Informe de la política pública: Identidad en Internet

Introducción

Algunas personas piensan en su identidad digital como un pasaporte para Internet. En realidad, el concepto de identidad en Internet es mucho más rico: los usuarios adaptamos nuestra identidad en función del contexto. Por ejemplo, es probable que revelemos nuestra identidad “real” para acceder a los servicios de gobierno electrónico, pero que usemos un seudónimo o nombre ficticio en las redes sociales y que accedamos de forma anónima a los sitios web públicos que ofrecen información médica.

Existen cinco tipos principales de identidades digitales, cada una de las cuales se utiliza en diferentes contextos.

 

1. Identidades electrónicas. Algunos gobiernos otorgan a sus ciudadanos identidades electrónicas para que las utilicen en línea. En algunos casos, la entidad que emite o provee la identidad es una organización aprobada (por ejemplo, una oficina de correos).
2. Identidades basadas en atributos. Algunas interacciones no requieren identificación. En su lugar, alcanza con que un individuo posea un atributo específico (por ejemplo, que tenga al menos dieciocho años de edad o que sea estudiante).
3. Identidades basadas en la autenticación. Muchos proveedores de servicios en línea, como Facebook y Gmail, permiten que los usuarios accedan a sus cuentas empleando un nombre de usuario y una contraseña (también llamadas credenciales de acceso). Estas identidades son, a la vez, la forma en que los clientes se identifican ante los proveedores de servicios y la forma en que los proveedores de servicios autentican o verifican que los usuarios sean quienes dicen ser. A diferencia de las identidades electrónicas emitidas por el gobierno, las credenciales de acceso puede ser anónimas o utilizar un seudónimo. Los mecanismos de autenticación de segunda generación, como la “autenticación unificada” (single sign-on) permiten que los usuarios accedan a múltiples servicios desde un mismo punto de acceso.
4. Firma electrónica. Muchos países han promulgado leyes para reconocer el efecto jurídico de la firma electrónica. Además de ser un medio de identificación, la firma electrónica puede tener consecuencias, como la confirmación o aceptación de un contrato.
5. Identificadores. Todas las interacciones en Internet implican el uso de identificadores. Algunos ayudan a que Internet funcione (por ejemplo, las direcciones IP), otros identifican o reconocen un dispositivo y/o usuario (por ejemplo, la seguridad en las instituciones financieras) y aún otros realizan un seguimiento de las interacciones en línea de los usuarios (por ejemplo, la publicidad dirigida). No existe una lista taxativa de identificadores, sino que, en teoría, los identificadores son datos que revelan información sobre un dispositivo y/o un usuario. La información sobre un dispositivo puede incluir el tipo de dispositivo, el sistema operativo, la versión del navegador, los complementos (plug-ins) del navegador y así sucesivamente. La información sobre un usuario puede incluir sus preferencias, como por ejemplo el tamaño de fuente, los colores y el contraste de pantalla, además de otros datos similares.

 

Consideraciones clave

Para cada una de las principales identidades digitales existen casos de uso específicos y consideraciones de privacidad.

• Identidades electrónicas. Para obtener una identidad electrónica emitida por el gobierno, los ciudadanos generalmente deben probar quiénes son mediante la presentación de un pasaporte, documento de identidad u otra forma de identificación emitida por el gobierno. Por lo tanto, ambos tipos de identidad están vinculados. Por lo general, el principal uso de las identidades electrónicas emitidas por el gobierno es en los servicios gubernamentales (presentación de declaraciones de impuestos, reclamo de beneficios, etc.). Los usos secundarios típicamente incluyen los servicios que requieren un alto grado de certeza o seguridad de que un individuo es quien dice ser (por ejemplo, banca electrónica y registros médicos en línea). Las identidades electrónicas emitidas por el gobierno suelen servir para múltiples propósitos, entre ellos la identificación, autenticación de dos factores para acceder a servicios en línea (por ejemplo, servicios de gobierno electrónico), información electrónica de prueba de pasaporte para permitir el acceso a datos personales y firma electrónica con validez legal.
• Identidades basadas en atributos. Mientras que un atributo (por ejemplo, la edad) puede no indicar la verdadera identidad de una persona, una combinación de atributos sí puede hacerlo (por ejemplo, fecha de nacimiento, código postal y género).
• Identidades basadas en la autenticación. Por una variedad de razones, los mecanismos de autenticación que solo requieren un nombre de usuario y una contraseña son notoriamente inseguros. A menudo, el nombre de usuario es una dirección de correo electrónico u otro identificador obvio (por ejemplo, un nombre o apodo); muchas veces las personas vuelven a utilizar sus contraseñas o utilizan contraseñas fáciles de adivinar (por ejemplo, 12345); además, cuando los usuarios olvidan sus contraseñas, los sitios normalmente las restablecen utilizando la dirección de correo electrónico almacenada en el perfil, reduciendo aún más la seguridad de la cuenta. Hoy en día, muchos proveedores de servicios ofrecen protección adicional en el control de acceso mediante el uso de autenticación de dos factores. Este tipo de autenticación requiere una combinación de algo que el usuario obtiene (por ejemplo, un código de duración limitada que se puede usar una sola vez y que el usuario recibe en su smartphone) y algo que el usuario conoce (por ejemplo, su nombre de usuario o contraseña). Los mecanismos de autenticación unificada (single sign-on) ofrecen a los usuarios mayor comodidad, pero pueden dejarlos expuestos a un seguimiento a través de todos los servicios conectados.
  Tenga en cuenta que incluso si los usuarios escogen credenciales de acceso utilizando un seudónimo, el contenido de sus cuentas (por ejemplo, el texto de sus mensajes de correo electrónico o sus fotos) podrían revelar sus verdaderas identidades.
• Firma electrónica. La firma electrónica puede servir para dos propósitos: confirmar que un usuario adopta el contenido de un documento y confirmar quién escribió la comunicación. El reconocimiento legal transfronterizo de la firma electrónica es fundamental para un comercio global eficaz.
• Identificadores. Los identificadores se pueden usar para identificar un dispositivo o usuario específico ^[1] o para realizar un seguimiento de las interacciones en línea de un dispositivo o de su usuario. Algunos identificadores son fácilmente observables (por ejemplo, las características de los navegadores), otros se colocan deliberadamente dentro de un dispositivo para facilitar su seguimiento (por ejemplo, las cookies). Los identificadores se pueden agregar, vincular entre sí y utilizarse para inferir relaciones.

Desafíos

La privacidad es uno de los mayores desafíos relacionados con la identidad en Internet. Ya no es cierto eso de que “En Internet nadie sabe que eres un perro”, famosas palabras de un dibujo humorístico publicado por The New Yorker (1993). A pesar de las incontables formas en que se emplean identidades digitales confiables y verificables, hoy en día es más fácil que nunca identificar a la mayor parte de los usuarios de Internet. En muchos casos, aunque la identidad real de un usuario no se pueda conocer de inmediato, alguien con suficiente acceso ya sea a sus datos o a sus atributos (por ejemplo, sus amigos de Facebook, datos de geolocalización, marcas de fecha y tiempo en Internet) puede inferirla.

Principios rectores

A continuación se presentan principios rectores que tanto gobiernos como ciudadanos deberían tener en cuenta:

• Las personas deben poder utilizar identidades digitales seudónimas y anónimas, dependiendo del contexto y con quiénes estén interactuando. Deben tener acceso a identidades digitales fiables, seguras, que incluyan privacidad por diseño y que sean de confianza para las transacciones en línea, en particular aquellas que implican datos sensibles (por ejemplo, información médica y financiera) o contenido privado. A un nivel fundamental, estas son las características que apoyarán un entorno seguro, fiable y de protección para el consumidor.
• No es necesarios que las identidades digitales sean emitidas por el gobierno para ser confiables. Sin embargo, los gobiernos deberían considerar la posibilidad de ofrecer identificación electrónica para mejorar la seguridad del acceso a los servicios de gobierno electrónico y las transacciones comerciales (por ejemplo, banca en línea) que requieren un alto nivel de autenticación. Esto contribuiría a la seguridad de las transacciones para todas las partes.

Los gobiernos que ya emiten identificaciones electrónicas (proveedores de identidad) deben:

 

• Considerar qué formas de identidad electrónica son más útiles para los usos previstos e identificar las cuestiones económicas, sociales o de otro tipo que pudieran afectar su despliegue o utilización.
• Verificar que su sistema de identidad digital sea técnicamente interoperable y legalmente compatible con los sistemas de identidad desplegados por otros gobiernos, de modo que sus identidades electrónicas se puedan utilizar para realizar transacciones transfronterizas.
• Evitar que el gobierno y otras partes realicen un seguimiento del uso de las identidades electrónicas en diferentes servicios e instituciones, a menos que sea absolutamente necesario. Poner en cuarentena el uso de identidades digitales y los datos a los cuales se accede con las mismas es una buena práctica de privacidad y seguridad.
• A lo largo del ciclo de vida de la identidad electrónica, recoger y utilizar solo los datos que sea necesario. Esta aplicación del principio de minimización de los datos aumenta la confianza y la capacidad de elección de los consumidores.
• Hacer que las identidades electrónicas sean revocables cuando sea necesario (por ejemplo, en caso de que sean vulneradas).
• Realizar un exhaustivo análisis de costo-beneficio antes de considerar el uso de datos biométricos para las identidades electrónicas. Los datos biométricos no pueden ser revocados en caso de ser comprometidos (por ejemplo, una persona no puede cambiar sus huellas digitales). Es por ello que se deben evitar a menos que sea absolutamente necesario.

Los gobiernos deben garantizar que los ciudadanos que no tengan una identidad electrónica emitida por el gobierno no queden excluidos de los servicios gubernamentales.

Conclusión

Las identidades digitales eficaces facilitan las comunicaciones de confianza en Internet. Por esta razón, es fundamental que los gobiernos (1) continúen alentando el desarrollo abierto y el uso de nuevas tecnologías para expresar la identidad en Internet, sin importar si los usuarios se identifican, emplean un seudónimo o mantienen el anonimato; y (2) eviten cualquier actividad que pudiera sofocar la innovación o el progreso económico y social, tal como exigir el nivel de identificación requerido para acceder a Internet o a las redes sociales.

Otros recursos

La Internet Society ha publicado varios papers y otros contenidos relacionados con este tema. Este material está disponible de forma gratuita en el sitio web de la Internet Society.

• Understanding your Online Identity: An Overview of Identity, 2011, http://www.internetsociety.org/understanding-your-online-identity-overview-identity
• Understanding your Online Identity: Protecting Your Privacy, 2012, http://www.internetsociety.org/understanding-your-online-identity-protecting-your-privacy-0
• R. Wilton, Have you chosen an Identity Provider Lately?, 2014, http://www.internetsociety.org/doc/have-you-chosen-identity-provider-lately

Si desea más información, puede consultar otras publicaciones en línea.

• Digital Identity Management: Enabling Innovation and Trust in the Internet Economy, Organización para la cooperación económica y el desarrollo, 2011, http://www.oecd.org/sti/interneteconomy/49338380.pdf
• E. Birrell y F.B. Schneider, “Federated Identity Management Systems: A Privacy-Based Characterization,” Security & Privacy, IEEE, vol. 11, no. 5, Sept.–Oct. 2013, pp. 36–48, https://www.cs.cornell.edu/fbs/publications/idMgmt.SP.pdf

Notas

[1] Ver Panopticlick, un proyecto de invetigación de la Electronic Frontier Foundation sobre la unicidad de los navegadores, https://panopticlick.eff.org/.