Identidad Digital en Internet

Cuaderno Red de Cátedras Telefónica Identidad Digital en Internet 1

Seguridad en Internet

Cuaderno Red de Cátedras Telefónica

Identidad Digital en Internet

Cátedra Telefónica de la Universidad Politécnica de Madrid Discusión sobre la necesidad de evolucionar hacia esquemas de identidad digital en Internet que realmente tengan al usuario como su centro

Pedro Luis Chas Alonso, Juan Quemada Vives Diciembre 2010


Biografía

Pedro Luis Chas Alonso Pedro Chas se graduó en 1978 como Ingeniero de Telecomunicación por la Escuela Técnica Superior de Ingenieros de Telecomunicación de la Universidad Politécnica de Madrid (ETSIT/UPM). Su carrera profesional ha transcurrido en el Grupo Telefónica desde 1978 hasta 2007, fundamentalmente en las áreas de Investigación y Desarrollo, habiendo ocupando diversos puestos de responsabilidad sucesivamente en el Centro de Investigación y Estudios, Telefónica I+D, Telefónica Corporación, Telefónica de España, Telefónica Móviles y Telefónica Soluciones. Desde 2008 trabaja como investigador contratado en el Grupo para la Internet de Nueva Generación del Departamento de Ingeniería Telemática de la ETSIT /UPM.

Juan Quemada Vives Catedrático del Departamento de Ingeniería de Sistemas Telemáticos (DIT) en la ETSI Telecomunicación de la Universidad Politécnica de Madrid (UPM), Investigador Principal del Grupo Internet NG (donde se han desarrollado la aplicación Isabel y el Global Plaza), Director de la Cátedra Telefónica para Internet NG, emprendedor y promotor de Agora Systems SA, representante de UPM en el World Wide Web Consortium, realizó la primera conexión en España a un servicio de Internet (email/EUNET) en 1985 junto con otros compañeros. Su investigación se centra en el diseño de aplicaciones de colaboración, redes sociales y en TIC en educación. Tiene una alta participación en proyectos de investigación europeos y nacionales (GLOBAL, ITECBAN, CEPOS, Ecospace, Collaboration@Rural, iCamp, Euro6IX, ….). Posee múltiples publicaciones en estas áreas


Índice 1. Introducción

2. Identidad digital en Internet: necesidades, características, riesgos y soluciones

3. El problema no es la carencia de soluciones tecnológicas

4. Conclusiones

5. Referencias


1. Introducción Parece extenderse en estos tiempos la sensación, si hablamos de Internet, de que el camino hacia una sociedad mas abierta y mas libre de la mano del progreso de la Red y de las tecnologías de la información y las comunicaciones puede no estar tan despejado como anteriormente se creía. Uno de los argumentos mas frecuentemente utilizados en este sentido es que, si no se dota a Internet de mecanismos de control de identidad lo suficientemente fiables, flexibles y potentes, será cada vez mas difícil evitar que problemas ya presentes en este momento como robo de identidad, ataques de denegación de servicio, redes de BOTs, etc. se hagan cada vez mas frecuentes … y cada vez mas insoportables.

Tan insoportables que uno de los riesgos asociados a la citada situación es que, con tal de limitar el impacto de este tipo de problemas y disponer de un entorno mas “seguro”, los usuarios acabemos aceptando una evolución de Internet en el sentido de que queden limitadas significativamente las amplias cotas de libertad en el acceso e intercambio de información a que nos hemos acostumbrado.

Una adecuada gestión de la identidad en el acceso a Internet y a sus servicios constituye por tanto una de las claves principales para que la evolución y el progreso de la Red pueda continuar en la misma línea que hasta ahora y siga constituyendo, por tanto, una de las herramientas fundamentales para el progreso general de la Sociedad.


En efecto, como se ilustra en la figura adjunta 1, una adecuada gestión de la identidad constituye la piedra angular sin la cual no parece posible una protección efectiva de los datos de los usuarios (data protection), no es posible la necesaria atribución de responsabilidades (accountability) en la utilización de la Red y, lo mas importante (y lo mas difícil de conseguir y mantener), no es posible llegar a un alto nivel de confianza en la utilización de Internet.

2. Identidad digital en Internet: necesidades, características, riesgos y soluciones En Internet suele hablarse de identidad digital, la cual puede definirse 2 como la representación digital de un conjunto de afirmaciones realizadas por una persona sobre si misma o sobre -‐ la identidad en el entorno digital de -‐ otra persona”.

Como resultado de la utilización de Internet y sus servicios por parte de las personas, se van acumulando toda una serie de datos sobre las mismas que quedan asociadas a la identidad digital de cada persona. En este sentido, no debe confundirse la identidad digital asociada a cada persona en su utilización de Internet con la persona en si misma. Lógicamente, los derechos fundamentales están asociados a la persona como tal y no a su identidad digital pero, si no se dota a los ciudadanos de un control efectivo sobre los datos que sobre ellos se van acumulando de forma progresiva y asociada a su identidad digital (lo que desafortunadamente resulta lo mas habitual en estos tiempos) los riesgos y las consecuencias negativas para la persona pueden ser considerables.

Un ejemplo típico de este tipo de riesgos es el de personas sobre las que puedan existir informes de crédito erróneos, que pueden provocar (salvo que las personas implicadas tengan conocimiento efectivo de la existencia de dichos informes así como derechos de acceso y rectificación – que no suele ser el caso) consecuencias financieras muy negativas para las mismas (por ejemplo, no concesión de créditos por parte de las instituciones financieras).


Algo a tener en cuenta a este respecto es que la evolución y progreso de las tecnologías de la información y las comunicaciones incrementa de forma dramática los riesgos que la referida falta de control por parte de los ciudadanos puede provocar. En efecto, la acelerada sofisticación y complejidad de los servicios sobre Internet (muchos de ellos cada vez mas servicios “en la nube”) con los inevitables errores de todo tipo asociados a dicha complejidad pueden provocar situaciones negativas de todo tipo para los ciudadanos, muchas de ellas de difícil reparación .

Hay que insistir por tanto en que un control efectivo por parte de los ciudadanos de todos los datos asociados a su identidad digital es un factor clave y algo irrenunciable para los mismos. Desafortunadamente este es un objetivo que hoy aun se está lejos de conseguir (en realidad, ni siquiera es todavía un objetivo claramente consensuado por todos los actores asociados a Internet y sus servicios).

La solución a esta problemática parece que debe pasar por el desarrollo de una capa unificada de gestión de identidad para Internet centrada en los usuarios, que incorpore funciones que hagan realmente posible el deseado control de los ciudadanos sobre todos los datos asociados a su identidad digital y a la que se conecten todos y cada uno de los dispositivos, sistemas y plataformas utilizados por los usuarios de Internet. Algunas de las funcionalidades mas importantes que suelen proponerse para esta nueva capa de gestión de identidad en Internet son las siguientes:

• Soporte de los entornos de realidad aumentada, de importancia cada vez mas relevante en el próximo futuro.

• Incorporación de un control centralizado de modo que sea posible el control efectivo por parte de los usuarios sobre todos los datos asociados a su identidad digital, con toda probabilidad desperdigados por múltiples sitios Web. El usuario debe poder ejercitar su control desde un único panel, evitando así la necesidad de tener que acceder a una amplia multiplicidad de sitios Web. Debe por supuesto hacerse también un énfasis muy especial en la facilidad de uso.

• Soporte del concepto de múltiples identidades, reconociendo el hecho de que las personas se relacionan y actúan de formas distintas dependiendo del contexto en que se encuentren en cada momento. Una única persona puede por tanto necesitar y utilizar varias identidades digitales, incluyendo identidades que supongan el anonimato total o parcial de la persona. El


ciudadano debe poder escoger entre ellas la que le convenga mas en cada momento.

• Soporte de un grado mas profundo y efectivo de personalización de los servicios sobre Internet así como una mayor eficacia en el proceso de descubrimiento dinámico de nuevos servicios de interés potencial para los usuarios, todo ello bajo el control efectivo de los mismos y sin riesgos para su privacidad (por ejemplo mediante la utilización de fórmulas de navegación anónima o pseudoanónima).

• Aviso de forma efectiva a cada usuario cada vez que una tercera parte quiera acceder o procesar datos asociados a la identidad del mismo, proporcionando asimismo al usuario una oportunidad de aceptar o rechazar el tratamiento que se proponga en cada caso.

• Suministro a los usuarios de mecanismos que les permitan el descubrimiento y acceso a los datos que, asociados a su identidad digital, tengan almacenados los distintos proveedores de servicio sobre Internet, así como mecanismos para asegurar el borrado y/ o rectificación de los mismos caso necesario.

Para que este tipo de gestión de identidad centrada en los usuarios sea posible, las organizaciones que prestan servicios en Internet deberían cambiar de mentalidad en el sentido de no considerar que son los dueños de los datos que acumulan sobre los usuarios sino solo custodios de los mismos. Pueden seguir usándolos pero los usuarios deben tener la última palabra sobre como, cuando y para que son empleados. Por consiguiente las citadas organizaciones deben entre otras cosas:

• Incorporar en sus procesos de negocio las necesarias funciones de aviso a los usuarios y de petición de su consentimiento, siempre que se vayan a utilizar datos asociados a los mismos.

• Almacenar para cada transacción solo los datos sobre los usuarios que sean imprescindibles para llevar a cabo la misma, así como borrar los que no sea imprescindible conservar una vez finalizada la transacción.

• Desarrollar las necesarias relaciones contractuales con organizaciones que puedan actuar como terceros de confianza.

En cualquier caso, el desarrollo de las necesarias soluciones debe tener en cuenta las que se han identificado 3 como propiedades asociadas a la identidad. Son las siguientes:


• La identidad es social, soporta los procesos de interacción social de las personas.

• La identidad es subjetiva, diferentes personas construirán diferentes “identidades” asociadas a la misma persona.

• La identidad tiene valor, permite la realización de transacciones que no serían posibles sin ella.

• La identidad es referencial, no es una persona sino solo una referencia a la misma.

• La identidad es compuesta, algunos elementos asociados a la identidad de una persona proceden de esa misma persona, otros en cambio son aportados por terceras personas sin su conocimiento o participación .

• La identidad es crítica, su utilización por terceros puede implicar riesgos para la persona.

• La identidad es dinámica, está siempre cambiando e incorporando nuevos elementos.

• La identidad es contextual, las personas mantienen diferentes “identidades” que quieren mantener separadas entre si. El no mantener esta separación puede implicar riesgos para la persona.

• La identidad es inexacta, el proceso de identificación siempre está sujeto a errores, algo que conviene tener muy en cuenta.

¿Cuál es la situación actual en cuanto a la gestión de identidad en Internet y sus servicios asociados?. ¿Estamos relativamente cerca de conseguir ese sistema de gestión de identidad centrado en los usuarios y controlado por los mismos?. La verdad es que no parece que ese sea precisamente el caso. Se observa cada vez en mayor medida un mayor grado de acumulación de datos sobre los usuarios por parte de las grandes compañías de Internet, sin ningún grado de control m-‐mínimamente efectivo por parte de los mismos y sin que parezca que las autoridades regulatorias hagan nada efectivo hasta este momento para corregir la referida situación.

La actual desprotección de los usuarios se puede ilustrar con el ejemplo de un conocido proveedor de servicios sobre Internet (Apple) que recientemente en su tienda iTunes incorporaba en el contrato (contrato que los usuarios se ven obligados a firmar si es que quieren usar el referido servicio) condiciones que permitían la utilización prácticamente libre por parte de la compañía de los datos asociados a la utilización del servicio pero incorporaba dichas clausulas solo en la pagina 34 de un contrato que ni siquiera contaba con la posibilidad de que los


usuarios pudieran efectuar búsquedas automatizadas en el mismo. Situaciones como esta son muy frecuentes ahora en Internet. Se solicita formalmente la autorización de los usuarios para utilizar sus datos pero de un modo que hace totalmente imposible en la práctica un control efectivo por parte de los mismos.

Es conveniente mencionar también los constantes problemas con la privacidad que compañías como Facebook tienen, junto con el intento de algunas de ellas (la mas significativa es una vez mas Facebook) en constituirse en la infraestructura de gestión de identidad dominante en Internet (Facebook Connect), es decir justamente lo opuesto a esa capa de gestión de identidad centrada y controlada por los usuarios de que se ha hablado anteriormente.

Un ejemplo del uso de Facebook Connect para acceder a una Web


3. El problema no es la carencia de soluciones tecnológicas No parece que la referida situación se derive de una falta de soluciones tecnológicas. Mas bien al contrario, parecen existir ya ahora tecnologías lo suficientemente eficaces y maduras como para que se puedan empezar a dar ya pasos decisivos para proporcionar a los usuarios el control efectivo sobre su identidad digital y sobre los datos asociados a la misma.

Sin pretender mas que mencionar algunas de las soluciones tecnológicas disponibles actualmente , podemos citar las siguientes:

• Higgins Project 4, desarrolla un entorno “open source” para la implementación de una capa de gestión de identidad y de seguridad en Internet. Su aproximación está centrada en el usuario, al que se le proporciona control mediante la utilización de tarjetas de información (“information cards”). Incorpora una arquitectura de cliente activo, es interoperable con múltiples protocolos (I-‐Card, OpenID, SAML, …) así como con múltiples tecnologías de autenticación. Integra los datos que, asociados a la identidad digital de los usuarios, existen de forma dispersa en múltiples proveedores de servicio sobre Internet.


• Tarjetas de Información (“Information Cards”). Incorporan datos sobre la identidad digital de los usuarios que estos pueden utilizar en su acceso a servicios sobre Internet. Visualmente tienen una forma similar a una tarjeta de visita. Los usuarios disponen en general de varias de estas tarjetas (con diferentes datos, en general, cada una de ellas) y seleccionan la mas conveniente a la hora de acceder a cada servicio Web e concreto, evitando de este modo los problemas asociados a la utilización de múltiples parejas de identificadores usuario/clave. Los usuarios controlan el proceso de identificación de forma centralizada a través del uso de una aplicación cliente en su propio ordenador o a través de su navegador. Algunas de las propuestas mas conocidas de este esquema basado en el uso de tarjetas de información son Windows Cardspace 5 (Microsoft), Digital Me y Higgings.

• U-‐Prove 6, es una tecnología desarrollada recientemente por Microsoft que trata de ayudar a las personas a proteger la información asociada con su identidad digital. Es compatible con la utilización de las Tarjetas de Información. Parece estar asociada a esquemas de gestión de identidad centrados en el usuario.


• OpenID 7, es un estándar de identificación digital descentralizado, con el que los usuarios pueden identificarse en una pagina Web y que puede ser verificado por cualquier servidor que soporte el protocolo. Los usuarios no tienen que crearse una nueva cuenta para tener acceso a cada nuevo sitio Web que soporte este estándar sino solo disponer de un único identificador creado en un proveedor de identidad compatible con OpenID. Es uno de los esquemas que están siendo implantados ahora de forma relativamente masiva en Internet.

• SAML 8, es un estándar para el intercambio de información de autenticación y autorización entre un proveedor de identidad y un proveedor de servicio sobre Internet. Su objetivo principal es conseguir la funcionalidad de Single Sign On en el acceso a sitios Web. Es menos común que OpenID.

4. Conclusiones El dotar a Internet de un esquema efectivo de control de identidad, centrado en los usuarios y que proporcione a los mismos el control efectivo sobre los datos que sobre ellos se van acumulando progresivamente de forma asociada a su utilización de Internet, constituye una de las principales asignaturas pendientes de Internet (sino la principal) en este momento. Puede considerarse asimismo como algo con un grado de urgencia ciertamente elevado.

El establecimiento de un esquema así, parece claro que choca de frente con los intereses de muchos de los principales proveedores de servicio sobre Internet, por lo que el recurso a la regulación parece obligado e inevitable. En este sentido últimamente parecen abrirse perspectivas mas esperanzadoras para los usuarios (si bien aun de forma muy preliminar) tanto en la Unión Europea como en Estados Unidos.

Otro aspecto en el que parece necesario insistir es la (extrema) importancia de la usabilidad de las soluciones de control de identidad que se pongan a disposición de los usuarios: deben ser EXTREMADAMENTE fáciles de usar.


5. Referencias 1 At a crossroads: Personhood and digital identity in the information society; STI working paper 2007/7, Information and Communication Technologies, Directorate for Science, Technology and Industry, OCDE

2 Identity Gang: (http://wiki.idcommons.net/Identity_Gang)

3 At a crossroads: Personhood and digital identity in the information society; STI working paper 2007/7, Information and Communication Technologies, Directorate for Science, Technology and Industry, OCDE

4 Higgins project: http://www.eclipse.org/higgins/

5 Microsoft Windows Cardspace: http://www.microsoft.com/windows/products/winfamily/cardspace/default.mspx

6 Microsoft U-‐Prove: https://connect.microsoft.com/content/content.aspx?contentid=12505&siteid=642

7 Open ID: http://openid.es/

8 SAML: http://saml.xml.org/

Identidad Digital en Internet

Technology

Transcript of Identidad Digital en Internet