Guía de identificación digital para la Administración Tributaria (I)

La motivación principal es que el mundo se ha vuelto irreversiblemente digital, y en consecuencia nuestras administraciones ya no operan únicamente en un mundo presencial. Cada vez son menos  las personas que prefieren concurrir a nuestras oficinas, en la medida que puedan resolver lo mismo desde su casa, desde su teléfono o desde cualquier lugar del mundo.

La relación con los contribuyentes es, cada vez más, una relación que se logra sostener haciendo uso de la omnicanalidad. En la última década y potenciado con la pandemia, este vínculo ha pasado a ser predominantemente digital,  haciendo uso de  páginas web, servicios digitales, apps, contact centers, redes sociales  y servicios interoperables.

En ese contexto, la identidad digital dejó de ser un componente técnico para convertirse en una verdadera capacidad institucional habilitante para habitar este nuevo mundo. Es la puerta de entrada que garantiza la certeza jurídica y la seguridad frente al fraude.

Al igual que en el mundo presencial, donde los documentos que nos identifican han ido evolucionando a los largo de las décadas, pasando de ser simples papeles con una foto, una huella o un sello, a convertirse en documentos sofisticados con mecanismos que impiden la adulteración y responden a marcos y estándares internacionales, con la identificación digital está sucediendo lo mismo.

Ya  no podemos seguir sosteniendo servicios modernos sobre un esquema de “usuario y contraseña”, la centralización de las credenciales y la sofisticación de las ciber amenazas nos exigen otras acciones. La identificación digital está evolucionando y requiere atención estratégica, técnica y jurídica.

Por eso elaboramos esta Guía.

Su propósito es ofrecer información, criterios y orientación para que cada administración pueda tomar decisiones informadas sobre cómo abordar los desafíos que conlleva la evolución de identidad digital. No busca imponer un modelo, ni una solución única, sino para ayudar a pensar en una respuesta estratégica a la temática, comparar opciones y elegir caminos posibles.

¿Para qué?

• • Para habilitar servicios y canales digitales seguros.
• • Para reducir costos y tiempos operativos del contribuyente y de la administración.
• • Para facilitar la interacción e inducir a mejorar el cumplimiento tributario.
• • Para contar con servicios públicos interoperables y mejorar la relación del ciudadano con el Estado.

 Por qué el esquema «usuario y contraseña» ya no es suficiente

La identificación digital ha evolucionado continuamente en las últimas décadas, sobre todo desde principios del presente siglo. Hace 40 o 50 años, en un mundo totalmente diferente al actual, utilizábamos usuarios en cada uno de los sistemas informáticos (altamente desconectados) y métodos simples para validar nuestra identidad. Generalmente un usuario que nos identificaba en un contexto mínimo y una contraseña que no cumplía con ninguna política de seguridad.

Utilizábamos una identificación en cada uno de los sistemas y, además, generalmente, no existía un mapeo que relacionara las identificaciones digitales y las físicas. Durante la década de los 90 y principios de los años 2000 esta situación fue evolucionando en dos grandes líneas que se podrían clasificar en: (1) uso y (2) seguridad.

Con respecto al uso, comenzaron a surgir sistemas que exigían a la persona utilizar un usuario más universal, es decir, un identificador que lo identificara más allá del sistema informático puntual  y muchas veces asociado a su identidad física. Así fue como se comenzó a utilizar números de documentos  (DNI, pasaporte, etc.) o en su defecto una dirección de correo electrónico,  la cual es única a nivel global. A esto, se le sumó que los sistemas comenzaron a delegar la identificación. Por un lado, grandes concentradores de identificaciones digitales (Google, Microsoft, Linkedin, Apple, etc.) desarrollaron proveedores de identidad que se podían integrar a otros sistemas y de esta forma, las personas podían utilizar su identificación de Google o Linkedin para identificarse (o loguearse) en múltiples sistemas. Este modelo federado, con protocolos y estándares sólidos y reconocidos está consolidado actualmente. Se podría interpretar que la identificación digital aprendió de la identificación física y se comporta como tal: obtenemos unas pocas identificaciones digitales en proveedores reconocidos y las utilizamos en ecosistemas amplios.

Con respecto a la seguridad, la evolución de las amenazas en las últimas décadas, así como la criticidad y dependencia que tenemos en todas nuestras actividades para con herramientas digitales implica que el modelo de ”usuario / contraseña”, aun habiendo sido reforzado de diferentes formas, esté llegando al fin de su vida útil. La masificación del uso de teléfonos inteligentes ha puesto a la biometría, sobre todo la facial, como una importante herramienta para verificar identidades. Sin embargo, posee sus limitaciones y condiciones para que sea confiable, genera costos considerables y está fuertemente amenazada por la Inteligencia Artificial.

Actualmente los métodos más seguros para identificarnos y validar nuestra identidad son basados en el uso de credenciales distribuidas y dispositivos criptográficos. Esto tiene como consecuencia que ya no serían necesarias las bases de datos centralizadas con millones de credenciales, sino que cada persona tendrá en su poder sus credenciales y la confianza está depositada en la criptografía, generalmente en el uso de la firma digital para identificarnos y validar nuestra identidad. Para este fin, surgieron los estándares FIDO2 como los passkeys y el concepto de passwordless (no más contraseñas).

Por otro lado, si bien la firma digital, ya sea en dispositivos criptográficos o en la nube, ofrece mecanismos de identificación altamente seguros, las credenciales verificables en teléfonos móviles pueden alcanzar niveles de seguridad equivalentes cuando se implementan bajo ciertos requisitos. La diferencia es que resultan mucho más simples y amigables de utilizar. Además, una credencial de identificación en nuestro móvil puede emplearse tanto en entornos presenciales, mediante QR, NFC o Bluetooth, como en entornos digitales, utilizando QR y protocolos ampliamente reconocidos, seguros y abiertos.

31 total views, 31 views today