Ir al contenido principal

La 'Buena', la FEA y la Banda

El pasado jueves 30 de mayo tuve el privilegio de participar como ponente con otros colegas de diversas Administraciones en la VIª Jornada de Reflexiones sobre la eAdministración, organizada como cada año por el grupo de estudios de NN.TT. del ICASV. Allí, y tras las excelentes ponencias de quienes me precedieron, que balanceaban conceptos y reflexiones tanto del ámbito del derecho como del ámbito más tecnológico, me apoyé en estas 'traspas' para repasar la evolución que han tenidos los mecanismos de acceso, identificación y autenticación de los usuarios en algunos de los servicios electrónicos que se han puesto a disposición de la ciudadanía desde el Departamento de Salud del Gobierno Vasco y Osakidetza.


Así, y con la ayuda del "reparto" de la famosa película de Sergio Leone fuimos haciendo las presentaciones:
  • La 'Buena' no deja de ser la "versión española" de la ONA, aunque de forma mucho más genérica quería hacer alusión a la Tarjeta Individual Sanitaria, la TIS y sus distintas versiones a lo largo de estos últimos años.
  • Con la FEA me refería al acrónimo de Firma Electrónica Avanzada.
  • Y finalmente, la Banda no era otra que la banda magnética que llevan todas las TIS en el reverso.
La finalidad de la charla consistía en hacer un breve repaso de lo que ha supuesto el proyecto de creación y despliegue en la CAE de una TIS y cómo, versionada, ha querido ser soporte para acceder a diversos servicios electrónicos por parte del Departamento de Sanidad o de Osakidetza.

Desde 1988 tenemos en Euskadi Tarjeta Individual Sanitaria, a cada año, a cada legislatura, como base para la implantación de políticas tanto sanitarias como económicas que daban soporte a las primeras. Así de los objetivos iniciales meramente censales, se fue utilizando para gestionar Cupos, para la gestión de Contratos Programa, para la correcta identificación y provisión de la asistencia sanitaria y para desplegar programas para la comunidad como las campañas de vacunación o el programa de atención dental infantil. Es decir, en sus inicios la fundamentación "del carné" era la de conocer "quiénes eran del club" y usarla de forma segmentada para poner en marcha algunos programas, pero eminentemente la de gestión y control de un servicio (competencia) recién transferido y que requería las herramientas mínimas para proveerlo.

Con los años, y la evolución tecnológica de la mano, habiendo pasado por alguna iniciativa piloto, surge como línea del plan Euskadi en la Sociedad de la Información dentro de la inciativa Euskadi 2000Tres, una primera TIS con chip para proveer un mecanismo único de acceso a servicios telemáticos entre profesionales sanitarios y para con la ciudadanía.

De forma evolutiva, y con notables mejoras técnicas además de procurar la adhesión de terceros al proyecto (administraciones locales, diputaciones, otros entes autónomos), surge la ONA en 2007. Esta tarjeta, que fusiona la tarjeta ciudadana de Izenpe y la TIS, proveía Firma Electrónica Reconocida además de mecanismos de identificación fuerte multicanal: juego de barcos para el canal telefónico, código de barras para identificación láser, banda magnética, antena de proximidad para la apertura de tornos, amén de todos los datos existentes en la TIS (con y sin chips) que garantizaban el acceso a la prestación sanitaria y a cualquier otro servicio anterior existente. La finalidad de desplegar la ONA obedecía a que nuestra legislación autonómica, el "Decreto de Medios" (junto con la Ley de Firma Electrónica), hacía obligatoria la utilización de una Firma Electrónica Reconocida para acceder e interactuar con los servicios telemáticos de la Administración.

El despliegue de la ONA no llegó a producirse al 100% de la ciudadanía y, sin ánimo de entrar en ninguna connotación política, además del importante coste que puede suponer desplegar toda una infraestructura de PKI para la población, se avecinaban dos amenazas a este proyecto: de una parte, la LAESCP, que rebajaba el umbral de seguridad en la identificación del usuario para acceder los servicios a Firma Electrónica Avanzada en lugar de Firma Electrónica Reconocida. De otra, "las barreras de acceso" o "alfabetización digital" que podía suponer en algunos colectivos el uso de certificados electrónicos en una tarjeta. El despliegue del DNI electrónico, seguía siendo paulatino aunque limitado, y no deja de proveer un mecanismo de FER también.

Así, y ya en 2012 el nuevo Decreto de Administración Electrónica rebaja, al igual que en el resto del Estado, el estándar mínimo de seguridad para consumir servicios electrónicos de la Administración a FEA. Esto no quiere decir en ningún caso que no se pueda acceder a los servicios de la administración con una ONA o con un DNIe, sino que estos servicios tendrán que adaptarse a mecanismos alternativos basados en Firma Electrónica Avanzada de forma complementaria.

Así es como nace @FeA, el sistema que la Administración Pública a través de Izenpe pone a disposición para proveer FEA sin necesidad de usar certificados electrónicos y que también explicamos. Este sistema también admite certificados electrónicos, incluso Firma Electrónica Reconocida.

La arquitectura del sistema es sencilla y se asemeja a la que muchos ya usamos en entidades financieras, etc. Un modelo de autenticación multifactor: "algo que sé + algo que tengo". Algo que tengo es la TIS (con un número y un juego de barcos usado tradicionalmente para la identificación fuerte en el canal telefónico). Algo que sé, será un PIN que nos facilitarán para activar la TIS y que será nuestra "clave".

Los sistemas de identificación, que aún aceptan sólo ONA, DNIe, TIES, etc. (como el de la Carpeta Personal de Salud, por ejemplo) están remodelándose para adaptar también este nuevo sistema más sencillo, cómodo y económico. Aquel quien decida seguir usando su tarjeta, su certificado electrónico para acceder a los servicios podrá seguir haciéndolo.

Al finalizar la charla también vimos cómo funciona la identificación de los actores en el proyecto de e-Ŕezeta. El profesional sanitario prescribe medicación en su consulta usando Firma Electrónica Reconocida mediante su TPE (su tarjeta de profesional sanitario, o certificado en la nube), al igual que en la vida real rubrica una receta de papel. Por otra parte, el paciente acudirá a una oficina de farmacia donde se le expenderá aquello prescrito por el médico haciendo entrega de la TIS. En la farmacia se leerá la banda magnética de la tarjeta para realizar la identificación y acceso al sistema de información donde se almacenan las prescripciones del titular de esa TIS así como el descuento a aplicar, en función del segmento de copago que le corresponda.

A la vista de estos elementos (actores) y las distintas experiencias siempre quedan muchas reflexiones por hacerse en varios frentes. Yo dejaré un par de ellas, las mías, por si a alguien le da por seguir buscando preguntas, amén de respuestas.
  • Tenemos 17 TIS autonómicas y el único consenso al que se ha llegado, de mínimos, es la información que porta el anverso de la TIS, así como la información codificada en la banda magnética. Aún hoy, carecemos en el Estado y en Europa entera de un sistema o nodo de interoperabilidad real para el intercambio de datos sanitarios entre Sistemas y Servicios de Salud, al igual que entre Administraciones (locales, forales y autonómicas, trans-fronterizas, etc.).
  • Tenemos una importante suerte de servicios electrónicos desplegados en la CAE, unos de ellos están en sede, otros no, pero todos y cada uno de ellos dispone de sus mecanismos de identificación y autenticación de los usuarios / ciudadanos / pacientes. Quizás deberíamos avanzar también en el desarrollo de un sistema centralizado, global, de identificación y autenticación y de Single Sign-On que permitiera, una vez identificado al ciudadano, dejarle pasar a todos los servicios que quiera consumir sin hacerle pasar por el proceso de autenticación cada vez. Por ejemplo: pedir una cita en Osakidetza, pedir un volante de empadronamiento en el ayuntamiento, consultar la declaración del IRPF en la Diputación de Bizkaia, consultar el estado de una ayuda económica solicitada a un Departamento del Gobierno Vasco en sede electrónica, consultar las notas de un curso de doctorado en la UPV/EHU o pagar una multa de tráfico. De verdad parece quimérico... pero tecnológicamente no lo es. Ya existen incontables servicios que "se federan" para proveer identificación "única" en internet. ¿A cuántos servicios distintos de Facebook se puede acceder con credenciales de Facebook, por poner un ejemplo grosero?.
Lo cierto es que tanto el ICASV como Jesús Soler, Sonia Prieto y Gontzal Gallo como anfitriones y conductores de la jornada se rodearon de otros colegas de profesión que fueron desgranando cada cual en su charla distintas aplicaciones prácticas y experiencias relacionadas con sus quehaceres diarios, así como dejarnos abiertas puertas para, en lo sucesivo, seguir profundizando y debatiendo sobre estos temas tan apasionantes que plantea la legislación vigente enumerada en este post.

Es una suerte que existan y se promuevan este tipo de foros de encuentro que facilitan la cooperación entre letrados y tecnólogos, profesiones tan diferentes pero al tiempo cada vez más imbricadas para concluir con éxito proyectos enmarcados en la seguridad, privacidad, protección de datos y confianza. Ese es el por qué más importante que tiene Pribatua en su génesis y la razón por la que co-organizamos, por ejemplo, la IIª EuskalSecuriTIConference junto con el Colegio Oficial de Ingenieros en Informática de Euskadi y el Gobierno Vasco.

Comentarios

  1. Bienvenida la primera entrada en este blog, que es el suyo, de Dani Villar, y que creo que nos puede contar muchas cosas interesantes, como en este post :-)

    ResponderEliminar

Publicar un comentario

Entradas populares de este blog

Criptografía (I): cifrado Vigenère y criptoanálisis Kasiski

Hace unos días mi amigo Iñaki Regidor ( @Inaki_Regidor ), a quien dedico esta entrada :), compartió en las redes sociales un post titulado "Criptografía: el arte de esconder mensajes"  publicado en uno de los blogs de EiTB . En ese post se explican ciertos métodos clásicos para cifrar mensajes , entre ellos el cifrado de Vigenère , y , al final del mismo, se propone un reto consistente en descifrar un mensaje , lo que me ha animado a escribir este post sobre el método Kasiski  para atacar un cifrado polialfabético ( conociendo la clave descifrar el mensaje es muy fácil, pero lo que contaré en este post es la forma de hacerlo sin saberla ). El mensaje a descifrar es el siguiente: LNUDVMUYRMUDVLLPXAFZUEFAIOVWVMUOVMUEVMUEZCUDVSYWCIVCFGUCUNYCGALLGRCYTIJTRNNPJQOPJEMZITYLIAYYKRYEFDUDCAMAVRMZEAMBLEXPJCCQIEHPJTYXVNMLAEZTIMUOFRUFC Como ya he dicho el método de Vigenère es un sistema de sustitución polialfabético , lo que significa que, al contrario que en un sistema de

Criptografía (XXIII): cifrado de Hill (I)

En este post me propongo explicar de forma comprensible lo que he entendido sobre el cifrado de Hill , propuesto por el matemático Lester S. Hill , en 1929, y que se basa en emplear una matriz como clave  para cifrar un texto en claro y su inversa para descifrar el criptograma correspondiente . Hay tres cosas que me gustan de la criptografía clásica, además de que considero que ésta es muy didáctica a la hora de comprender los sistemas criptográficos modernos: la primera de ellas es que me "obliga" a repasar conceptos de matemáticas aprendidos hace mucho tiempo y, desgraciadamente, olvidados también hace demasiado tiempo, y, por consiguiente, que, como dice  Dani , amigo y coautor de este blog, me "obliga" a hacer "gimnasia mental"; la segunda es que, en la mayoría de las ocasiones, pueden cifrarse y descifrase los mensajes, e incluso realizarse el criptoanálisis de los criptogramas, sin más que un simple lápiz y papel, es decir, para mi es como un pasat

¿Qué significa el emblema de la profesión informática? (I)

Todas o muchas profesiones tienen un emblema que las representa simbólicamente y en el caso de la  informática: " es el establecido en la resolución de 11 de noviembre de 1977  para las titulaciones universitarias superiores de informática, y  está constituido por una figura representando en su parte central  un  núcleo toroidal de ferrita , atravesado por  hilos de lectura,  escritura e inhibición . El núcleo está rodeado por  dos ramas : una  de  laurel , como símbolo de recompensa, y la otra, de  olivo , como  símbolo de sabiduría. La  corona  será la  de la casa real  española,  y bajo el escudo se inscribirá el acrónimo de la organización. ". Veamos los diferentes elementos tomando como ejemplo el emblema del COIIE/EIIEO (Colegio Oficial de Ingenieros en Informática del País Vasco/ Euskadiko Informatikako Ingeniarien Elkargo Ofiziala ) . Pero no sólo el COIIE/EIIEO adopta el emblema establecido en dicha resolución, sino que éste se adopta también como im