Autenticación

AUTENTICACIÓN electrónica
ELECTRÓNICA
 SEGURIDAD INFORMÁTICA

Mecanismos que minimizan la vulnerabilidad

de bienes y recursos, donde un bien se define
como algo de valor y la vulnerabilidad se
define como la debilidad que se puede
explotar para violar un sistema o la
información que contiene.

Fuente: Norma ISO-7498: Modelo de interconexión de sistemas abiertos

 RETOS

IDENTIDAD REPUDIO INTEGRIDAD

¿Cómo determinar la ¿Cómo asegurar la ¿Cómo asegurar que

identidad de la “firma” de los el mensaje recibido
persona/ computadora mensajes, de igual fue el enviado por la
con la que se está forma que se firma en otra parte y no un
hablando? papel? mensaje manipulado
por un tercero?
 RETO 1: IDENTIDAD

1 IDENTIDAD 2 REPUDIO 3 INTEGRIDAD

¿Cómo determinar la Cómo asegurar la ¿Cómo asegurar que

identidad de la “firma” de los el mensaje recibido
persona/ computadora mensajes, de igual fue el enviado por la
con la que se esta forma que se firma en otra parte y no un
hablando? papel? mensaje manipulado
por un tercero?
 RETO 1:
VALIDACIÓN DE IDENTIDAD

Soy
Matilda Matilda solicita un
subsidio del Estado

Roberto
Matilda
 RETO 1:
VALIDACIÓN DE IDENTIDAD
Soy
Matilda

“Chepe”
¿?
Matilda Roberto
Pero también podría tratarse de
“Chepe” suplantando a Matilda
 SOLUCIÓN AL RETO 1:
AUTENTICACIÓN

¿?
Se trata de un proceso mediante el
que Roberto puede comprobar que
su compañero de comunicación es
quien dice ser y no un impostor.
 SOLUCIÓN AL RETO 1:
AUTENTICACIÓN
• Ciudadanos ¿En qué casos se necesita
• Empresas autenticar la identidad? 5. Para identificar al
• Organizaciones
ciudadano cuando se
acerca a la entidad
para realizar
cualquier trámite

ENTIDAD 1 ENTIDAD 2

1. Para identificar al
ciudadano cuando require 2. Para identificar a los 3. Para Identificar a las 4. Para identificar al
adelantar tramites y funcionarios autorizados para entidades cuando hay receptor de un mensaje
procedimientos atender los procedimientos Intercambio de datos y (por ejemplo la notificación
administrativos por medios relacionados con el trámite documentos de un acto administrativo)
electrónicos
 SOLUCIÓN AL RETO 2:
AUTENTICACIÓN
Métodos de autenticación
1. Conocimiento: Algo que el usuario
De verdad soy conoce, como una contraseña o un
Matilda código PIN.
2. Posesión: Algo que el usuario
posee, como un token, smartcard, o
teléfono móvil/SIM.
3. Inherencia: Algo que el usuario es,
una característica biométrica como
la huella digital.
 SOLUCIÓN AL RETO 2:
AUTENTICACIÓN
EL FUTURO

• En 2016, alrededor del 30% de las

Según Gartner:
empresas va a usar servicios basados
en la nube en implementaciones de
autenticación de usuario.

• En 2016, más del 30% de las

empresas va a utilizar la autenticación
contextual para el acceso remoto.

Fuente: Magic Quadrant for User Authentication. Gartner. 9 December 2013 ID:G00249409
 SOLUCIÓN AL RETO 2:
AUTENTICACIÓN
Actualmente, para sus productos y servicios financieros los bancos
acuden a un proceso de autenticación fuerte que generalmente combina
conocimiento y posesión.

Fuente: http://blog.elevenpaths.com/2014_11_01_archive.html
 SOLUCIÓN AL RETO 2:
AUTENTICACIÓN
Latinoamérica
Chile
• Proyecto Claveúnica (RUN y clave) para la
realización de trámites en línea del Estado.
• Enrolamiento por medio de oficinas de
Registro Civil donde le entregan al ciudadano
el Código de Activación.
• 60 tramites habilitados con Claveúnica y 23
tramites comprometidos a utilizar Claveúnica
• La obtencion de Claveúnica no tiene costo
para el ciudadano
Perú
• Acredita de manera presencial y no
presencial la identidad de su titular.
• La tarjeta posee un sistema de autenticación
a través de la tecnología biométrica
• Ofrece la posibilidad de firmar digitalmente
documentos electrónicos
• Sustituye el documento de identificación
anterior.
• Cuenta con la facultad adicional de poder ser
utilizado para el ejercicio del voto electrónico.
 SOLUCIÓN AL RETO 2:
AUTENTICACIÓN
Europa
Reino Unido Belgica
Usos
• Como una tarjeta de la biblioteca;
• Como prueba de identidad para las compras y
las ventas en línea, al reservar un hotel, la
apertura de una cuenta bancaria, etc.;
• Como clave para la red de su empresa, a los
edificios, para asegurar armarios, etc.;
• Como prueba de su edad para las máquinas
expendedoras de cosas como los cigarrillos, la
plataforma de juego online de la Lotería
Nacional, etc.;
• Como un billete de tren
 RETO 2: REPUDIO

1 IDENTIDAD 2 REPUDIO 3 INTEGRIDAD

¿Cómo determinar la Cómo asegurar la ¿Cómo asegurar que

identidad de la “firma” de los el mensaje recibido
persona/ computadora mensajes, de igual fue el enviado por la
con la que se esta forma que se firma en otra parte y no un
hablando? papel? mensaje manipulado
por un tercero?

AUTENTICIDAD
 RETO 2: REPUDIO

Chepe envía un mensaje a Roberto…

“Chepe” Roberto
Pero posteriormente alega que
él no fue el autor del mensaje
 SOLUCIÓN AL RETO 2:
FIRMAS Y CERTIFICADOS
¿Cómo demuestro la
autoría e integridad del
La validación de muchos documentos legales, mensaje de forma que no
financieros y de otros tipos se determina por la pueda ser repudiada?
presencia o ausencia de una firma manuscrita
autorizada o de su equivalente en medios
electrónicos.

La firma permite que una parte pueda enviar un

mensaje “firmado” a otra parte, con las
propiedades de autentificación (íntegro y
auténtico) y no repudio.
 SOLUCIÓN AL RETO 2:
FIRMAS Y CERTIFICADOS
Firma electrónica como equivalente a la firma manuscrita
La firma electrónica incluye todos los
Incluye una gran variedad de mecanismos (biometría,
La firma electrónica contraseña,
incluye todos los
métodos informáticos: mecanismos
OTP, (biometría,
contextual, contraseña,
etc.). La OTP,
firma digital
escontextual,
uno de susetc.). La firma digital es uno de
géneros.
sus géneros.
• Confiables
Dentro de las opciones de firma digital
• Apropiados Dentro de las opciones de firma digital y
encontramos:
• Que permiten identificar y deducir firma electrónica certificada encontramos:
aprobación del contenido
• • Firma
Firmadigital respaldada
respaldada por una por una
entidad
entidad de certificación
de certificación abierta abierta
• • Firma
Firmadigital
respaldada por una por
respaldada entidad
una
de certificación
entidad cerrada cerrada
de certificación
 SOLUCIÓN AL RETO 2:
FIRMAS Y CERTIFICADOS

Firma digital respaldada por entidad Las Entidades de Certificación Abierta debe
de certificación abierta ser acreditadas por el Organismo Nacional
de Acreditación ONAC. En la actualidad
• Uso libre de los certificados y remuneración existen 3 ECA:
por sus servicios.
• Firma digital + certificado digital.
• Requisitos de equivalencia funcional:
- Verificable con la clave pública del
certificado
- Estampada durante el tiempo de validez
- Acorde con la Declaración de Prácticas de
Certificación
 SOLUCIÓN AL RETO 2:
FIRMAS Y CERTIFICADOS

Firma digital respaldada por entidad

de certificación cerrada La firma digital respaldada
por una entidad de
certificación cerrada sólo es
válida para transacciones
• Uso restringido de sus certificados y no entre esta y sus clientes
cobran por sus servicios.
• Deben acreditarse ante la ONAC, aunque
debe cumplir menos requerimientos que las
entidades de certificación abiertas.
• Deberán indicar específicamente las
actividades en las que pretendan acreditarse.
 RETO 3: INTEGRIDAD

1 IDENTIDAD 2 REPUDIO 3 INTEGRIDAD

¿Cómo determinar la Cómo asegurar la ¿Cómo asegurar que

identidad de la “firma” de los el mensaje recibido
persona/ computadora mensajes, de igual fue el enviado por la
con la que se esta forma que se firma en otra parte y no un
hablando? papel? mensaje manipulado
por un tercero?

AUTENTICIDAD FIRMAS ELECTRONICAS

 RETO 3:
CONTROL DE INTEGRIDAD

Darío Matilda ¿Cómo saber si el

documento ha sido
alterado?
Darío entrega unos
certificados a
Matilda y a Chepe

“Chepe”
Chepe modifica el documento y lo Roberto
presenta como si fuera original
 SOLUCIÓN AL RETO 3:
FUNCIÓN HASH

Para validar la integridad, se obtiene una “huella

digital” del mensaje de datos mediante una función
matemática “Hash” que crea un resumen del mensaje La función
(message digest). Ésta cumple con las siguientes Hash
propiedades:

A partir de una Nadie puede

A partir de un huella, es generar dos
mensaje de computacional mensajes que
datos, es fácil ente imposible tengan la misma
encontrar el
calcular su huella, a no ser
mensaje que lo
huella origina, es decir que sean el
no tiene inversa mismo mensaje.
 SOLUCIÓN AL RETO 3:
FUNCIÓN HASH
El proceso: cómo verificar la integridad de un mensaje mediante su huella

1. Obtener la 2. Obtener la huella 3. Comparar las 4. Verificar la

huella del del mensaje dos huellas integridad del
mensaje original transmitido mensaje

Mensaje Mensaje Huella mensaje OK: todo

original recibido original
está bien
15rgthh66uyr567
Si

Comparar ¿Son
Función Función idénticas
las dos
Hash Hash ?
huellas

15rgthh66uyr567 45mjdasd12xzcv
45mjdasd12xzcv No

Huella Huella Huella ALERTA: el

mensaje mensaje fue
digital digital
recibido alterado
 RETO 1: INTEGRIDAD

1 IDENTIDAD 2 REPUDIO 3 INTEGRIDAD

¿Cómo determinar la Cómo asegurar la ¿Cómo asegurar que

identidad de la “firma” de los el mensaje recibido
persona/ computadora mensajes, de igual fue el enviado por la
con la que se esta forma que se firma en otra parte y no un
hablando? papel? mensaje manipulado
por un tercero?

AUTENTICIDAD FIRMAS ELECTRONICAS FUNCIÓN HASH

 AUTENTICACIÓN ELECTRÓNICA
PARA COLOMBIA
Marco normativo
Plan Vive Digital 2014 - 2018
Ser líderes mundiales en el desarrollo de
aplicaciones sociales dirigidas a los más pobres.
Ser el Gobierno más eficiente y más
transparente gracias a las TIC.
.Ley 527 de 1999
Por medio de la cual se define y reglamenta el
acceso y uso de los mensajes de datos, del
comercio electrónico y de las firmas digitales, y se
establecen las entidades de certificación.
Ley Estatutaria 1581 de 2012
Por la cual se dictan disposiciones generales para
la protección de datos personales.
Decreto 19 de 2012
Por el cual se dictan normas para suprimir o
reformar regulaciones, procedimientos y trámites
innecesarios existentes en la Administración
Pública.
Decreto 2364 de 2012
Por medio del cual se reglamenta el artículo
7° de la Ley 527 de 1999, sobre la firma
electrónica.
Manual de Gobierno en línea
Determina los lineamientos que deben seguir
las entidades públicas y los particulares que
desempeñan funciones públicas en la
implementación de la Estrategia de Gobierno
en línea en Colombia.
Ley 1753 de 2015
Plan Nacional de desarrollo 2014-2018
Artículo 45. Estándares, modelos y
lineamientos de tecnologías de la información
y las comunicaciones para los servicios al
ciudadano.
Decreto1078 de 2015
Por medio del cual se expide el Decreto Único
Reglamentario del Sector de Tecnologías
de la Información y las Comunicaciones.
 AUTENTICACIÓN ELECTRÓNICA
PARA COLOMBIA
Situación actual
Cada entidad recolecta datos
La seguridad en los
de identidad y realiza el
procesos de
proceso de autenticación de
autenticación varía
forma independiente. Esto da
de sistema a sistema.
lugar a inconsistencia y
redundancias. El ciudadano debe
autenticarse de nuevo ante
cada servicio.

El ciudadano se ve Cada proyecto implementa

obligado a tener múltiples de nuevo mecanismos de
credenciales para acceder autenticación.
a servicios electrónicos del
Estado
 AUTENTICACIÓN ELECTRÓNICA
PARA COLOMBIA

50% 30%

2015 2016-2018 2016-2018

Diseño del modelo de
Implementación del modelo Apropiación del modelo por
autenticación
en las entidades públicas parte del 30% de los usuarios
electrónica para
en el 50% de los trámites y de los trámites y servicios
Colombia
servicios identificados en la identificados en la hoja de
hoja de ruta de GEL ruta de GEL
 REGLAS DE ORO
1. Modelo para todo el Estado colombiano.
2. Estandarización regional e internacional.
3. Seguridad y privacidad de la información.
4. Variados mecanismos de autenticación
dependiendo del nivel de seguridad requerido.
5. El modelo que se defina debe estar
centralizado en las necesidades y condiciones
de Colombia
6. Atención 365X24
 AUTENTICACIÓN ELECTRÓNICA
PARA COLOMBIA
El proyecto tiene dos etapas:
1. Diseño del modelo
Definición, estudios,
evaluación y Estrategia de
Situación actual selección del modelo Análisis financiero implementación
viable detallado del modelo del modelo

2. Despliegue del modelo

Apropiación
Habilitación Implementación
 GRACIAS
DIRECCIÓN DE GOBIERNO EN LÍNEA
MINISTERIO DE TECNOLOGÍAS DE LA INFORMACIÓN Y LAS COMUNICACIONES