AOC

reto

Cómo podemos impulsar un servicio de identificación digital que se pueda utilizar en el sector público y privado, y que refuerce la seguridad de los códigos desechables enviados por SMS.

problemática actual

El uso de sistemas de autenticación llamados de dos factores (algo que sabes y algo que tienes) que envían códigos de un solo uso por SMS está muy extendido en el sector privado (banca, redes sociales, etc) y también en el sector público (idCAT Móvil. Cl @ viene PIN).

La ciudadanía valora muy positivamente los servicios de identificación digital basados ​​en el móvil, como es el caso de idCAT. Lo avalan los más de 400.000 ciudadanos que ya lo utilizan, más de un millón de actuaciones realizadas y los excelentes resultados de las encuestas de satisfacción en su uso.

Ahora bien, el uso de estos servicios plantea algunas problemáticas:

  1. El SMS no se considera un canal bastante seguro de acuerdo a las recomendaciones del National Institute of Standards and Technology de Estados Unidos (organismo público referente a nivel mundial en temas de seguridad) ya las recomendaciones de la Comisión Europea para el sector financiero. Estos organismos recomiendan buscar alternativas al SMS que sean más robustas y seguras.
  2. El 80% de los ciudadanos son internautas habituales pero sólo el 35% de las actuaciones con la administración se realizan por medios electrónicos por falta de una identidad digital fácil, segura, usable y útil que se pueda utilizar de forma global en el sector público y privado.
  3. Para la administración éste es un grave inconveniente porque los ciudadanos realizan sólo 3 trámites al año con todas las administraciones y no tienen el hábito o necesidad de disponer de una identidad digital pública. En cambio, los ciudadanos realizan decenas de actuaciones cada día con el sector privado.
  4. En promedio, un usuario tiene 70 identidades digitales con diferentes proveedores públicos o privados. Para el sector privado, esto supone un grave problema porque es muy costoso de gestionar y garantizar la seguridad de tantas identidades.

solución propuesta

Impulsar un piloto con la solución de identificación digital Mobile Connect, desarrollada por GSMA (asociación de las principales operadoras de telecomunicaciones del mundo) y con el apoyo Mobile World Capital.

Este servicio, tal y como se exponía en la sesión Mobile Connect in local governments of Catalonia, del Mobile World Congress 2018, planteaba las siguientes ventajas:

  1. Sustituye los mensajes SMS para notificaciones push aplicaciones guardadas en la SIM de los móviles, que son encriptados y más seguros.
  2. Tiene el apoyo de las principales operadoras de telecomunicaciones para hacer su despliegue en el sector privado. En España la están impulsando Movistar, Vodafone y Orange.
  3. Propone unas sinergias en la identificación digital en el sector privado y público, muy interesantes para la Administración.
  4. Cada notificación push tiene un coste reducido.

Desarrollo de un piloto con ayuntamientos

En septiembre de 2017 iniciamos un proyecto piloto de identificación digital con la solución Mobile Connect, desarrollado en los ayuntamientos de Manlleu, Esparraguera y Castellar del Vallès. Los resultados de seguridad, usabilidad y satisfacción por la ciudadanía han sido positivos. Su uso es actualmente bajo porque no aporta actualmente ningún valor sustancial en los mensajes SMS y porque Mobile Connect se utiliza poco en el sector privado: únicamente en las propias operadoras.

Por otro lado las duras recomendaciones iniciales del NIST y Comisión Europea sobre la búsqueda de alternativas a los mensajes SMS, se han ablandado y no hay tanta urgencia para buscar otras soluciones.

En Europa, está la experiencia de Francia que está funcionando bastante bien. Se llama Conexión móvil y yo, Y está impulsado por Orange. Se puede utilizar en muchos servicios públicos y también en servicios privados.

Se está planteando la continuidad del proyecto en Cataluña por la baja implantación en el sector privado que hace que el servicio no aporte valor diferencial a los mensajes SMS actuales. Por otra parte, las operadoras no han completo su plan de mejoras y la solución actual tiene carencias que no hacen recomendable su despliegue en toda Cataluña.

Estado del proyecto

Discontinuado. Desde GSMA nos comunican que han decidido discontinuar la plataforma de integración que nos permitía prestar este servicio y, por tanto, nos vemos obligados a discontinuarlo. Según la información proporcionada, el servicio de Mobile Connect no ha cumplido con las expectativas de despliegue en el sector privado. En consecuencia, procedemos a desactivar la opción de identificación digital con la solución Mobile Connect del servicio VALID para los ayuntamientos colaboradores en el piloto.

Innovar conlleva riesgos y no todas las iniciativas tienen éxito. Ahora bien, creemos que el aprendizaje de la experiencia ha sido enriquecedor para futuras iniciativas de colaboración con empresas.