Los Certificados Electrónicos en la Administración Pública:
Alberto López TallónJefe de Servicio de Proyectos Tecnológicos
¿Solución o Pesadilla?
La Identidad Digital en la
Administración Pública
La Identidad Digital - Los comienzos:
Con el auge de la Administración Electrónica, los certificados electrónicos se establecen como solución de referencia de identidad digital
Una de las principales razones es la necesidad de trasladar las garantías jurídicas del derecho administrativo a la vía electrónica
Los certificados son una solución potente, interoperable, con un alto nivel de seguridad y aportan importantes ventajas de gestión
El Certificado-e en la Administración
La Administración asume una posición de liderazgo en el uso de certificados electrónicos, muy por delante del sector privado
Al principio (p.ej. IRPF 1999) el entorno tecnológico del usuario se mantiene razonablemente sencillo
Entonces, prácticamente el 100% de los casos: Windows + IE + certificado PKCS#12
El Certificado-e en la Administración
A partir de aquí:
El Certificado-e en la Administración
El Certificado-e en la Administración
Una mayor heterogeneidad del entorno multiplica los problemas de una tecnología no trivial como lo son los certificados digitales
El ciudadano se encuentra con pautas de uso y problemas diferentes según qué producto usa
El principio de neutralidad tecnológica de la Ley 11/2007 es deseable, pero a la vez resulta problemático en la práctica
El Certificado-e en la Administración
A mayores, en la Administración aún se comenten errores que confunden al usuario. Ejemplo: uso de CAs propias en webs públicas
Muchos de los fabricantes tampoco ayudan: insuficiente soporte al uso de certificados digitales, falta de rigor en las implementaciones,…
Aún falta estandarización con lo que ello implica. Ejemplo: firma electrónica en Web
El Certificado-e en la Administración
Algunos tipos de certificados generan barreras adicionales. Ejemplos: adquisición del lector e instalación de software del DNI electrónico
En algunos casos conseguir una usabilidad adecuada implica asumir brechas de seguridad. Ejemplo: instalación vía Web de un cert. PKCS#12
Aparecen nuevos requisitos. Ejemplo: VM Java para Applets de firma electrónica
Los principales problemas y barreras
para el ciudadano
Barreras y Problemas para el ciudadano
El entorno tecnológico aún no ha logrado que la utilización de los certificados electrónicos sea lo suficientemente transparente al usuario
El ciudadano ha de enfrentarse a conceptos no triviales: almacén de certificados, certificado raíz, clave privada, etc.
Errores en las Webs y distribución de certificados raíz generan rechazo e inseguridad al ciudadano
Barreras y Problemas para el ciudadano
Incomodidad de algunos medios. P.ej.: lentitud y/o excesivas peticiones de introducción del PIN en algunas tarjetas criptográficas y DNIe.
Excesivo nivel de incidencias en componentes clave. Ejemplo: Componentes de firma electrónica en páginas Web
Confusión creada por las políticas de algunas fabricantes. Ejemplo: almacenes de certificados
Consecuencias
Ciudadanos
DNI electrónico (DNIe)
Usuarios del DNIe
Pero…
Se trata de una tecnología demasiado buena y segura como para descartarla
Además, el problema no está tanto en los propios certificados, sino en el entorno tecnológico
Por tanto…
No obstante, el uso generalizado de certificados electrónicos sigue siendo el ideal al que aspirar
Hoy por hoy, salvo para colectivos afines a las nuevas tecnologías, los certificados carecen de
la usabilidad necesaria para un uso amplio
Mientras tanto hay que trabajar en las mejoras y contemplar alternativas
Algunas claves para encontrar soluciones
Claves para encontrar Soluciones
Estudiar soluciones para simplificar el uso de los certificados electrónicos
Análisis de riesgos individualizado en los trámites para estudiar alternativas a los certificados. Ejemplos: puntos DGT, borrador AEAT, etc.
Al funcionario lo podemos formar, al ciudadano no. Quedan prohibidas la soluciones complejas para su uso generalizado
Claves para encontrar Soluciones
Al ciudadano rechaza «tareas de bricolaje», si queremos un uso generalizado de certificados electrónicos todo ha de ser «plug and play»
El problema es mucho más fácil de resolver con funcionarios y profesionales, ya que disponen de departamentos de tecnología y formación
… pero, aún no se forma lo suficiente y se delega demasiado en el proveedor en la implantación de soluciones de administración electrónica
Claves para encontrar Soluciones
¿Cuál sería la solución ideal?
+
Tarjeta criptográfica (incluido DNI electrónico) tipo «plug and play»
Políticas eficaces que logren la incorporación de los lectores como un dispositivo cotidiano más
Software eficiente: sin lentitud, ni peticiones excesivas del PIN de usuario
+
Claves para encontrar Soluciones
Lograrlo es una cuestión de coordinación y voluntad de todos los actores implicados:
fabricantes, instituciones de normalización, Gobiernos y Administración
Solucionar los problemas expuestos es técnicamente posible y ni siquiera muy difícil
Muchas Gracias
Alberto López TallónJefe de Servicio de Proyectos Tecnológicos
Más información en: www.microlopez.org