DNI electrónico: ¿por qué no ha funcionado?

Escrito por EVA FERNÁNDEZ . PAMPLONA
Las empresas navarras que desarrollan proyectos en los que se usa el DNI-e para identificarse o firmar digitalmente apuntan las claves de su descalabro:

Pedro Latasa López, director general de KSI Seguridad Digital, lo tiene muy claro: “Impulsar el DNI electrónico no es sólo hacer panfletos y organizar charlas”. Desde la Administración, el apoyo al DNI-e ha sido “tibio”, y no se ha escuchado a la industria que iba a crear productos para él. “Se nos ha dicho: esto es lo que hay y debéis usarlo. No nos digáis que el DNI-e tiene problemas y que para el usuario es complicado. Todo son excusas porque no queréis promocionarlo”.

Latasa habla con conocimiento de causa. No en vano, su empresa KSI -dedicada al desarrollo de software capaz de crear la firma digital basándose en el DNI-e o en cualquier otro certificado digital- formó parte del grupo de desarrollo del DNI-e y se dedica a la realización de cursos y charlas de divulgación explicando para qué sirve y cómo se utiliza el documento.

Además de Latasa, los responsables de varias empresas navarras que realizan proyectos de administración electrónica con DNI-e coinciden en los motivos que han llevado al fracaso de este soporte.

Servicios y mentalidad

“No existe un producto tecnológico -explica el director de KSI- que no requiera de evolución o transformación que lo ubique mejor en el mercado. Sin embargo, con el DNI-e no quedó un grupo encargado de realizar un seguimiento del proyecto y mejorarlo”. “Además, -continúa-, en ocasiones se ha responsabilizado a la empresa privada de no ofrecer servicios para el DNI electrónico, cuando es la propia administración la que está obligada a hacerlo y tampoco lo ha hecho hasta hace poco tiempo”.

Para Latasa, “la usabilidad tiene que mejorar drásticamente”, pero desde luego “tienen que aumentar enormemente los servicios que requieran el empleo del DNI-e”, con el consiguiente “cambio de mentalidad”. “Tengo clientes – concluye- que quieren incorporar sistemas de emisión electrónica de documentos y no lo hacen, porque hay alguien dentro de la administración que les dice: es necesario un sello de caucho para dar validez al proceso”.

Eliminar identificaciones

Por su parte, Raúl Orduña Urrutia, jefe de Innovación en la sociedad pública Tracasa (Trabajos Catrastrales S.A), señala otra de las grandes razones del escaso uso del DNI-e. “En muchos servicios online -detalla- se admiten mecanismos de identificación tipo usuario-clave”, mucho más sencillos de usar para el ciudadano medio que, lógicamente, “pierde preocupación por aprender a usar el DNI-e en sus transacciones”.

“Habría que forzar a organismos públicos a aceptar sistemas de certificación electrónica que disminuyeran de forma efectiva muchas tramitaciones”. “No hace ni un mes – prosigue- tuvimos que desplazar a una persona a Madrid, únicamente, porque un ministerio exigía su firma manuscrita en un contrato”.

Frenos

tecnológicos
También para Juan Carlos Rodríguez Rico, responsable de S21sec, otra empresa navarra especializada en seguridad informática, los motivos son claros: “Mientras el ciudadano no pueda insertar el DNI-e en su ordenador y comenzar a trabajar con él directamente, la barrera tecnológica será my grande”.

En opinión de Rodríguez, “todos los nuevos ordenadores deberían llevar incorporados lectores de tarjetas criptográficas, incluída la del DNI electrónico”. También deberían llevar preinstalados, independientemente del sistema operativo, “todos los certificados de autorización necesarios para empezar a operar directamente con los servicios”.

“Hasta que el empleo del DNI-e no deje de suponer un problema o una dificultad para el ciudadano, no será el momento de divulgar y difundir las ventajas de su utilización como elemento de acreditación electrónica”, declara.

Sistema inmaduro

Según el parecer de Eduardo Tuñón Gonzalo, integrador de soluciones en Animsa (Asociación Navarra de Informática Municipal, S.A.), “el principal error ha sido pensar que, de forma masiva e inmediata, 21 millones de portadores de DNI-e, con distintas necesidades y conocimientos, iban a adoptar un sistema de certificación inmaduro que requería de una cierta formación y una instalación no trivial, para usarlo en un conjunto de servicios todavía muy limitado”.

“No sólo es difícil usar el DNI-e, asegura-, también es difícil hacer gestiones por internet”. “Saber si un documento electrónico está debidamente firmado, si tiene validez legal, si lo medios electrónicos que utilizamos son suficientemente seguros, robustos y fiables, no está a la alcance de la mayoría”.

Interés para el ciudadano

“Debemos considerar el DNI-e como un medio, no como un fin”, concluye Juan José Domingo Sánchez, director de Productos de TB-Solutions, una compañía con sede en Navarra especializada en plataformas de comunicación seguras. “El éxito de un servicio no hay que atribuirlo a la tecnología sino a las ventajas que ofrece al ciudadano”. Y éstas son tiempo, desplazamientos y disponibilidad las 24h.

DAVID BLANCO GIRÓ DIRECTOR GENERAL DE TRACTIS (PLATAFORMA DE VERIFICACIÓN DE LA IDENTIDAD Y CONTRATACIÓN ELECTRÓNICA)
“Ausencia total de estrategia de implantación”
David Blanco Giró (Valladolid, 1973) conoce de primera mano cómo se gestó el proyecto del DNI-e en nuestro país. La empresa que dirige, Tractis, ha desarrollado una de las plataformas de verificación de identidad y contratación electrónica más potentes a nivel nacional y fue contratada por el Ministerio de Industria para realizar el primer reparto masivo de lectores DNI-e.

¿Qué ha fallado en el proyecto del DNI-e?

Todos los errores por los que no ha cumplido sus expectativas podrían resumirse en uno: la ausencia total, en el momento de inicio del despliegue del plan, de una estrategia de implantación y difusión del DNI-e en el sector privado.

¿Cuál ha sido el papel de la DGP?

La Dirección General de la Policía, responsable de la implantación del proyecto del DNI-e, se centró desde el principio en crear una herramienta de verificación de la identidad que resolviera sus necesidades. Lógicamente, su preocupación fue siempre la seguridad y no la usabilidad de aplicaciones para el DNI-e en el sector privado, porque la seguridad es su principal cometido y por eso le pagan. ¿Significa esat afirmación que la DGP tiene la culpa del fracaso del DNI-e? Ni mucho menos. Es culpa dequien decidió que la encargada de la implantación del DNI-e fuera la DGP.

¿Cuándo apareció Red.es?

Con el paso del tiempo y al hacerse evidente el problema de difusión del DNI-e en el sector privado, se transfirieron competencias a la Entidad Pública Empresarial adscrita al Ministerio de Industria, Red.es, cuyo objetivo principal es promover la presencia digital en internet entre ciudadanos y empresas. Sin embargo, Red.es no disponía de las herramientas necesarias para mejorar las cosas, pues el control del proyecto seguía correspondiendo a la DGP.

¿Cómo debería haberse diseñado el DNI-e?

En mi opinión, podría haberse creado un ente autónomo encargado de la difusión del DNI-e, del cual habría “colgado” un comité conjunto DGP-Red.es. A este comité conjunto habría que haberle dotado de continuidad en el tiempo, con reuniones periódicas de revisión y áreas de actuación coordinadas, pero independientes. En la actualidad, Red.es depende de la DGP para cualquier cambio importante que desee plantear, aunque los objetivos de la DGP no tengan nada que ver con los Red.es. Así que la DGP ha hecho una labor encomiable (para lo que son sus objetivos) y Red.es ha hecho un trabajo extraordinario (para el grado de libertad con el que cuenta).

¿Qué tal un despliegue masivo de lectores?

Sería fundamental, no necesariamente gratis, pero sí facilitando su adquisición.Una opción dura sería obligar a los fabricantes de ordenadores a incluir lectores de serie en España (en plan: “es como la tecla ñ: o la pones o no vendes”). Otra estrategia más suave y de menor confrontación sería crear un sello de “ordenador compatible con DNI-e” y, a continuación, publicitar: “no compres ningún ordenador sin este sello”.

¿Y qué haríamos con las normativas?

Habría que publicar un reglamento que desarrollara la Ley de Medidas de Impulso a la Sociedad de la Información. Por esta ley, por ejemplo, todas las empresas de banca, seguros, teleco, energía, transportes, etc. que tuvieran más de 100 trabajadores o que facturaran más de 6 millones ?/año (Telefónica, Vodafone, France Telecom, Jazztel, Gas Natural, Iberdrola, Santander, BBVA, Caja Madrid, Bankinter, ING Direct, etc.) estarían obligadas a soportar el DNI-e en las relaciones y contrataciones con sus clientes (altas, bajas, portabilidades, renovaciones…).Y deberían hacerlo, por ejemplo, antes de diciembre de 2011. Si todas ellas cumplieran la ley, el ciudadano percibiría muchísimo valor en utilizar su DNI-e, pues habría centenares de gestiones valiosas que podría realizar desde casa, en segundos, a cualquier hora.

¿Como podría presionar el ciudadano?

Probablemente, en la situación de crisis actual, el gobierno no considera que sea buena idea pedir a estas empresas este tipo de gasto. Así que la solución sería que los ciudadanos se acercaran a las oficinas del consumidor y denunciasen a todas las empresas de banca, seguros, teleco, etc. por incumplimiento masivo de la legislación y su consiguiente pérdida de derechos.

¿Y los otros certificados digitales?

Habría que exigir “ya” la normativa europea, que sólo reconoce como “firma electrónica cualificada” la que está creada con un dispositivo seguro, es decir, con el DNI-e o una tarjeta criptográfica (con chip). Traducido al cristiano y de manera menos política: habría que prohibir el certificado Ceres de software (el que se almacena en una memoria USB) para hacer la declaración del IRPF y admitir sólo Ceres en tarjeta criptográfica.

Menudas medidas de “guerrilla”…

Así es, pero provocarían: (1) que los fabricantes incluyeran lectores en sus ordenadores; (2) que las grandes empresas ofreciesen servicios de valor con el DNI-e (no la tontería de la autenticación); y (3) que los ciudadanos se acostumbraran al uso del DNI-e.

JULIÁN INZA ALDAZ PRESIDENTE DEL GRUPO INTERACTIVA (ALBALIA.COM)
“Un círculo vicioso entre aplicaciones y certificados”
Julián Inza Aldaz (Pamplona, 1961) es pionero en el desarrollo de la firma y la banca electrónica en España. Trabajó desde los inicios con prototipos del DNI electrónico para la implantación de un sistema de firma digital en móviles y preside uno de los grupos de empresas más prestigiosos especializado en firma electrónica, el Grupo Interactiva. Ha realizado múltiples seminarios y cursos online sobre el DNI-e para Inteco (Instituto Nacional de Tecnologías de la Comunicación) y ha sido seleccionado por Red.es como entidad promotora del DNI-e.

¿Cómo describiría la situación del DNI-e?

Afortunadamente, en España las cosas están empezando a cambiar. El bajo uso del DNI-e ha sido esencial para romper el círculo vicioso en el que nos encontrábamos inmersos y que se describiría así: “Como hay pocos certificados electrónicos no merece la pena desarrollar servicios y aplicaciones que saquen partido de ellos. Como no hay aplicaciones que requieran certificados, no merece la pena obtenerlos”.

¿Cuáles han sido los principales errores?

La doble certificación que incluye el DNI-e (autenticación y firma) es, a mi juicio, innecesaria. Además, el hecho de que se exija continuamente el PIN lo hace inusable. También considero trabas: la limitación a 30 meses de la validez de los dos certificados del DNI-e, la excesiva normativa sobre firma electrónica -dispersa y contradictoria-, la dejadez de los organismos públicos o el secretismo sobre cierta información técnica.

¿Cómo se daría un giro a la situación?

Creo que la cualidad más importante de loscertificados digitales es la interoperabilidad, es decir, la capacidad para intercambiar procesos o datos entre diferentes sistemas. Por ello, habría que tratar al DNI-e igual que al resto de los certificados cualificados: unificar los interfaces de acceso, suprimir el PIN y dotar a sus certificados de la misma duración que el propio soporte: 10 años. Por último, habría que simplificar la normativa sobre firma digital, con un sólo concepto y una fuente única de derecho.

CARLOS JIMÉNEZ SUÁREZ PRESIDENTE DE SECUWARE (SEGURIDAD TIC)
“La usabilidad es una cuestión imprescindible”
Carlos Jiménez Suárez (Madrid, 1966) es una autoridad mundial en seguridad informática. Experto en ciberterrorismo y reconocido por organizaciones como la OTAN, el Ministerio de Defensa o el CNI, con tan solo 20 años inventó el primer antivirus de la historia para el Viernes 13. Preside Secuware, la empresa que él mismo fundó, y acaba de presentar su último proyecto conjunto con Telefónica-Movistar para llevar el DNI-e al móvil. El proyecto fue anunciado a mediados de febrero en el Mobile World Congress de Barcelona.

¿Cómo se mejora el DNI-e?

Hay que considerar la usabilidad. Por un lado, pienso en el PIN. Aunque en un futuro no muy lejano, se ha previsto eliminar el PIN del certificado de identidad, creo que esta supresión, en lugar de arreglar el problema, creará uno nuevo de seguridad. El 90% del código que maneja el DNI-e estaba formado por componentes de Microsoft y, desde el principio, Microsoft asumía que un certificado digital no estaba protegido por PIN. Sin embargo, se incluyó por exigencias de la Agencia de Protección de Datos. Por otro lado, si el DNI-e no puede utilizarse en el móvil y necesitamos siempre un ordenador, su uso se reducirá muchísimo.

¿Por qué no ha cumplido las expectativas?

Para utilizar el DNI-e , el usuario tiene que superar una carrera de obstáculos. (1) hay que tener un lector y que los driversfuncionen; (2) hay que instalar el Módulo Criptográfico de la DGP; (3) hay que conocer el PIN, -probablemente el inhibidor mayor, ya que menos de un 5% de los usuarios lo conocen. Y una vez llegados ahí, el DNI-e es muy incómodo de usar, porque el PIN se solicita muchísimas veces.

¿Qué futuro le augura al DNI-e?

Los españoles tenemos una llave de seguridad perfecta para realizar gestiones, a cualquier hora, desde cualquier sitio. Indudablemente, a medio plazo, existirán muchas más aplicaciones de uso sencillo.

¿Qué medidas habría que tomar para impulsar el uso del DNI-e?
1.Despliegue masivo de lectores. El Gobierno debería facilitar su compra a los propietarios de ordenadores antiguos y obligar a los fabricantes de hardware a que los incorporasen “de serie” en los nuevos.

2. Tecnología “plug&play”. “Enchufar y usar”, el usuario no debería tener que instalar programas específicos para el DNI-e. Deberían estar incluidos en el PC, encender y ¡listo!

3. Mejorar la usabilidad. Habría que suprimir la solicitud continua del PIN.

4. Ampliar la validez de los certificados de autenticación y firma. Caducan a los 30 meses y lo lógico sería que tuvieran la misma duración que el soporte: 10 años. De ese modo, se evitaría la compleja y engorrosa tarea de su renovación.

5. Mejorar la oferta de servicios, incluyendo el uso del móvil. Obligando a las grandes empresas a ofrecer a sus clientes la gestión online de algunos trámites. Asegurándose de que las administraciones cumplen el mandato que se les ha encomendó.

6. Desarrollar y simplificar la legislación de forma acorde, coherente y complementaria. Por un lado, habría que desarrollar la ley de Medidas de Impulso de la Sociedad de la Información. Por otro, habría que simplificar la normativa sobre firma digital, ahora dispersa y contradictoria entre sí.

7. Dar soporte técnico a usuarios, empresas e instituciones. Para poder usar el DNI-e y desarrollar programas que lo utilicen. Se deberían incluir manuales y documentación.

[Enlace Retirado]