eIDAS

Reglamento de identificación electrónica de la UE

La marca de confianza de la UE para servicios de confianza cualificados

El mercado único digital de la UE y la facilitación de los servicios públicos transfronterizos

El Reglamento eIDAS (por sus siglas en inglés, Electronic IDentification, Authentication and Trust Services) es un reglamento de la UE cuyo objetivo declarado es regular la identificación electrónica y los servicios de confianza para las transacciones electrónicas . Se aprobó en 2014 y sus disposiciones entraron en vigor entre 2016 y 2018. ^{[1] [2]}

En 2023, un cambio propuesto a la ley permitiría a cualquier gobierno de la UE realizar ataques de intermediarios y espiar todos los mensajes de Internet , incluidas las comunicaciones cifradas. ^[3] La propuesta fue condenada por grupos de investigadores de ciberseguridad, ONG y la sociedad civil, como una amenaza a los derechos humanos, la privacidad y la dignidad. ^{[4] [5] [6]}

Descripción

El eIDAS supervisa la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior de la Unión Europea . Regula las firmas electrónicas , las transacciones electrónicas, los organismos implicados y sus procesos de incorporación para proporcionar a los usuarios una forma segura de realizar negocios en línea, como transferencias electrónicas de fondos o transacciones con servicios públicos . Tanto el firmante como el destinatario pueden disfrutar de una mayor comodidad y seguridad . En lugar de depender de métodos tradicionales, como el correo postal o el fax , o presentarse en persona para presentar documentos en papel, ahora pueden realizar transacciones transfronterizas, como la tecnología " 1-Click ". ^{[2] [7]}

eIDAS ha creado estándares para que las firmas electrónicas, los certificados digitales cualificados , los sellos electrónicos , las marcas de tiempo y otros mecanismos de prueba de autenticación permitan las transacciones electrónicas, con el mismo valor legal que las transacciones que se realizan en papel. ^[8]

El reglamento entró en vigor en julio de 2015 como una forma de facilitar transacciones electrónicas seguras y sin problemas dentro de la Unión Europea. Los Estados miembros deben reconocer las firmas electrónicas que cumplan con los estándares del eIDAS. ^{[2] [9]}

Cronología

La ley fue establecida en el Reglamento (UE) 910/2014 del 23 de julio de 2014 sobre identificación electrónica y derogada la 1999/93/CE del 13 de diciembre de 1999. ^{[1] [2]}

Entró en vigor el 17 de septiembre de 2014 y se aplica desde el 1 de julio de 2016, excepto ciertos artículos, que se enumeran en su artículo 52. ^[10] Todas las organizaciones que prestan servicios digitales públicos en un estado miembro de la UE deben reconocer la identificación electrónica de todos los estados miembros de la UE a partir del 29 de septiembre de 2018. Se aplicó a todos los países del Mercado Único Europeo . ^{[11] [12]}

En julio de 2024, la asociación go.eIDAS lanzó el primer banco de pruebas eIDAS con varias empresas tecnológicas y fundaciones alemanas para emitir credenciales PID para billeteras compatibles con la arquitectura y el marco de referencia (ARF). ^[13]

El eIDAS es el resultado de la atención que presta la Comisión Europea a la Agenda Digital de Europa. Bajo la supervisión de la Comisión, el eIDAS se implementó para estimular el crecimiento digital dentro de la UE. ^[14]

El objetivo del eIDAS es impulsar la innovación. Al adherirse a las directrices establecidas para la tecnología en virtud del eIDAS, las organizaciones se ven impulsadas a utilizar niveles más elevados de seguridad de la información e innovación . Además, el eIDAS se centra en lo siguiente: ^{[9] [15]}

• Interoperabilidad : los Estados miembros deben crear un marco común que reconozca los documentos de identidad electrónicos de otros Estados miembros y garantice su autenticidad y seguridad. Esto facilita a los usuarios realizar transacciones comerciales a través de las fronteras.
• Transparencia : eIDAS ofrece una lista clara y accesible de servicios de confianza que pueden utilizarse en el marco de firma centralizada. Esto permite a las partes interesadas en la seguridad entablar un diálogo sobre las mejores tecnologías y herramientas para proteger las firmas digitales.

Aspectos regulados en las transacciones electrónicas

El Reglamento establece el marco regulatorio para los siguientes aspectos importantes relacionados con las transacciones electrónicas: ^[2]

• Identidad digital : un marco europeo (European Digital Identity Wallet, EDIW) ^[16] para la autenticación digital de los ciudadanos, con validez legal. Se han definido nueve principios de identidad digital europea : ^[17] elección del usuario, privacidad, interoperabilidad y seguridad, confianza, conveniencia, consentimiento del usuario y control, proporcionalidad, conocimiento de la contraparte y escalabilidad global.
• Firma electrónica avanzada (AdES): Una firma electrónica se considera avanzada si cumple ciertos requisitos:
  • Proporciona información de identificación única que lo vincula con su firmante.
  • El firmante tiene el control exclusivo de los datos utilizados para crear la firma electrónica.
  • Debe ser capaz de identificar si los datos que acompañan al mensaje han sido alterados después de ser firmado. Si los datos firmados han cambiado, la firma se marca como no válida.
  • Existe un certificado de firma electrónica, prueba electrónica que confirma la identidad del firmante y vincula los datos de validación de la firma electrónica a esa persona.
  • Las firmas electrónicas avanzadas se pueden implementar técnicamente, siguiendo el estándar XAdES , PAdES , CAdES o ASiC Baseline Profile ( Associated Signature Containers ) para firmas digitales, especificado por el ETSI . ^[18]
• Firma electrónica cualificada , firma electrónica avanzada que se crea mediante un dispositivo cualificado de creación de firmas electrónicas basado en un certificado cualificado para firmas electrónicas.
• Certificado digital cualificado de firma electrónica , certificado que da fe de la autenticidad de una firma electrónica cualificada que ha sido emitida por un prestador de servicios de confianza cualificado.
• Certificado cualificado de autenticación de sitio web , un certificado digital cualificado conforme a los servicios de confianza definidos en el Reglamento eIDAS.
• Servicio de confianza , un servicio electrónico que crea, valida y verifica firmas electrónicas , sellos de tiempo , sellos y certificados . Además, un servicio de confianza puede proporcionar autenticación de sitios web y conservación de firmas electrónicas, certificados y sellos creados. Lo gestiona un proveedor de servicios de confianza .
• Listas de confianza de la Unión Europea ( EUTL )

Evolución e implicaciones legales

El Reglamento eIDAS evolucionó a partir de la Directiva 1999/93/CE, que estableció un objetivo que se esperaba que los estados miembros de la UE alcanzaran con respecto a la firma electrónica. Los países europeos más pequeños estuvieron entre los primeros en comenzar a adoptar firmas digitales e identificación, por ejemplo, la primera firma digital estonia se dio en 2002 y la primera firma digital letona se dio en 2006. Su experiencia se ha utilizado para desarrollar un reglamento ahora de alcance europeo , que se convirtió en ley vinculante en toda la UE desde el 1 de julio de 2016. ^[19] La Directiva 1999/93/CE hizo que los estados miembros de la UE fueran responsables de crear leyes que les permitieran cumplir el objetivo de crear un sistema de firma electrónica dentro de la UE. La directiva también permitió que cada estado miembro interpretara la ley e impusiera restricciones, impidiendo así la interoperabilidad real y conduciendo a un escenario fragmentado. ^[20] A diferencia de la directiva de 1999, eIDAS garantiza el reconocimiento mutuo del eID para la autenticación entre los estados miembros, ^[21] logrando así el objetivo del Mercado Único Digital .

El eIDAS ofrece un enfoque escalonado del valor jurídico. Exige que no se pueda negar a ninguna firma electrónica efecto jurídico o admisibilidad en los tribunales únicamente por no ser una firma electrónica avanzada o cualificada. ^[22] Las firmas electrónicas cualificadas deben tener el mismo efecto jurídico que las firmas manuscritas. ^[23]

En el caso de los sellos electrónicos (versión de las firmas de las personas jurídicas), se aborda explícitamente el valor probatorio , ya que los sellos deben gozar de la presunción de integridad y de la exactitud del origen de los datos adjuntos. ^[24]

En junio de 2021, la Comisión propuso una modificación y publicó una recomendación. ^{[25] [26] [27]}

Ataques de intermediarios y vigilancia masiva

En 2023, se propuso un cambio a eIDAS que permitiría a cualquier gobierno de la UE vigilar todas las comunicaciones de Internet , incluso cuando estén cifradas. ^{[5] [3]} La propuesta funcionó a través del mismo mecanismo que un intento de vigilancia masiva de 2019 en Kazajstán .

La propuesta obligaría a los proveedores de navegadores a colocar una puerta trasera en los navegadores web para permitirles realizar un ataque de intermediario , engañando a los usuarios haciéndoles creer que se están comunicando con un servidor que han solicitado, cuando, de hecho, se estarían comunicando directamente con un servidor del gobierno. El servidor del gobierno podría entonces leer y cambiar sus mensajes antes de pasar el mensaje posiblemente modificado al destinatario previsto. ^[28]

De aprobarse, los gobiernos de la UE podrían, en principio, interceptar cualquier información transmitida en forma encriptada por esos navegadores, leer cualquier contenido sensible o encriptado sin el conocimiento del usuario y cambiar la información a voluntad. ^{[29] [30]} Esto se consideró particularmente preocupante en países con un Estado de derecho más débil, donde el Estado y los actores conectados con el Estado podrían usar la ley para espiar a sus propios ciudadanos con fines de represión política y beneficio personal. Existía la preocupación adicional de que esto permitiera a actores privados con conexiones con el Estado obtener acceso y hacer un mal uso del poder de vigilancia masiva para sus propios fines. ^{[4] [6]}

Si bien el texto principal de ese texto se mantiene en el borrador final, se han incluido disposiciones en el texto que permiten a los proveedores de navegadores seguir implementando disposiciones de seguridad que en la práctica dificultarían la realización de este tipo de interceptación sin ser descubiertos. ^[31] En concreto, el borrador final del texto establece lo siguiente:

No obstante lo dispuesto en el apartado 1 y únicamente en caso de preocupaciones justificadas relacionadas con violaciones de seguridad o pérdida de integridad de un certificado o conjunto de certificados identificados, los navegadores web podrán tomar medidas de precaución en relación con dicho certificado o conjunto de certificados.

lo que se ha interpretado como que permite a los proveedores de navegadores seguir utilizando mecanismos como la transparencia de certificados para mantener la seguridad del navegador. ^[31]

Requisitos de diseño

La información de una base de datos debe estar vinculada a algún tipo de número de identidad . Para certificar que una persona tiene derecho a acceder a cierta información personal se requieren varios pasos.

• Conectar a una persona a un número, lo que se puede hacer a través de métodos desarrollados en un país, como los certificados digitales .
• Conectar un número a información específica, realizada en bases de datos.
• Para eIDAS es necesario conectar el número utilizado por un país que tiene información, con el número utilizado por el país que emite los certificados digitales.

El sistema eIDAS tiene como concepto mínimo de identidad el nombre y la fecha de nacimiento . Pero para acceder a información más sensible se necesita algún tipo de certificación de que los números de identidad emitidos por dos países se refieren a la misma persona. ^[32]

Vulnerabilidades

En octubre de 2019, investigadores de seguridad descubrieron dos fallas de seguridad en eIDAS-Node (una implementación de muestra del perfil eID eIDAS proporcionado por la Comisión Europea ^{[33] ); ambas vulnerabilidades fueron parcheadas para la versión 2.3.1 de eIDAS-Node. [34]}

Marco de identidad autosuficiente europea

La Unión Europea comenzó ^{[ ¿cuándo? ]} a crear un Marco Europeo de Identidad Autosoberana (ESSIF) compatible con eIDAS, ^{[ cita requerida ]} pero en muchos países los usuarios deben ser clientes de Google o Apple para utilizar los servicios eIDAS.

TLUE

Las Listas de Confianza de la Unión Europea (EUTL) son una lista pública de más de 200 proveedores de servicios de confianza (TSP) activos y antiguos que están específicamente acreditados para ofrecer los más altos niveles de cumplimiento con la regulación de firma electrónica eIDAS de la UE. ^[35]

Véase también

• China: China RealDID
• AdES y validación a largo plazo (LTV)
• PAdES
• Autenticación multifactor
• Puerta de enlace digital única
• EE.UU.: Ley de Firmas Electrónicas en el Comercio Global y Nacional y Ley Uniforme de Transacciones Electrónicas ( UETA )

Referencias

1. Turner, Dawn. "Understanding eIDAS". Cryptomathic . Consultado el 12 de abril de 2016 .
2. «Reglamento (UE) n.º 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE». EUR-Lex . El Parlamento Europeo y el Consejo de la Unión Europea . Consultado el 18 de marzo de 2016 .
3. https://blog.mozilla.org/netpolicy/files/2023/11/eIDAS-Industry-Letter.pdf ^{[ URL básica PDF ]}
4. https://last-chance-for-eidas.org/ ^{[ URL simple ]}
5. "Carta EIDAS.PDF".
6. "Expertos de la sociedad civil expresan su preocupación ante la finalización del nuevo reglamento de identidad digital de la UE".
7. van Zijp, Jacques. "¿Está preparada la UE para el eIDAS?". Secure Identity Alliance. Archivado desde el original el 22 de noviembre de 2016. Consultado el 18 de marzo de 2016 .
8. Turner, Dawn M. "eIDAS de Directiva a Reglamento - Aspectos legales". Cryptomathic . Consultado el 18 de marzo de 2016 .
9. Bender, Jens. "Reglamento eIDAS: EID - Oportunidades y riesgos" (PDF) . Bunde.de . Fraunhofer-Gesellschaft . Consultado el 18 de marzo de 2016 .
10. Vigencia del eIDAS, aplicación y excepciones en Europa.eu
11. Información sobre eIDAS, Connectis.
12. Reglamento (UE) n.º 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014
13. "Se ha lanzado con éxito el banco de pruebas eIDAS". www.eid.as . Consultado el 19 de junio de 2024 .
14. "Una agenda digital para Europa". EUR-Lex . Comisión Europea . Consultado el 18 de marzo de 2016 .
15. JA, Ashiq. "La agenda eIDAS: innovación, interoperabilidad y transparencia". Cryptomathic . Consultado el 18 de marzo de 2016 .
16. "Monedero de identidad digital europeo | Dando forma al futuro digital de Europa". digital-strategy.ec.europa.eu . 2022-06-13 . Consultado el 2024-01-27 .
17. "Hacia unos principios y unas directrices para la interoperabilidad de la identificación electrónica en las plataformas en línea" (PDF) . Europa.eu . Comisión Europea. Archivado (PDF) del original el 24 de junio de 2019 . Consultado el 29 de agosto de 2021 .
18. Turner, Dawn M. "La diferencia entre una firma electrónica y una firma digital". Cryptomathic . Consultado el 21 de abril de 2016 .
19. «Reglamentos, directivas y otros actos». Europa.eu . La Unión Europea. Archivado desde el original el 12 de diciembre de 2013 . Consultado el 18 de marzo de 2016 .
20. "Entender el eIDAS: todo lo que siempre quiso saber sobre el nuevo Reglamento de firma electrónica de la UE". Tecnología jurídica . Archivado desde el original el 17 de enero de 2018 . Consultado el 1 de marzo de 2016 .
21. "Un gran paso hacia el mercado único digital europeo" (PDF) . Inside Magazine. Archivado desde el original (PDF) el 27 de marzo de 2019 . Consultado el 27 de marzo de 2019 .
22. Artículo 25 (1) y definiciones en el artículo 3 (10) a 3 (12)
23. Artículo 25 (2)
24. Artículo 35 (2)
25. "La Comisión propone una identidad digital segura y fiable para todos los europeos" (Comunicado de prensa). Comisión Europea. 3 de junio de 2021.
26. Procedimiento 2021/0136/COD sobre EUR-Lex , Procedimiento 2021/0136(COD) sobre el ŒIL
27. Recomendación (UE) 2021/946 de la Comisión, de 3 de junio de 2021, relativa a un conjunto de herramientas común de la Unión para un enfoque coordinado con vistas a un marco europeo de identidad digital en EUR-Lex
28. "El marco de identidad digital de la UE pone en peligro la seguridad de los navegadores". 15 de diciembre de 2021.
29. "Carta EIDAS 2022". 2 de marzo de 2022.
30. "El marco de identidad digital de la UE (EIDAS): ¿otro tipo de control del chat?". 2 de noviembre de 2023.
31. Hoepman, Jaap-Henk (2023-11-20). "Algunas observaciones sobre el texto final del marco europeo de identidad digital (eIDAS)". blog.xot.nl . Consultado el 25 de noviembre de 2023 .
32. Hur skapar du en koppling mellan svenska och utländska eID:n? (en sueco. Traducción del título: ¿Cómo conectar la identificación electrónica sueca y extranjera?)
33. «Paquete de integración eIDAS-Node». Comisión Europea . Archivado desde el original el 10 de junio de 2019. Consultado el 29 de octubre de 2019. El software eIDAS-Node contiene los módulos necesarios para ayudar a los Estados miembros a comunicarse con otros homólogos que cumplen con el eIDAS de forma centralizada o distribuida.
34. Cimpanu, Catalin (29 de octubre de 2019). "Se ha corregido una vulnerabilidad importante en el sistema de autenticación eIDAS de la UE". ZDNet . Archivado desde el original el 29 de octubre de 2019. Consultado el 29 de octubre de 2019. La vulnerabilidad habría permitido a los atacantes hacerse pasar por cualquier ciudadano o empresa de la UE.
35. https://helpx.adobe.com/document-cloud/kb/european-union-trust-lists.html ^{[ URL básica ]}

Enlaces externos

• Reglamento (UE) n.º 910/2014, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior, en EUR-Lex
• Reglamento (UE) 2024/1183, de 11 de abril de 2024, por el que se modifica el Reglamento (UE) n.º 910/2014 en lo que respecta al establecimiento del Marco Europeo de Identidad Digital en EUR-Lex