Movilidad y cloud, claves de futuro de la certificación

Con cerca de 39 millones de ciudadanos dotados de un eDNI y, por tanto, de un certificado digital, España se encuentra en una posición privilegiada para la utilización de esta tecnología de autenticación en su relación con las Administraciones Públicas y, por extensión, en otros ámbitos, sean de carácter profesional o personal. El uso de certificados digitales, sin embargo, no ha despegado realmente en nuestro país. Pero las condiciones son favorables.

Con un índice de penetración del 85%, España es el cuarto país del mundo con más usuarios de smartphones, por detrás de Singapur, Corea del Sur y Noruega. Este imparable avance de la movilidad emerge como factor clave para la consolidación de esta tecnología de autenticación, fundamental en la digitalización y “despapelización” de las organizaciones.

Una de estas tecnologías, y de las más novedosas, es la de Certificados Itinerantes, que adelanta el futuro y abre la puerta al uso masivo de la certificación electrónica, reduciendo al mismo tiempo la complejidad y los costes de las instalaciones tradiciones de este tipo.

El calificativo de itinerante es el más apropiado si tenemos en cuenta que, a diferencia de los certificados instalados en un ordenador, esta nueva generación de certificados acompaña al usuario en todo momento de forma que su función de autenticador y garante de la identidad se encuentra a su disposición tanto desde el navegador o una aplicación en su desktop, como en su móvil o tableta, sin necesidad de instalar el certificado en cada uno de los dispositivos desde los que se vaya a utilizar.

Autenticación en movimiento

Al igual que los certificados electrónicos convencionales, los certificados itinerantes están basados en una autenticación de dos factores (2FA): uno que se posee –el certificado- y otro que se conoce –el PIN-, con la diferencia de que la salvaguarda del certificado no se realiza en este caso en el PC del usuario, sino en un servicio cloud protegido mediante unos mecanismos de seguridad de acceso apropiados.

De esta forma, las organizaciones disponen de un mecanismo para facilitar certificados electrónicos tanto a sus usuarios internos como a sus clientes para su utilización en movilidad sin necesidad de instalarlos en un dispositivo. Esto supone para el usuario que, además de eliminarse la complejidad de instalar el certificado en el ordenador, su dispositivo móvil se convierte en un elemento capaz de garantizar y validar su identidad con independencia de dónde, cuándo y con qué objeto sea necesario.

La certificación digital evoluciona a servicio. Para ello los certificados se almacenan en un repositorio que, al estar asociado al identificador de usuario de Windows correspondiente, garantiza que solo los usuarios previamente autenticados pueden acceder a él. Además y para lograr un nivel máximo de seguridad, la clave privada asociada al certificado se encuentra encriptada tanto en el almacén como durante su transmisión desde el repositorio al dispositivo del usuario, de tal forma que solo se desencripta en la memoria de este último en el momento en el que se hace uso de él tras facilitar el segundo factor, es decir, el PIN.

El repositorio de certificados almacena el certificado de cada usuario junto con su clave privada encriptada y, para mayor seguridad, existe un registro completo de todos los accesos, quedando constancia de cuándo y por parte de quién se ha utilizado un certificado. Por lo tanto, en esta progresión móvil los altos niveles de seguridad propios de la certificación de doble factor, lejos de disminuir se incrementan y se dispone, además, de la posibilidad de que cada vez que un usuario utilice su certificado, reciba una notificación ya sea vía e-mail, SMS o push, con el aumento de la seguridad y el control del uso del certificado por parte del usuario que esto implica.

Un servicio de certificación itinerante evita, por tanto, los riesgos asociados a los certificados instalados en un PC o en una tarjeta, que pueden ser objeto de accesos o usos no controlados, y adicionalmente cuenta con un mecanismo de notificación que permite a organización y usuario tener constancia de cuándo y para qué se utiliza su certificado.

Generación de certificados

Para incorporar los certificados al repositorio, la solución interactúa con la Autoridad Certificadora, sea pública o privada. En este último caso y tratándose de certificados utilizados únicamente en procedimientos de la organización, un servidor dentro de la red del cliente puede actuar como Autoridad de Certificación interna para su generación.

Un caso concreto de utilización de esta plataforma puede ser la generación de un certificado itinerante basado en la identidad proporcionada por el eDNI. De esta forma se garantiza que los datos del certificado itinerante son un reflejo de los datos residentes en el eDNI, haciendo a este en cierta medida garante del nuevo certificado generado. Esta posibilidad es una oportunidad única para que organizaciones y empresas pongan a disposición de profesionales y clientes un servicio de certificación totalmente seguro y siempre accesible.

Otra interesante modalidad de uso se encuentra en el reemplazo de las tarjetas criptográficas - por ejemplo, de empleados públicos-, una alternativa que ofrece todas las ventajas antes mencionadas y que implica un ahorro significativo de costes, tanto en tarjetas físicas como en tiempo destinado a su gestión. De hecho y con un coste en la órbita de los 25.000 euros para dar servicio a 3.000 usuarios, la solución supone un ahorro de alrededor de un 30%.

Javier Fernández
Director de la unidad de negocio de Transformación Digital de Grupo CMC