Lo que nos falta por aprender en ciberseguridad

Aunque inicialmente el artículo de este mes tenía una temática diferente, decidí cambiarlo fruto de una experiencia relacionada con la ciberseguridad que he podido experimentar de primera mano y que creo es una reflexión interesante para compartir. Se trata de la falta de diseño pensando en las personas que suele imperar en el mundo de la ciberseguridad, idea que en inglés se conoce como Human-centered design y que no es, ni más ni menos, que diseñar y producir soluciones teniendo en cuenta siempre al usuario final.

 

Quizás es posible que yo haya estado más expuesto a estas ideas que compañeros de mi industria de la ciberseguridad por mi experiencia anterior como desarrollador de software, donde este concepto es una pieza fundamental de todo nuestro trabajo, pero no deja de asombrarme la incapacidad que parece mostrar el sector y la industria de ciberseguridad en diseñar soluciones bajo este paradigma. Pero, sin dar más vueltas, os pondré en antecedentes: una persona de mi entorno necesitaba presentar un trámite con la Administración Pública (la historia ya pinta bien siempre que aparecen entes públicos) y, tras enterarse de que, con toda esta situación, sólo se podía presentar de manera remota, me pidió ayuda con los trámites necesarios (cuando has estudiado informática, da igual tu campo posterior de profesionalización, para tu familia y amigos solo arreglas el Internet y la impresora).

 

Primer punto que nos encontramos es que el trámite no se podía presentar bajo mecanismos de autenticación segura de la Administración como [email protected] (sí, puedes presentar la declaración de la renta, pero no un formulario), sino que tenía que ser mediante un certificado electrónico. Este primer aspecto tiene lógica desde el punto de vista de seguridad, por ser un mecanismo más seguro y porque los documentos que vas a presentar van a ser autenticados con ese certificado, pero es algo que no hemos sabido explicar al resto de la población, que no entiende por qué, si puede presentar la declaración de la renta, consultar su informe de vida laboral o descargarse bajas médicas mediante [email protected]; no puede presentar otros simples formularios con el mismo mecanismo. Es lo que en programación se llamaba una experiencia inconsistente, como si en dos webs de la misma compañía tuvieses diseños y mecanismos totalmente opuestos para interactuar, navegar o acceder.

 

Pero bueno, prosigamos la historia. Determinada esa necesidad, lo primero que pregunté es si contaba con un certificado adicional al del DNI que poder usar (como los de la FNMT de persona física). No contaba con ello y, para el que no lo sepa, para conseguir un certificado de este tipo se requiere que el peticionario se desplace físicamente a unas oficinas de registro. Con la actual situación de pandemia que vivimos, me pareció sorprendente que este proceso no se haya adaptado a las nuevas circunstancias, por lo que no ofrece alternativa viable a personas que no deseen exponerse a contactos innecesarios, como podéis ver vosotros mismos en su web (segundo punto de un proceso de ciberseguridad que no tiene al usuario in mente).

 

Asumiendo que el DNI electrónico era la única salida, se presenta el tercer obstáculo para los usuarios: la necesidad de contar con un lector de DNI electrónico que conectar al ordenador. Salvo que seas un bicho raro como yo y tengas uno de esos por casa, lo más probable es que a cualquier persona le toque hacerse con uno por internet, con el gasto asociado que conlleva y con los consiguientes miedos a que el modelo comprado no funcione con todas las versiones de DNI o con las versiones de sistemas operativos que empleamos (Windows, Mac, etc.). Probad a hacer la búsqueda en Amazon y entenderéis a lo que me estoy refiriendo.

 

Una vez que salvamos todos estos puntos, procedemos a presentar la solicitud. Tras descargar y rellenar el formulario en PDF, llegaba la hora de firmarlo y es aquí donde aparece el cuarto punto, pues esta persona procedió a dibujar su firma en el documento. Casi seguro, muchos de vosotros ahora mismo os preguntáis qué hay de malo en esto. Pues bien, otra cosa que nuestros gobiernos no han hecho mucho por explicarnos correctamente es que, para que un documento digital tenga igual validez que una firma manuscrita, debe venir firmado con lo que se conoce como firma electrónica reconocida, es decir, “la firma electrónica avanzada basada en un certificado reconocido y generada mediante un dispositivo seguro de creación de firma. “ (Ley 59/2003 de Firma Electrónica). Esto supone que, si no se firma el documento de solicitud con un certificado de firma válido como el del DNI, puede ser rechazado sin problemas por cualquier Administración por falta de validez legal. Y esto, para un usuario, carece de toda lógica cuando piensa: “pero si lo imprimo y hago el mismo garabato (ya es firma manuscrita con toda validez legal) para luego escanearlo y mandarlo sí pasa a tener validez”. De nuevo, la ciberseguridad intenta añadir mejoras, pero sin explicarlas correctamente al usuario, al que nadie le ha dicho que cuando firmas digitalmente un documento con un certificado, pasa a ser como un sobre sellado, no se puede alterar nada del contenido firmado sin que eso generase una alerta, cosa que no sucede si no se siguen estos mecanismos.

 

Una vez explicada la diferencia y descargado el software de firma correspondiente de la Administración, apareció el quinto obstáculo: no se acordaba de la contraseña del DNI para poder desbloquear los certificados (sí, esa que te dan cuando te emiten el DNI en un papel cerrado sin llegar a explicarte bien que no deberías perder nunca esa contraseña o que la cambies por una que puedas recordar). Por tanto, nos tocó presentarnos en una Comisaría de Policía Nacional que tuviese un Punto de Actualización del DNI para poder resetear la contraseña de manera física (no existe ningún otro modo de hacerlo).

 

Una vez completado este paso, volvimos al proceso anterior, firmamos el documento y lo intentamos subir a la web, lo que nos arrojó un error por estar el certificado de firma caducado, algo que ya nos podía haber advertido, en su momento, el software del gobierno cuando firmábamos el documento (algo como “¡Ojo! Vas a firmar con un certificado caducado”) pero no, nos dijo que todo perfecto. Y, recordemos también, que veníamos de una Comisaría donde habíamos reseteado la clave del DNI, que ya nos podía haber avisado la máquina que los certificados del DNI que estábamos reseteando estaban caducados. Este sexto punto en realidad engloba dos, ya que no solo no nos avisó de los certificados caducados lo antes posible si no que, lo primero que hizo esta persona ante un error que decía “Error de conexión: está empleando un certificado caducado” fue mirarme y decir “¿Eso qué quiere decir?”. Es que es de una lógica tan apabullante que un usuario no técnico no va a saber qué hacer con esa información, que me sorprendió que no fuese acompañado de ningún mensaje que dijese “esto se puede deber a que debes renovar el certificado del DNI, a que haya sido un error de tal, de cual. Consulta más información en esta web” o similar. Me imagino que la mayoría de las personas tirarían la toalla en este punto.

 

Y esto nos lleva al séptimo punto (¿veis lo rápido que se acumulan los puntos de mejora?): el DNI no estaba caducado por lo que, ¿cómo puede ser que los certificados dentro del DNI lo estén? Pues porque el DNI tiene una validez de 5 años (60 meses) mientras que los certificados de los mismos se expidieron con una validez de 30 meses. La lógica de esta diferencia sigo sin tenerla del todo clara, aunque quiero pensar que existe alguna desde la perspectiva de ciberseguridad que se me escapa. Pero bueno, que volvimos a la comisaría a la misma máquina a intentar actualizar los certificados del DNI y no pudimos hacerlo (no sabemos si porque el chip del DNI estaba mal o porqué, pues al pasar el proceso en la misma máquina de “Verificación del DNI”, arrojaba un resultado de todo correcto).

 

¿Final de la historia? Tras dos días de idas y venidas a la Comisaría y de frustración, la petición sigue sin ser presentada. Y todo esto teniendo en cuenta que yo, por mi campo de profesión, sí entiendo los obstáculos que nos han ido surgiendo en el camino. No quiero ni pensar una persona no técnica que no tenga a nadie que le vaya guiando. Y al final nos tocará presentarnos físicamente en alguna oficina o llamar por teléfono para intentar otra solución, gastando así tiempo nuestro y recursos de la Administración que podrían estar mejor empleados en otras cuestiones.

 

En resumen, el estado español hizo un esfuerzo sustancial (en tiempo y dinero) en dotar a todos los ciudadanos de unos medios para poder interactuar de manera ágil y segura, para todos sus trámites, con el DNI electrónico, pero sin tener al ciudadano en mente, ni en el diseño de los procesos ni en la formación y concienciación adecuada, generando por tanto la duda de si todos esos millones de euros han revertido los resultados positivos esperados o no. Y digo yo, ¿no os recuerda esto al mismo proceso que sufren muchas empresas con sus empleados cuando emprenden proyectos de ciberseguridad? Pues espero que esta experiencia pueda servir de llamada y recordatorio para todos nosotros, que la ciberseguridad se enfoca a personas y no debemos olvidarnos de tenerlas en mente y que, como usuarios o empleados, debemos exigir formación, concienciación y un cambio a mejor en el diseño, poniendo, eso sí, de nuestra parte para aprender de todas estas mejoras.

 

Un saludo y ¡nos vemos en el próximo artículo!