lunes, 19 de diciembre de 2011

Acercar el DNIe a los ciudadanos

Hace unos días estuve en un un Centro de Salud de la Comunidad de Madrid y algo llamó mi atención: habían instalado terminal de autogestión justo enfrente de las ventanillas de atención presencial.

La idea parece atractiva como una fórmula para descongestionar las ventanillas de atención de los centros de salud, derivando las gestiones más comunes hacia el sistema de los terminales táctiles.

Como soy curioso por naturaleza, me propuse probar su funcionamiento y me llevé la agradable sorpresa de el sistema admitía para la identificación del usuario tanto la tarjeta sanitaria de banda magnética como el dni electrónico (DNIe).

El funcionamiento del terminal es sencillo e intuitivo, aunque me sorprendió que en ningún momento se me solicitó la clave del DNIe para identificarme.


Pensando sobre ello se me ocurrió que lo más acertado suele ser lo más simple, así que supuse que no debían estar accediendo a la información contenida en el chip del  DNIe, sino a la información impresa en el documento,  que debían haber escanear y digitalizar mediante un proceso OCR, lo cual es hoy en día bastante fácil de realizar con la tecnología existente.



La suposición se desmoronó cuando hice la prueba de acceder al terminal con mi DNIe, al que le había tapado los caracteres del reverso con una pegatina estratégicamente situada. El resultado fue que ¡el acceso al terminal seguía funcionado!

Investigando sobre el DNIe me he llevado la sorpresa de que la información básica (ej. nombre, apellidos, etc) es accesible desde una aplicación sin solicitar al usuario ninguna contraseña.

 Según la Web www.dnielectronico.es:

En la estructura de las tarjetas inteligentes [..] existe un fichero elemental denominado CDF (Certificate Directory File) [..] En el caso del DNIe el CDF [..] incorpora la referencia interna a los certificados de ciudadano y los atributos countryName, serialNumber, surname, givenName y commonName que aparecen en el certificado x509 v3 de autenticación del ciudadano"

La clave se utiliza únicamente para acceder a los certificados digitales, lo que habilita una autenticación más robusta basada en el criterio de doble factor=tener algo (DNIe) + saber algo (la clave).

Esta solución que ha adoptado Sanidad de la Comunidad de Madrid se diseña seguramente pensando en facilitar al máximo su uso a los ciudadanos. El solicitar una clave al usuario para acceder a los datos de una cita médica seguramente se convertiría en un inhibidor del uso del sistema.

Como efecto colateral, el ciudadano se acostumbra al uso del DNI en su relación telemática con la administración, que es un factor necesario para impulsar el DNIe y  aprovechar la enorme ventaja que supone el que cada ciudadano español disponga potencialmente de un identificador electrónico, como es el DNIe.

Seguramente se podría añadir alguna observación referente a los aspectos de seguridad y confidencialidad de la información (por ejemplo, el caso de que se pierda el DNIe),  pero en general me parece una buena aproximación de los servicios electrónicos al usuario final

2 comentarios:

Álvaro dijo...

Muy interesante. Poder acceder a esa información sin importar si los certificados fueron activados o no, están revocados o no, el usuario se acuerda o no de la clave...me parece muy ágil.

No creo que suponga ningún riesgo de seguridad y confidencialidad adicional, al fin y al cabo si se pierde el DNI la información contenida en este fichero CDF está impresa en la propia tarjeta.

Un saludo

Andres Pastor dijo...

Alvaro, gracias por tu comentario. Con eso de los turrones, no la había visto hasta ahora ;-)

Espero que con estas iniciativas vayamos teniendo un uso más intensivo de los DNIe y de la Administración Electrónica

Un Saludo

Publicar un comentario en la entrada

Agradecemos tu comentario