Analizamos las posibles causas de ciertos problemas en le gestión de las identidades digitales en España durante el periodo de confinamiento por COVID-19
1. RETOS DIGITALES DERIVADOS DEL COVID-19
MECANISMOS DE PREVISIÓN Y ACCIÓN ANTES LA ACTUAL PANDEMIA: ORIGEN Y SOLUCIONES BASADAS EN CRIPTOGRAFÍA
Tomás García-Merás
+34 619980058
clawgrip@hotmail.com
https://www.linkedin.com/in/tomas-gmeras/
2. UN RECORRIDO POR LOS PROBLEMAS QUE EL VIRUS HA DESTAPADO
Punto
de
partida
Situación
actual
Futuribles
3. MÁS DE UNA DÉCADA PREPARÁNDONOS PARA ESTO…
¿O NO?
Directiva 2008/114/CE: Identificación y designación de infraestructuras críticas y evaluación de la necesidad de mejorar su
protección
Definición de
«infraestructura crítica»
como el elemento,
sistema o parte de este
que es esencial para el
mantenimiento de
funciones sociales
vitales, la salud, la
integridad física, la
seguridad, y el
bienestar social y
económico de la
población y cuya
perturbación o
Ley 8/2011- Medidas para la protección de las infraestructuras críticas
Criticidad de la
infraestructura según:
1.1.- Número potencial de
fallecidos o con lesiones y
consecuencias para la
salud.
2.2.- Impacto económico:
pérdidas y deterioro de
productos y servicios.
3.3.- impacto
medioambiental.
4.4.- Impacto social por la
RD 704/2011 - Reglamento de protección de las infraestructuras críticas
-Catalogación de las
infraestructuras críticas.
-Estrategia y planes de
protección de
infraestructuras críticas.
-Planes de apoyo
operativo y protocolos de
colaboración.
-Plan Nacional de
Protección de las
Infraestructuras Críticas.
Estrategia de Seguridad Nacional 2017
Amenazas y desafíos: Cualquier
interrupción en los servicios
proporcionados por sectores
estratégicos: Administración, espacio,
industria nuclear, industria química,
instalaciones de investigación, agua,
energía, salud, tecnologías de la
4. PLANES DE ACCIÓN: PLANES SECTORIALES Y PLANES DE
SEGURIDAD DEL OPERADOR
Octubre 2018 - La Comisión de Infraestructuras Críticas aprueba el Plan Estratégico del sector Salud.
Los operadores críticos designados deben poner en marcha una serie de planes de protección
específicos sobre el conjunto de sus infraestructuras, que serán complementados por la aplicación de los
correspondientes planes operativos previstos por las Fuerzas y Cuerpos de Seguridad y, en su caso, por
las Fuerzas Armadas.
Comunicación a las entidades designadas, con el nombramiento como operadores críticos, definir los
roles y responsabilidades: nombramientos del responsable de Seguridad y Enlace y del delegado de
Seguridad por cada infraestructura crítica de las organizaciones designadas.
Elaboración del Plan de Seguridad del Operador (PSO): Definir la política general para garantizar la
seguridad integral del conjunto de instalaciones o sistemas, así como detallar el marco de gobierno, la
relación de servicios esenciales prestados por el operador, la metodología de análisis de riesgos a
utilizary los criterios de aplicación de las salvaguardas
5. ESTRATEGIA DE SEGURIDAD NACIONAL: AMENAZAS Y DESAFÍOS
• Amenazas:
• Espionaje.
• Conflictos armados.
• Crimen organizado.
• Terrorismo.
• Armas destrucción masiva..
• Amenazas espacios globales comunes:
• Espacio aéreo y ultraterresre.
• Espacio marítimo.
• Ciberespacio.
• Desafíos:
• Inestabilidad financiera y económica.
• Flujos migratorios.
• Cambio climático.
• Epidemias y pandemias.
• Emergencias y catástrofes.
• Vulnerabilidades energéticas..
6. ESTRATEGIA DE SEGURIDAD NACIONAL: PANDEMIAS Y EPIDEMIAS
En las últimas décadas, el número de enfermedades emergentes identificadas y de situaciones de riesgo asociadas a ellas ha aumentado.
Se han identificado al menos seis alertas sanitarias globales, todas ellas con un importante impacto a nivel nacional: el Síndrome
Respiratorio Agudo Grave, la gripe por virus A/H5N1, la pandemia de gripe por virus A/H1N1, la nueva diseminación internacional del
poliovirus salvaje, la enfermedad por virus Ébola en África del Oeste y la infección por virus Zika.
Este incremento de las situaciones de riesgo asociadas a enfermedades infecciosas ha venido de la mano de un cambio global rápido que
está modificando la relación del ser humano con su entorno en varios ámbitos: poblacionales (tamaño y fragilidad), uso y ocupación del
suelo, movilidad y desplazamientos de población, conflictos, transporte de mercancías y cambio climático.
España, un país que recibe más de 75 millones de turistas al año, con puertos y aeropuertos que se cuentan entre los de mayor tráfico del
mundo, un clima que favorece cada vez más la extensión de vectores de enfermedades, con una población envejecida y una situación
geopolítica polarizada, no está exenta de amenazas y desafíos asociadas a enfermedades infecciosas tanto naturales como intencionadas.
Reducir la vulnerabilidad de la población a los riesgos infecciosos cuando es factible (por ejemplo, mediante la vacunación), la
probabilidad de introducción de riesgos infecciosos (por ejemplo, mediante el control e inspección de mercancías en frontera), así como
la probabilidad de transmisión interna de enfermedades (por ejemplo, mediante buenos programas de prevención y promoción de la
salud o buenos sistemas de saneamiento) es fundamental para minimizar los riesgos y su posible impacto sobre la población.
Sin embargo, dichos riesgos no se pueden eliminar por completo. Es necesario, además de reducir la vulnerabilidad de la población,
desarrollar planes de preparación y respuesta ante amenazas y desafíos sanitarios, tanto genéricos como específicos, con una
aproximación multisectorial que asegure una buena coordinación de todas las administraciones implicadas tanto a nivel nacional
como internacional.
7. ESTRATEGIA DE SEGURIDAD NACIONAL:
LÍNEAS DE ACCIÓN FRENTE A PANDEMIAS Y EPIDEMIAS
• Adaptar servicios de salud pública del Estado y Comunidades Autónomas para asegurar una adecuada
capacidad de respuesta operativa.
• Mejora de capacidades y mecanismos de actuación:
• Revisar y actualizar periódicamente los planes de preparación y respuesta existentes ante riesgos
específicos.
• Promover el desarrollo de un plan nacional multisectorial genérico de preparación y respuesta ante
riesgos biológicos.
• Establecer mecanismos para la coordinación de las Fuerzas Armadas, FCSE, los responsables judiciales y
las autoridades de salud pública para dar respuesta ante ataques intencionados con agentes infecciosos.
• Adaptar la Red de hospitales de tratamiento de casos de Ébola para responder ante cualquier
enfermedad infecciosa de riesgo.
• Ampliar y mantener los sistemas de vigilancia y control de introducción de vectores exóticos en puntos
de entrada y de vectores autóctonos, además de extender el Plan Nacional de Preparación y Respuesta
Frente a Enfermedades Transmitidas por Vectores a todos los vectores de interés.
• Adoptar planes de preparación y respuesta ante riesgos sanitarios, tanto genéricos como específicos.
• Adoptar protocolos de gestión y comunicación de situaciones de crisis alimentarias en coordinación con
la UE y otros organismos internacionales de referencia.
• Etc.
8. ESTRATEGIA DE SEGURIDAD NACIONAL:
OTRAS LÍNEAS DE ACCIÓN
• ¿Dotaciones de medios?
• Solo en la sección de Defensa Nacional, refiriéndose a “Dotar a las
Fuerzas Armadas de las capacidades que demanda el actual
escenario de seguridad”.
• ¿Control de las capacidades y recursos críticos?
• Solo en la sección de Protección ante Emergencias y Catástrofes”,
refiriéndose a “Mantener directorios de capacidades”.
• ¿Qué hay en la sección de “Seguridad económica y financiera?
• Solo genericidades que aplican igual tanto si hay amenazas como si
no…
9. COVID-19: DATOS DE UNA CRISIS (20-ABRIL)
•20.852 fallecidos
•Estimación de 124.000.000.000 €
perdidos solo en el sector turístico.
•Empleo: Pérdida de 834.000
afiliados a la Seguridad Social (hasta
marzo).
10. PROBLEMAS DERIVADOS DEL COVID-19
MALAMENTE RESUELTOS
Identidad digital en confinamiento
Gestión recursos críticos y escasos
11. IDENTIDAD DIGITAL EN LA RELACIÓN DE LOS CIUDADANOS CON
LAS ADMINISTRACIONES PÚBLICAS EN CONFINAMIENTO
• Un 63,3% de los internautas ha contactado o interactuado con las
administraciones públicas a través de internet en 2019 (según el INE).
• Prácticamente los mismos que en el año 2018.
• ¿Significa eso que el resto no tiene las capacidades técnicas o materiales para hacerlo?
• La administración necesita una identidad “fuerte” (según eIDAS), y esa identidad
fuerte necesita un registro presencial.
• Pero esta identidad fuerte pierde validez con el paso del tiempo, y es necesario volver al
registro presencial de forma periódica.
• Las compromisos (y sus plazos) de los ciudadanos con las administraciones
siiguen vigentes…
• Pero los registros presenciales (para identidad digital) han cerrado durante el estado de alerta.
• Pero las ventanillas de atención presencial también han cerrado.
12. IDENTIDAD DIGITAL EN LA RELACIÓN DE LOS CIUDADANOS CON
LAS ADMINISTRACIONES PÚBLICAS EN CONFINAMIENTO
• Empecemos solicitando las ayudas aprobadas RDL 8/2020, de 17 de marzo, de
medidas urgentes extraordinarias para hacer frente al impacto económico y social
del COVID-19.
• Mmmmm… ¡Me piden un certificado de empadronamiento! ¿Cómo lo puedo
solicitar telemáticamente si no tengo identidad electrónica?
• La Comisión Permanente del Consejo de Empadronamiento (dependiente de la FEMP) publica
una nota el 31 de marzo indicando que debo enviar “Copia cifrada de un documento
acreditativo de su identidad, para lo que bastaría con comprimirla con una contraseña robusta
que luego se enviará en un correo aparte” (y define contraseña robusta como “Con una frase
sería suficiente”).
• Y luego recibo el certificado “en un documento cifrado, cuya contraseñase enviará en un correo
aparte”.
• Como las instrucciones no parecen muy claras, se publica una segunda nota el 3 de abril que
sustituye a la del 31 de marzo en el que nos olvidamos de los comprimidos cifrados
suficientemente con una frase y pasamos a aportar una imagen del DNI o pasaporte (puede
13. IDENTIDAD DIGITAL EN LA RELACIÓN DE LOS CIUDADANOS CON
LAS ADMINISTRACIONES PÚBLICAS EN CONFINAMIENTO
• Continuemos con otros trámites…
• Me permiten operar con una identidad electrónica caducada. RD 463/2020, de 14 de marzo por el que se
declara el estado de alarma: Disposición adicional cuarta, Suspensión de plazos de prescripción y
caducidad.
• Los plazos de prescripción y caducidad de cualesquiera acciones y derechos quedarán suspendidos
durante el plazo de vigencia del estado de alarma.
• ¿Y si esto no funciona?
• Bueno, puedo renovar mi certificado en un registro remoto no presencial por videoconferencia con
mecanismos basados en las pautas marcadas por el SEPBLAC (2016).
• RDL 11/2020, de 31 de marzo. Disposición adicional undécima. Medidas provisionales para la expedición
de certificados electrónicos cualificados.
• La equivalencia en el nivel de seguridad será certificada por un organismo de evaluación de la conformidad.
• Los certificados así emitidos serán revocados por el prestador de servicios al finalizar el estado de alarma, y
su uso se limitará exclusivamente a las relaciones entre el titular y las Administraciones públicas.
• Y el SEPBLAC dice…
• Deberán ser gestionados por personal con formación específica acreditada (Reglamento de la Ley 10/2010).
• Deberá realizar el análisis de riesgo específico (Reglamento de la Ley 10/2010).
• Etc.
14. EL PROBLEMA DE FONDO: IDENTIDAD ELECTRÓNICA NO
PERMANENTE Y CON ATRIBUTOS ESTÁTICOS
DEPENDENCIA DE PROCESOS PERIÓDICOS DE REGISTRO Y RIGIDEZ EN EL MANEJO DE ATRIBUTOS DINÁMICOS
16. EL PROCESO DE LA CONSOLIDACIÓN DE LA IDENTIDAD
ELECTRÓNICA CON EL TIEMPO
CUANTO MÁS USO MI IDENTIDAD ELECTRÓNICA, MÁS ELEMENTOS LA LIGAN CON MI
IDENTIDAD REAL
17. EVOLUCIÓN DE
LA IDENTIDAD
ELECTRÓNICA
EIDAS CON EL
TIEMPO
EL NIVEL DE
FORTALEZA DEPENDE
ÚNICAMENTE DE UNA
EVIDENCIA: EL
REGISTRO, Y NO VARÍA
CON EL TIEMPO
EXCEPTO EN SU
CADUCIDAD
18. EL PROCESO DE LA CONSOLIDACIÓN DE LA IDENTIDAD
ELECTRÓNICA ÚNICAMENTE EN EL MOMENTO DE REGISTRO
LA IDENTIDAD SE INTERRUMPE EN EL MOMENTO QUE NO SE
RENUEVAN LOS REGISTROS PRESENCIALES
19. ¿Y BLOCKCHAIN? ¿DÓNDE ENCAJA EN TODO ESTO?
FORTALECIMIENTO DE LA IDENTIDAD POR ACUMULACIÓN DE EVIDENCIAS
20. LA SOLUCIÓN Y EL PROBLEMA: EIDAS
• eIDAS solo permite registro de identidad por medios
certificados/homologados/auditados.
• La caducidad de las claves criptográficas asociadas a la identidad está
igualmente establecida por ley.
21. ATRIBUTOS EN LA IDENTIDAD REAL
LOS ATRIBUTOS SE ASOCIAN O DESASOCIAN CONTINUAMENTE A LA IDENTIDAD (PERO LA
IDENTIDAD EN SÍ PERDURA), ATRIBUTOS NORMALMENTE EXPEDIDOS POR AUTORIDADES
22. ATRIBUTOS EN LA IDENTIDAD EIDAS
CERTIFICADO DE USUARIO
CERTIFICADO DE REPRESENTANTE
CERTIFICADO DE EMPLEADO PÚBLICO
25. UNA VUELTA DE TUERCA AL MODELO: CARACTERÍSTICAS
DESEABLES
Blockchain como intermediario entre los titulares de la identidad y los
atributos y los consumidores de esta, con funciones de registro de
intercambios (y una suerte de “elevación a público”).
Firma de los documentos que componen la transacción de forma
independiente al propio registro de esta en la cadena de bloques.
Posibilidad de documentos tanto dentro como fuera de la cadena de
bloques.
Asociación entre los documentos mediante transacciones
independientes en la cadena de bloques.
Posibilidad de reconstrucción de las asociaciones controlada mediante
claves privadas (de los intervinientes).
26. GESTIÓN DE ATRIBUTOS DE LA IDENTIDAD
¿CÓMO? SUSTITUCIÓN DE CERTIFICADOS EN SOPORTE PAPEL
27. GESTIÓN DE ATRIBUTOS DE LA IDENTIDAD
¿CÓMO? SUSTITUCIÓN DE CERTIFICADOS EN SOPORTE PAPEL
Organismos “puente” (por ejemplo, un ayuntamiento) harían la
intermediación entre los usuarios finales y el SCSP.
¡Necesitamos un API público para el acceso al SCSP!
El proceso sería completamente telemático, la autorización de consulta
puede firmarse electrónicamente.
Los certificados SCSP firmados por los organismos de origen se
introducirían en la cadena de bloques, pero estableciendo procesos
para garantizar:
Control de la visibilidad de estos por parte del titular de la identidad.
Cumplimiento del GPRD.
28. EL PROBLEMA DE
FONDO:
TRAZABILIDAD Y
CONTROL DE LOS
RECURSOS CRÍTICOS
MANEJO DE LA INFORMACIÓN
COMO INSTRUMENTO CRÍTICO
DE LUCHA CONTRA LA
PANDEMIA
ESN Amenazas:
Las amenazas que pueden afectar a estas infraestructuras que revisten mayor gravedad, son aquellas que tienen su origen en actos deliberados, bien realizados mediante una agresión física sobre la propia infraestructura o bien a través de un ciberataque, hoy más probable dado el desarrollo tecnológico.
Puesto que la mayoría de estos servicios esenciales son proporcionados por operadores privados, resulta fundamental seguir potenciando la colaboración público-privada en este ámbito en beneficio de la sociedad en su conjunto.
Terremoto de Lisboa de 1755 (90.000 muertos en Lisboa):
1.000 muertos en Ayamonte, Tsunami de 20 metros en Cádiz, daños en la catedral de Valladolid, daños en la catedral de Segovia, daños en la catedral de Astorga.
Volcán El Hierro 2011: Evacuación total de La Restinga (550 habitantes). Erupción del Chinyero en 1909, etc.
Las riadas del Vallés, 1962, 800 muertes. La riada del camping de Biescas, 87 fallecidos.
Plan de Seguridad del Operador (tras la designación como Operador de Servicios Críticos)
-Metro de Madrid (2018, EY, con baja justificada, 82.000 €).
-Renfe (2016, PWC, 67.890 €).
-Junta de Andalucía (2016, Ingeniería e Integración Avanzadas S.A. [Málaga], 17.900 €, contrato menor).
-Consorcio de Aguas de la Zona Gaditana (licitación máxima por 257.704 €).
Tratado sobre el espacio ultraterrestre o Tratado sobre el espacio exterior, cuyo nombre completo es Tratado sobre los principios que deben regir las actividades de los Estados en la exploración y utilización del espacio ultraterrestre, incluso la Luna y otros cuerpos celestes, es un tratado que forma la base del Derecho internacional acerca del espacio. El tratado quedó abierto a su firma en Estados Unidos, el Reino Unido y la Unión Soviética el 27 de enero de 1967. España firma en 1968.
RAE “amenazar”: Dicho de algo malo o dañino: Presentarse como inminente para alguien o algo. Una epidemia amenaza a la población.
Total de víctimas reconocidas por terrorismo: 6.045 desde 1960.
REGLAMENTO (UE) Nº 910/2014 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 23 de julio de 2014 relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior
Para personas en situación de vulnerabilidad, BOE: https://www.boe.es/buscar/pdf/2020/BOE-A-2020-3824-consolidado.pdf
2ª nota: http://covid19.femp.es/wp-content/uploads/2020/04/Nueva-Nota-certificados-empadronamiento_estado-alarma-COVID19_v2.pdf
Servicio de Consulta de Datos Padronales (SECOPA)
Este Servicio permite “verificar y consultar” los datos de residencia, incluyendo los datos de la fecha y causa de la última variación Padronal “consolidada en la base padronal del INE”. Funcionalmente es equivalente al Servicio de Consulta de Datos de Residencia con Fecha de la Última Variación Padronal (SVDRExt-Fecha),
AEAT: https://www.agenciatributaria.es/AEAT.internet/Inicio/_componentes_/_Le_interesa_conocer/URGENTE__Certificados_electronicos_de_proxima_caducidad.shtml
BOE: https://www.boe.es/boe/dias/2020/04/01/pdfs/BOE-A-2020-4208.pdf
SEPBLAC:
https://www.sepblac.es/wp-content/uploads/2018/02/autorizacion_procedimiento_identificacion_no_presencial.pdf
https://www.sepblac.es/wp-content/uploads/2018/02/autorizacion_identificacion_mediante_videoconferencia.pdf
https://www.sepblac.es/wp-content/uploads/2018/02/Autorizacion_video_identificacion.pdf
Reglamento de la Ley 10/2010 (RD 304/2014): https://www.boe.es/boe/dias/2014/05/06/pdfs/BOE-A-2014-4742.pdf
Código civil:
Artículo 1225.
El documento privado, reconocido legalmente, tendrá el mismo valor que la escritura pública entre los que lo hubiesen suscrito y sus causahabientes.
Artículo 1227.
La fecha de un documento privado no se contará respecto de terceros sino desde el día en que hubiese sido incorporado o inscrito en un registro público, desde la muerte de cualquiera de los que lo firmaron, o desde el día en que se entregase a un funcionario público por razón de su oficio.
Artículo 1230.
Los documentos privados hechos para alterar lo pactado en escritura pública, no producen efecto contra tercero.