El anuncio del Ministro para la Transformación Digital y de la Función Pública de la Cartera Digital Beta, con capacidad para la prueba de mayoría de edad, coloquialmente conocido como “pajaporte”, ha generado un fuerte debate acerca de las propiedades de seguridad de dicha Cartera Europea, en el marco del Reglamento eIDAS 2, con quien los lectores de esta sección están más que familiarizados ya.
En concreto, reiteradamente se ha manifestado que el sistema propuesto permitirá garantizar el anonimato del usuario que lo emplea para acreditar que es mayor de edad, lo que ha producido una fuerte reacción por parte de diversos expertos en ciberseguridad, en especial del ámbito de la criptografía. ¿Es correcta esa referencia al anonimato? Para aclarar a qué nos estamos refiriendo, podemos adoptar la definición de autenticación de entidad anónima (anonymous entity authentication) contenida en ISO/IEC 20009-1:2013, que es la corroboración de que una entidad posee ciertos atributos, sin distinguir a esta entidad de otras entidades con los mismos atributos. Más en concreto, normalmente nos estaríamos refiriendo a mecanismos de autenticación anónima unilateral.
En la medida en que se afirma que este sistema se encuentra alineado con el Reglamento eIDAS 2, podemos acudir al texto aprobado para valorar esta cuestión. Ciertamente, llama la atención que los términos “anonimato” o “anónimo” no se encuentren en el Reglamento eIDAS 2, indicativo de que quizá no haya sido intención de los co-legisladores que se disponga de un sistema que en efecto garantice el anonimato.
Hay que recordar que la cartera europea de identidad digital es un medio de identificación electrónica, por lo que, con carácter general, precisamente su finalidad principal es la autenticación del usuario, que el Reglamento define como el “proceso electrónico que permite la confirmación de la identificación electrónica de una persona física o jurídica, o la confirmación del origen y la integridad de datos en formato electrónico”; donde la identificación electrónica es el “proceso consistente en utilizar los datos de identificación de la persona en formato electrónico que representan de manera única a una persona física o jurídica o a una persona física que representa a otra persona física…
Debe estar conectado para enviar un comentario.