Garantía de las Billeteras Digitales: Marcos de la UE, EE. UU. y Australia

El mundo avanza rápidamente hacia la identidad digital, y las billeteras digitales se están convirtiendo en la principal forma en que las personas gestionan sus credenciales. ¿Pero qué tan confiables son estas billeteras? Su valor depende por completo de la solidez de los marcos de garantía que las respaldan. En este artículo, exploraremos los panoramas de garantía y autenticación de la identidad digital de tres grandes potencias mundiales: la Unión Europea con eIDAS 2.0, los Estados Unidos con NIST SP 800-63 y Australia con su marco TDIF/AGDIS.

Exploraremos los principios fundamentales que son sorprendentemente similares en todo el mundo, como los niveles de garantía basados en el riesgo y el papel fundamental de la biometría para vincular una credencial digital a una persona real. Sin embargo, también descubriremos las diferencias significativas en su arquitectura y regulaciones. Analizaremos el modelo granular y flexible de EE. UU., el enfoque unificado e interoperable de la UE y el sistema híbrido de Australia.

Un tema central que investigaremos es la tensión entre la seguridad centrada en el dispositivo y la comodidad del usuario basada en cuentas, particularmente cómo los grandes actores como Apple y Google están superponiendo cuentas en la nube sobre credenciales vinculadas al dispositivo. También detallaremos los pasos prácticos para la incorporación de credenciales, explicando por qué el "impuesto de reinscripción" de demostrar tu identidad para cada nuevo dispositivo es una característica de seguridad deliberada, no un defecto.

Finalmente, examinaremos más de cerca los aspectos únicos de la Billetera de Identidad Digital Europea (EUDI) y el poder de las Firmas Electrónicas Cualificadas (QES) dentro de la UE, que tienen el mismo peso legal que una firma manuscrita. Al final de este artículo, tendrás una comprensión integral del complejo y cambiante panorama de la identidad digital global, y de las decisiones estratégicas que enfrentan los desarrolladores, los gobiernos y los usuarios por igual.

En el ámbito digital, la identidad no es un concepto binario de conocido o desconocido; es un espectro de confianza. Un Nivel de Garantía (LoA) cuantifica esta confianza, representando el grado de certeza de que un individuo que reclama una identidad particular es, de hecho, el propietario "verdadero" de esa identidad. Esta medida es la base de la confianza digital, sustentando cada transacción e interacción segura. Un LoA más alto significa un proceso más riguroso de verificación y autenticación de la identidad, lo que a su vez reduce el riesgo de fraude de identidad, acceso no autorizado y otras formas de abuso.

Sin embargo, lograr una mayor garantía no está exento de costos. Los procesos requeridos, como la verificación en persona o el uso de hardware especializado, pueden introducir gastos e inconvenientes significativos tanto para el usuario (el titular de la identidad) como para el proveedor de servicios (la relying party). Esta fricción inherente puede crear barreras de acceso, lo que podría llevar a la exclusión de personas que carecen de la documentación necesaria, los medios técnicos o la capacidad para navegar por procedimientos complejos. En consecuencia, la selección de un LoA apropiado no es simplemente una decisión técnica, sino un ejercicio crítico de gestión de riesgos que busca encontrar un delicado equilibrio entre seguridad, usabilidad y el potencial de exclusión.

Este equilibrio está determinado por el impacto potencial de un error de autenticación. Para actividades de bajo riesgo, como crear una cuenta en un foro público o cambiar una dirección de correo, un LoA más bajo puede ser perfectamente aceptable. Las consecuencias de un error son mínimas. Por el contrario, para transacciones de alto riesgo, como acceder a registros financieros o de salud sensibles, iniciar grandes transferencias de fondos o firmar contratos legalmente vinculantes, se exige un LoA mucho más alto para mitigar el grave potencial de daño.

La elección de un marco de garantía y sus niveles requeridos, por lo tanto, trasciende la implementación técnica para convertirse en un instrumento de política económica y social. Un marco que establece un listón de garantía demasiado alto puede crear una fortaleza impenetrable que es segura pero inaccesible para una parte significativa de la población, sofocando así la adopción digital y la participación económica. Por el contrario, un marco con estándares demasiado bajos invita al fraude generalizado, lo que erosiona la confianza de los consumidores y las empresas, dañando en última instancia la economía digital que pretende apoyar. Esta tensión fundamental informa los diferentes enfoques adoptados por las principales economías mundiales, dando forma a sus ecosistemas digitales de acuerdo con sus filosofías regulatorias y prioridades sociales únicas.

Históricamente, el Nivel de Garantía era un concepto monolítico. Un nuevo desarrollo en el campo de la identidad digital fue la deconstrucción de este concepto por parte del Instituto Nacional de Estándares y Tecnología de EE. UU. (NIST) en su Publicación Especial 800-63, Revisión 3. Esta revisión desglosó el LoA en tres componentes distintos y ortogonales, permitiendo una gestión de riesgos más precisa y granular: Nivel de Garantía de Identidad (IAL), Nivel de Garantía del Autenticador (AAL) y Nivel de Garantía de Federación (FAL).

Esta separación de responsabilidades es una divergencia arquitectónica fundamental del modelo más unificado utilizado en la Unión Europea. El modelo del NIST permite a un proveedor de servicios desacoplar el riesgo de la inscripción del riesgo del acceso. Por ejemplo, una agencia gubernamental podría requerir un evento de prueba de identidad en persona de muy alta confianza (IAL3) para emitir una credencial digital para acceder a registros sensibles. Sin embargo, para el acceso rutinario posterior para ver esos registros, podría requerir solo una autenticación multifactor de fuerza moderada (AAL2). Esta flexibilidad permite una aplicación más matizada de los controles de seguridad adaptados a acciones específicas dentro de un servicio.

En contraste, el marco eIDAS de la UE utiliza un LoA unificado (Bajo, Sustancial, Alto) que abarca tanto los aspectos de inscripción como de autenticación. Al mapear entre los dos sistemas, la garantía general de un servicio está dictada por su eslabón más débil. Por ejemplo, un sistema diseñado con el nivel más alto de prueba de identidad (IAL3) y federación (FAL3) pero que solo utiliza un nivel moderado de autenticación (AAL2) se clasificaría como equivalente al LoA "Sustancial" de eIDAS, no "Alto". Esta distinción tiene profundas implicaciones para los desarrolladores y arquitectos que construyen sistemas globales, ya que obliga a elegir entre diseñar para la máxima granularidad (NIST) y luego mapear hacia el modelo más simple de la UE, o mantener flujos lógicos separados para cumplir con la filosofía arquitectónica distinta de cada región. El modelo de EE. UU. prioriza la flexibilidad en la gestión de riesgos para la relying party, mientras que el modelo de la UE prioriza la simplicidad y una interoperabilidad clara para el reconocimiento transfronterizo.

El Nivel de Garantía no es una calificación técnica abstracta; es el guardián principal que determina lo que un usuario tiene permitido hacer en el mundo digital. El LoA asignado a una identidad digital o requerido por un servicio dicta directamente el alcance de las transacciones, la sensibilidad de los datos a los que se puede acceder y el peso legal de las acciones realizadas.

En el extremo más bajo del espectro, una identidad con un nivel de garantía bajo, típicamente una que es autoafirmada sin verificación, otorga acceso a servicios de bajo riesgo. Esto incluye actividades como participar en foros en línea, crear una cuenta de correo web básica o acceder a sitios web públicos donde la consecuencia de que un impostor obtenga acceso es insignificante.

A medida que el nivel de garantía aumenta a "Sustancial", el usuario obtiene acceso a una gama de servicios mucho más amplia y sensible. Este nivel generalmente requiere que la identidad del usuario haya sido verificada contra documentos oficiales y exige el uso de autenticación multifactor (MFA). En consecuencia, es el estándar para muchas interacciones digitales comunes e importantes. Ejemplos de servicios desbloqueados en el LoA Sustancial incluyen:

• Acceder a portales gubernamentales en línea para declarar impuestos o consultar beneficios.
• Realizar transacciones de banca en línea.
• Acceder a registros de salud personales o información de seguros.
• Interactuar con proveedores de servicios públicos o empresas de telecomunicaciones.

El nivel más alto de garantía, "Alto", se reserva para las transacciones más críticas y de alto riesgo, donde las consecuencias de un fallo de autenticación podrían ser graves, llevando a pérdidas financieras significativas, responsabilidad legal o daño a individuos o al interés público. Alcanzar este nivel requiere los métodos de prueba de identidad más rigurosos, que a menudo implican verificación en persona o remota supervisada, y el uso de autenticadores basados en hardware y resistentes a la manipulación. Los servicios que exigen un LoA Alto incluyen:

• Firmar electrónicamente documentos legalmente vinculantes con el mismo peso que una firma manuscrita, como contratos inmobiliarios o grandes acuerdos de préstamo.
• Acceder a datos gubernamentales o corporativos altamente sensibles.
• Realizar transacciones financieras de alto valor o grandes transferencias de dinero.
• Autorizar recetas electrónicas para sustancias controladas.
• Emitir documentos de identidad fundamentales, como un pasaporte.

Un sistema de identidad digital que puede soportar múltiples niveles de garantía permite una arquitectura flexible y apropiada para el riesgo, permitiendo a los usuarios escalar su nivel de garantía según sea necesario para diferentes transacciones. Una credencial de identidad obtenida en LoA Alto puede, con el consentimiento del usuario, ser utilizada para acceder a servicios que requieren garantía Sustancial o Baja, pero lo contrario no es cierto. Esta jerarquía asegura que el nivel de confianza establecido sea siempre proporcional al nivel de riesgo involucrado.

A medida que las naciones construyen sus infraestructuras digitales, están codificando la confianza a través de distintos marcos de garantía. Aunque a menudo comparten raíces comunes en estándares internacionales como ISO 29115, las implementaciones específicas en la Unión Europea, los Estados Unidos y Australia revelan diferentes prioridades en cuanto a interoperabilidad, flexibilidad y seguridad.

El enfoque de la Unión Europea hacia la identidad digital se basa en el Reglamento eIDAS (Identificación Electrónica, Autenticación y Servicios de Confianza), que tiene como objetivo crear un entorno legal predecible e interoperable para las transacciones electrónicas en todos los estados miembros. El marco actualizado eIDAS 2.0 amplía esta visión al exigir la creación de la Billetera de Identidad Digital de la UE (EUDI Wallet), una billetera digital personal para cada ciudadano, residente y empresa.

En el corazón de eIDAS se encuentran tres Niveles de Garantía (LoA): Bajo, Sustancial y Alto. Estos niveles proporcionan una medida unificada de confianza en una credencial de identificación electrónica (eID), abarcando todo el ciclo de vida desde la inscripción hasta la autenticación. Este enfoque unificado está diseñado para simplificar el reconocimiento mutuo; una credencial eID notificada por un estado miembro con un cierto LoA debe ser reconocida por todos los demás estados miembros para servicios que requieran el mismo o un LoA inferior. Los niveles se definen de la siguiente manera:

Mientras que eIDAS define los niveles, no prescribe tecnologías específicas, permitiendo a los estados miembros desarrollar sus propios esquemas nacionales de eID que reflejen su contexto local, como el MitID de Dinamarca (que soporta los tres LoA) o el itsme® de Bélgica (que opera en LoA Alto).

El marco de los Estados Unidos, definido por la Publicación Especial 800-63-3 del NIST, adopta un enfoque más granular y componentizado de la garantía. En lugar de un único LoA unificado, separa el proceso en tres niveles de garantía distintos: Identidad (IAL), Autenticador (AAL) y Federación (FAL). Este modelo proporciona a las agencias federales y otras organizaciones un conjunto de herramientas flexibles para realizar una Evaluación de Riesgos de Identidad Digital (DIRA) y adaptar los controles de seguridad precisamente a los riesgos de transacciones específicas.

Niveles de Garantía de Identidad (IAL):

Niveles de Garantía del Autenticador (AAL):

Este modelo granular permite a una organización mezclar y combinar niveles según sea necesario. Por ejemplo, un sistema podría requerir un evento de prueba IAL2 único en el registro, pero luego permitir a los usuarios elegir entre AAL1 (solo contraseña) para acciones de bajo riesgo y AAL2 (MFA) para acciones de mayor riesgo dentro de la misma aplicación.

El enfoque de Australia, históricamente regido por el Marco de Identidad Digital de Confianza (TDIF) y ahora evolucionando hacia el Sistema de Identidad Digital del Gobierno Australiano (AGDIS) bajo la Ley de Identidad Digital de 2024, representa un modelo híbrido que comparte características con los sistemas de la UE y EE. UU. El TDIF separa los conceptos de prueba de identidad y fuerza de autenticación, de manera muy similar a la división IAL/AAL del NIST, pero utiliza su propia terminología distintiva.

Niveles de Prueba de Identidad (IP):

El TDIF define una serie de niveles de IP crecientes basados en el número y la calidad de los documentos de identidad verificados y el método de vinculación del usuario a la identidad.

Niveles de Credencial (CL):

El TDIF define la fuerza de la credencial de autenticación utilizada para el acceso continuo.

Esta estructura híbrida permite a los servicios australianos especificar tanto la fuerza de identidad requerida (nivel IP) como la fuerza de autenticación necesaria (nivel CL) para el acceso, proporcionando un marco basado en el riesgo similar en principio al del NIST.

A pesar de las diferentes terminologías y filosofías arquitectónicas, emerge un patrón claro de una jerarquía de riesgo de tres niveles en los marcos de la UE, EE. UU. y Australia. Al mapear sus requisitos, podemos crear una visión general.

Esta comparación revela una poderosa tendencia subyacente: la convergencia global en la vinculación biométrica como el ancla de confianza definitiva para la identidad de alta garantía. Si bien los marcos utilizan un lenguaje diferente —la "recopilación biométrica obligatoria" del NIST en IAL3, el "Objetivo de Vinculación" de Australia para IP2+ y superior, y el uso planificado de la detección de vida en la EUDI Wallet para alcanzar el LoA Alto— el principio es idéntico. En los tres principales ecosistemas occidentales, el nivel más alto de confianza digital ya no se establece simplemente verificando documentos o haciendo preguntas secretas. Se logra vinculando a un ser humano vivo y presente con su evidencia de identidad autorizada y emitida por el gobierno a través de la verificación biométrica. Esta verificación de "vida a documento", típicamente un escaneo facial comparado con la foto de un pasaporte o licencia de conducir, se ha convertido en el estándar internacional de facto para la prueba de identidad digital de alta garantía. Esto tiene implicaciones para la pila tecnológica de cualquier proveedor de identidad, elevando la detección de vida certificada y la coincidencia biométrica de alta precisión de características de valor agregado a componentes centrales e innegociables de cualquier plataforma que busque operar en los niveles más altos de la economía de la confianza digital.

La siguiente tabla proporciona un análisis comparativo directo, traduciendo los requisitos de cada marco a una estructura común.

El Reino Unido, que una vez estuvo bajo el régimen eIDAS de la UE, ha trazado su propio camino con un marco de garantía que todavía refleja las mejores prácticas internacionales. La Guía de Buenas Prácticas 45 (GPG45) del Reino Unido define un riguroso proceso de prueba de identidad que produce uno de cuatro niveles de confianza en una verificación de identidad: Bajo, Medio, Alto o Muy Alto. Este enfoque se alinea estrechamente con los conocidos modelos de LoA de varios niveles; de hecho, GPG45 hace referencia explícita a su conformidad con eIDAS, NIST 800-63, ISO/IEC 29115 y el Marco de Confianza Pan-Canadiense de Canadá. En la práctica, GPG45 utiliza una puntuación basada en puntos de verificaciones (autenticidad del documento, historial de actividad, coincidencia biométrica, etc.) para determinar el nivel de confianza del perfil de identidad de un usuario. Sobre esta base, el gobierno del Reino Unido está implementando un nuevo Marco de Confianza de Identidad y Atributos Digitales (actualmente en beta), que establecerá reglas de certificación para proveedores de identidad y relying parties. Un objetivo clave del marco de confianza del Reino Unido es la interoperabilidad internacional, asegurando que las identidades digitales británicas puedan ser confiables en el extranjero y viceversa, al tiempo que se mantienen los propios principios de privacidad y seguridad del país. Esto refleja una estrategia más amplia de mantenerse convergente con los estándares globales incluso mientras el Reino Unido desarrolla su ecosistema de identidad digital post-UE.

El enfoque de Canadá, liderado por el Consejo de Identidad Digital y Autenticación de Canadá (DIACC) a través del Marco de Confianza Pan-Canadiense (PCTF), también ha adoptado los principios básicos de la garantía multinivel y la interoperabilidad. Históricamente, Canadá empleó un modelo de garantía de cuatro niveles (Niveles 1 a 4) comparable a los esquemas de NIST e ISO 29115, con la mayoría de los servicios de gobierno electrónico federales requiriendo un inicio de sesión de "alta" garantía (aproximadamente equivalente al Nivel 3). Sin embargo, los interesados canadienses han reconocido que un único LoA compuesto puede ocultar diferencias importantes en cómo se verificó una identidad. Por ejemplo, métodos de prueba muy diferentes, como la verificación remota basada en conocimientos frente a la verificación de documentos en persona, podrían satisfacer el mismo LoA tradicional, ocultando los diferentes niveles de riesgo. Ahora existe un amplio consenso en Canadá de que la garantía debe ser más granular y específica de la capacidad. El PCTF está evolucionando hacia un modelo modernizado y basado en el riesgo que separa la garantía de la prueba de identidad de la garantía del autenticador (credencial), haciendo eco de la distinción IAL/AAL iniciada por NIST. Esta evolución implica un marco de confianza y un programa de acreditación integrales: los proveedores de identidad, los emisores de credenciales y los auditores se certifican según criterios comunes para que una identidad digital verificada en una provincia o sector pueda ser aceptada con confianza en otro. El resultado es un enfoque convergente donde el Reino Unido y Canadá, cada uno a través de sus propios mecanismos, refuerzan las mismas normas globales: identidad digital de alta garantía basada en una fuerte prueba inicial (a menudo con biometría), autenticación multifactor continua y estándares estrictos de privacidad y control del usuario. Ambos países ejemplifican cómo diversas jurisdicciones pueden innovar en la implementación mientras se mantienen alineadas con el tejido de confianza internacional que sustenta las transacciones digitales transfronterizas.

Si bien los marcos de garantía proporcionan la base teórica para la confianza, su aplicación práctica dentro de las billeteras digitales determina la seguridad y usabilidad del sistema en el mundo real. Esto implica dos etapas críticas: asegurar el acceso a la billetera misma y el proceso inicial y de alto riesgo de incorporar una credencial digital de confianza.

Una billetera digital es un contenedor seguro para las credenciales más sensibles de un individuo. Proteger este contenedor es primordial. La seguridad de una billetera es una construcción de múltiples capas, que comienza con la seguridad física del dispositivo y se extiende a los protocolos criptográficos que rigen su uso.

La primera y más básica capa de defensa es el propio mecanismo de control de acceso del dispositivo, como un PIN, contraseña o escaneo biométrico (p. ej., Face ID, escaneo de huellas dactilares). Esto evita que un atacante oportunista que obtiene acceso físico a un dispositivo desbloqueado acceda inmediatamente a la billetera. Sin embargo, esta capa por sí sola es insuficiente para operaciones de alta garantía.

Por lo tanto, se requiere una segunda capa de autenticación independiente para acceder a la aplicación de la billetera y, lo que es más importante, para autorizar la presentación de una credencial. Las mejores prácticas y las regulaciones emergentes, como el marco de la EUDI Wallet, exigen una autenticación multifactor (MFA) fuerte para acceder a las funciones de la billetera. Esto generalmente implica combinar al menos dos de los siguientes factores:

• Algo que sabes: Un PIN o contraseña específico de la billetera.
• Algo que tienes: El dispositivo físico en sí, que contiene las claves criptográficas.
• Algo que eres: Una verificación biométrica, como una huella dactilar o un escaneo facial, realizada en el momento de la transacción.

Más allá de la autenticación del usuario, la tecnología subyacente de la billetera debe ser robusta. Las prácticas de seguridad principales incluyen:

• Uso de un Elemento Seguro (SE) o Entorno de Ejecución de Confianza (TEE): Las claves criptográficas críticas deben almacenarse en una parte del dispositivo protegida por hardware y resistente a la manipulación, separada del sistema operativo principal. Esto evita que el malware extraiga claves privadas.
• Cifrado de Extremo a Extremo: Todos los datos, tanto en reposo dentro de la billetera como en tránsito durante una presentación, deben estar cifrados criptográficamente para evitar la intercepción y el acceso no autorizado.
• Copia de Seguridad y Recuperación Robustas: Dado que las credenciales pueden almacenarse localmente, un mecanismo seguro para la recuperación es esencial en caso de que el dispositivo se pierda, sea robado o dañado. Esto se puede lograr a través de copias de seguridad en la nube cifradas o, más comúnmente en sistemas descentralizados, una frase de recuperación o "semilla" en poder del usuario que puede restaurar la billetera en un nuevo dispositivo.

Adherirse a un principio de "Zero Trust" también es vital; la billetera nunca debe confiar implícitamente en ninguna solicitud, sino verificar cada interacción. Al combinar una fuerte autenticación de usuario con una arquitectura técnica reforzada, una billetera digital puede servir como un custodio verdaderamente confiable de la identidad digital de un usuario.

El proceso de emitir una credencial de Datos de Identificación Personal (PID) de alta garantía o una Licencia de Conducir Móvil (mDL) en una billetera es la encarnación práctica de un evento de prueba de identidad IAL2 o superior. Este proceso es el paso más crítico en el ciclo de vida de la credencial, ya que establece la confianza fundamental sobre la cual se basarán todas las transacciones futuras. Hay dos métodos principales para esta incorporación de alta garantía: un proceso óptico que se basa en la cámara del dispositivo y un proceso criptográfico que utiliza Near Field Communication (NFC).

Este es el método más común para documentos que no tienen un chip NFC o cuando no se utiliza NFC. Si bien los pasos específicos pueden variar ligeramente entre jurisdicciones y proveedores de billeteras, el flujo principal es notablemente consistente e implica una secuencia de acciones de verificación y vinculación:

Todo este proceso está diseñado para cumplir con los requisitos de alta confianza de marcos como NIST IAL2 o eIDAS LoA Sustancial/Alto. La prueba de vida, en particular, es un componente no negociable para prevenir las formas más comunes de fraude de identidad durante la incorporación óptica remota.

Para los documentos de identidad electrónicos (eID) modernos, como las tarjetas de identidad nacionales (como el Personalausweis alemán), es posible un proceso de incorporación criptográfico más seguro utilizando NFC. Este método lee los datos directamente del chip integrado del documento, ofreciendo una seguridad superior al escaneo óptico.

El proceso típico de incorporación NFC se desarrolla de la siguiente manera:

1. Iniciación: El usuario inicia el proceso en la aplicación de la billetera y se le solicita que use su eID.
2. Desbloqueo del Chip: Para acceder al chip, primero debe desbloquearse. Esto se hace ingresando un Número de Acceso a la Tarjeta (CAN), un número de 6 dígitos impreso en el documento, para establecer una conexión segura a través de un protocolo conocido como Establecimiento de Conexión Autenticado por Contraseña (PACE).
3. Lectura de Datos NFC: El usuario acerca su documento de identidad al lector NFC de su smartphone. La aplicación lee de forma segura los datos del chip, que incluyen detalles personales y una fotografía de alta resolución certificada por el gobierno.
4. Verificación Criptográfica: La aplicación realiza verificaciones de seguridad críticas en segundo plano. La Autenticación Pasiva verifica la firma digital de la autoridad emisora en los datos, asegurando que no han sido manipulados. La Autenticación Activa envía un desafío al chip para confirmar que es genuino y no un clon.
5. Verificación del Titular (Vinculación): Incluso con un documento criptográficamente seguro, el sistema debe verificar que la persona que lo sostiene es el verdadero propietario. Esto se puede hacer de dos maneras:
   • Prueba de Vida y Coincidencia Biométrica: El usuario realiza una prueba de vida (como en el proceso óptico), y su rostro se compara biométricamente con la foto de alta calidad y confianza leída del chip.
   • Ingreso del PIN del eID: Para el nivel más alto de garantía, como con el eID alemán, se le solicita al usuario que ingrese su PIN personal de 6 dígitos. Esto prueba "posesión y conocimiento" (el usuario tiene la tarjeta y conoce el PIN), creando una vinculación de LoA Alto sin necesidad de una prueba de vida en ese paso específico.
6. Emisión y Aprovisionamiento: Con la identidad verificada con éxito a un alto nivel de garantía, el emisor firma criptográficamente la credencial digital y la aprovisiona en la billetera del usuario.

El marco de la EUDI Wallet reconoce explícitamente la importancia de la incorporación basada en NFC para alcanzar el LoA Alto, viéndolo como una piedra angular tanto para la configuración inicial como para la recuperación de la cuenta. Este método criptográfico es fundamentalmente más seguro que el proceso óptico porque verifica la autenticidad digital del documento directamente, en lugar de depender de la inspección visual de una imagen escaneada.

La experiencia de incorporación para un usuario puede diferir significativamente dependiendo de si está agregando una credencial a una billetera nativa integrada en el sistema operativo de su dispositivo (p. ej., Apple Wallet, Google Wallet) o a una aplicación independiente de terceros proporcionada por un emisor u otra entidad. La elección entre estos modelos presenta una compensación para los emisores y los usuarios por igual: la conveniencia integrada y el amplio alcance de las plataformas nativas frente al control completo y la experiencia personalizada de una aplicación dedicada. La siguiente tabla proporciona una comparación paso a paso de estos dos procesos de incorporación, ofreciendo una guía crucial para cualquier organización que planee emitir o verificar credenciales digitales.

Esto puede llevar a un ecosistema fragmentado donde un usuario podría necesitar instalar y gestionar múltiples aplicaciones de billetera diferentes si requiere credenciales de diferentes estados o emisores (p. ej., una aplicación para su mDL de Luisiana y otra para su mDL de California).

La implementación práctica de las billeteras de identidad digital se basa en una base de estándares técnicos y marcos arquitectónicos. Esta sección proporciona un análisis detallado de dos de los pilares más significativos en el panorama de la identidad moderna: el estándar ISO/IEC 18013-5 para licencias de conducir móviles y la arquitectura de la próxima Billetera de Identidad Digital de la UE.

ISO/IEC 18013-5 es el estándar internacional que define la interfaz para almacenar, presentar y verificar una licencia de conducir móvil (mDL) y otras credenciales similares. Está diseñado para garantizar la seguridad, la privacidad y, lo más importante, la interoperabilidad, permitiendo que una mDL emitida en una jurisdicción sea leída y confiada en otra.

Una pregunta crítica en la arquitectura de las billeteras es si una credencial digital está vinculada al dispositivo del usuario o a la cuenta de un usuario. El estándar ISO 18013-5 es fundamentalmente centrado en el dispositivo en su arquitectura de seguridad. Su objetivo principal es prevenir la clonación de credenciales y asegurar que una presentación provenga del dispositivo auténtico al que se emitió la credencial. Esto se logra a través de una fuerte vinculación al dispositivo, donde las claves privadas de la credencial se almacenan dentro de un componente de hardware seguro y resistente a la manipulación del dispositivo móvil, como un Elemento Seguro (SE) o un Entorno de Ejecución de Confianza (TEE). Durante una presentación, el dispositivo realiza una operación criptográfica con esta clave, demostrando que es el titular genuino de la credencial. El estándar requiere explícitamente que las credenciales se almacenen en el dispositivo móvil original o en un servidor gestionado por la autoridad emisora, reforzando este modelo centrado en el dispositivo.

Sin embargo, el estándar no prohíbe explícitamente el uso de una cuenta de usuario como una capa para la gestión y orquestación. Esto ha llevado a la aparición de un modelo híbrido, particularmente en las implementaciones de billeteras nativas de Apple y Google. En este modelo, el ancla de seguridad criptográfica sigue siendo el dispositivo físico, pero una cuenta en la nube centrada en el usuario (p. ej., un Apple ID o una cuenta de Google) sirve como el ancla de gestión del ciclo de vida. Esta capa de cuenta puede facilitar características amigables para el usuario como transferir una credencial a un nuevo dispositivo de confianza cercano en el caso de Apple.

El estándar ISO 18013-5 se centra principalmente en el modelo de datos y la interfaz para presentar una credencial, no en los detalles del proceso de inscripción inicial. Sin embargo, para que una mDL se considere de alta garantía (p. ej., cumpliendo con NIST IAL2 o eIDAS LoA Alto), el proceso de inscripción debe ser robusto. En la práctica, cada implementación importante de una mDL de alta garantía exige una verificación de detección de vida durante la incorporación inicial. Este paso es esencial para vincular al usuario humano en vivo con su documento de identidad físico y prevenir ataques de presentación.

La pregunta más compleja surge cuando un usuario adquiere un nuevo dispositivo. ¿Se requiere una verificación de vida cada vez que se aprovisiona una mDL en un nuevo teléfono? Para la incorporación basada en óptica, la respuesta es abrumadoramente sí. La práctica más segura es tratar el aprovisionamiento en un nuevo dispositivo como una reinscripción completa. Esto no es un defecto del sistema, sino una elección de diseño de seguridad deliberada. Debido a que el modelo de seguridad está centrado en el dispositivo, con claves criptográficas vinculadas a hardware específico, simplemente copiar la credencial no es posible ni seguro. Se debe establecer una nueva vinculación entre el usuario y el nuevo hardware.

Sin embargo, esta reinscripción no siempre necesita una verificación de vida. Si el usuario posee un documento de identidad de alta garantía con un chip NFC y una billetera que lo soporta, puede realizar una reinscripción criptográfica leyendo el chip y demostrando la propiedad (p. ej., con un PIN), como se detalla en la sección 4.2.2. Esto proporciona una vinculación igualmente fuerte, si no más, al nuevo dispositivo.

Las implementaciones confirman esta postura. Credence ID, un proveedor de tecnología en el espacio, declara explícitamente que la reinscripción es obligatoria por razones de seguridad cada vez que un usuario cambia de teléfono, ya que el proceso utiliza claves específicas del dispositivo y los datos no son transferibles. De manera similar, el proceso para agregar una mDL a Google Wallet en un nuevo teléfono Android requiere que el usuario envíe una solicitud completamente nueva al DMV.

Apple ofrece un proceso de "transferencia" más simplificado, pero esta es una capa de usabilidad construida sobre los principios de seguridad subyacentes. La transferencia se basa en el estado de confianza de la cuenta de Apple del usuario y el proceso de configuración seguro del nuevo iPhone para actuar como un proxy para una prueba de identidad completa. Al usuario todavía se le requiere autenticarse y confirmar el movimiento, reautorizando efectivamente la vinculación al nuevo hardware.

Esta necesidad de restablecer el vínculo biométrico en cada nuevo dispositivo crea un grado de fricción para el usuario, que puede considerarse como un "impuesto de reinscripción" por mantener una alta seguridad. Aunque inconveniente, es una consecuencia directa de un modelo de seguridad que prioriza correctamente la prevención de la clonación de credenciales sobre la sincronización perfecta de documentos de identidad de alta garantía.

La Billetera de Identidad Digital Europea (EUDI Wallet) es la pieza central de la regulación eIDAS 2.0. Se concibe como una aplicación segura y controlada por el usuario que será proporcionada por cada Estado Miembro de la UE, permitiendo a los ciudadanos almacenar y compartir datos de identificación personal (PID) y otras atestaciones electrónicas de atributos (EAAs), como una licencia de conducir, un diploma universitario o una receta médica.

Una pregunta arquitectónica clave para la EUDI Wallet es cómo manejará el uso en múltiples dispositivos. El actual Marco de Arquitectura y Referencia (ARF) y los análisis relacionados sugieren que la EUDI Wallet no funcionará como un servicio en la nube típico que sincroniza su estado sin problemas entre múltiples dispositivos. En cambio, la arquitectura apunta hacia un modelo donde un usuario tiene una billetera principal, anclada al dispositivo, que actúa como su raíz de confianza.

La regulación exige que cada Estado Miembro debe proporcionar al menos una billetera a sus ciudadanos. El componente arquitectónico central es la Unidad de Billetera, que reside en el dispositivo móvil personal de un usuario y depende de un Dispositivo Criptográfico Seguro de Billetera (WSCD) local o remoto para su seguridad. Este diseño vincula inherentemente las funciones de mayor seguridad de la billetera a un contexto de dispositivo específico. Si bien el ARF describe explícitamente flujos para el uso entre dispositivos —por ejemplo, usar un smartphone para escanear un código QR para autenticar una sesión en un portátil— este es un modelo de interacción, no un modelo de sincronización. La verdadera sincronización del estado de la billetera, incluidas sus claves privadas y credenciales, entre múltiples dispositivos es técnicamente compleja y plantea desafíos de seguridad significativos que podrían entrar en conflicto con el principio de eIDAS de "control exclusivo" por parte del usuario.

Los análisis actuales del marco concluyen que la mayoría de las implementaciones de la EUDI Wallet se están diseñando para un uso en un solo dispositivo. Esto lleva a varias conclusiones sobre el panorama de múltiples dispositivos:

• Una Billetera Principal: Un ciudadano probablemente tendrá una EUDI Wallet principal emitida por su Estado Miembro, anclada a su dispositivo personal principal.
• Múltiples Billeteras Independientes: Un ciudadano con doble nacionalidad podría poseer múltiples EUDI Wallets (p. ej., una de Alemania y una de Francia), pero estas serían instancias separadas, independientes y no sincronizadas.
• Billeteras de Negocios Separadas: La impracticabilidad de usar una billetera personal de un solo dispositivo para fines profesionales ha llevado al desarrollo del concepto de la Billetera de Negocios Europea (EUBW), una infraestructura de billetera separada para gestionar roles y credenciales organizacionales.

Este enfoque arquitectónico posiciona a la EUDI Wallet menos como una "billetera en la nube sincronizada" y más como un "centro de identidad digital". El dispositivo móvil principal del usuario servirá como su raíz de confianza personal para interacciones digitales de alta garantía. Otros dispositivos interactuarán con este centro en lugar de ser pares iguales. Esto tiene importantes implicaciones de usabilidad: los usuarios necesitarán su dispositivo principal para realizar operaciones críticas. También subraya la importancia crítica de mecanismos de copia de seguridad y recuperación robustos y fáciles de usar, ya que la pérdida del dispositivo principal podría hacer que la identidad digital sea inaccesible hasta que se complete una reinscripción completa.

El ecosistema de la EUDI Wallet se está construyendo sobre un detallado Marco de Arquitectura y Referencia (ARF) que tiene como objetivo crear un sistema federado pero totalmente interoperable en toda la UE. El ARF se basa en cuatro principios de diseño clave: centrado en el usuario, interoperabilidad, seguridad por diseño y privacidad por diseño.

La arquitectura define un conjunto de roles e interacciones claros:

La interoperabilidad es la piedra angular de este ecosistema, asegurando que una billetera emitida en un Estado Miembro pueda usarse para acceder a un servicio en cualquier otro. Esto se logra mediante la adopción obligatoria de estándares técnicos comunes. Para interacciones remotas (en línea), el ARF especifica el uso de los protocolos OpenID for Verifiable Presentations (OpenID4VP) y OpenID for Verifiable Credentials Issuance (OpenID4VCI). Para interacciones de proximidad (en persona), el marco exige el cumplimiento del estándar ISO/IEC 18013-5.

La confianza en esta vasta red descentralizada se establece y mantiene a través de un sistema de Listas de Confianza. Cada Estado Miembro mantendrá listas de Proveedores de Billeteras, Proveedores de PID y otros proveedores de servicios de confianza cualificados certificados. Estas listas nacionales se agregan en una Lista de Listas de Confianza de la UE central, creando una "columna vertebral de confianza" verificable que permite a cualquier participante en el ecosistema verificar criptográficamente la legitimidad de cualquier otro participante.

Mientras que la autenticación confirma la identidad con el propósito de acceder a un servicio, una firma digital sirve a un propósito diferente y más profundo: captura la intención legal de una persona de aceptar el contenido de un documento o conjunto de datos. Dentro del marco eIDAS de la Unión Europea, la forma más alta y legalmente más significativa de esto es la Firma Electrónica Cualificada (QES).

El reglamento eIDAS establece una clara jerarquía de firmas electrónicas, cada una construida sobre la anterior.

La consecuencia más significativa de la QES es su efecto legal. Según el Artículo 25 del Reglamento eIDAS, una Firma Electrónica Cualificada tendrá el efecto legal equivalente a una firma manuscrita. Esta es una poderosa presunción legal que se reconoce de manera uniforme en los 27 Estados Miembros de la UE.

Esto significa que a un documento firmado con una QES no se le puede negar efecto legal o admisibilidad como prueba en procedimientos judiciales únicamente por el hecho de estar en formato electrónico. Si bien las leyes nacionales aún determinan qué tipos de contratos requieren una forma escrita, para cualquier transacción donde una firma manuscrita es suficiente, una QES es su equivalente legal. Esto convierte a la QES en el estándar de oro para transacciones que involucran alto valor, riesgo legal significativo o requisitos legales de una firma escrita, tales como:

• Contratos de compraventa de bienes inmuebles.
• Contratos de préstamo y crédito de alto valor.
• Documentos notariales y presentaciones judiciales oficiales.
• Contratos de trabajo y resoluciones corporativas.

El uso de QES proporciona no repudio, lo que significa que se impide al firmante negar su participación en el acuerdo firmado, una característica crítica en disputas legales. Este reconocimiento legal transfronterizo es un pilar fundamental del Mercado Único Digital de la UE, permitiendo a empresas y ciudadanos participar en transacciones electrónicas seguras y convenientes sin la carga administrativa y el costo de los procesos basados en papel.

Crear una firma con el poder legal de una QES implica un proceso estricto y regulado que garantiza el más alto nivel de garantía de identidad y seguridad. Dos componentes centrales son obligatorios:

1. Un Certificado Cualificado para Firmas Electrónicas: Este es un certificado digital que vincula los datos de verificación de la firma (una clave pública) a un individuo específico y nombrado. Este certificado solo puede ser emitido por un Proveedor Cualificado de Servicios de Confianza (QTSP). Un QTSP es una organización que ha pasado por un riguroso proceso de auditoría y certificación por parte de un organismo de supervisión nacional y está listada en la Lista de Confianza de la UE. Antes de emitir un certificado cualificado, el QTSP debe verificar la identidad del solicitante a un alto nivel de garantía, a menudo a través de procedimientos de identificación en persona o remotos equivalentes.
2. Un Dispositivo Cualificado de Creación de Firmas (QSCD): La firma electrónica en sí debe crearse utilizando un QSCD. Este es un hardware o software configurado que ha sido certificado como que cumple con los estrictos requisitos de seguridad de eIDAS. La función principal del QSCD es generar de forma segura la firma y proteger la clave de firma privada del firmante, asegurando que permanezca bajo su control exclusivo en todo momento. Ejemplos de QSCD incluyen módulos de seguridad de hardware (HSM) certificados, tarjetas inteligentes o servicios de firma remota segura gestionados por un QTSP.

La EUDI Wallet está explícitamente diseñada para integrar esta funcionalidad, ya sea siendo certificada como un QSCD en sí misma o comunicándose de forma segura con un servicio QSCD remoto proporcionado por un QTSP. Esta integración democratizará el acceso a la QES, permitiendo a cualquier ciudadano europeo con una EUDI Wallet completamente configurada crear firmas digitales legalmente vinculantes con solo unos pocos toques, un paso significativo hacia una administración y economía totalmente digitalizadas y sin papel.

El panorama global de la identidad digital está convergiendo en torno a principios clave como la confianza biométrica y la seguridad centrada en el dispositivo. Navegar por este terreno en evolución requiere una acción estratégica de todos los participantes. Las siguientes recomendaciones se ofrecen para guiar a los interesados clave en el equilibrio de la seguridad, la usabilidad y la interoperabilidad.

• Analizar los Niveles de Garantía Objetivo: Antes del desarrollo, determine con precisión el nivel de garantía que su billetera o servicio necesita alcanzar. Si las credenciales se utilizarán para procesos regulados como KYC o verificaciones de alto riesgo, asegúrese de que las medidas de prueba de identidad y autenticación sean lo suficientemente robustas para cumplir con esos requisitos legales y de cumplimiento específicos desde el principio.
• Priorizar la Adopción de la Billetera: La billetera más segura es inútil si nadie la tiene. Diseñe flujos de incorporación simples y de baja fricción que animen a los usuarios a instalar y aprovisionar sus billeteras. Construir servicios de valor agregado sobre un ecosistema de billeteras solo es viable si hay una masa crítica de adopción entre la base de usuarios objetivo.
• Adoptar una Arquitectura Flexible: Diseñe plataformas de identidad y autenticación con una arquitectura interna que pueda mapearse tanto a modelos de garantía granulares (estilo NIST) como unificados (estilo eIDAS). Esto asegura la capacidad de servir a mercados globales sin requerir pilas de productos completamente separadas.
• Invertir en Tecnologías de Confianza Centrales: La detección de vida certificada y la coincidencia biométrica de alta precisión ya no son características opcionales; son componentes centrales para cualquier oferta de identidad de alta garantía. La inversión en tecnologías que cumplen con estándares como ISO/IEC 30107-3 para la detección de ataques de presentación es crítica.
• Diseñar para el "Impuesto de Reinscripción": Reconozca que la reinscripción en un nuevo dispositivo es una característica de seguridad, no un error. Diseñe procesos de incorporación y reinscripción claros, fáciles de usar y altamente seguros que minimicen la fricción mientras mantienen la integridad del proceso de vinculación biométrica.
• Asegurar Todo el Ciclo de Vida: Concéntrese no solo en la incorporación, sino también en mecanismos seguros de copia de seguridad y recuperación. A medida que la EUDI Wallet y otros modelos centrados en el dispositivo se vuelvan prevalentes, los procesos de recuperación fáciles de usar pero seguros (p. ej., basados en frases semilla o protocolos gestionados por el emisor) serán un diferenciador clave.
• Implementar Step-Up de Billetera con Fallbacks Interoperables: Al integrar la verificación de identidad basada en billetera (p. ej., para KYC), utilice estándares emergentes como la API de Credenciales Digitales donde esté disponible. Sin embargo, para garantizar una amplia compatibilidad entre plataformas y billeteras que aún no soporten la API, implemente mecanismos de fallback robustos como flujos basados en código QR o deep links (p. ej., usando OpenID4VP). Esto asegura una experiencia de usuario consistente y un mayor alcance.
• Proteger Cuentas con Passkeys: Para las billeteras de terceros que utilizan cuentas en línea para gestionar metadatos o credenciales de usuario, estas cuentas se convierten en un límite de seguridad crítico. Deben protegerse con los métodos de autenticación más fuertes posibles y resistentes al phishing, como las passkeys (FIDO2). Esto previene ataques de toma de control de cuentas que podrían comprometer los datos del usuario o facilitar actividades de reinscripción fraudulentas.

• Realizar Evaluaciones de Riesgo Rigurosas: No adopte un enfoque único para la garantía. Utilice marcos de evaluación de riesgos, como el proceso DIRA en los EE. UU., para determinar el IAL y AAL apropiados requeridos para cada servicio o transacción específica. Asegurar en exceso las interacciones de bajo riesgo crea una fricción innecesaria, mientras que asegurar de menos las de alto riesgo invita al fraude.
• Proteger Cuentas con Passkeys: Después de usar una billetera digital para una verificación de identidad de alta garantía (step-up), la cuenta del usuario tiene un estado de identidad confirmado. Es crucial asegurar esta cuenta de alto valor contra el phishing. Exija o fomente encarecidamente el uso de passkeys para inicios de sesión posteriores, ya que proporcionan MFA resistente al phishing y aseguran que la cuenta verificada no se vea comprometida por métodos de autenticación más débiles.
• Prepararse para un Mundo de Múltiples Billeteras: El futuro no es una billetera, sino muchas. Las empresas y agencias gubernamentales deben invertir en tecnología de verificación e infraestructura que sea interoperable y basada en estándares. Esto significa soportar protocolos como OpenID4VP e ISO 18013-5 para asegurar la capacidad de aceptar credenciales de una amplia gama de billeteras, incluida la EUDI Wallet, billeteras nativas del SO y otras soluciones de terceros.
• Monitorear los Estándares de Vinculación de Dispositivos para Escenarios de Alta Garantía: Para los modelos de riesgo que dependen de la identificación de un dispositivo físico específico (especialmente con passkeys sincronizadas), monitoree de cerca la evolución de los estándares WebAuthn para señales de confianza de vinculación de dispositivos. Si bien las propuestas iniciales se descontinuaron, se están desarrollando nuevas soluciones para permitir a las RPs diferenciar entre un dispositivo de confianza y uno recién sincronizado, permitiendo una evaluación de riesgos más granular sin sacrificar la comodidad del usuario.
• Confiar en la Criptografía, no en la Pantalla: Capacite a los empleados y diseñe procesos para que dependan de la verificación criptográfica de un lector compatible, no de la inspección visual de una credencial en la pantalla del teléfono de un usuario. La inspección visual es altamente susceptible a la suplantación y el fraude.

• Fomentar la Colaboración Internacional: Continúe apoyando y participando en organismos de estándares internacionales (como ISO y W3C) para reducir la fragmentación y promover un lenguaje común para la confianza digital. Armonizar las definiciones y los requisitos donde sea posible reducirá las barreras al comercio y la innovación.
• Abordar el Desafío de Múltiples Dispositivos: Reconozca los significativos desafíos de usabilidad y seguridad que plantea la gestión de múltiples dispositivos. Fomente el desarrollo de estándares y marcos para la recuperación y sincronización de credenciales seguras y centradas en el usuario que no comprometan el principio de "control exclusivo".
• Equilibrar Privacidad y Seguridad: A medida que los datos biométricos se convierten en la piedra angular de la identidad de alta garantía, asegúrese de que los marcos legales y regulatorios proporcionen protecciones de privacidad robustas para esta información sensible, en línea con principios como el GDPR.

Al adoptar estas estrategias, los interesados no solo pueden navegar por las complejidades del entorno actual, sino también contribuir activamente a la construcción de un ecosistema de identidad digital más seguro, interoperable y centrado en el usuario para el futuro.

El futuro de la identidad digital es un paradigma de máquina a máquina, donde los elementos de hardware seguros en los dispositivos firman desafíos criptográficos para demostrar la identidad de un usuario. Este cambio de secretos memorables para humanos a una confianza anclada en el hardware es fundamental para eliminar clases enteras de ataques, especialmente el phishing.

Corbado se especializa en esta transición. Ayudamos a las empresas, desde proveedores de billeteras hasta relying parties reguladas, a acelerar su viaje hacia un futuro verdaderamente sin contraseñas. Nuestra plataforma está diseñada para:

• Impulsar la Adopción de Passkeys con Inteligencia: Simplemente ofrecer passkeys no es suficiente; la experiencia del usuario debe ser fluida para impulsar la adopción. Passkey Intelligence, un componente central de nuestra solución, es una capa de lógica inteligente que optimiza los flujos de autenticación. Analiza el contexto del usuario —dispositivo, navegador e historial— para evitar callejones sin salida comunes como bucles confusos de códigos QR o solicitudes de passkeys en el dispositivo equivocado. Al guiar inteligentemente a los usuarios hacia la ruta más exitosa, aumenta drásticamente las tasas de creación y uso de passkeys, asegurando que las cuentas de alto valor y con identidad verificada estén protegidas por un método de autenticación que es a la vez seguro y sin fricciones.
• Facilitar la Identificación y Recuperación: La solución de Corbado admite procesos robustos de recuperación e identificación de cuentas a través de integraciones nativas y plugins para proveedores de verificación de identidad (IDV) existentes.
• Verificar Credenciales Digitales: Mirando hacia el futuro, nuestra plataforma está construida para soportar nativamente la verificación de credenciales digitales utilizando estándares emergentes como la API de Credenciales Digitales, permitiéndole cumplir con los niveles de garantía más altos requeridos en entornos regulados.

Ya sea que usted sea un proveedor de billeteras que busca ofrecer autenticación segura o una relying party que necesita confiar en las credenciales que se le presentan, Corbado proporciona la infraestructura fundamental para construir sobre estándares de identidad modernos y resistentes al phishing.

Nuestro viaje a través de los marcos de identidad digital de la UE, EE. UU. y Australia revela un claro consenso global sobre los principios fundamentales de la confianza. Todos los principales marcos occidentales adoptan un enfoque escalonado y basado en el riesgo, y han adoptado la verificación biométrica —la verificación de "vida a documento"— como el estándar de oro para la identidad de alta garantía. Sin embargo, los caminos para lograr esta confianza divergen. El modelo de EE. UU. ofrece una flexibilidad granular, mientras que el marco eIDAS de la UE defiende la interoperabilidad unificada, y el sistema de Australia se sitúa entre estas dos filosofías. En última instancia, el éxito de las billeteras digitales depende de una red de confianza entre usuarios, relying parties y gobiernos. Los marcos que hemos explorado son los planos para esta nueva era. El desafío ahora es construir sobre ellos, creando un ecosistema de identidad que no solo sea seguro e interoperable, sino que realmente empodere a cada individuo.