Virginia, primer estado en promulgar ley sobre identidad digital
30 March, 2015
category: Seguridad en Internet, Seguridad lógica
La legislación de Virginia creará estándares uniformes para reforzar y autentificar identidades digitales. La Mancomunidad de Virginia está tomando la avanzada en este tema, siendo la primera en la nación que trata de encontrar la forma de dejar atrás las contraseñas débiles, las violaciones de datos y el robo de identidad. El proyecto de ley fue aprobado por la Asamblea General y promulgado como ley por el Gobernador Terry McAuliffe.
La propuesta no es una reacción política a los recientes titulares de prensa. Ha sido sometida a estudio durante cuatro años por la Comisión Conjunta sobre Tecnología y Ciencia de esa legislatura. El mayor punto de conflicto fue cómo manejar las obligaciones de los proveedores de identidad.
Para obtener más información, conversamos con los principales autores del proyecto de ley. Jeff Nigriny es presidente y cofundador de CertiPath, un proveedor de red de confianza que certifica autenticación y dispositivos de control de acceso con un enfoque de alta seguridad para las industrias aeroespacial y defensa. Timothy Reiniger es director del grupo de servicios digitales en Future Law, una firma legal y de relaciones gubernamentales con sede en Richmond, Virginia.
P: Las violaciones de datos aparecen todas las semanas en los titulares. ¿En qué forma la identidad es una parte importante para resolver o detener este problema?
NIGRINY: Podemos ver que en prácticamente todas las violaciones de datos y ataques piratas a sistemas en los últimos años, la culpa recae en los débiles mecanismos de identidad en línea. Si logramos fortalecer la identidad en línea con la misma inversión que la industria ha hecho en el aspecto de soluciones de seguridad de red, estaremos eliminando el mecanismo primario más usado por los hackers más sofisticados.
El ciberespacio es nuevo, y la Internet en la que mayormente se basa, fue creada sin considerar el tema de la identidad. Pienso que hasta que no arreglemos el problema de la identidad en línea, las violaciones de datos y los hackeos de sistemas serán lugar común.
Q: ¿Qué logra el proyecto de ley de Virginia?
REINIGER: En primer lugar, tanto la Estrategia Nacional para Identidades de Confianza en el Ciberespacio como los comités del Colegio de Abogados de Estados Unidos que investigan estos temas, han identificado un obstáculo de importancia para la creación de un mercado de terceros para credencialización de identidad, que es la imprevisibilidad de las obligaciones para los proveedores de identidad y la falta de un marco legal común.
El proyecto de ley propone la creación de un marco legal común, proporcionando una serie de definiciones para que sean promulgadas como ley, definiciones que se han utilizado en el mundo contractual por los marcos de confianza y proveedores de identidad.
En segundo lugar, el proyecto de ley aborda la imprevisibilidad de las obligaciones para los proveedores de identidad, proveyendo limitaciones significativas a esas obligaciones, con el fin de incentivar a los actores del sector privado para que sean proveedores de identidad y operadores de marcos de confianza.
Por último, el proyecto de ley crea un cuerpo real de estándares que es público-privado. Es supervisado por el estado, en este caso por la Mancomunidad de Virginia a través de la Secretaria de Tecnología. Como la tecnología varía con tanta rapidez, no puede existir un enfoque que se ajuste a todo, ni puede haber un conjunto de estándares que se establezca para todo el tiempo. Este consejo asesor creará un conjunto mínimo de directrices que han de guiar a los operadores de marco de confianza. Esto cambiaría en el transcurso del tiempo, y ese consejo buscaría vías para integrar y actualizar sus estándares con la comunidad internacional.
P: ¿Cómo facilitaría la adopción de identidad digital?
NIGRINY: Cada vez que un usuario crea una cuenta, elige un nombre de usuario o autogenera una contraseña, ese proveedor de aplicación o sitio web está tomando un riesgo innecesario debido al uso de mecanismos de identidad débiles. Las credenciales fuertes de identidad en línea, como las empleadas en el gobierno federal, de inicio resultan más caras que una simple contraseña. Pero si el usuario es capaz de utilizar esa credencial fuerte de identidad en todas partes, entonces en realidad no es diferente del cargo a pagar por una tarjeta de crédito. Si los sistemas adoptados por los proveedores en línea están basados en credenciales de identidad validadas apropiadamente, resultarían mucho más seguros y menos costosos. Pensamos que las organizaciones comerciales serán los proveedores más comunes de identidades en línea. Esos proveedores deben ser capaces de basarse en un entorno legal consistente, con el fin de predecir adecuadamente cuál va a ser el riesgo. Sin esto, menos proveedores estarán en capacidad de actuar en el mercado, lo que naturalmente devendrá en un costo más alto para el consumidor. Por tanto, este proyecto de ley aporta mucho para mejorar la asignación de obligaciones, y esperamos que devendrá en costos totales más bajos.
Q: ¿Realmente esta legislación provee inmunidad a los proveedores de servicio de identidad?
NIGRINY: La respuesta es no, pero es un no calificado. Lo primero es comprender que casi todas las situaciones legales con que las personas están familiarizadas en su actividad normal de negocios o en su vida de consumidor, son contratos bilaterales en que existen solo dos partes, sean individuos o compañías. Pero el proyecto de ley de identidad propuesto busca resolver esta ambigüedad introducida por la dependencia de terceros para credenciales de identidad.
REINIGER: El derecho consuetudinario actual no acomoda este tipo de sistema de identidad de terceros. Pero este proyecto de ley sí lo hace y señala: Si un proveedor de identidad o un operador de marco de confianza emite una credencial de una manera que no está conforme con el estándar estatal mínimo o un contrato privado separado o los estándares/reglamentaciones/políticas del marco de identidad en que operan las partes, existirán obligaciones. Si se emite una credencial que cumple lo establecido, solamente podrían surgir obligaciones si el proveedor de identidad comete negligencia grave o un acto deliberado de conducta impropia. El proyecto de ley distingue emisión versus uso indebido. Señala expresamente que un proveedor de identidad o un operador de marco de confianza de identidad no será responsable de uso indebido de una credencial de identidad por parte del titular de la credencial o de cualquier otra persona que utilice indebidamente la credencial. Un proveedor de identidad solo puede controlar el proceso de emisión. Este proyecto de ley reconoce formalmente la marca de confianza por primera vez en este país y proporciona una garantía. El proveedor de identidad que usa una marca de confianza está garantizando que ha emitido la credencial en conformidad con los estándares estatales y con las normativas/políticas de su marco de confianza.
P: ¿Por qué el proyecto de ley se enfoca en los marcos de confianza de identidad y sus marcas de confianza?
NIGRINY: Los comerciantes no tienen una relación directa con cada banco que pueda representar una tarjeta de crédito que el cliente pueda presentar en sus tiendas, ni siquiera tiene conocimiento de ello. Ellos confían en la relación segura del mecanismo de información establecido por Visa, MasterCard, AmEx o quien sea. Los proveedores de marco manejan la certificación y la continua verificación de los proveedores de tarjetas de crédito. En materia de identidad, vemos el potencial para gran cantidad de proveedores de identidad a varios niveles de seguridad en el mercado de identidad en línea. A menos que exista un marco de confianza que nos ayude a agregar todos esos proveedores, esos sitios web y portales de comercio electrónico y portales de proveedores – a los que llamo partes confiantes – no estaremos en capacidad de comprender adecuadamente bajo qué normativas emitía un proveedor de identidad dado o siquiera si ese emisor sigue siendo fiable. Así pues, la Mancomunidad de Virginia, mediante la Secretaría de Tecnología, va a revisar y avalar marcos de confianza que cumplan con sus requisitos y habrá un listado oficial del gobierno de Virginia. ¿Cómo se demuestra que una credencial de identidad es parte de esa comunidad? Ahí es donde entran a jugar las marcas de confianza. Un operador de marco de confianza puede proporcionar un token digital a los miembros certificados que permiten que el proveedor de identidad demuestre que son miembros que están en regla con las normativas del marco en el que están comprendidos.
Q: ¿Cuál fue el catalizador para la elaboración de este proyecto de ley?
REINIGER: Se han producido tantas violaciones de datos que los legisladores de Virginia están utilizando este proyecto de ley como un proyecto para la protección al consumidor. Se percatan de que los consumidores necesitan una protección mejor que un simple nombre de usuario y contraseña; necesitan tener acceso de forma asequible a credenciales de terceros. Ahora se dan cuenta por qué necesitamos incentivar un mercado privado de terceros proveedores de credenciales y de demostración de identidad.