La verdadera historia detrás de Cl@ve, el nuevo sistema de identificación digital

El Consejo de Ministros del pasado 19 de septiembre aprobó el sistema Cl@ve, «nueva plataforma común del sector público administrativo estatal para la identificación, autenticación y firma electrónica«.

Andrés Pastor y Joseche Jagg han publicado sendos artículos sobre Cl@ve, el primero más descriptivo, anticipando detalles del Acuerdo de Consejo de Ministros, el segundo planteando algunas dudas, probablemente legítimas dada la escasa información disponible. Voy a aportar mi tercera visión, analizando algunos puntos previos y algunas posibilidades futuras de Cl@ve.

En el año 2010 publiqué un artículo titulado problemas del producto DNI electrónico. En dicho artículo reconocía que el el DNI electrónico respondía satisfactoriamente los requisitos técnicos que hacían hincapié en la seguridad como sistema de identificación y firma electrónica, y que eran esenciales en aquel momento. De hecho, aún hoy día, sigue siendo uno de los sistemas más seguros de identificación de uso general aceptado por las Administraciones Públicas.

Sin embargo, como producto, parecía que el DNI no estaba bien diseñado. Cuando se diseña un producto, se hace pensando en su utilización, en todos los elementos que harán que pueda ser usado con facilidad, eficacia y seguridad por sus destinatarios: todos los ciudadanos españoles. Justo de manera equivalente a como se usaba, y se sigue usando, el DNI físico. Y en ese sentido, en el concepto de producto, el DNI electrónico nunca ha llegado a acercarse, ni de lejos, al equivalente funcional de su hermano físico. Así pues, no ha cumplido las expectativas depositadas en él.

Los que conocen la historia, saben que el diseño del DNI electrónico viene de lejos. De una época en la que la tecnología y sus aplicaciones eran sospechosos habituales. Hubo varias fases en la concepción y lanzamiento del DNI electrónico, y se puso especial énfasis en la seguridad, para disipar sospechas, y también se lanzó un proyecto a muy largo plazo. Pensemos, por ejemplo, que la universal disponibilidad del DNI electrónico requería al menos diez años, ya que la inclusión del chip se hacía en el momento de la renovación, y tal renovación se hacía casi siempre por caducidad del documento de cada ciudadano.

Diez años en tecnología, todos lo sabemos, es una eternidad. En ese tiempo han cambiado muchas cosas, entre ellas, la forma en que se abordan los problemas de identificación digital segura y las soluciones que hoy aceptamos de forma generalizada para multitud de transacciones electrónicas, entre ellas, las bancarias, lo cual otorga una especie de mayoría de edad a las soluciones de identificación electrónica que no están basadas en certificados de clave pública (PKI).

Así, tanto el sector privado como el sector público han ido generalizando la aplicación de un conjunto de sistemas de acceso multi-factor en los cuales juega un papel muy frecuente el dispositivo móvil como tercer factor de identificación. Esto es posible hoy dado la generalización del móvil hasta el punto que no parece una discriminación en contra de casi ningún usuario el uso de este dispositivo para los trámites con la Administración. Esto es así hoy, pero en 2002, cuando empezó el proyecto del DNI electrónico, no era así.

Afortunadamente, la Ley 11/2007, pionera en tantas cosas, ya hizo la previsión de sistemas de identificación alternativos basados en “claves concertadas”, que es la forma fina de llamar al sistema de usuario y contraseña. A medida que aumentó la disponibilidad de servicios electrónicos, aumentó también la demanda de los ciudadanos de tales servicios, y surgió la necesidad de acudir a tales sistemas que requerían poco esfuerzo para ponerlos en marcha: esencialmente, una Orden Ministerial que habilitase su uso, declarando quién se hacía responsable de tales sistemas.

Así, poco a poco, y de forma paralela al aumento del impacto de la eAdministracion, han ido surgiendo sistemas de “claves concertadas” hasta el punto de que hoy día casi cada Ministerio u Organismo tiene uno. Eso es un arma de doble filo: facilita el trámite electrónico, pero carga al ciudadano con la necesidad de gestionar un montón de identidades electrónicas, perdiendo las ventajas de la sencillez, y aumentando la inseguridad.

De nuevo la Ley 11/2007 nos aporta la solución: se puede crear un sistema general de identificación para la Administración General del Estado, pero para ello es preciso un Acuerdo de Consejo de Ministros. Y eso es precisamente lo que se ha hecho para crear Cl@ve.

La razón del la intervención del Gobierno en primera persona en la creación de Cl@ve es muy fuerte: es un sistema de consenso. Puesto que va a afectar a multitud de Ministerios y Organismos diversos, no es posible sin un acuerdo previo generalizado acerca de todos los detalles, técnicos y operativos, sobre el sistema. Estos acuerdos previos, en el seno de los diversos grupos de trabajo liderados por la DTIC, no solamente han consistido en llegar a acuerdos aceptables para todos, sino que también han permitido perfeccionar el sistema mediante las aportaciones de todos.

Porque lo que hay que entender es que Cl@ve es mucho más que un sistema de identificación basado en usuario y contraseña. Es mucho más porque debe ser compatible con lo anterior (los sistemas basados en PKI, incluido el DNI electrónico) pues el ciudadano tiene derecho a elegir cualquier sistema de identificación admitido por la ley. Debe ser compatible con la multitud de sedes electrónicas existentes, y por ello debe haber una forma fácil de integrar el sistema Cl@ve con los sistemas existentes en cada sede. Y debe dar soluciones a los problemas tecnológicos derivados de la necesaria compatibilidad con los múltiples sistemas operativos, plataformas y dispositivos utilizados por los usuarios en sus relaciones con la Administración en sus trámites, especialmente en los procesos de firma electrónica de documentos y de expresión de voluntad por medio de un sistema de firma, y eso, hoy día, tiene una solución universal: se llama firma electrónica en la nube.

Y, por si fuera poco todo lo anterior, debe ofrecer una forma fácil de integrar los millones de registros de usuarios existentes en los diversos órganos administrativos, entre ellos, y los cito como agentes esenciales en la creación de Cl@ve, la Gerencia de Informática de la Seguridad Social y la Agencia Tributaria. E integrarlos con plena validez jurídica a efectos de los trámites habilitados para esos usuarios cuando se crearon sus cuentas, sin necesidad de volver a registrarlos y validarlos de nuevo.

El sistema Cl@ve estará disponible muy pronto para todos los ciudadanos, mucho antes del año de plazo que prevé el Acuerdo de Consejo de Ministros para la adaptación de la totalidad de los servicios públicos electrónicos del Sector Público Administrativo Estatal. El sistema estará operativo y funcionando en unos meses para las principales usuarios del mismo, entre ellos, los dos grandes organismos citados anteriormente. El año de plazo no es para la puesta en marcha de Cl@ve, es para lograr la integración con los servicios electrónicos administrativos actualmente existentes.

¿Y el futuro?. Cl@ve también está diseñado para el futuro. El nuevo Reglamento sobre identificación electrónica y servicios de confianza para transacciones electrónicas en el mercado interior, es de aplicación obligatoria, sin transposición como las directivas comunitarias. Cl@ve será compatible con este reglamento, lo que permitirá la interoperabilidad con otros sistemas de identificación europeos, facilitando por tanto el reconocimiento de la identidad digital española allende las fronteras.

Todo este complejo entramado de requisitos y soluciones ha sido posible gracias a la existencia de la DTIC,  quien como órgano con visión transversal ha sido capaz, primero, de captar la existencia de la necesidad, y después de reunir a los agentes implicados y ponerles a colaborar para lograr una solución conjunta. Esto es la prueba del nueve, la que demuestra la necesidad y utilidad de la DTIC. Aunque en el paisaje de las TIC en la Administración no es ni mucho menos el único proyecto de la DTIC, Cl@ve es, quizás sí, el más representativo.