"El DNI electrónico ofrece medios digitales de autenticación en incluye en su información digital un certificado personal que identifica al titular, con datos redundantes sobre sus datos personales"
La historia del DNI en España es muy larga. Aunque podríamos remontarnos al siglo XVIII y el Catastro de Ensenada, los primeros DNI en España se expidieron en el año 1951. Desde entonces, en nuestro país ha sido la forma más habitual de acreditar nuestra identidad. Sin embargo, esta medida plantea desafíos en términos de privacidad y seguridad.
Existen cuatro métodos principales de autenticación (el proceso de identificación, o más exactamente a nivel técnico, de asignación de identidad, políticas y permisos) utilizando el DNI o la información asociada a él, ya sea en formato digital o analógico.
El primer método consiste en utilizar el número de DNI, es decir, el identificador único también conocido como NIF (Número de Identificación Fiscal). Sin embargo, el uso de este identificador para verificar la identidad de nuestro interlocutor es bastante inseguro, aunque muy extendido. Por ejemplo, es común que las empresas de telecomunicaciones o energéticas, en sus servicios de atención al cliente, verifiquen la identidad solo comprobando sus datos personales, como el nombre completo y el número de DNI.
Obtener el número de DNI asociado a un nombre y apellidos es una tarea fácil al alcance de cualquiera, ya que nuestros datos personales a menudo están relacionados y publicados en diversos documentos de la Administración pública, por no hablar del incontable número de filtraciones de datos personales en distintos ciberataques.
Para mejorar esta comprobación hay un proceso llamado “segundo factor de autenticación” o 2FA, que implica verificar al usuario por un segundo medio y/o canal. En el ejemplo anterior, algunos servicios de atención al cliente están optando por pedir un código enviado como SMS al número de teléfono registrado del usuario.
El segundo caso podría ser la verificación física o digital de que la persona que queremos autenticar posee físicamente el documento asociado a ese número de DNI. Aunque este método dificulta la suplantación de identidad, ya que un atacante tendría que obtener una copia física o una imagen del documento, aún presenta riesgos. Los ciberdelincuentes suelen aprovechar las ofertas de trabajo para solicitar a las víctimas el envío de sus documentos personales, y luego utilizan esa información para hacerse pasar por ellas.
En tercer lugar, y ya en el ámbito digital, encontramos los procesos de identificación KYC (Know Your Customer), también conocidos como "on-boarding digital”, popularizados por los llamados “neobancos” y las casas de apuestas en línea. En este proceso online, además de verificar los datos personales del usuario y un documento oficial que acredite su país de origen, se requiere que el usuario certifique de alguna manera, a través de la cámara del dispositivo, que es la persona que aparece en el documento y que se está registrando en la plataforma.
De esta forma, se puede demostrar legalmente y sin lugar a dudas, que el usuario auténtico es la misma persona que se ha registrado, manteniendo un registro de esta comunicación y de todas las imágenes recopiladas durante el proceso.
Por último, el DNI electrónico ofrece medios digitales de autenticación. Éste incluye en su información digital un certificado personal que identifica al titular, con datos redundantes sobre sus datos personales. El acceso a este certificado debe realizarse a través de un lector de tarjetas o un lector de DNI electrónico. Una vez recopilada la información, para firmar o autorizar una operación, se requiere la intervención del usuario para acceder a este certificado utilizando una contraseña.
De esta manera, el proceso de identificación se convierte en un nivel de autenticación 1 o identidad probada, basado en "algo que tienes y algo que sabes". El DNI físico es el "algo que tienes" y la contraseña es el "algo que sabes", y que teóricamente solo debería conocer el usuario legítimo.
El proceso ideal de identificación mediante el DNI sería aquel que cumpla el nivel de autenticación 3: “algo que tienes” (la tarjeta física o su certificado), “algo que sabes” (un PIN o contraseña) y “algo que eres”, es decir, que se compruebe físicamente mediante un sensor biométrico que eres el auténtico titular, como por ejemplo podría ser la huella dactilar, el iris, el reconocimiento facial, etc.
Un proceso robusto de identificación digital es fundamental para seguir el modelo SASE en ciberseguridad. Este modelo SASE (Secure Access Service Edge) es esencial para mantener la seguridad allí donde esté el usuario o los datos, ya que en la actualidad, gracias entre otros a fenómenos como el teletrabajo o el uso de servicios en la nube, tanto unos como otros pueden estar altamente distribuidos y fuera del perímetro de nuestra intranet. Esta aproximación de identidad permite llevar la autenticación allá donde sea necesario, convirtiendo por tanto a la identidad en el nuevo perímetro.