eIDAS2, la cartera europea de identidad digital y el RGPD (IV)
El reglamento eIDAS2 trae consigo importantes retos en materia de protección de datos, especialmente en lo que se refiere a la implementación de las carteras de identidad digital. Estos desafíos se hacen más patentes al intentar conciliar aspectos como la funcionalidad, la seguridad y la privacidad. En esta publicación se analiza cómo podrían materializarse diferentes amenazas de inexactitud y no repudio en las carteras europeas de identidad digital.
Si continuamos con el ejercicio comenzado en publicaciones anteriores, en las que se han considerado diferentes amenazas que plantean las carteras de identidad digital de la UE, esta publicación se centra en responder dos preguntas fundamentales:
- ¿Es fiable el ecosistema de la cartera? ¿Pueden las partes usuarias (Relying Parties, RPs) confiar en mis credenciales para tomar decisiones correctas?
- Si uso la cartera en una transacción que no está legalmente obligada a conservar registros o datos para auditorías, ¿puedo negar después haber realizado esa transacción?
En cuanto a la primera pregunta, debemos analizar las amenazas de inexactitud dentro del ecosistema de la cartera. Estas amenazas implican el uso de datos obsoletos, erróneos, incompletos, sesgados o de baja calidad que pueden llevar a decisiones o acciones incorrectas, y a causar inconvenientes o incluso daños al interesado.
En el contexto de la emisión y presentación de credenciales, las amenazas de inexactitud suelen estar causadas por datos que no están actualizados o no son válidos. Por ejemplo, cuando los atributos de identidad recogidos en las credenciales han cambiado desde que éstas se emitieron. Si una credencial no está actualizada, normalmente significa que la información que contiene (como edad, estatus legal o cualificaciones) ha cambiado desde su emisión o incluso que la credencial ha sido revocada o ha caducado.
Además, durante la verificación de identidad, pueden darse inconsistencias o inexactitudes en los datos de referencia, como diferencias de transliteración, homónimos o entradas incompletas. Cualquier fallo o inexactitud en el proceso de verificación remota de identidad puede materializar esta amenaza, incluyendo errores en el software que gestiona los documentos de identidad. También pueden producirse ataques explícitos en los que un adversario compromete la seguridad de los sistemas de información utilizados para la verificación de identidad para modificar ilegítimamente la información que almacenan o conseguir un resultado específico de la verificación de identidad.
El impacto principal de estas amenazas de inexactitud es la posibilidad de decisiones o acciones incorrectas basadas en datos poco fiables, lo que compromete el nivel de garantía de los procesos de verificación de identidad y los resultados de los procesos de autenticación o autorización que dependen de la cartera. Hay que tener en cuenta que podría producirse incluso una suplantación de la identidad del interesado.
Imaginemos que un usuario posee una credencial emitida por un organismo del sector público. La certificación contiene su fecha de nacimiento y un atributo booleano derivado que indica su condición de mayoría de edad, como "age_over_18: Falso" (si se emitió cuando tenía 17 años). El usuario cumple 18 años. La fecha de nacimiento sigue siendo correcta, pero el atributo derivado, y atestiguado en la credencial que posee, queda obsoleto porque la información ha cambiado desde que se emitió dicha credencial. El usuario intenta acceder a un servicio financiero en línea que requiere mayoría de edad (edad ≥ 18 años) para abrir una cuenta o solicitar una ayuda pública o un préstamo. Para ello presenta su credencial al proveedor del servicio (la parte usuaria, Relying Party o RP). La RP comprueba los valores de los atributos proporcionados. Si la RP se basa en el valor del atributo booleano obsoleto y no actualizado (aún "age_over_18: Falso"), dado que el emisor no revocó y reemitió inmediatamente una nueva credencial que refleje el nuevo estatus del usuario, la RP lo considera no elegible. El servicio financiero toma una decisión incorrecta basada en datos obsoletos y rechaza la solicitud del usuario.
Para mitigar estos riesgos, el ecosistema puede utilizar varias medidas. Primero, los emisores de credenciales pueden revocar y volver a emitir credenciales si la información relacionada con la identidad del usuario cambia. En segundo lugar, la propia cartera debería proporcionar recordatorios proactivos cuando se acerca la fecha de caducidad o ya haya caducado una credencial, indicando al usuario que la renueve o actualice. Esta medida ayuda al usuario a evitar el uso de credenciales obsoletas, incluso si el emisor no las revoca de manera proactiva. Finalmente, cuando una RP intenta validar una credencial debe verificar que sigue siendo válida, es decir, que no ha sido revocada, que no ha caducado ni se ha informado acerca de una pérdida o robo. En cualquier caso, estas medidas no impiden completamente que la amenaza se materialice. Además, existe el reto de garantizar que su implementación no introduzca amenazas adicionales para la privacidad; por ejemplo, como comentamos en publicaciones anteriores, algunos mecanismos que permiten la revocación de credenciales implican un riesgo de vinculación.
En cuanto a la segunda pregunta, el No Repudio es una amenaza que impide al interesado negar su participación en una transacción específica en la que se haya utilizado la cartera: solicitar una credencial, presentarla, etc. Se debe garantizar la negación plausible para transacciones no legales en las que se utiliza la cartera. Sin embargo, si las transacciones crean un vínculo persistente y verificable o una prueba no repudiable de las actividades de un usuario, este pierde la capacidad de negar su implicación, incluso en contextos donde la privacidad es primordial.
Esta amenaza puede materializarse, principalmente, debido a mecanismos criptográficos que son inherentemente vinculables, como las firmas incluidas en los formatos de credencial actualmente especificados para la cartera (ISO mDL y SD-JWT), y la vinculación de la credencial (vinculación al dispositivo, vinculación basada en atributos, etc.). Además, debido a la posible confabulación entre las partes que participan en las transacciones, como emisores de credenciales, RPs y proveedores de carteras.
Los principales impactos de esta amenaza son el perfilado y la vigilancia, la coacción y la estigmatización. Aunque se podría llegar a poner en riesgo la integridad física del sujeto de datos en los casos más extremos. Imaginemos a un usuario que almacena dos credenciales diferentes en su cartera: una que certifica sus datos de identidad (emitida por un organismo gubernamental) y otra que certifica su residencia en la Ciudad X (emitida por el Registro Municipal). El usuario debe presentar ambas simultáneamente a un servicio externo (la parte usuaria o RP) para confirmar que puede participar en unas elecciones sindicales, hacer una contribución a una organización de defensa de derechos civiles o a un partido político local, o acceder a una clínica de salud reproductiva. Para evitar fraudes, la RP requiere prueba de vinculación criptográfica entre las credenciales, demostrando que las dos están vinculadas al mismo Wallet Secure Cryptographic Device (WSCD) controlado por el usuario. El usuario presenta las credenciales, y la cartera genera esta prueba, una firma no repudiable que confirma definitivamente que el usuario, en su dispositivo específico, presentó esa combinación exacta de credenciales para esa transacción.
Si a continuación el gobierno cambia por uno de tintes autoritarios y cualquiera de esas actividades se vuelve sospechosa o incluso ilegal, el usuario no podrá negar de forma plausible su implicación en la transacción realizada. La firma no repudiable crea un registro forense y permanente que vincula su dispositivo y el conjunto de datos combinados con el momento exacto de la transacción. Esta falta de capacidad de negación plausible socava la privacidad del usuario y podría exponerlo a los impactos ya mencionados, ya que no puede negar haber ejecutado la acción específica de combinar y presentar esos datos en esa RP.
Las estrategias actuales de mitigación se basan en emitir credenciales de corta duración o proporcionar lotes de credenciales de un solo uso que el usuario pueda presentar de manera aleatoria. Sin embargo, la solución óptima debería basarse en credenciales anónimas y mecanismos de Prueba de Conocimiento Cero (ZKP).
Todas las salvaguardas técnicas y de gobernanza mencionadas, junto con otros requisitos de alto nivel, deben integrarse en el ARF de la cartera para garantizar que las futuras soluciones mitiguen las amenazas de inexactitud y no repudio, y cumplan con los principios y requisitos del RGPD. En futuras publicaciones se analizarán e ilustrarán otras amenazas.
Esta entrada está relacionada con otros materiales publicados por la División de Innovación y Tecnología de la AEPD, tales como:
