Intercambio de credenciales en nube posibilita que el gobierno acepte múltiples

El Servicio Postal de Estados Unidos está tratando de reinventarse como proveedor de última generación de sistemas de identificación basados en nube.

La identificación federada es un tema álgido entre las partes que son usuarios y los proveedores de medios de autenticación, y uno de los programas pilotos más avanzados será fruto de la labor conjunta del Servicio Postal de EEUU y del Intercambio Federal de Credenciales en Nube FCCX (pronunciado en inglés Ef-Six). “El intercambio es un proyecto piloto diseñado para permitir la acreditación de los ciudadanos que visitan los sitios web del gobierno federal”, explica Darleen Reid, representante principal de relaciones públicas del Servicio Postal.

La meta del intercambio es facilitar el trabajo de las agencias gubernamentales para que no tengan que gestionar sistemas independientes de nombre de usuario y contraseña para autenticar a los ciudadanos que acceden a servicios gubernamentales. La intención es ampliar la aceptación de las agencias con respecto a las credenciales emitidas por terceros. En resumen, FCCX persigue el objetivo de simplificar la integración técnica para aceptar credenciales digitales certificadas emitidas externamente, explica Jeremy Grant, asesor ejecutivo principal de NIST para Gestión de Identidad.

Hay políticas trazadas que ordenan a las agencias federales a aceptar credenciales que han sido sometidas a un proceso de aprobación, pero se han producido retrasos que no permiten que esto se haga efectivo. La razón principal de la demora para aceptar credenciales de terceros es el nivel de integración que se requiere para cada proveedor individual de credenciales.

FCCX modificará esta situación y le permitirá a las agencias que se integren con la solución de nube, para entonces estar en capacidad de aceptar numerosos tipos de credenciales.

Una vez que la credencial ha sido aprobada, FCCX tiene 30 días para asegurar que puede ser aceptada para su uso en sitios federales.

El intercambio y la estrategia

El Intercambio Federal de Credenciales en Nube también apoya la Estrategia Nacional para Identidades de Confianza en el Ciberespacio (NSTIC), haciéndose eco de la visión y la necesidad de un ecosistema de identificación. La estrategia nacional es una iniciativa que promueve un ciberespacio más seguro que debe mejorar, e incluso trascender, el sistema de contraseñas que suele utilizarse para registrarse en línea.

“NSTIC tiene una visión de un ecosistema de identificación que le permita a los individuos y las instituciones aplicar soluciones de identificación interoperables, seguras, eficientes y fáciles de usar para acceder a los servicios en línea de una forma que promueva la confianza, la privacidad, las opciones y la innovación”, señala Reid.

La idea fundamental de NSTIC es muy precisa. Por ejemplo, un estudiante recibe una credencial digital de su proveedor de servicios móviles y da los pasos para lograr verificaciones adicionales, con el fin de tener una mayor seguridad en su credencial. Puede usarla entonces para registrarse en la banca, los correos electrónicos, sitios de red social e incluso para conducir negocios con agencias federales, sin tener que memorizar docenas de contraseñas.

Ese es el nivel de seguridad adicional que la estrategia nacional está tratando de impulsar masivamente. La esperanza es que tanto los ciudadanos como las organizaciones puedan encontrar renovado confort y confianza en el entorno de internet, ya que todos los proveedores de servicio participantes han estado de acuerdo de forma unánime en estándares coherentes para la identificación, autenticación, seguridad y privacidad.

¿Cómo funciona FCCX?

El intercambio actúa de forma efectiva como centro operacional para la autenticación de credenciales de múltiples agencias, abarcando todos los diferentes niveles de aseguramiento. Dicho de otro modo, el intercambio es un intermediario en nube para los proveedores y agencias que emiten credenciales.
“El intercambio actuaría como un ‘mediador’ entre las agencias federales y los proveedores autorizados de credenciales digitales”, explica Reid. “Haría más eficiente la acreditación y autenticación digital, reduciría los costos para las agencias gubernamentales, y le ofrecería a los ciudadanos soluciones seguras, con mayor privacidad y facilidad en su empleo”.

El objetivo del proyecto es crear una solución de hardware y software que haga posible que los ciudadanos accedan a los servicios de numerosos sitios web gubernamentales mediante el uso de credenciales digitales creadas externamente y comercializadas a través de la plataforma. El mediador estaría entre el proveedor de servicios y los servicios a las partes usuarias. Esta arquitectura permite que las partes usuarias interactúen con múltiples proveedores de credenciales sin el esfuerzo y el costo de integrar cada uno de ellos, lo cual es la base para el intercambio de credenciales en nube.

USPS será la entidad operadora del intercambio, gestionando la implementación y trabajando junto con GSA, NIST y otras agencias, explica Reid.

¿Quiénes están utilizando FCCX?

El futuro de FCCX parece prometedor. “Anticipamos que hasta seis agencias gubernamentales con servicios directos a los ciudadanos emplearán el servicio durante el año del programa piloto”, informa Reid.

Entretanto, estos pasos hacia FCCX tienen sentido para el Servicio Postal, ya que crea una oportunidad única de expandirse hacia el sector digital de un modo que sitúa a la agencia al frente de un nuevo ecosistema de identificación, quizás sentando las bases para la importancia de esa agencia en los años venideros.