado el enorme esfuerzo económico y humano acumulado en el proyecto. La gestión de los mecanismos de identificación electrónica en el contexto de los servicios públicos es un tema complejo y crítico, con implicaciones que afectan a todo el entramado administrativo. En consecuencia, parece más razonable que las competencias en esta materia recaigan en un órgano administrativo transversal especializado en cuestiones de seguridad informática y que pueda desarrollar una estrategia global que facilite su adopción por la ciudadanía. En juego está nada menos que la confianza de los ciudadanos en los servicios de administración electrónica, así como la construcción de una administración que satisfaga las demandas de una sociedad que hace tiempo que es digital.

Jose Antonio García/ Julio Perales son Presidente de ASTIC /Vocal de ASTIC