Durante las últimas semanas ha habido mucho bombo con “miDGT”, la app española para llevar el carnet de conducir como una app en el móvil.
En este artículo además de contarte el objetivo y para qué puedes usar la app mi DGT, te voy a explicar cómo usando Blockchain podemos solucionar los problemas de privacidad y llegar a lo que se denomina, Identidad Digital Soberana. Aquí tienes un índice por si quieres ir al grano:
- miDGT, principio de la Identidad Digital
- Instalación y activación de miDGT
- 3 preguntas importantes: verificación, recuperación y privacidad
- Caso Práctico aplicando Blockchain
El principal objetivo de la aplicación es tener una serie de documentos del conductor y sus vehículos en formato digital. El primer beneficio que me he encontrado yo ha sido consultar mi saldo de puntos. (Antes para hacerlo tenía que ir a una página de la DGT).
El hecho de poder ver los vehículos registrados a mi nombre me ha permitido comprobar que efectivamente mi viejo coche ya no está a mi nombre. Pero revisando los vehículos, ¡incluso puedo ver documentación como la Ficha técnica, el permiso de circulación y los datos del seguro!
Finalmente parece que también será un canal de comunicación de la DGT con el usuario (espero no muy a menudo, aún me considero un buen conductor sin muchas multas).
¿Es miDGT el principio de una nueva era para la Identidad Digital?
La Identidad Digital es un conjunto de atributos relacionados con una entidad. Por ejemplo, tu número de DNI, fecha de nacimiento y dirección postal. También, por ejemplo, tus títulos académicos. Algo no tan obvio podría ser el número del contrato de la luz o del contador. Es decir, cualquier información relevante de cualquier cosa que “es tuya”, aunque sea un dato temporal. Obviamente es un dato digital y, para ser útil, requiere poder ser verificado.
Así “mi DGT” es el primer paso hacia la Identidad Digital. Inicialmente la DGT avisa que la aplicación no es un reemplazo del carnet de conducir. Pero todo llegará. ¿Por qué? Porque tú eres el único que puede instalarla y activarla en tu móvil. Y porque es la DGT quien te emite el carnet de conducir y el resto de los documentos, verificación incluida.
¿Cómo se instala y cómo se activa usando Cl@ve?
Instalar la aplicación es tan sencillo como cualquier otra app, desde el market de tu móvil. Desgraciadamente el programa beta está cerrado (parece que yo tuve suerte). Pero activarla es harina de otro costal, porque requiere identificarte de alguna manera. En mi caso yo elegí usar Cl@ve.
Cl@ve es un sistema para identificarte electrónicamente en tus relaciones con la administración pública. Hay varias maneras de obtener tu “Cl@ve”:
- La más rápida: ir a tu oficina de Hacienda o de la Seguridad Social e identificarte.
- La opción online, sencilla pero lenta: entrar en la web y rellenar la información para que te envíen a casa las instrucciones y una clave. Ojo, las envían a una dirección tuya que conozca Hacienda, así se aseguran que eres tú. Es más sencillo pero más lento, tarda unos días.
Con Cl@ve puedes identificarte para cualquier trámite con la administración, como si tuvieras el DNI electrónico o un certificado digital de la FNMT. La principal diferencia es que el DNI electrónico requiere de un lector y el certificado de la FNMT hay que instalarlo en un ordenador. Cl@ve sólo requiere la aplicación en tu móvil.
Pues ya está hecho, con Cl@ve y mi DGT ya tengo un conjunto de documentos que eventualmente tendrán el mismo valor que los documentos físicos.
Entonces, ¿»mi DGT» es una aplicación para la Identidad Digital?
La respuesta corta es que sí, lo es. Porque contiene un montón de información que es conocida como “Credenciales”: licencias de conducción (coche, moto, etc.), balance de puntos, vehículos registrados, documentos relacionados con esos vehículos.
Y esto es sólo el principio, el verdadero camino se andará cuando se pueda usar esa información con otras entidades: compañías de seguros, de alquiler de coches, ITV… los usos serán incontables, pero…
¿Y si hubiera algo como “mi DGT” para mi DNI, pasaporte, títulos universitarios o más cosas?
Esa es la idea. Poder tener toda tu información importante en digital sería un paso de gigante para la digitalización real.
Pero no una aplicación para cada cosa. Mi DGT es genial porque es la primera y es un gran paso, pero en el futuro debería haber una aplicación “cartera” donde almacenar todas las credenciales digitales.
3 preguntas importantes en el camino de la Identidad Digital: validación, recuperación y privacidad
? La primera: ¿cómo validar una credencial?
Si quiero usar alguna de mis credenciales, por ejemplo “carnet de estudiante”. ¿Cómo le digo a alguien que tengo el carnet de estudiante? Y ¿cómo puede el receptor confirmar la validez?
“Entregar una credencial” es como compartir un contacto, la aplicación cartera creará un pequeño fichero que se enviará al receptor (o se escaneará, por ejemplo, si es un código QR). Confirmar la validez se basa en la validación de clave pública.
Revisemos esto un poco más con un ejemplo:
La Universidad en la que estudié emite una credencial digital para mí que dice: “Juan Tavira es un estudiante de la Universidad ACME”, y añade “y lo certifico con mi firma digital”, un conjunto de números y letras que constituyen la firma digital del documento. El firmado digital es un proceso que coge los bytes (el documento) y aplica un proceso matemático complejo con un número secreto (uno que sólo sabe ACME y que nadie puede falsificar).
Cuando presente la credencial a un museo ellos lo escanean y ven un “firmado por la Universidad ACME” y usando una aplicación puede usar otro número de ACME, uno público pero relacionado con el número secreto para confirmar que la firma es válida. Es entonces cuando obtengo mi descuento de estudiante. Esta confirmación tampoco puede ser falsificada: los números privados y públicos están relacionados pero conociendo el público no se puede averiguar el privado, llevaría a un súper ordenador millones de años. Puedes profundizar en las firmas digitales aquí:
? Cómo funcionan las firmas digitales
? Segunda pregunta ¿qué hay de la seguridad y la recuperación de datos ante la pérdida?
¿Qué pasa si pierdo mi teléfono? ¿Cómo se si la información está segura? ¿Puedo recuperarla?
El ejemplo del teléfono es la forma más sencilla de hablar de portabilidad, pero no estamos restringidos sólo al teléfono. Siempre se puede tener una copia de seguridad en casa, en un pendrive que guardemos en un lugar seguro. Y así recuperarla en un terminal nuevo.
Y obviamente las carteras (teléfono, Pc, etc.) necesitarán un PIN o contraseña de acceso. En el caso de los teléfonos las credenciales están almacenadas en una zona segura, inaccesible sin ese PIN o contraseña aunque te roben el teléfono.
? Tercera (y gran) pregunta ¿y mi privacidad?
La privacidad es la gran lucha de hoy en día. Y la Identidad Digital sola no la resuelve. Una vez que le des tu información a una compañía la tendrán para siempre y tendrás que confiar en que sólo la van a utilizar para el propósito original para el que se la cediste.
Pero la Identidad Digital puede usarse para mejorar la privacidad. El gran beneficio de las plataformas digitales es que se puede hacer un seguimiento de a quién le has dado qué información, cuándo y con qué propósito, y se puede hacer automáticamente.
Juan, tú eres un tipo de Blockchain ¿no vamos a leer uno de tus artículos técnicos por aquí?
Pues ahora que lo preguntas, sí, bueno, en parte ?
Hay un concepto más allá de la Identidad Digital, la Identidad Digital Soberana (Self-Sovereign Identity, en inglés). Significa simplemente que uno debe tener el control de su información personal. Y lo resolvemos añadiendo Blockchain a la ecuación.
Anteriormente hemos comentado que la privacidad es un problema, pero que se pueden usar las plataformas digitales para hacer seguimiento de lo que ocurre con mis datos. ¿Y si en vez de ser yo quien se encarga del seguimiento lo hiciera una plataforma de Blockchain distribuida?
Primero recalcar que en una plataforma de Blockchain no puede haber nunca información personal, iría contra la GDPR dado que en una plataforma de Blockchain no se puede borrar ni alterar información. Pero se pueden almacenar las firmas digitales de las credenciales y su estado (validez y fecha máxima de validez).
Por ejemplo, la DGT me emite mi carnet de conducir. Y la DGT almacena en la red Blockchain:
- Hash del documento (el carnet de conducir) que contiene la firma de la DGT.
- Estado del documento: válido.
Luego uso esa credencial para alquilar un coche. Enviaré mi carnet de conducir digital a ACME Cars, y escribiré la entrega en la red Blockchain.
- Hash del documento.
- Estatus del documento: Válido hasta el 8 de Febrero (cuando acaba el alquiler).
ACME Cars tendrá mi carnet de conducir y puede comprobar que fue emitido por la DGT y que es válido (información que está en la credencial que he presentado). También pueden comprobar que tan sólo he dado permiso para su uso hasta el 8 de febrero, cuando acaba el contrato de alquiler.
Imagina que antes de recoger el coche pierdo todos los puntos del carnet, la DGT podría sin problema actualizar el estado en la red de Blockchain:
- Hash del documento (el carnet de conducir) que contiene la firma de la DGT.
- Estado del documento:
válidoRevocado
Cuando intente ir a recoger el coche, ACME Cars puede comprobar in-situ el estado de la credencial, ver que la DGT la ha revocado y negarme la entrega del coche.
Este método garantiza tanto la privacidad del dato como la facilidad de controlar quien hace uso del mismo. Un ejemplo de Identidad Digital Soberana es la iniciativa Alastria ID, de la que os sugiero que leáis más aquí.
Conclusión
La Identidad Digital está llegando, lenta pero segura. Sólo tenemos que empezar a usarla para que nos beneficiemos todos.
Juan Tavira
Universia
Especialista, arquitecto y friki multidisciplinar apasionado de todas las innovaciones. Esto es fácil de decir por uno mismo, pero cuando lo dicen mis compañeros informáticos, mis amigos geeks de los juegos e incluso mi mujer, algo de verdad tendrá ;-). Me gusta construir violines como hobby. En ocasiones veo código.
