El Ministerio de Asuntos Económicos y Transformación Digital de España ha dado luz verde al reglamento de identidad digital europea tras llegar a un acuerdo con la Comisión Europea y el Parlamento Europeo.
Según la vicepresidenta del Gobierno de España, Nadia Calviño, la aprobación de este reglamento marca un avance crucial para que los ciudadanos puedan contar con una identidad digital europea única y segura, protegiendo así los derechos y valores democráticos.
¿Qué es la identidad digital europea?
El reglamento en cuestión se refiere al sistema unificado denominado ‘European Digital Identity Wallet’, que abarca el DNI, contraseñas y pagos en una sola aplicación. Para implementarlo, se está trabajando en un nuevo reglamento e ideas. El objetivo de este reglamento es garantizar que personas y empresas tengan acceso universal a identificaciones y autenticaciones electrónicas seguras.
Los Estados Miembros estarán obligados a emitir una cartera de identidad digital europea en los 24 meses siguientes a la entrada en vigor, siendo estas opcionales para ciudadanos y empresas a través de aplicaciones móviles. Estas carteras permitirán a los ciudadanos identificarse digitalmente, compartir datos almacenados de manera selectiva y la firma digital, teniendo control sobre la información compartida.
Hay un problema
En la reforma del reglamento eIDAS, se plantea la creación de autoridades certificadas, es decir, empresas europeas con autenticación certificada. Si bien estas empresas superarían los controles de verificación, el artículo 45 del reglamento establece que todos los navegadores deben considerar válidos estos certificados, independientemente de si cumplen o no con los estándares de seguridad.
Más de 460 investigadores y organizaciones no gubernamentales han alertado sobre estos riesgos, porque podrían comprometer la seguridad de las comunicaciones, ya que los actuales certificados HTTPS siguen unas reglas que son comunes para todos y cualquier fallo podría comprometer las comunicaciones.
¿Cómo afecta?
En la carta abierta, se señala que la Unión Europea, al reconocer las autoridades certificadas de un país, podría generar riesgos si dicho país emite certificados de manera corrupta. La aceptación de estos por parte de la Unión Europea podría poner en peligro la seguridad y privacidad de los usuarios en general.
Además, el establecimiento de autoridades certificadas específicas podría llevar a que fuera de la Unión Europea no se reconozcan, creando así la posibilidad de crear una lista separada de empresas certificadas. Esto resultaría en una limitación de acceso a ciertas páginas web en función de la región en la que te encuentres.
Expertos avisan de un nuevo peligro de espionaje masivo en Europa
¿Ya somos China y Rusia?
“Es una catástrofe”. Así describen algunos de los mejores especialistas en seguridad informática lo que está a punto de ocurrir en Europa. Una nueva ley de la UE, llamada eIDAS (Electronic Identification and Trust Services), pensada para establecer un sistema de identificación digital y hacer posible algo tan útil como llevar el DNI en el móvil, supone una amenaza para la seguridad online y la privacidad de tus datos.
Es la conclusión de casi 500 científicos, investigadores y académicos que recientemente han avisado en una carta conjunta del peligro que supone esta regulación si no se cambia uno de sus artículos concretos.
La ley, aseguran, pondría Europa al mismo nivel que Rusia o China en cuanto a las capacidades del Gobierno de espiar las comunicaciones de sus ciudadanos. Es decir, vía libre total.
“Nos oponemos rotundamente al texto acordado porque no respeta el derecho a la privacidad de los ciudadanos y a unas comunicaciones seguras”, resumen 504 investigadores y científicos de 39 países en la carta firmada recientemente.
El texto concreto de la discordia es el artículo 45 del eIDAS, que fuerza a los navegadores a aceptar las autoridades de certificación de los Estados miembros y a regirse por las pautas técnicas establecidas por el ETSI. La alarma ha saltado entre la comunidad de especialistas en criptografía porque el texto ha llegado ya a su tramo final.
El Parlamento Europeo, el Consejo y la Comisión han debatido y acordado ya la ley (en un proceso conocido como trílogos) y han dejado el documento listo para su aprobación definitiva y entrada en vigor antes de final de año. Este miércoles se celebró una nueva reunión de los tres organismos para “pulir” el texto final, pero no se realizaron cambios significativos, según confirman fuentes cercanas a las negociaciones consultadas por este diario.
Acceso a tu WhatsApp web y a tus ‘e-mails’
Con esta nueva regulación, y con la excusa de establecer un mecanismo de identidad digital estándar en toda Europa, la UE estaría consiguiendo lo que no había logrado en otras regulaciones, como la destinada a frenar la pornografía infantil.
En este reglamento, aún en negociación, la Comisión propuso al inicio escanear todo tipo de aplicaciones de mensajería para identificar a los creadores y distribuidores de imágenes de abuso a menores.
La intromisión en la privacidad de los ciudadanos era tal que el propio Parlamento Europeo ha rebajado el texto y presentado una nueva versión. Sin embargo, la propuesta de reglamento de identidad digital (eIDAS) sí contempla en parte la posibilidad técnica de acceder a las comunicaciones de los ciudadanos.
“Con el artículo 45 tal y como está, todo lo que sea tráfico online es susceptible de ser interceptado. Por ejemplo, tus e-mails. No podrían acceder a tus wasaps si los envías desde la aplicación del móvil, pero sí podrían si usas la versión web de escritorio”, apunta Medrano.
Y no solo es un problema de abrir la puerta al espionaje. En caso de que haya algún certificado web comprometido, que haya sido objeto de un ciberataque para facilitar el robo de datos, será mucho más lento y complejo revocarlo para solventar el problema.
Nadie sabe si la Unión Europea dará marcha atrás, pero ahora mismo parece improbable.
El texto final, a falta de flecos, ya ha sido acordado entre el Parlamento, la Comisión y el Consejo. Solo faltan dos votaciones adicionales, pero serían un mero trámite. Si todo sigue su curso, el nuevo reglamento eIDAS podría entrar en vigor antes de final de año o, como tarde, a comienzos de 2024.
“Enhorabuena por convertir la UE en China y Rusia”, sentencia Medrano.
