El gobierno enfrenta la pregunta de si se puede confiar en que el sistema central de sus planes de identificación digital mantendrá seguros los datos personales de las personas.
La identificación digital estará disponible para todos los ciudadanos y residentes legales del Reino Unido, pero solo será obligatoria para el empleo., según propuestas del gobierno.
Aún no se han anunciado todos los detalles sobre cómo funcionará el sistema, pero el Primer Ministro Sir Keir Starmer ha insistido en que “tendrá la seguridad en el centro”.
Se basará en dos sistemas desarrollados por el gobierno: Gov.uk One Login y Gov.uk Wallet.
Conexión única es una cuenta única para acceder a los servicios públicos en línea, en la que, según el gobierno, ya se han registrado más de 12 millones de personas.
Para el próximo año, esta cifra podría aumentar a 20 millones, ya que las personas que se registren como directores de empresas deberán verificar su identidad a través de One Login. desde el 18 de noviembre.
Cartera del gobierno del Reino Unido Aún no se ha lanzado, pero eventualmente podría permitir a los ciudadanos almacenar su identidad digital (incluido su nombre, fecha de nacimiento, nacionalidad y estado de residencia, así como una fotografía) en su teléfono inteligente.
Los usuarios necesitarán una identificación Gov.UK One para acceder a la billetera.
El mes pasado, el gobierno lanzó una tarjeta de identificación digital para veteranos. para probar el concepto.
El gobierno espera evitar problemas de seguridad manteniendo accesible la información personal a través de One Login en cada ministerio en lugar de en una base de datos única y centralizada.
Pero el veterano defensor de las libertades civiles y diputado conservador David Davis ha expresado su preocupación por posibles fallas en el diseño e implementación de One Login que, según él, podrían hacerlo (y el nuevo sistema de identificación digital) vulnerable a los piratas informáticos.
En un debate en el Westminster Hall a principios de este mes, dijo: “Lo que sucederá cuando este sistema entre en vigor es que los datos de toda la población estarán abiertos a malos actores: naciones extranjeras, criminales de ransomware, piratas informáticos maliciosos e incluso sus propios enemigos personales o políticos.
“Como resultado, será peor que el escándalo de Horizon (La Poste)”.
davis escribió a la Oficina Nacional de Auditoría, el organismo de control del gasto pidiendo una investigación “urgente” sobre el coste de One Login, que, según él, seguramente superará los 305 millones de libras esterlinas ya previstos.
En su carta, el parlamentario destaca un incidente ocurrido en 2022, durante el cual se descubrió que el sistema One Login fue desarrollado en estaciones de trabajo no seguras por empresarios sin la autorización de seguridad requerida en Rumania.
Davis también señala que One Login no cumple con los propios requisitos del gobierno para ser clasificado como un proveedor de identidad seguro y confiable.
El gobierno criticó a un proveedor por permitir que su Marco de confianza de identidad y atributos digitales la certificación expirará a principios de este año y dice que está trabajando para restaurarla, lo que sucederá “inminentemente”.
Por otra parte, el portavoz de tecnología liberal demócrata, Lord Clement-Jones, cuestionó si One Login cumplía con los estándares del Centro Nacional de Seguridad Cibernética.
El par afirma haber hablado con un denunciante, quien afirma que el gobierno no cumplió con el plazo de 2025 establecido en su decreto. estrategia nacional de ciberseguridad para fortalecer los sistemas “críticos” contra los ciberataques.
Los ministros lo niegan, pero el par liberaldemócrata dijo que un funcionario le dijo que One Login no pasaría las pruebas de seguridad requeridas hasta marzo de 2026.
El denunciante también destacó un incidente ocurrido en marzo de este año, cuando un llamado “equipo rojo” encargado de simular un ciberataque real supuestamente pudo obtener acceso privilegiado a los sistemas One Login.
El Departamento de Ciencia, Innovación y Tecnología (DSIT) dice que no puede dar detalles del ejercicio del equipo rojo por razones de seguridad, pero dice que las afirmaciones de que sus sistemas fueron penetrados sin ser detectados son falsas.
Los funcionarios del DSIT también aseguraron a Lord Clement-Jones que los subcontratistas en Rumanía eran “un puñado de personas” ninguna de las cuales tenía acceso a la producción “y que todos los códigos estaban verificados”.
El departamento dice que todos los miembros del equipo que trabajan en One Login utilizan dispositivos “administrados por la empresa” que son monitoreados por un equipo de seguridad para detectar actividades maliciosas.
Pero Lord Clement-Jones dijo a la BBC que no estaba convencido de las garantías del ministerio.
Dijo que el historial de los sucesivos gobiernos en el uso de One Login y otros sistemas “no debería darnos confianza en que la nueva identificación digital obligatoria, que se basará en ellos, garantizará la seguridad de nuestros datos personales y cumplirá con los más altos estándares de ciberseguridad”.
La semana pasada, el Primer Ministro entregó el control general del sistema de identificación digital a la Oficina del Gabinete, dirigida por uno de sus ministros más confiables y de mayor rango, Darren Jones, lo que refleja su importancia para el gobierno.
Pero el Servicio Digital Estatal, que forma parte del DSIT, seguirá siendo responsable del diseño del proyecto.
Un portavoz de DSIT dijo: “Gov.UK One Login continúa sirviendo a los ciudadanos de todo el Reino Unido.
“One Login ahora alberga más de 100 servicios y ha sido utilizado por más de 12 millones de personas, casi una sexta parte de la población del Reino Unido.
“One Login sigue los más altos estándares de seguridad utilizados por el gobierno y el sector privado y cumple totalmente con las leyes de privacidad y protección de datos del Reino Unido.
“El sistema se somete a revisiones y pruebas de seguridad periódicas, incluso por parte de terceros independientes, para garantizar que la seguridad se mantenga sólida y actualizada”.
