Quienes diseñan y auditan la seguridad digital a nivel mundial aseguran que miDNI y miDGT están fuera de la normativa europea

Miguel Bañón e Ignacio Alamillo son las dos figuras más relevantes en el panorama internacional en las normas globales y auditoría de seguridad internacional. Ellos fijan e inspeccionan las reglas del sistema. Su diagnóstico es demoledor: la grieta introducida en el sistema electoral español a instancias del Ejecutivo de Pedro Sánchez es una debilidad estructural. El choque entre el relato oficial de «bulo» y el criterio de quienes diseñan y fiscalizan los mecanismos de confianza sobre los que se construye toda la arquitectura digital europea y global no deja lugar a dudas.

Los estándares de gobiernos, reguladores y grandes empresas

Si hay un español que ocupe una posición de influencia técnica global de primer orden ese es Miguel Bañón Puente. Su cargo oficial al público en general le suena a chino: Convenor del ISO/IEC JTC 1 / SC 27 / WG 3. Traducido al castellano significa que es el hombre que orquesta el consenso entre expertos de los principales países y grandes actores tecnológicos a nivel mundial, guiando cómo se definen los criterios con los que después se evalúa y certifica la seguridad de sistemas en todo el planeta.

Esto le exige –y a la vez le otorga– un grado de conocimiento extremadamente alto y especializado en ciberseguridad, criptografía aplicada, evaluación de sistemas y marcos de certificación impulsados por ISO y IEC, los dos grandes organismos internacionales que crean las normas técnicas que usa el mundo.

Su impacto es global y transversal: afecta directamente a decenas de países industrializados y economías avanzadas (como los de la UE —España, Francia, Alemania— además de Estados Unidos, Japón o Corea del Sur), cuyos gobiernos, reguladores y grandes empresas adoptan o alinean sus sistemas con estos estándares.

El núcleo de poder de la seguridad en el mundo

En la práctica, es una figura que no solo entiende en profundidad cómo debe probarse que algo es seguro, sino que contribuye a fijar el listón técnico que condiciona leyes, certificaciones y tecnologías críticas a escala internacional.

Cuando El Debate contactó con él aceptó generosamente exponerse públicamente para expresar su sorpresa e incredulidad ante la desaparición de los controles de verificación en la identificación digital en las urnas en España. Así lo confirmó en el artículo: El Ejecutivo apeló a la «doctrina flexible» de la Junta Electoral para que aceptara su versión fake de identificación digital.

No es fácil que el perfil técnico más alto alcanzado por un español en el núcleo del poder donde se define la seguridad digital y su marco normativo a nivel global se preste a este tipo de declaraciones. Tan grave vio la grieta de seguridad que aseguró que en la Junta Electoral «están aceptando algo que es más fácil de falsificar que una fotocopia del DNI físico porque para saber qué aplicación está abriendo ese votante haría falta un peritaje informático importante».

«Estamos ante una solución de patio de colegio»

La explicación de Bañón no puede ser más sencilla: «En el momento que usamos el medio digital sin ninguna de las medidas de verificación que se han establecido para que más o menos funcione, entonces estamos en una solución de patio de colegio. Presentarte con una identidad falsa ante la mesa electoral es más fácil que copiar en un examen porque lo que va a enseñar la persona es todo apariencia». «Hoy a un experto en tecnología le cuesta minutos replicar esos aspectos y presentar su foto con los datos de su cuñado, si quisiera votar por su cuñado», añade.

Bañón asegura con estupefacción que «la normativa europea establece requisitos muy fuertes, pero jamás previó que ningún Gobierno estableciera la utilización de la tecnología sin los mecanismos de control y verificación exigidos, y mucho menos para votar».

Ignacio Alamillo: «Resulta impensable degradar las garantías»

Otra de las personas clave en el sector de la ciberseguridad, auditoría y gobierno tecnológico es Ignacio Alamillo. Este Doctor en Derecho por la Universidad de Murcia combina el perfil jurídico y la tecnología con la auditoría y seguridad lo que le sitúa como uno de los auditores de sistemas críticos en el seno de la Unión Europea (elecciones, identidad digital, banca, etc.). Alamillo detecta vulnerabilidades estructurales y evalúa el cumplimiento legal y técnico junto al diseño de sistemas seguros desde el origen.

En otras palabras, no es un abogado «clásico», es alguien que puede cuestionar técnicamente a gobiernos, empresas o sistemas digitales con autoridad real. Es fundador del comité técnico ETSI TC ESI, que determina, junto al CEN TC 224, cómo funciona la identidad digital, la firma electrónica y la confianza en Internet en el seno de la UE, en el que viene participando desde principios del 2000. También forma parte del CEN-CLC/JTC 19 y de ISO TC 307 lo que le sitúa como la élite técnica que define cómo debe funcionar el blockchain a nivel europeo y global. Cuenta con más de 100 publicaciones y más de 400 ponencias impartidas en firma electrónica, seguridad y materias relacionadas como otras de las figuras más relevantes del panorama internacional.

Su alta cualificación como experto certificado le ha convertido en una suerte de arquitecto invisible de la confianza digital europea. Entre sus cometidos se encuentra la detección de cuándo un sistema de identidad o firma no cumple garantías reales, aunque legalmente se intente presentar como válido. Y por eso es meridianamente claro: «Resulta impensable degradar las garantías que actualmente ofrecen los documentos oficiales de identidad, pasaportes y otros documentos de viaje, o documentos de residencia para extranjeros», asegura.

De aplicarse la normativa europea nos encontraríamos ante una infracción severa

Alamillo es taxativo: «Si no hay QR, no se ha expedido la versión digital del DNI y, por tanto, nada hay que presentar al tercero frente al que debemos probar nuestra identidad, desapareciendo toda garantía, tanto para el ciudadano como para el tercero. Esto no se puede suplir “mostrando» la aplicación en el móvil al tercero, porque podría ser una aplicación fraudulenta. Sólo cuando interviene la Policía creando el documento dentro del QR se puede considerar legalmente que se ha «exhibido» el DNI.

En cuanto a las consecuencias en Europa para el Gobierno por haber solicitado la utilización del DNI digital sin autenticación aclara que el Reglamento eIDAS no aplica porque este sistema no ha sido notificado a la Comisión conforme al citado Reglamento, ni podría serlo de momento, ya que no puede emplearse para la autenticación a distancia. Sin embargo, de resultar aplicable «nos encontraríamos ante una infracción severa de los artículos 7 y 8 del mismo y del Reglamento de Ejecución (UE) 2015/1502 de la Comisión, de 8 de septiembre de 2015, sobre la fijación de especificaciones y procedimientos técnicos mínimos para los niveles de seguridad de medios de identificación electrónica con arreglo a lo dispuesto en el artículo 8, apartado 3, del Reglamento eIDAS; en particular, del epígrafe 2.3 del Anexo. Simplemente, porque sin QR no se produce ninguna autenticación».

Miguel Bañón e Ignacio Alamillo desde sus posiciones en los núcleos donde se decide y se audita cómo será la infraestructura digital de confianza en el siglo XXI junto a las normas y garantías para que cumpla con estándares sólidos de seguridad en el mundo no pueden ser más claros.