La complejidad de un sistema de identificación online infalible

Ayer, Juan A. Cardó (@J_Cardhu), gerente de proyectos en Entelgy (y gran amigo de todo el equipo del CIGTR), nos pasaba un enlace al artículo de BBC News donde Roy Cellan-Jones relataba sus desventuras con el aún en fase beta sistema de identificación Verify (EN), destinado a unificar los servicios digitales del gobierno de Reino Unido.

gov-uk-verify

El artículo me pareció curioso, pero la entrada del día ya estaba escrita y en proceso de revisión por parte de las altas esferas, por lo que decidí robarla cruelmente para el artículo de hoy en esta humilde morada.

En ella, podemos observar como la expectación positiva inicial (un proceso de casi 10 min que el autor señala como excitante…) se torna en malestar al intentar volver a logearse desde su casa y descubrir que no todo sale a pedir de boca.

Básicamente, Verify ofrece un sistema de identificación online basado en el conocimiento que organismos intermediarios tienen de nosotros. Para ello, a la hora de creación de tu usuario, decides quién será tu “padrino digital” (la traducción directa sería “corrector”, que bajo mi punto contiene asociaciones infantilizadas que distraen de la labor del mismo) entre varias empresas y organismos de reputado historial, tales como Experian (agencia de crédito), Verizon (teleco), oficina de correos, bancos,… La idea es que el usuario decida una empresa de la que ya es usuario, y que hará de intermediaria para las conexiones con los servicios de gobierno, de forma que éste no tratará directamente con los datos. Para saber que usted es realmente usted, cada empresa dictará una serie de peticiones relacionadas con el ámbito de trabajo de la misma, de manera que con ella pueda compulsar los resultados con el patrón identificativo que ha obtenido de sus hábitos e historial interno.

Pasamos por tanto de la figura de una identificación personal basada en login y contraseña (sistemas de conocimiento), o incluso de un segundo factor (normalmente de inherencia o propiedad), a un tercero basado en la certificación externa.

Este usuario es quien dice ser porque su patrón de respuesta es semejante al patrón identificativo que tenemos del mismo.

La idea, por tanto, me parece muy acertada. Resulta muchísimo más complicado “robar” un patrón de este estilo que una contraseña o un patrón de desbloqueo basado en matrices o huellas digitales. En él, interfieren complejos sistemas de análisis y toma de decisión, lo que obligaría a un atacante a acceder ya no solo a la información, sino a los métodos que tiene esa entidad certificadora para compulsarlos. Eso, suponiendo que la propia verificación no pueda ser saltada con certificados fraudulentos, claro está :).

Ahora bien, llegar a desarrollar un sistema lo suficientemente inteligente como para que sepa traducir las respuestas del usuario en un patrón identificativo generado de forma aleatoria (y compulsarlo con su propio patrón de usuario, que debería además ir actualizándose a lo largo del tiempo) no es moco de pavo. Y ahí es donde vienen los problemas.

El pobre Roy se fue a casa, intentó loguearse, y se encuentra con que el sistema le dice que no es el verdadero usuario ¿La solución? Volver al principio del login, y volver a realizarlo, o acceder con un nivel de confianza mínimo (que entiendo le permitiría realizar apenas alguna gestión sin importancia).

Una experiencia de usuario pésima, en resumidas cuentas.

Entonces recurre nuevamente a los encargados del proyecto, para darse cuenta que ellos tienen poco que hacer. La gestión de la información la hace la propia compañía elegida por el usuario, y si ellos no certifican al mismo, la cadena se corta.

Totalmente aceptable, salvo cuando es usted quien dice ser, como es el caso.

¿Qué respuesta se le puede dar? Que estamos en una beta, que la implantación se hará paulatinamente, y que para entonces, se habrán corregido “estos errores menores” que impiden demostrar que usted es usted, pese a que en realidad lo es.

Y no por ello me quedo con mal sabor de boca. Que un gobierno como el Reino Unido, que no tiene precisamente fama de transparente en cuanto a bienes digitales se refiere, opte por abrirse de esta manera y delegar la identidad del usuario en terceros es cuanto menos interesante.

Que el sistema falle más que una escopeta de feria es otro asunto. Si hay interés real en implantarlo, se irá puliendo, hasta que como mínimo sea efectivo el 99,9% de las veces. Quedará entonces por ver la seguridad que habrán implantado cada entidad certificadora, cada “padrino digital“, para evitar que la cadena sea vulnerable por su propio eslabón.

Pero ante todo descentraliza la información ligeramente. Y eso debería ser bueno para el ciudadano.