La Unión Europea Finaliza la Implementación de la Identidad Digital para Ciudadanos Europeos, Generando Preocupación en Expertos de Ciberseguridad


  • La filtración del borrador de eIDAS 2 ha generado un considerable debate, especialmente en torno al Artículo 45.
  • La principal inquietud radica en el poder otorgado a las autoridades de certificación para establecer los Estados.

El acuerdo entre el Parlamento Europeo y el Consejo de la UE sobre la próxima regulación que establecerá las bases técnicas para la identidad digital europea (eIDAS 2) ha sido una destacada noticia tecnológica en Europa este otoño. Sin embargo, su llegada no ha estado exenta de controversias.

Miembros destacados de la comunidad de ciberseguridad han expresado su desacuerdo mediante una carta abierta que ya ha obtenido más de 500 firmas de investigadores. También se han unido a las críticas diversas asociaciones y entidades enfocadas en la privacidad y los derechos civiles, como la Electronic Frontier Foundation y el Centre for Democracy and Technology.

La preocupación de los investigadores y las organizaciones se centra en la filtración del Artículo 45 de la futura normativa, la cual se ha elaborado sin recabar opiniones de una representación significativa de la comunidad de seguridad informática. Aunque el texto final aún está por conocerse, los firmantes expresan reservas sobre el diseño de la seguridad en eIDAS 2, posibles fallos en la protección de la privacidad y las capacidades de cibervigilancia que podría otorgar a los Estados de la Unión Europea.

Expresamos una gran inquietud debido a que, según lo planteado en la versión actual, la legislación no proporcionará las garantías tecnológicas adecuadas para ciudadanos y empresas, tal como se pretende. En realidad, es probable que resulte en una disminución de la seguridad para todos», según la carta, haciendo referencia a una versión filtrada del texto negociado. Para entender completamente esta afirmación, es necesario considerar las implicaciones de eIDAS 2.

En dirección a una Identidad Digital

La próxima regulación tiene como objetivo ofrecer a cada ciudadano europeo una identidad digital interoperable, que sea válida tanto para acceder a servicios públicos como para interactuar con plataformas del ámbito privado. Esta identidad se almacenará en un monedero digital altamente cifrado, permitiendo el resguardo de datos y credenciales como información de pago, permisos de conducir, títulos académicos, historial médico y pasaportes. La meta es que todo este contenido tenga validez legal y operativa en cualquier Estado miembro de la Unión Europea.

Este proyecto implica una ambiciosa iniciativa tecnológica que abarca a 450 millones de personas.

Sin embargo, el impacto de esta normativa podría ser más significativo. La carta suscrita por los investigadores advierte que el texto actual del Artículo 45 podría tener «consecuencias graves para la privacidad de los ciudadanos europeos, la seguridad del comercio europeo y para Internet en su totalidad». Juan Tapiador, catedrático del Departamento de Informática de la Universidad Carlos III y uno de los firmantes de la protesta, subraya que el problema radica en cómo la legislación aborda la emisión de certificados digitales, un componente fundamental para la seguridad en Internet.


A las inquietudes expresadas en la carta se han sumado otras organizaciones, incluyendo la Fundación Mozilla y la Fundación Linux, que han emitido su propio comunicado de protesta. En este documento, también señalan consecuencias graves para los usuarios. Un portavoz de la Fundación Mozilla, desarrolladora del navegador Firefox, menciona: «La redacción del Artículo 45 plantea serias preocupaciones sobre el futuro de la seguridad web y expondría a los individuos a la cibervigilancia, debilitando los estándares de seguridad». Este tipo de software depende de certificados digitales seguros para ofrecer garantías a sus usuarios.

Vulnerabilidad en el Sistema de Certificación de Internet

Para implementar los servicios que la UE tiene previsto ofrecer a través de eIDAS 2, se requieren autoridades de certificación. Estas entidades aseguran a los navegadores, como Chrome, Safari o Firefox, que los servicios son seguros. Según Tapiador, «Esto en Internet siempre ha sido complicado». Es un desafío difícil de gestionar porque si una autoridad de certificación comete un error y emite un certificado de manera incorrecta, surge un problema.

Las autoridades de certificación tienen la responsabilidad de emitir certificados digitales (SSL o Secure Sockets Layer, es decir, HTTPS). Estos certificados verifican la autenticidad de una página web, su dominio y la validez de la identidad del propietario. Los navegadores confían en estas entidades, y cada uno mantiene su propia lista de confianza.

A lo largo de los años, se han establecido acuerdos a través de la plataforma CA/Browser Forum, donde diversos actores de la industria digital han refinado prácticas. Esto ha dado lugar a mecanismos de control, como auditorías externas o controles de seguridad, para cualquier entidad que aspire a ser una autoridad de certificación. Según Tapiador, «Todos estos procedimientos han creado un ecosistema de confianza, porque se controla cómo se hace. Y aun así no es nada fácil»

Las consecuencias de una vulneración de una autoridad de certificación pueden ser graves. Un actor malicioso pudo interceptar todo el tráfico de usuarios de Google en Irán debido a una brecha en entidades como Comodo, Diginotar o Globalsign. Esto condujo a ciberataques masivos a CitiGroup, el FMI, Lockheed Martin y la PlayStation Network, con una filtración de datos de casi 70 millones de usuarios.

Con eIDAS 2, según la carta de protesta, los países podrían obligar a los navegadores a aceptar autoridades de certificación sin pasar por los procedimientos de control de la industria. «Los juristas nos comunicaron que el Artículo 45 y 45.A estaba redactado con un lenguaje que obligaba por ley a los navegadores a incluir las autoridades de certificación que designen los Estados», afirma Tapiador.

El texto no especifica si estas autoridades de certificación impuestas por los Estados servirían solo para servicios públicos o para todas las comunicaciones en Internet, lo cual, según los investigadores, podría poner en riesgo la seguridad de toda la red.

Además, según la carta, el Artículo 45 establecería que los mecanismos de seguridad de estas autoridades de certificación serán dictados por el Instituto Europeo de Normas de Telecomunicaciones (ETSI). Esto haría referencia a mecanismos aún no definidos, impidiendo a los navegadores establecer estándares de seguridad más altos, si así lo consideran necesario.

Otro motivo de preocupación es la inhabilitación de las autoridades designadas por los Estados. Tapiador señala que, hasta ahora, si una autoridad de certificación acumula faltas, un navegador la elimina de su lista. Sin embargo, el texto dejaría fuera de este proceso a las autoridades designadas por los organismos públicos.

Establecimiento de un Marco de Cibervigilancia para las Naciones

La inquietud de que una autoridad de certificación estatal no cumpla con los estándares de seguridad necesarios se suma a otro problema. «La propuesta actual amplía de manera significativa la capacidad de los gobiernos para vigilar a sus propios ciudadanos y residentes dentro de la UE, al proporcionarles los medios técnicos para interceptar el tráfico web cifrado (…) Un Estado podría interceptar el tráfico web, no solo de sus propios ciudadanos sino de todos los ciudadanos de la UE», destaca la carta.

Tapiador sugiere que esto podría llevarse a cabo también a través de las autoridades de certificación designadas por los países:

La puerta queda abierta para que cualquier Estado miembro pueda introducir una autoridad de certificación capaz de emitir certificados con la capacidad de interceptar comunicaciones, ya sea de manera intencionada o debido a hackeos. Cualquier acción realizada desde el navegador sería susceptible de suplantación si alguien compromete una autoridad de certificación raíz. Por eso, es crucial asegurarse de que las autoridades de certificación designadas sean al menos tan competentes como las existentes en Internet.

La Unión Europea no está exenta de la cibervigilancia estatal. En 2021, se filtró una base de datos del spyware Pegasus que incluía más de 300 teléfonos de ciudadanos húngaros, lo que sugiere que Hungría podría haber utilizado el programa para espiar a objetivos seleccionados entre su población (aunque no se ha demostrado). Polonia también ha levantado sospechas, al descubrirse que se había utilizado Pegasus para hackear el móvil de un político de la oposición.

La Fundación Mozilla tiene la esperanza de que haya modificaciones en el texto del Artículo 45 en relación con las autoridades de certificación. Según un portavoz:

Entendemos que los negociadores de la UE han intentado abordar estas preocupaciones con modificaciones de último minuto. La nota de prensa posterior al anuncio del acuerdo incluía un lenguaje prometedor y sugería que los requisitos para los QWACS (Qualified Website Authentication Certificate, que son los certificados digitales emitidos por autoridades de certificación designadas por Estados miembros) no afectarán a las políticas de seguridad de los navegadores. No obstante, también se agrega que no se podrá evaluar el impacto de cualquier cambio posible hasta que el texto se haga público.

¿Un obsequio para las grandes tecnológicas?

Además de la preocupación por la seguridad, la carta también cuestiona el impacto en la privacidad con eIDAS 2. Hay una ambigüedad en el texto en relación con los wallets que actuarán como depósito de los datos de los usuarios. Es crucial considerar que esta identidad digital de los ciudadanos contendrá una gran cantidad de información personal centralizada en un único contenedor. Sin embargo, la legislación actual no exigiría que las transacciones y operaciones realizadas estén compartimentadas, aspecto que la carta critica en su redacción actual.

«Si realizo una operación con mi wallet para demostrar que soy mayor de edad al comprar un producto que requiere verificar mi mayoría de edad, y luego realizo otra operación relacionada con la educación o la salud, lo lógico sería que esas transacciones no puedan vincularse entre sí. De esta manera, se evitaría que se sepa que la persona que compró este producto es ingeniera y además tiene un problema cardiovascular», explica Tapiador.

Los investigadores resaltan que si no se establece por ley que los wallets deben tener estas propiedades, algunos no podrían garantizar la privacidad. A pesar de ello, serían compatibles con la ley.

«Llevamos casi dos décadas tratando de entender el perfilado de usuario que nos realizan para actividades de marketing, y ahora tendremos en un monedero nuestro historial médico, académico y nuestro dinero…», menciona Tapiador. «Es por eso que es muy importante que la regulación que rige las propiedades de seguridad y privacidad de esos monederos apunte lo más alto posible». El objetivo es asegurar que no haya vínculos entre transacciones u operaciones, que sea un diseño inherente en los wallets y que sea obligatorio.

A la espera del documento final

A pesar de haberse alcanzado un acuerdo entre el Parlamento Europeo y el Consejo de la UE, aún se requiere la aprobación formal de cada uno de estos órganos para que la legislación sea efectiva. Aunque este proceso suele ser una formalidad, tomará algunos meses. El desarrollo de eIDAS 2 ha sido un proceso extenso. Esta nueva regulación complementará el Reglamento eIDAS de 2014 y ha sido elaborada con cuidado.

En junio de 2021, la Comisión presentó su propuesta para la normativa, y después de llegar a un acuerdo sobre el enfoque general en noviembre de 2022 entre el Parlamento y el Consejo, ambos trabajaron en un texto provisional siete meses después. El documento filtrado actualmente se consideraría el definitivo, aunque aún no ha sido publicado oficialmente y podría sufrir modificaciones antes de su divulgación final. Por esta razón, muchas de las preocupaciones expresadas en la carta y por los investigadores son condicionales.

Según la Fundación Mozilla, la versión final podría haberse ajustado para abordar algunas de las preocupaciones planteadas en estos días. Sin embargo, esto no se sabrá hasta que se publique el texto acordado. La organización tiene la intención de seguir colaborando con todos los actores relevantes, incluida la comunidad de seguridad, expertos en ciberseguridad y académicos, a lo largo de todo el proceso. Prestarán especial atención a la implementación práctica de los principios acordados para asegurar que eIDAS no facilite la cibervigilancia y la interceptación del tráfico web, y para garantizar el acceso seguro de los ciudadanos de la UE a Internet.

Ultimas Entradas Publicadas

La innovadora Startup de limpieza de apartamentos turísticos

Con una visión fresca y un enfoque innovador, AirClin, la startup especializada en la limpieza de apartamentos turísticos, ha llegado ...
Magcubic Hy300

Magcubic Hy300: Un proyector inteligente que proyecta de forma potente

El nuevo proyector Magcubic Hy300 está generando mucho interés y expectación entre los usuarios que buscan un proyector inteligente de ...

La privacidad en la era de la IA: Italia vuelve a presionar a OpenAI

La inteligencia artificial (IA) ha experimentado avances sin precedentes en los últimos años. Sistemas como ChatGPT de OpenAI pueden mantener ...

Tablet Fire: Una opción Económica de Amazon

El mercado de las tabletas está dominado por unas pocas marcas grandes como Apple y Samsung que son bastante caras ...

Paneles solares transparentes: Revolucionando la energía solar

Los paneles solares transparentes son una nueva y revolucionaria tecnología solar que combina la transparencia con la capacidad de generar ...

El revolucionario primer implante humano de Neuralink

Neuralink, la ambiciosa startup de interfaces cerebro-computadora fundada por Elon Musk, acaba de alcanzar un importante hito tecnológico y científico ...

Hacks para elegir la silla gaming perfecta

Elegir la silla gaming adecuada es fundamental para disfrutar al máximo de largas sesiones de juego. Una buena silla gaming ...

Code Llama 70B va a revolucionar tu flujo de trabajo de codificación

El Code Llama 70B es la última versión del popular software de programación Code Llama. Esta nueva iteración introduce varias ...

Cómo crear tus propios stickers de WhatsApp

WhatsApp se ha convertido en una de las aplicaciones de mensajería más populares del mundo, con más de 2.000 millones ...

Decodificadores TDT: más allá de la televisión digital

La televisión digital terrestre (TDT) llegó a España en el año 2000, marcando el inicio de la transición de la ...

Leave a Reply

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *