eIDAS 2: Todo lo que necesita saber

La identificación electrónica (eID) es un método digital a partir del cual se comprueba la identidad de una persona. Permite a las personas acceder a servicios en línea, realizar transacciones electrónicas e interactuar con plataformas gubernamentales de forma segura. Con un sistema de eID, se garantiza que la persona que utiliza los servicios es quien dice ser a fin de mitigar el riesgo de usurpación de identidad y fraude.

Como forma de verificación de la identidad digital, las eID dependen en gran medida de varios autenticadores. En resumen, la autenticación es el proceso por medio del cual se garantiza que la identidad declarada de un usuario o dispositivo sea válida.

Normalmente, para llevar adelante la verificación de la identidad digital, se utiliza una combinación de hasta tres factores de autenticación:

1. Autenticación basada en conocimientos: El usuario proporciona algo que solo él conoce, como una contraseña o un código.
2. Autenticación basada en la posesión: El usuario proporciona algo que solo él tiene, como un documento de identidad o una tarjeta inteligente.
3. Autenticación biométrica: Las características físicas del usuario se verifican mediante huellas dactilares o reconocimiento facial.

Una vez verificada, la persona obtiene acceso a los servicios en línea deseados, y su identidad digital puede utilizarse para verificaciones posteriores.

Esto es notablemente más eficiente que los procesos tradicionales basados en papel. En lugar de realizar comprobaciones manuales o en persona, las organizaciones pueden agilizar el flujo de trabajo y eliminar los errores humanos. Esto no solo crea una experiencia de usuario más cómoda, sino que también favorece la gestión de riesgos y la protección de datos a escala.

Casos prácticos de identificación electrónica

Una innumerable cantidad de industrias están aprovechando la identificación digital para realizar con rapidez y sin problemas la autenticación de clientes, ciudadanos y empleados.

• Banca en línea: Con los sistemas de eID, las entidades financieras pueden garantizar que solo las personas autorizadas acceden a las cuentas, lo que las protege de posibles fraudes.
• Sector público: Los servicios de identidad digital permiten a los ciudadanos acceder en línea a servicios públicos esenciales, como la declaración de impuestos, la solicitud de prestaciones sociales y el acceso a expedientes personales. Esto elimina la necesidad de realizar visitas físicas a las oficinas gubernamentales, lo que reduce la carga administrativa y mejora la prestación de servicios en general.
• Servicios profesionales: Abogados, contadores y otros profesionales pueden utilizar la eID para verificar la identidad de los clientes a distancia a fin de garantizar el cumplimiento de los requisitos legales y normativos. A partir de este seguro proceso de verificación, se agiliza la incorporación de clientes, la Document Signing y la prestación de servicios confidenciales, lo que aumenta la confianza en las relaciones profesionales.
• Venta al por menor en línea: Dado que la identidad de los clientes se verifica durante las transacciones digitales, la eID garantiza que las compras estén autorizadas. También simplifica los procesos de pago, lo que permite que los clientes completen las transacciones de forma rápida y segura sin introducir repetidamente información personal. Esta mejora de la experiencia del usuario puede aumentar la satisfacción y la fidelidad del cliente.

eIDAS es la abreviatura de servicios electrónicos de identificación, autenticación y confianza. Como reglamento general de la UE, unifica todos los servicios europeos de eID y de confianza en un marco jurídico común.

Antes del eIDAS, no existía un planteamiento coherente para verificar las identidades electrónicas. Cada Estado miembro de la UE tenía sus propios requisitos legales e infraestructura de servicios de confianza, pero no funcionaban en otras jurisdicciones. Este panorama fragmentado dificultó la seguridad de las transacciones transfronterizas, dado que obstaculizaba la eficacia de los servicios en línea y las plataformas de comercio electrónico.

En 2014, la Comisión Europea aprobó el Reglamento eIDAS, en el que se establecen tres principios unificadores:

1. Reconocimiento mutuo: El eIDAS obliga a todos los países de la UE a reconocer los sistemas de eID de los demás. Esto significa que una eID nacional o un servicio de confianza expedido en un Estado miembro de la UE debe aceptarse en todos los demás.
2. Interoperabilidad: El eIDAS también garantiza la compatibilidad entre diferentes soluciones de identificación electrónica. Las personas y las organizaciones pueden utilizar la misma identidad digital en diversas plataformas y servicios sin problemas.
3. Seguridad: En el reglamento, también se garantiza que las identidades digitales y las transacciones electrónicas estén protegidas contra el fraude y las ciberamenazas, lo que proporciona un entorno seguro y digno de confianza en toda la UE.

Este Reglamento de la UE se aplica a los 27 Estados miembros. El cumplimiento también es obligatorio para las organizaciones de la UE que cuentan con ofertas digitales que requieren una identificación segura, como la banca o el comercio electrónico. Asimismo, se aplica a cualquier proveedor de servicios de confianza (TSP) que opere en la Unión Europea, que debe obtener una certificación de un organismo supervisor designado, para confirmar que los servicios de la organización cumplen con las normas del eIDAS.

¿Qué es un proveedor de servicios de confianza?

Un prestador de servicios de confianza es una persona jurídica o física que crea, verifica y conserva firmas y sellos electrónicos, así como certificados digitales. Los TSP también garantizan la confidencialidad y non-repudiation de la información y autentifican los sitios web o los firmantes.

Sus servicios proporcionan los mecanismos necesarios para verificar la autenticidad e integridad de un documento, identidad o comunicación electrónicos. Son un componente fundamental del Reglamento eIDAS, ya que garantizan que las interacciones en línea sean tan seguras y fiables como sus homólogas en papel.

Por consiguiente, entre los servicios de confianza del eIDAS puede incluirse los siguientes:

1. Firmas electrónicas
   Una firma electrónica funciona igual que una manuscrita. Se utiliza para firmar documentos digitalmente a fin de proporcionar una forma segura y verificable de garantizar que el firmante es quien dice ser y que el documento no sufrió alteraciones desde que se aplicó la firma. En el eIDAS, se clasifican estas firmas en tres niveles:

   • Firma electrónica simple: Ofrece seguridad básica adecuada para aplicaciones de bajo riesgo.
   • Firma electrónica avanzada: Proporciona un mayor nivel de seguridad dado que vincula la firma de forma exclusiva con el firmante y permite detectar cualquier cambio que se realice en los datos firmados.
   • Firma electrónica calificada: Emite el máximo nivel de seguridad y es legalmente equivalente a una firma manuscrita. Debe crearse utilizando un Qualified Signature Creation Device y basarse en un certificado digital cualificado.

   Un QSCD es un tipo de hardware criptográfico, como un módulo de seguridad de hardware (HSM), que ha sido sometido a un proceso de certificación de eIDAS.
    

2. Sellos electrónicos
   Un sello electrónico es similar a una firma electrónica, pero lo utilizan personas jurídicas (por ejemplo, empresas) en lugar de personas físicas. Garantiza el origen y la integridad de un documento, dado que se verifica que lo haya emitido una entidad específica y que no se haya alterado.
3. Sellos de tiempo
   Con un sello de tiempo, se demuestra que un documento electrónico o dato concreto existió en un momento determinado. Es una forma segura de establecer el origen de la creación, envío o recepción de un documento, dado que añade otra capa de integridad y confianza.
4. Certificados digitales
   En pocas palabras, un certificado digital es un archivo que prueba la autenticidad de un dispositivo, un servidor, un usuario o una entidad mediante criptografía de clave pública. Funciona con una copia de una clave pública del titular del certificado, que debe cotejarse con una clave privada correspondiente para verificar su procedencia.

El Reglamento Europeo de Identidad Digital, también conocido como eIDAS 2, es una versión actualizada de la legislación del eIDAS original. Se publicó en el Diario Oficial de la Unión Europea en abril de 2024 y entró en vigor un mes después.

Aunque la primera aparición tuvo éxito en muchos aspectos, aún quedaba mucho por hacer. En particular, el marco original de identidad digital tenía distintos niveles de adopción en cada Estado miembro de la UE, lo que provocaba incoherencias y dificultades a la hora de utilizar las eID y los servicios de confianza. A partir de 2021, solo el 59 % de los residentes en la UE pueden utilizar un eID de confianza a través de las fronteras.

En el eIDAS 2, se abordan estas deficiencias a partir de la introducción de una serie de cambios significativos.

Billetera Europea de Identidad Digital (EUDI Wallet)

Anteriormente, los países de la UE podían notificar voluntariamente los sistemas nacionales de eID, que otras naciones estaban obligadas a reconocer. Sin embargo, no se obligó a ningún país a crear un sistema de identificación electrónica si aún no lo tenía, lo que dio lugar a los diferentes índices de adopción.

Ahora, todos los Estados miembros deben ofrecer una billetera digital segura a empresas y ciudadanos, con la que se puedan vincular sus eID nacionales con pruebas de otros datos personales, como permisos de conducir, diplomas y cuentas bancarias. Esto permite crear una billetera universal de identidad digital de la UE, lo que permite que las personas almacenen, gestionen y compartan selectivamente datos personales, credenciales y atributos.

El objetivo es dar a los europeos pleno control sobre sus datos al momento de utilizar servicios en línea a fin de reducir el intercambio innecesario de información. Los proveedores de servicios que verifican la identidad de los clientes deben aceptar estas billeteras al momento de realizar la autenticación.

La Billetera de Identidad Digital de la UE tiene tres características fundamentales:

1. Seguridad: La actualización respeta las leyes de ciberseguridad existentes, como el Reglamento General para la Protección de los Datos (GDPR), en el que se exige el cumplimiento de estas normas. También permite a los organismos públicos expedir certificaciones electrónicas, lo que ayuda a las organizaciones a reconocer credenciales en toda Europa al tiempo que se da prioridad a la privacidad de los datos.
2. Comodidad: Gracias a la EUDI Wallet, los ciudadanos acceden a los servicios públicos, solicitan empleo o viajan por Europa con más facilidad. Pueden utilizar esta herramienta para compartir datos de identidad con organizaciones con fines de autenticación a fin de agilizar el acceso a actividades transfronterizas esenciales.
3. Interoperabilidad: El Reglamento también promueve un enfoque unificado, lo que facilita que las identidades digitales se acepten ampliamente en toda la UE. Proporciona una estructura técnica y normas comunes para los ciudadanos y los proveedores de servicios en línea. A partir de esta armonización, se garantiza que las soluciones de identidad digital sean reconocidas y fiables en toda la UE.

Los Estados miembros deben poner a disposición de los ciudadanos una billetera nacional de identidad digital para 2026.

Ampliación del ámbito

El Reglamento Europeo de Identidad Digital mejora significativamente el marco de los proveedores cualificado de servicios de confianza cualificados (QTSP), que son entidades certificadas para ofrecer servicios de confianza seguros y fiables. Los QTSP deben cumplir estrictas normas reguladoras, entre las que se incluye la obligación de aplicar protocolos de seguridad, someterse a auditorías periódicas y obtener la certificación de un organismo supervisor designado.

Además, con el eIDAS 2, se amplió el ámbito de aplicación de la norma para incluir tres nuevos servicios de confianza cualificados:

1. Servicios de archivado electrónico: El archivado proporciona un almacenamiento seguro de documentos y datos electrónicos. Con estos servicios, se garantiza que los datos archivados sigan siendo auténticos y que no sufran alteraciones con el paso del tiempo. Los servicios cualificados de archivado electrónico, que se introducen en el eIDAS 2, deben cumplir normas estrictas para preservar la integridad y el valor jurídico de los documentos electrónicos durante todo su período de conservación.
2. Libros contables electrónicos: Este servicio aprovecha la tecnología blockchain para proporcionar un registro seguro e inmutable de transacciones y datos. Con esto, se garantiza que los datos electrónicos puedan rastrearse y verificarse de forma fiable, lo que admite diversas aplicaciones y casos prácticos, como transacciones financieras, gestión de la cadena de suministro, etc.
3. Gestión de dispositivos remotos de creación de firmas y sellos electrónicos: Con este servicio de confianza, los proveedores de firma electrónica pueden gestionar los procesos de firma y sellado a distancia y de forma segura, lo que garantiza que los firmantes mantengan el control total del proceso de firma aunque no estén firmando físicamente.

El cumplimiento del eIDAS funcionará de forma diferente según se trate de una organización o de un proveedor de servicios de confianza de la UE. Estas son las herramientas esenciales que cualquiera de las partes puede utilizar para simplificar los requisitos normativos:

Empresas de la UE

Las organizaciones con servicios que requieren la verificación de identidad deben implementar un esquema de autenticación sólido. En cuanto a las empresas europeas en particular, tanto si se centran en una solución local concreta como en una estrategia regional o un planteamiento global, el panorama normativo de la UE está cambiando rápidamente, y la armonización es el máximo objetivo. Se trata de utilizar los certificados del eIDAS y las firmas electrónicas cualificadas, a partir de los cuales se confirma la identidad y se verifica la autenticidad. Los procesos de verificación digital deben integrarse en las operaciones de la empresa para agilizar la incorporación y la autenticación de las transacciones a fin de garantizar que solo las personas autorizadas puedan acceder a servicios y datos confidenciales.

Proveedores de servicios de confianza

Los TSP deben utilizar QSCD para crear firmas electrónicas cualificadas. Estos dispositivos garantizan que los datos de creación de firmas (como las claves privadas) se generen, gestionen y almacenen en un entorno seguro a fin de evitar accesos no autorizados.

Los proveedores de servicios también deben implementar una sólida Public Key Infrastructure (PKI) para gestionar los certificados digitales y las claves criptográficas. Con la PKI, es posible emitir, distribuir y verificar de forma segura los certificados digitales, lo que garantiza la fiabilidad de las firmas electrónicas y otros servicios. Los TSP deben garantizar que sus operaciones de PKI cumplan con los requisitos del eIDAS, incluido el mantenimiento de prácticas seguras de gestión de claves.

Los sistemas de gestión de identidad y acceso (IAM) también son fundamentales para que los TSP gestionen las identidades de los usuarios y controlen el acceso a sus servicios. Estos sistemas deben incorporar métodos de autenticación firmes, como la autenticación de factores múltiples (MFA), para verificar la identidad de los usuarios. Con las soluciones de IAM también es posible garantizar que solo las personas autorizadas puedan realizar operaciones confidenciales, como la emisión de certificados o la creación de firmas electrónicas.

Como miembro fundador de Cloud Signature Consortium y proveedor de soluciones de infraestructura para la implementación de servicios de confianza, Entrust está aquí para ayudar a lograr el cumplimiento del eIDAS. Nuestras soluciones le permiten generar qualified signatures y crear servicios de confianza conformes con la normativa a partir de una base sólida y segura.