Aplicando los estándares FIDO a EUDI wallet

La colaboración entre los estándares FIDO y EUDI Wallet, en el marco de las potentes regulaciones eIDAS2, ofrece una solución sólida y segura para mejorar la autenticación en línea y promover la confianza en las transacciones digitales. FIDO y EUDI Wallet se complementan mutuamente, aportando atractivos beneficios a ciudadanos y empresas en el ámbito de la identidad digital. 

M

ejorar la seguridad en línea  

Pongámonos en contexto. FIDO, que significa Fast Identity Online (Identificación Rápida en Línea), es un conjunto de estándares abiertos desarrollados por la FIDO Alliance. Su objetivo es mejorar la seguridad en la autenticación en línea y reducir la dependencia de las contraseñas tradicionales. FIDO defiende y desarrolla métodos más seguros, como la biometría y las passkeys, para autenticar a los usuarios en línea de manera rápida y conveniente.  

FIDO se ha preocupado por suplir las deficiencias en términos de usabilidad y seguridad de herramientas obsoletas de MFA (Multifactor Authentication, Autenticación Multifactor), y proporcionar soluciones de identidad digital avanzadas. 

Empresas líderes en sectores como la banca, la salud, las telecomunicaciones o la tecnología se han aprovechado de las propuestas abiertas e interoperables de FIDO, y han puesto en marcha soluciones basadas es estos estándares. También gobiernos de todo el mundo (Taiwan, Corea del Sur, Tailandia, Reino Unido o Estados Unidos) han anunciado o desarrollado planes en los últimos años para modernizar sus esquemas de identidad digital ciudadana, sostenidos en los preceptos FIDO. 

Casi 900 productos y soluciones tecnológicas han obtenido la certificación FIDO hasta la fecha. Además, la práctica totalidad de los teléfonos inteligentes y ordenadores portátiles disponibles en el mercado incorporan soporte para la autenticación FIDO. También existe la opción nativa para navegadores, por lo que clientes o proveedores no han de recurrir a otras tecnologías para activar opciones de MFA. 

FIDO está reconocido como parte de los esquemas de identificación electrónica (eIDAS) en la UE para niveles de seguridad altos. Parte de su trabajo implica una labor pedagógica a través de webinars y publicaciones y requiere de colaboración con instituciones y legisladores que garanticen la actualización constante. 

El marco regulador necesario para las transacciones digitales 

Fue en abril de 2020 cuando se desplegaron las condiciones que describen cómo FIDO puede operar de acuerdo a eIDAS (del inglés Electronic Identification, Authentication and Trust Services: Identificación electrónica, autenticación y servicios de confianza), que es un marco regulador de la Unión Europea que establece estándares para los sistemas de identificación electrónica, garantizando su autenticidad y seguridad. Aunque nació formalmente en 2014, este marco regulatorio tiene su origen en directrices que desde principios de la década de los 90 del siglo pasado han intentado unificar la vasta y dispersa cantidad de normativas sobre identificación y firma electrónica que existían alrededor del continente. Una de las aportaciones más importantes de eIDAS es haber introducido los términos «proveedores de servicios de confianza» (TSP, Trust Service Provider) y «proveedores de servicios de confianza cualificados» (QTSP, Qualified Trust Service Provider). Estos proveedores son supervisados y acreditados para ofrecer una serie de servicios de confianza, que incluyen validación de firmas, sellado de tiempo, entrega registrada de documentos o conservación.  

Su objetivo siempre ha sido facilitar transacciones digitales seguras y transfronterizas dentro de la UE. La regulación eIDAS2 es una actualización de este marco que añade una destacable mejora, el lanzamiento de la cartera digital europea: EUDI wallet. Este nuevo capítulo en la vida de eIDAS propone que los estados miembros tengan la obligación de proporcionar gratuitamente la cartera digital a todos sus ciudadanos. También agentes privados tendrán la opción de ser acreditados como proveedores de EUDI wallet. 

Según el calendario oficial del proyecto, el marco estará completamente implantado en junio de 2024. 

Un proyecto para impulsar la transformación digital 

EUDI wallet, la cartera digital europea, es un ambicioso proyecto colaborativo entre la Comisión Europea y los estados miembros que permitirá tanto a empresas como a ciudadanos de a pie identificarse de la manera más práctica y fiable para acceder a servicios digitales. La cartera ofrece la posibilidad de almacenar credenciales y gestionar el acceso a las mismas con gran flexibilidad.  

Una de sus principales metas es proporcionar a los ciudadanos un control integral sobre su identidad electrónica, salvaguardando la privacidad, mediante la divulgación selectiva y el seguimiento de los atributos contenidos y compartidos en cada situación. 

Al facilitar este acceso, se busca impulsar la adopción de servicios digitales y promover la confianza en las transacciones en línea. Por otro lado, EUDI wallet fomentaría la transformación digital en el sector industrial europeo, brindando apoyo a las empresas que adopten tecnologías digitales, mejoren su eficiencia y competitividad, y se adapten a los nuevos modelos de negocio. 

Estas dos estrategias complementarias tienen como objetivo fomentar la transformación digital en diferentes ámbitos: el acceso seguro a servicios digitales y el impulso de la industria hacia la digitalización. Al hacerlo, el proyecto busca fortalecer la economía digital y mejorar la calidad de vida de los ciudadanos europeos en esta era. 

La colaboración de la alianza FIDO y EUDI Wallet  

Para garantizar la transparencia en la puesta en marcha de la cartera digital europea, eIDAS2 establece reglas específicas que deben seguirse. Aquí es donde entra en juego FIDO. 

FIDO actúa como una llave que permite acceder a EUDI wallet. Al utilizar FIDO, se puede verificar la identidad del usuario cuando necesita acceder a diferentes servicios en línea, así como realizar pagos. Por ejemplo, FIDO ayudaría a mostrar una licencia de conducir de manera segura en caso necesario. La combinación de FIDO y EUDI Wallet dentro del marco de eIDAS2 garantiza transacciones en línea más seguras y confiables. FIDO ofrece una capa adicional de seguridad al reemplazar las contraseñas tradicionales por métodos de autenticación más fuertes y convenientes, como hemos comentado al inicio de este artículo. 

Desde la Alianza explican que los diversos casos de uso buscan apuntalar los entornos digitales passwordless, desde la plena información y responsabilidad.  

Usar FIDO para las transacciones con EUDI wallet 

Dentro del ecosistema de EUDI Wallet, FIDO se puede aplicar como un estándar de autenticación en varias formas, como una puerta de acceso a diversas necesidades y servicios. 

• Facilita la obtención de identificaciones que se almacenarán en EUDI Wallet. Esto incluye la emisión de certificados especiales y etiquetas temporales para identificaciones específicas. 
• Permite el acceso a wallets alojadas en la nube. Esto significa que los usuarios pueden acceder a sus monederos electrónicos y gestionar sus transacciones desde cualquier dispositivo conectado a Internet. 
• Actúa como un puente en la autenticación previa al acceso a servicios en hospitales, aeropuertos, bancos y otros.  
• Puede ser utilizado como norma de autenticación para acceder a QSCD remotos (Dispositivos de Creación de Firma Cualificada). Estos dispositivos están diseñados para generar firmas electrónicas confiables, asegurando la integridad y autenticidad de las firmas y protegiendo la información y la identidad del firmante. 
• Es el enlace entre EUDI Wallet y los proveedores de identidad digital. Facilita la comunicación y la interoperabilidad entre los monederos electrónicos y estos proveedores, blindando las autenticaciones. 

Buscar el equilibrio para evitar riesgos asociados 

A medida que se acerca la fecha en la que todos los estados miembros de la Unión Europea han de tener listas las arquitecturas y los accesos a sus wallets, se plantean también posibles riesgos o grietas que podrían aparecer. Un proyecto de este calado y con tantas aristas debe nacer con pleno conocimiento de las consecuencias de un ataque informático o de límites difusos en la intervención gubernamental. Es fundamental abordar estos peligros desde el diseño técnico y normativo. 

Aunque a estas alturas parezca casi una obviedad, los estados miembros deberán ser cuidadosos con la privacidad de los usuarios, y desplegar EUDI wallet desde la transparencia, informando pormenorizadamente del rango de uso de cada credencial y evitando el rastreo. Las decisiones de todos aquellos que gestionen identidades digitales repercutirán en la reputación de los proveedores de tecnología, por lo que no es una cuestión menor. 

Alban Feraud, vicepresidente de la organización industrial de seguridad digital Eurosmart, explica que la cartera es en realidad una combinación de tecnologías, servicios y procesos. De la habilidad para combinar y equilibrar todos esos elementos “que pueden haber sido evaluados y certificados individualmente” dependerá el éxito de la estrategia. 

El programa EUDI se arriesga a sufrir ataques contra la propia aplicación, incluyendo alteración de la interfaz de usuario o creación de aplicaciones similares para confundir a los ciudadanos, o contra los propios participantes en el ecosistema, como las soluciones FIDO, por ser gestoras de los accesos a los datos personales. 

Las normas FIDO han revolucionado la autenticación en línea al establecer especificaciones técnicas que permiten la interoperabilidad y aprovechan la criptografía, cumpliendo con toda la normativa eIDAS vigente, y ya tienen el terreno abonado para apuntalar sus principios y expandir sus casos de uso con eIDAS2. Su significativo impacto tanto en el sector público como en el privado y su certificación formal han sido ampliamente reconocidos. Su implantación dentro del ecosistema EUDI wallet no puede más que augurar un futuro en el que la gestión de identidades digitales sea cada vez más fluida y sólida, siempre que se comprendan los riesgos y se actúe desde la honestidad, la información y el servicio público.