La Unión Europea (UE) quiere que tengas en el móvil una app que almacene todo sobre ti: tu identidad, cuentas de banco y medios de pago, todos tus documentos personales, carnés, títulos, tarjeta sanitaria, currículum vitae, etc. Es la European Digital Identity Wallet, nacida del eIDAS 2, el último reglamento europeo de identificación electrónica y autenticación, que ha generado muchas críticas - 550 investigadores y asociaciones solicitan que se paralice el proyecto- ante los riesgos que supone para la privacidad y la seguridad digital. La están diseñando políticos y expertos de la UE y te servirá para identificarte ante organismos públicos en toda la Unión y comprar y contratar servicios en compañías privadas.

Esta app en forma de wallet tendrá dos elementos básicos: por un lado, un certificado de autenticación, es decir, un identificador virtual que certifica que somos nosotros y, por otro, un monedero digital. Todo ello, según relata la UE, con las más estrictas medidas de seguridad y cifrado para incluir con tranquilidad toda esa catarata de documentos, información y datos personales. Se podrá usar para presentar títulos universitarios o validar el carné de conducir en cualquier país de la UE, alquilar un coche o un piso, presentar la declaración de la renta, comprar un billete de avión, etc. El sistema que soporte las wallet estará interconectado ya que las billeteras de cada estado y sus certificados servirán en el resto de Estados. Este pasado noviembre se ha culminado con un borrador del reglamento el acuerdo político dentro de la Comisión. Ahora queda un corto espacio de tiempo hasta fin de año para rectificaciones y reuniones con la Industria antes de someter el proyecto a aprobación final por el Consejo de Europa y el Parlamento Europeo. Tras ella, cada Estado tendrá un máximo de dos años para poner a disposición de todos sus ciudadanos la wallet. Si todo sigue como espera la Comisión, en 2026 deberían estar en uso.

La Unión Europea quiere competir en ámbitos clave de la digitalización donde hoy no pinta poco o nada: los monederos digitales de medios de pago y el sistema de certificación y seguridad en la red. Se trata de luchar contra Google Pay y Apple Wallet ofreciendo un monedero donde tengamos todos nuestros métodos de pago. A la vez, la UE entra en el sector de la certificación en internet como un elefante en una cacharrería, pasando por encima de CA/Browser Forum, la organización que engloba al sector y se encarga desde hace más de una década de manera voluntaria de auto regular a las Autoridades de Certificación, los certificados digitales de autenticación y los protocolos de seguridad en internet y en los navegadores.

¿Una herramienta para el control social? Comodidad versus privacidad

No cabe duda de que una app centralizada con todas esas funciones aporta comodidad a los ciudadanos, ganando tiempo y agilidad en trámites y compras, pero ¿cuáles son sus riesgos? Expertos exponen que es una herramienta que favorece el control social -control por parte del poder político sobre los ciudadanos- y es centralizada, por tanto, un objetivo continuo de ataques. Como todo sistema, será vulnerable con el tiempo y presenta serias amenazas para la privacidad de las personas y la seguridad de internet. Uno de los gurús en España en temas de privacidad, Stark Privacy, señala en X -antes Twitter- que "tendrás tu identificación vinculada a un dispositivo siempre rastreable, tu identidad estatal estará vinculada a tu ubicación". Algo que aunque ya sucede ahora en parte con las tarjetas SIM, éstas no son estrictamente necesarias para hacer uso del móvil o llamar, pueden ser anónimas y "no ofrecen la misma facilidad de acceso a la información que una App". El experto advierte de que este proyecto va unido al de la CBDC - euro digital - lo que supondría tener en el mismo móvil y, quizá más adelante en la misma aplicación, nada menos que tu identidad y tu dinero. Es el sueño de cualquiera que quiera ejercer el control social o robar identidades. "Si 'su dinero' que tienes en 'tu wallet' quiere ser confiscado podrán restártelo rápidamente. ¿Demasiada carne?¿Demasiados trayectos en coche?¿"Delito de odio"?¿Te has excedido en 10 km/h en la velocidad permitida? Tranquilo, sin gestiones te lo podrán quitar.", asegura Stark.

Controla internet y controlarás la sociedad. Como asegura en su canal de Youtube, Marc Vidal, habitual en televisión y una de las figuras más influyentes hoy en Transformación Digital e Industria 4.0, "detrás de todo esto y al final se encuentra la más sofisticada herramienta de control y subordinación jamás creada por el ser humano".

Para calibrar el riesgo real sobre la privacidad se necesita saber cómo es la gestión de esos datos: a donde van a parar, si quedan registrados, cómo se almacenan y si se pueden cruzar o no. Este diario ha contactado con fuentes oficiales de la Comisión Europea especialistas en este tema. La UE tiene claro que el usuario tendrá el control total sobre sus datos. La idea es que el ciudadano sea el que apruebe o no compartir en cada caso los datos que puedan ser necesarios, "lo que permitirá a todos los europeos acceder a servicios en línea sin tener que utilizar métodos de identificación privados, a menudo basados en un modelo de negocio basado en el uso de datos personales", señalan dichas fuentes. En cuanto a las obligaciones y prohibiciones que tendrán los proveedores de la wallet y del servicio, así como los riesgos de creación de perfiles creados con el cruzado de datos, las fuentes oficiales de la Comisión añaden lo siguiente: "se prohibirá a los proveedores del servicio y de la app recopilar información sobre el uso de la billetera a menos que excepcionalmente sea necesario. Además, los proveedores de carteras están obligados a mantener los datos personales lógicamente separados de cualquier otro dato que posean". Se pretende que haya total transparencia sobre cualquier eventual solicitud de transferencia de datos personales a través de un panel y el usuario tendría la posibilidad de detenerla.

Por su parte, el Parlamento Europeo y el Consejo han acordado explicar las obligaciones de los proveedores de la billetera en un complemento al artículo11c del borrador, que especificará la garantía de invisibilidad de los usuarios al no recopilar datos y no tener conocimiento de las transacciones, a menos que en casos específicos dichos datos sean necesarios y los usuarios acepten explícitamente. "Si se registran ciertos datos, cómo y en qué formato depende del caso de uso específico y del consentimiento del usuario. Cualquier eventual registro y uso de dichos datos estará sujeto al Reglamento General de Protección de Datos de la UE ( GDPR )" comentan las fuentes de la Comisión.

En todo caso, más allá de palabras y buenas intenciones, aún se desconocen muchos detalles de cómo serán en la práctica estos procedimientos contra la pérdida de privacidad, qué monitorización habrá y qué plataformas tecnológicas y empresas se encargarán de proveer el servicio. Toda prevención y preocupación es poca cuando estamos ante la mayor concentración de datos personales centralizada conocida hasta la fecha. Una herramienta muy tentadora no solo para el poder político, sino también para las empresas participantes.

550 ONGs y expertos, en contra del proyecto

Muchas figuras representativas de internet, de la universidad, del mundo del software y de las telecomunicaciones se han levantado contra el reglamento. Hasta finales de noviembre, más de 550 ONGs, expertos, catedráticos e investigadores en esta área, procedentes de 42 países, habían firmado una carta abierta dirigida a los miembros del Parlamento y del Consejo pidiendo su retirada.

Pioneros de internet como Vint Cerf, el navegador Mozilla, la Linux Fundation o los creadores de LibreOffice entre otros muchos, la rubricaron. Alertan del peligro para la seguridad en la red que supone el artículo 45, que obliga a todos los navegadores a aceptar certificados de autenticación aunque ni estos ni las compañías que los crearon cumplan con las recomendaciones del CA/Browser Forum, la asociación que auto regula y engloba de manera voluntaria a todo el sector y ha desarrollado la seguridad de internet desde casi sus inicios, incluyendo a figuras como Amazon, Visa, SSL.com, SecureTrust y todas las compañías internacionales dedicadas a la seguridad, los protocolos y la autenticación en la red. Lo que pretende la UE es obligar a los navegadores a aceptar sí o sí los QWAC - certificados de autenticación validados por ella misma a través del ETSI - Instituto Europeo de Normas en Telecomunicaciones- sin pasar por los procedimientos ni necesariamente por los estándares y recomendaciones del CA/Browser Forum. Un golpe en la mesa o una herejía, según se vea, en un ámbito tan sensible como la seguridad de la world wide web.

Los firmantes de la carta arremeten contra los QWAC, a los que ven casi como una especie de troyanos creados para dominar a los navegadores y controlar a los ciudadanos. Aseguran que, con la obligatoriedad de aceptarlos "la propuesta actual amplía radicalmente la capacidad de los gobiernos para vigilar a los residentes en toda la UE, proporcionando los medios técnicos para interceptar datos cifrados en internet, además de socavar los mecanismos de supervisión existentes". La carta alerta de que cada Estado podrá validar sus empresas de certificación - que quedarían habilitadas en toda la UE - aunque estas no sigan los estándares actuales, lo que es un grave riesgo para la seguridad al ser todas las wallet interoperables en todos los países de la Unión. Cualquier error -voluntario o malicioso- en un país, cualquier brecha de seguridad en cualquiera de esos certificados pondría en riesgo el sistema en conjunto. A su vez, con los QWAC se podría fragmentar el sistema mundial de estándares de seguridad, que hoy es global, ya que es probable que las certificaciones específicas de Europa no sean aceptadas en otros continentes.

La UE lo ve de otra manera. Las fuentes de la Comisión consultadas creen que no habrá intromisiones en la privacidad ni problemas de seguridad por la obligatoriedad de lo QWAC ya que no se impide que los navegadores mantengan el control total y adopten cualquier otro procedimiento de seguridad que tengan establecido con otros certificados. Además, no hay riesgo, porque " los navegadores web conservan el control con respecto al acceso a sus repositorios donde se guardan los certificados confiables -"almacenes raíz"-. El reconocimiento de QWAC no obliga a los navegadores web a almacenarlos en esos almacenes", afirman.

La UE contra las Big Tech, la batalla por el control de internet en la era digital

En todo caso, la Comisión quiere legislar en contra o por encima de los estándares que la propia industria establece desde hace más de una década, obligando nada menos que a validar certificados originados en cualquier país de la Unión fuera del consenso técnico que existe hoy. Esto aumenta la sospecha sobre qué hay detrás de todo esto y cuáles son los verdaderos objetivos que pretende. Es evidente que quiere ser un actor relevante en el sector de la digitalización e internet, que se cuente con ella al máximo nivel y controlar una industria que hasta ahora, con matices, se auto regula. ¿Hay más motivaciones? Ha quedado claro que muchos creen que se trata de una manera de aumentar el control sobre las personas. Sin embargo, hay quien contextualiza estos movimientos de la Unión Europea en el marco de la guerra abierta contra el poder de las Big Tech y en un cierto descontrol dentro del CA/Browser Fórum. En un artículo publicado por Firmaprofesional, una de las empresas líderes en el mercado de las Autoridades de Certificación que lleva más de 20 años emitiendo certificados digitales, se señala que en ocasiones "los navegadores imponen sus normas al Fórum" a la hora de admitir como seguros los certificados que a ellos más les convienen, aceptándose en la industria reglas muy cambiantes - solo en 2020 se produjeron ocho versiones diferentes de la guía oficial del Fórum - y contrarias a menudo con los propios estándares de la UE a través del ETSI. Un claro ejemplo de ello fue la decisión en 2019 de Firefox y Chrome de eliminar las marcas visuales de certificados EV - los más habituales - alegando que no aportan valor a los internautas; pero provocando que el usuario no pueda apreciar a simple vista si una web está protegida. La intención de Google y Apple sería, según Firmaprofesional, "securizar todas las comunicaciones en Internet lo más rápido posible, por eso apuestan por certificados DV, totalmente automatizables, que no requieren de intervención humana para su emisión y carecen de garantías de seguridad y pueden llegar a conseguirse de forma gratuita.

Por todo ello, puede que la UE esté forzando a aceptar sus certificados, ya que por un lado intenta garantizar estándares fijos de seguridad en internet que vayan más allá de los deseos e intereses de las corporaciones tecnológicas, y por otro, trata de no perder peso contra ellas en la batalla por el control de internet en la era digital. Si de paso, esto favorece en el futuro un mayor control social y menor privacidad de los ciudadanos, pues mejor quizá para algunos de nuestros políticos. Lo iremos comprobando.