El Reglamento eIDAS surgió ante la necesidad de la Unión Europea (en adelante, “UE”) de solventar los problemas de confianza e interoperabilidad de los certificados digitales. Su principal objetivo es reforzar la confianza en las transacciones seguras entre ciudadanos, empresas y Administraciones Públicas en la UE. Para ello, establece un entorno caracterizado por un marco jurídico que hace posible la prestación de servicios electrónicos de confianza.
¿Cómo se presta un servicio electrónico de confianza?
En primer lugar hay que conocer cuáles son esos servicios para, en segundo lugar, identificar a quiénes pueden prestarlos.
Así, los servicios electrónicos de confianza permiten comprobar la identidad pretendida o declarada de una persona a la vez que la integridad de los mensajes intercambiados a través de la red. Su principal papel es reforzar la seguridad de la información y así transmitir confianza. El Reglamento eIDAS los define como “aquel servicio electrónico que se presta habitualmente a cambio de una remuneración, consistente en:
- La creación, verificación y validación de firmas electrónicas, sellos electrónicos o sellos de tiempo electrónicos, servicios de entrega electrónica certificada y certificados relativos a estos servicios, o;
- La creación, verificación y validación de certificados para la autenticación de sitios web, o;
- La preservación de firmas, sellos o certificados electrónicos relativos a estos servicios.”.
Estos servicios permiten incorporar soluciones tecnológicas a procesos cotidianos convirtiéndolos en una gestión digital automatizada, por ejemplo: los procedimientos KYC.
El proveedor de los servicios anteriormente enumerados recibe el nombre de prestador de servicios de confianza (en delante, “PSC”). Según el Reglamento de eIDAS, éste es “una persona física o jurídica que presta uno o mas servicios electrónicos de confianza, bien como prestador cualificado o como prestador no cualificado de servicios electrónicos de confianza”. Es decir, aquellos que emiten, por ejemplo, firmas electrónicas con validez jurídica.
Existen dos tipos de PSC: cualificados y no cualificados. Para adquirir la condición de PSC cualificado una tercera parte acreditada, como entidad de evaluación por la Entidad Nacional de Acreditación (ENAC) evaluará el nivel de cumplimiento del Reglamento eIDAS. Además, el PSC cualificado será sometida a una supervisión activa. Mientras que, un PSC no cualificado no necesitará acreditación y se verá sometido a una supervisión ligera, reactiva, posterior y justificada en función de la naturaleza de sus servicios.
No obstante, ambos PSC deben adoptar las medidas técnicas y organizativas apropiadas con la finalidad de gestionar los riesgos que se presentan en la seguridad de los servicios de confianza que prestan. De esta forma, los PSC deben garantizar que el nivel de seguridad sea proporcional al nivel de riesgo.
¿Cuáles son las obligaciones generales de los PSC?
- El cumplimiento estricto de la normativa en materia de protección de datos. En especial, los PSC deberán de poner especial atención al principio de minimización, confidencialidad y seguridad del tratamiento destinados a la concesión de acceso al servicio en línea;
- La aplicación de buenas prácticas de seguridad con la finalidad de garantizar la debida diligencia, transparencia y rendición de cuentas en relación con los servicios que ofrecen. Además, los PSC deberán de establecer un régimen de supervisión;
- Los PSC responderán de los perjuicios ocasionados a cualquier persona física o jurídica a causa del incumplimiento de sus obligaciones. Para ello, el Reglamento eIDAS permite que los PSC establezcan ciertas limitaciones pero siempre que queden plasmadas en las condiciones generales del servicio.
Asimismo, el Reglamento eIDAS recoge obligaciones específicas para los PSC cualificados en su artículo 24.2.
¿Cuál es el nivel de seguridad de los sistemas de identificación electrónica?
El Reglamento eIDAS quiere garantizar que es posible la identificación y la autenticación electrónicas seguras para el acceso a los servicios transfronterizos en línea ofrecidos por cualquiera de los Estados miembros de la UE. Para ello, los sistemas de identificación electrónica notificados a la Comisión deberán de especificar los niveles de seguridad bajo, sustancial y alto para los medios de identificación electrónica expedidos.
Estos niveles de seguridad dependerán del grado de confianza que aporte el medio de identificación para establecer la identidad de una persona teniendo en cuenta:
- Procedimientos técnicos, como la prueba y verificación de la identidad;
- Actividades de gestión, como el procedimiento para expedir los medios de identificación electrónica;
- Controles aplicados, como el mecanismo de autenticación mediante el cual la persona física o jurídica utiliza los medios de identificación electrónica para confirmar su identidad a una parte usuaria.
Si accedes aquí puedes consultar los sistemas de identificación electrónica notificados y su nivel de seguridad.
¿Conoces el ataque a DigiNotar?
El ataque a DigiNotar, autoridad certificadora holandesa, causó gran impacto en la redacción el Reglamento eIDAS y los estándares.
El ataque afectó a todos los servidores de DigiNotar capaces de emitir certificados. Como consecuencia, se produjo la emisión de un número indeterminando de certificados. Algunos de éstos fueron utilizados para realizar ataques informáticos. Cabe resaltar el ataque man-in-the-middle a gran escala contra los usuarios de Gmail en Irán.
Tras una larga investigación, se llegó a comprobar que los atacantes tuvieron acceso a los servidores un mes antes de que DigiNotar lo identificase. Esta entidad era la más utilizada por todos, incluso por el gobierno.
A pesar de que DigiNotar disponía de una estructura de red segmentada con nodos sin conexión a Internet, hubo una relajación en las normas de la propia red que hicieron posible a los atacantes acceder a un servidor web y, desde ahí, pudieron acceder a otras partes de la red que les permitieron controlar directamente los servidores de certificación.
Como consecuencia, grandes compañías, entre ellas Microsoft y Google, pusieron en su lista negra los certificados emitidos por DigiNotar. Del mismo modo, el gobierno decidió trasladar su confianza a otra entidad certificadora. Todo ello provocó en poco tiempo la quiebra de la compañía.
En este ejemplo se muestra la gran importancia de tener un prestador de servicios de confianza y ello es posible gracias a las requisitos y obligaciones que el Reglamento eIDAS impone a los mismos, en especial a los cualificados.