El Servicio Digital del Gobierno (GDS) tiene un generoso presupuesto de 400 millones de libras esterlinas para desarrollar “One Login”, un sistema de identificación digital y de inicio de sesión único para los servicios gubernamentales. Pero viene con una molesta sensación de déjà vu: aunque se anuncia como un enfoque nuevo, es notablemente similar a la solución implementada en 2001 por un equipo anterior de la Oficina del Gabinete. a un costo de solo £ 15.6 millones.
One Login viene inmediatamente después del problemático programa Gov.uk Verify de identidad digital de GDS de 220 millones de libras esterlinas. GDS pasó años persuadiendo a los departamentos para que abandonaran el sistema intergubernamental existente y adoptaran Gov.uk Verify. Ahora, después de un cambio de sentido de la política de chirriar neumáticos, es Verify que se ha abandonado en su lugar.
Ninguno de estos cambios bruscos de política es barato: más de 220 millones de libras esterlinas para desmantelar el enfoque anterior, 400 millones de libras esterlinas para recuperarlo. Pero, ¿qué necesidades del usuario resuelve One Login? ¿Estamos a punto de volver al pasado con identidad de gobierno?
La historia de fondo
Cuando el gobierno del Reino Unido comenzó a mover servicios en línea en la década de 1990, no había una manera fácil para que los usuarios probaran quiénes eran o acceder a sus servicios de una manera consistente y segura. Para solucionar este problema, en enero de 2001, la Oficina del Gabinete puso en marcha un servicio único de registro e identificación para ciudadanos, empresas y usuarios que actúan en nombre de terceros.
“[The new service will] ofrecer a los ciudadanos y empresas un único servicio de autenticación para todas las transacciones gubernamentales, como el envío de formularios de impuestos. Una vez que un usuario se haya registrado con éxito, podrá acceder a los servicios de diferentes departamentos utilizando una identificación de usuario común o un certificado digital ”, dijo la Oficina del Gabinete en febrero de 2001.
El servicio, denominado Government Gateway, ofrecía a los usuarios la posibilidad de elegir entre una identificación de inicio de sesión y una contraseña del gobierno, o un servicio de identidad y autenticación de un tercero comercial de confianza como Equifax, las cámaras de comercio británicas y Royal Mail.
Figura 2: Algunas de las plataformas gubernamentales en 2003
En 18 meses, había más de 4,1 millones de usuarios y, para 2003, se estaban agregando varias plataformas gubernamentales nuevas para servicios como pagos y notificaciones.
En 2011, 77 organizaciones nacionales y locales utilizaban el inicio de sesión único y la autenticación, y brindaban 227 servicios en vivo. Para 2017, tenía más de 50 millones de cuentas de usuario.
Después de las elecciones generales de 2010, el gobierno de coalición introdujo un nuevo programa de garantía de identidad: se convertiría en el desafortunado Gov.uk Verify. Para reemplazar el servicio de autenticación e inicio de sesión único existente, Verify contrató a terceros comerciales, inscribiendo empresas como Experian y la oficina de correos.
Figura 3: Inicio de sesión único y autenticación entre gobiernos en 2017
La política del gobierno de 2013 en adelante requirió que los departamentos de Whitehall y otros organismos públicos utilizaran este selecto club de proveedores de identidad del sector privado. Pero Gov.uk Verify se retrasó y superó el presupuesto, luchó por satisfacer las necesidades de los usuarios, perdió una variedad de proveedores externos y se volvió progresivamente descopado y desamor. Eliminó funciones esenciales, incluido el soporte para empresas y usuarios que actúan en nombre de otros.
¿El resultado? Las organizaciones del sector público, desde HM Revenue and Customs (HMRC) hasta el NHS y el Departamento de Trabajo y Pensiones (DWP), gastaron cientos de millones de libras para actualizar o implementar sus propios servicios de identidad y autenticación. La Oficina del Gabinete reveló recientemente el estado del paisaje dejado en la estela perturbadora de Gov.uk Verify.
“Actualmente, hay 191 formas diferentes para que las personas configuren una variedad de cuentas para acceder a diferentes servicios en Gov.uk, con 44 métodos de inicio de sesión diferentes”, según un anuncio de la Oficina del Gabinete el 13 de octubre de 2021.
Es en este contexto problemático que el gobierno anunció su último programa de identidad. One Login, que surge de las cenizas de Verify, reintroduce un servicio de inicio de sesión único para el gobierno. Sin embargo, habita un paisaje muy diferente al que enfrentó el gobierno en 2001.
El panorama de la identidad
Nuestros datos relacionados con la identidad se alejan cada vez más del papel para convertirse en digitales de forma nativa. La Organización de Aviación Civil Internacional (OACI) ha publicado estándares para credenciales de viaje digitales para proporcionarnos pasaportes telefónicos. En los EE. UU., Ya se están emitiendo permisos de conducir móviles en los teléfonos inteligentes de los usuarios, cortesía de los estándares acordados por la Organización Internacional de Normalización (ISO).
One Login deberá tener un comienzo mucho más creíble que su fallido predecesor si quiere evitar unirse a él en el salón digital de la vergüenza.
Los actores tecnológicos globales como Apple están integrando estos nuevos “documentos” digitales en carteras digitales de teléfonos inteligentes, al igual que tienen nuestras tarjetas de crédito y débito. Probablemente, demostrar quiénes somos o algo sobre nosotros mismos será tan simple en el futuro como lo es hoy pagar por algo con nuestros teléfonos.
En el Reino Unido, el Departamento de Digital, Cultura, Medios y Deporte (DCMS) está ocupado consultando sobre un nuevo marco de identidad y atributos digitales. Tim Berners-Lee, famoso por la World Wide Web, está promocionando Solid, una plataforma de identidad descentralizada que brinda a los usuarios el control de sus datos y cómo se comparten.
En el sector privado, una serie de empresas como iProov, Digidentity y Yoti, junto con los bancos retadores, ofrecen aplicaciones de identidad y servicios relacionados. La banca abierta ha sido pionera en la confianza y la autenticación entre los consumidores y las empresas de servicios financieros. Los grandes operadores de servicios en la nube ofrecen servicios de autenticación bajo demanda flexibles que permiten a las organizaciones configurar, consumir y administrar el inicio de sesión único y la autenticación a bajo costo y a gran escala.
Figura 4: Nuestros datos de identidad y “documentos” se están volviendo cada vez más digitales en 2021
De la misma manera que llevamos numerosas tarjetas y documentos con nosotros en nuestras billeteras o carteras, cada vez hacemos más lo mismo con sus equivalentes digitales en nuestros teléfonos inteligentes.
One Login necesita aportar 400 millones de libras esterlinas de valor a este panorama existente. Pero el gobierno tiene un historial impresionante de hacer anuncios ambiciosos de arriba hacia abajo, junto con un historial igualmente impresionante de programas fallidos o tardíos y costosos, desde Universal Credit hasta la Agencia de Pagos Rurales, pasando por las fronteras digitales y Verify.
One Login deberá tener un comienzo mucho más creíble que su fallido predecesor si quiere evitar unirse a él en el salón digital de la vergüenza.
¿Cuál es el plan más reciente?
One Login proporcionará un inicio de sesión único y una solución de identidad digital para el gobierno. Incluye:
Un servicio de inicio de sesión único integrado con una cuenta de Gov.uk
Gov.uk Sign in proporcionará a los usuarios un único nombre de usuario, contraseña y autenticación de dos factores. GDS ha afirmado que “se convertirá en la única forma de iniciar sesión en los servicios gubernamentales”. Gov.uk Accounts se encuentra junto a Gov.uk Sign in y proporciona “servicios proactivos, personalizados y conjuntos” que recopilan y comparten los datos personales de los usuarios.
Pero, ¿qué significa la introducción de un nuevo sistema para los muchos servicios que ya se utilizan con éxito a gran escala, como HMRC, con alrededor de 16 millones de usuarios, y NHS Login con 28 millones de usuarios? One Login ya tiene lagunas idénticas a Verify: inicialmente está limitado a individuos, no a usuarios comerciales, y no maneja a nadie que actúe en nombre de otros, como aquellos con poder notarial.
Una aplicación de identidad gubernamental para teléfonos inteligentes
La aplicación de identidad del gobierno ayudará a los usuarios a demostrar quiénes son cuando sea necesario. Proporcionará una funcionalidad similar a las aplicaciones existentes con servicios de identidad, como las de Home Office, NHS, Yoti y Post Office.
Para quienes no tienen pasaporte, o quienes no tienen otras formas de identificación oficial, no está claro cómo se identificarán. GDS ha declarado que es “importante asegurarse de no excluir a los usuarios que no quieren (o no pueden), por cualquier motivo, utilizar una cuenta”. Presumiblemente, GDS también tiene mucho que aprender del trabajo de DWP sobre identidad digital inclusiva.
El reto
One Login se parece notablemente al servicio de inicio de sesión único e identidad implementado por el gobierno del Reino Unido desde 2001 en adelante. Sin embargo, resucitar un sistema de identidad monolítico a medida, centralizado y en todo el Reino Unido en 2021 se siente como un paso atrás: las tecnologías y los servicios de identidad se han vuelto cada vez más mercantilizados y descentralizados en los últimos años.
Figura 5: Descripción general simplificada de “Un inicio de sesión”
Poner todos nuestros datos personales del sector público detrás de una sola cuenta desbloqueada con una identificación de usuario y contraseña parecía una buena idea para que las cosas se movieran hacia atrás a principios de la década de 2000. Pero hoy tenemos mejores opciones. Y el panorama de las amenazas es notablemente diferente. Una brecha de seguridad o un ataque de denegación de servicio, y todo, desde nuestros impuestos y beneficios hasta nuestros registros médicos, podría verse comprometido.
Como advierte el Centro Nacional de Seguridad Cibernética: “[When using single sign-on], si un atacante pone en peligro la cuenta o la contraseña de un usuario, ese atacante podría tener fácil acceso a mucho más contenido del que podría tener en un sistema tradicional “.
Mantener separadas nuestras relaciones y cuentas importantes del sector público también alinea mejor la tecnología con la naturaleza política y legal de sus muchas organizaciones, desde el NHS hasta el Ministerio del Interior.
HMRC ya ofrece una “Cuenta de inicio”. Reúne información sobre impuestos y bienestar. Irónicamente, se basa en una versión actualizada del sistema de autenticación e inicio de sesión único de Government Gateway original, incluida la autenticación de dos factores. Es un lugar más obvio para desarrollar cuentas de usuario integrales, si es necesario, que lanzar un programa completamente nuevo de £ 400 millones.
Figura 6: La página principal de Account de HMRC ya reúne información sobre impuestos y bienestar en un solo lugar
Las diferentes organizaciones del sector público no son “una cosa” más que las diferentes organizaciones del sector privado. No iniciamos sesión en diferentes organizaciones, como nuestros diversos bancos, proveedores de tarjetas de crédito, cuentas de préstamos e hipotecas, utilizando la misma identificación de usuario y contraseña. Si bien es indudable que es conveniente, el inicio de sesión único tiene vulnerabilidades de seguridad bien conocidas, como muestran los numerosos problemas encontrados por Facebook.
En lugar de la práctica fácil de usar de los piratas informáticos de utilizar el mismo nombre de usuario y contraseña para iniciar sesión en varios servicios, se nos anima a utilizar un nombre de usuario y contraseña diferentes siempre que podamos, especialmente para las cuentas importantes. Si bien podría ser útil fusionar información y servicios públicos estrechamente interdependientes, como impuestos y beneficios, como con la “Cuenta de inicio” de HMRC, es menos obvio por qué querríamos incluir todo lo demás también, desde nuestros registros médicos hasta la educación.
Si los usuarios tienen dificultades para administrar cuentas separadas para diferentes organizaciones del sector público, es probable que también tengan dificultades con sus otras cuentas. En cuyo caso, sería mejor seguir los consejos del NCSC y fomentar el uso de administradores de contraseñas como una opción más fácil, más segura y menos costosa. Hacerlo también generaría beneficios más amplios en toda la economía digital, no solo en el sector público.
La división de identidad / datos
La identidad es solo una parte del problema. A menudo puede llevar tiempo, y procesos manuales, construir vínculos confiables entre la identidad probada de un usuario y los identificadores, datos y registros únicos que se relacionan legítimamente con esa persona.
Todas las organizaciones, desde la DVLA hasta el NHS y el DWP, deben asegurarse de que un usuario sea el propietario legítimo de un conjunto específico de datos o registros personales antes de proporcionarles acceso. Este proceso de comparación de datos suele ser exclusivo de cada departamento o de cada servicio dentro de un departamento. La implementación de un servicio de inicio de sesión único vinculado a una identidad legal probada no hace coincidir automáticamente a alguien con los datos correctos.
Permita que los usuarios administren su propia identidad
Los modelos descentralizados nos permiten gestionar nuestros datos de identidad digital de la misma forma en que cuidamos nuestros pasaportes y permisos de conducir en papel. Ayudan a evitar el riesgo de una monitorización central y un uso indebido.
Necesitamos un escrutinio público y un debate sobre los objetivos de One Login. Cuando se combina con otros sistemas, como Gov.uk, Notify y Pay, el uso creciente de plataformas centrales proporciona un panóptico potencial: un único punto de vigilancia.
Si One Login agrega los datos personales de los usuarios en una cuenta Gov.uk centralizada vinculada a su identidad legal, podría inclinar fundamentalmente la relación de los ciudadanos con el estado, otorgando al gobierno un punto central de vigilancia y conocimiento sin precedentes. GDS ha publicado en su blog abiertamente su ambición de “tener una visión consolidada de la actividad de los usuarios en Gov.uk”, con seguimiento de dominios cruzados y “unidos …
