¿Están preparados los californianos para otra nueva versión de la licencia de conducir?

El último, llamado "Real ID", fue tan bien visto como CNN+. Hasta abril, menos de la mitad de los conductores del estado habían obtenido uno, aunque los californianos necesitarán una identificación real o un pasaporte para subirse a un avión o ingresar a un edificio federal en un año. La tibia reacción puede deberse al hecho de que estas identificaciones no ofrecen nuevos beneficios a los conductores, solo otra obligación que requiere mucho tiempo.

Ahora, el Departamento de Vehículos Motorizados del estado planea probar una versión llamada licencia de conducir móvil o identificación digital, una credencial de verificación de identidad almacenada en su teléfono inteligente. Y a diferencia de Real ID, una licencia móvil podría darle más control sobre su información personal, aunque los críticos dicen que un sistema mal diseñado amenazaría su privacidad.

Louisiana, Colorado y Arizona ya han implementado licencias móviles y Utah las está probando. Otros países, incluidos Alemania y Nueva Zelanda, también están creando sistemas de identidad digital. Sin embargo, la tecnología todavía está en sus inicios, dicen los expertos, con algunas piezas clave sin terminar.

Este es un resumen de cómo funcionarían las licencias móviles, los beneficios que podrían proporcionar y los posibles inconvenientes.

¿Cuál es el punto?

Eric Jorgensen, director de la División de Vehículos Motorizados de Arizona, dijo en una entrevista reciente que el objetivo es mejorar la seguridad, la privacidad y la comodidad. "No se trata de equilibrar uno contra el otro", dijo. "Es un intento de hacer que los tres sean mejores".

Sin embargo, la forma más fácil de comprender la presión por el cambio es considerar los problemas con las licencias de conducir convencionales.

Los terroristas del 11 de septiembre utilizaron identificaciones estatales obtenidas de manera fraudulenta para abordar los aviones que secuestraron, poniendo un signo de exclamación sobre las vulnerabilidades de las tarjetas de identificación físicas. Los eventos de ese día llevaron al gobierno federal a aprobar la Ley Real ID en 2005, que establece estándares más altos sobre cómo se diseñan y emiten las licencias. El objetivo era impedir que las tarjetas fueran falsificadas u obtenidas por personas que no eran residentes legales.

Sin embargo, Real ID no era una panacea. Si bien las marcas de agua y otras características de diseño eran difíciles de copiar, también eran difíciles de reconocer para el ojo inexperto. Casi tienes que ser un experto en seguridad para detectarlos, dijo Jorgensen.

Y como todas las identificaciones físicas, las licencias convencionales no son de mucha ayuda cuando se trata de verificar su identidad en Internet. No son inútiles; vea, por ejemplo, cómo ID.me usa licencias y cámaras de teléfonos inteligentes para verificar identidades en línea. Pero tiene que pasar por muchos obstáculos en la web para demostrar que la tarjeta de identificación que está usando en realidad le pertenece, y el proceso sigue siendo vulnerable a las estafas.

Otro problema con las tarjetas de identificación físicas es que pueden compartir demasiada información. Cuando ese portero espeluznante en la puerta del club nocturno exige una prueba de que tienes la edad suficiente para entrar, no puedes simplemente mostrarle la fecha de nacimiento en tu licencia. Tienes que mostrarle todo, revelando tu nombre y dirección en el proceso. Puaj. (Y como señala Jorgensen, nada impide que el portero tome fotografías de cada licencia que se muestra en la puerta).

Además, la información laminada en forma permanente en una identificación física no es, en sí misma, permanentemente precisa. Y nada en la tarjeta indicará que tiene información incorrecta; la única forma de verificar detalles como su nombre y dirección actuales es acceder a la base de datos del DMV.

Y finalmente, incluso una tarjeta de identificación actualizada a prueba de falsificaciones no puede confirmar que la mano que la sostiene pertenece a la persona que la obtuvo. Hay información en la tarjeta que un cajero o empleado puede comparar con la apariencia física de una persona, pero ese no es un sistema de verificación infalible.

¿En qué sería diferente una licencia móvil?

Las deficiencias de las licencias de conducir son parte de un problema mayor con la forma en que las personas responden la pregunta "¿Quién es usted?" Es un desafío aún mayor en línea, donde el robo de identidad ha aumentado considerablemente durante la última década. La necesidad de algo más seguro que las tarjetas de identificación y la omnipresente combinación de inicio de sesión y contraseña ha inspirado a numerosas empresas y grupos interindustriales, como Better Identity Coalition y Fast Identity Online Alliance, para promover formas más confiables de verificar la identidad.

En respuesta, el mundo de la tecnología está cambiando constantemente hacia soluciones basadas en la "autenticación de múltiples factores". Una contraseña es un factor, algo que solo usted sabe. Una tarjeta de identificación también es un factor único, algo que usted tiene. La autenticación multifactor es una combinación de algo que sabes, algo que tienes y algo que eres, como una huella dactilar o un escaneo facial.

Ese es el enfoque adoptado por una aplicación de licencia de conducir móvil. Utiliza las capacidades biométricas de su teléfono inteligente (algo que usted es) para vincular su licencia de conducir o identificación móvil a su dispositivo (algo que tiene). Para ciertos usos, incluso podría requerir un código de acceso (algo que sepa).

Los defensores de las licencias de conducir móviles dicen que un sistema basado en el estándar técnico publicado el año pasado por la Organización Internacional de Normalización aborda todas las deficiencias de una licencia física. Una advertencia es que el estándar ISO solo cubre el uso en persona en este momento; los estándares para el uso en línea aún están en desarrollo.

Imagina, solo por ejemplo, que estás tratando de ingresar a ese club nocturno con el portero espeluznante:

—Puedes decidir si le permites verificar tu licencia móvil—no puede hacerlo sin tu permiso. Y no tienes que darle tu teléfono al portero para mostrar tu identificación; su aplicación de licencia intercambiará información de forma inalámbrica con su dispositivo.

—Usted controla qué partes de la información de su licencia compartir y cuáles mantener ocultas. Además, la aplicación de licencia puede responder algunas preguntas de sí/no, por lo que puede revelar si tiene la edad suficiente para ingresar sin decirle al portero su fecha de nacimiento.

—De la forma en que está diseñado el sistema, ninguna de la información que divulgues será almacenada por el dispositivo del portero.

—La licencia móvil también es más fácil de verificar para el portero. En lugar de examinar su licencia física en busca de marcas de agua u otras características contra la falsificación, su dispositivo utilizará técnicas criptográficas para confirmar que su licencia es auténtica.

—¿Dejar tu teléfono en el bar después de darte un capricho? La licencia móvil es más resistente a los robos que su contraparte física, gracias a los controles biométricos de su teléfono. Además, si pierde su teléfono, puede pedirle al DMV que revoque su licencia móvil, dejándola inoperable, en marcado contraste con una licencia física revocada, que no se ve diferente a una válida.

—Pero digamos que un ladrón de alguna manera logra desbloquear su teléfono y su licencia móvil, luego intenta alquilar un automóvil con la licencia antes de que la revoque. Cuando el ladrón comparte los datos de la licencia móvil con un agente en el mostrador, la imagen almacenada se transmitirá electrónicamente al dispositivo del agente para que pueda compararla con la persona que se hace pasar por usted.

—Otro beneficio:cuando cambia su dirección, puede actualizar su información de inmediato. De manera similar, si se suspenden o revocan sus privilegios de conducir, la licencia digital lo reflejará de inmediato, pero seguirá funcionando como una identificación.

Los dos estados que fueron los primeros en salir con aplicaciones de licencias móviles (Luisiana y Colorado) actuaron antes de que se completara el estándar ISO, lo que limitó la interoperabilidad de sus licencias. En este punto, la aplicación de Colorado es aceptada por las agencias y los oficiales de policía de ese estado, y la de Luisiana trabaja con agencias gubernamentales, licorerías estatales y otros usuarios de la aplicación.

Para permitir un uso más amplio de las licencias móviles, la American Assn. de Administradores de Vehículos Motorizados, un grupo comercial de funcionarios del DMV de todo el país, ha emitido pautas para las licencias de conducir móviles basadas en la norma ISO. Y de acuerdo con una ley de 2020, el Departamento de Seguridad Nacional de EE. UU. está trabajando en formas de verificar las identificaciones electrónicamente, utilizando el mismo estándar.

La Administración de Seguridad del Transporte ha comenzado a admitir licencias móviles basadas en estándares en la aplicación de billetera de Apple. En aeropuertos seleccionados, los residentes de Arizona con una licencia de telefonía móvil del estado pueden pasar por un control de TSA con un solo toque de su dispositivo, dijo Jorgensen.

Las agencias estatales de Arizona también están comenzando a aceptar su licencia de conducir móvil para verificar a los solicitantes de otras licencias y servicios estatales, dijo Jorgensen, y agregó que los minoristas y los bancos también han expresado interés en cómo pueden implementar la tecnología. En el primer año del programa, dijo, alrededor de 320,000 residentes de Arizona habían descargado la aplicación de licencia móvil y, desde marzo, alrededor de 60,000 habían puesto su identificación móvil en una billetera Apple. (El estado tiene más de 5,3 millones de conductores con licencia).

Vittorio Bertocci de Okta, cuya tecnología ayuda a las empresas a verificar identidades, dijo que después de dos décadas trabajando en cuestiones de identidad, "probablemente por primera vez, veo que los estándares y la tecnología son lo suficientemente maduros como para brindar una buena base, una buena base". para identificación móvil. "Y veo el deseo, la inversión, de los gobiernos", dijo Bertocci, arquitecto principal de la empresa.

Entonces, ¿qué podría salir mal?

El hecho de que exista un estándar internacional no significa que todos los países lo estén utilizando. Aunque EE. UU. se está basando en el estándar, Bertocci dijo que los países europeos están adoptando un enfoque diferente. Compañías como Okta pueden proporcionar formas de salvar las diferencias para que los sistemas de identificación digital puedan interoperar, dijo, pero ese tipo de arreglo puede no ser universalmente aceptado.

Tampoco todos tienen un teléfono inteligente o una tableta. Es por eso que cada licencia móvil implementada en los EE. UU. hasta ahora ha sido un complemento de una identificación física, no un reemplazo.

Más fundamentalmente, la noción de cambiar las identificaciones de físicas a digitales es preocupante para algunos defensores de la privacidad. Entre otras cosas, les preocupa que las empresas y los gobiernos encuentren una manera de usar licencias digitales para rastrear sus movimientos y aprender algo sobre su vida personal.

De acuerdo, deja un rastro digital cuando usa su tarjeta de crédito o teléfono inteligente para pagar cosas fuera de casa. Pero con una licencia de conducir en una tarjeta y un montón de dinero en efectivo en su billetera, puede ocuparse de sus asuntos en relativo anonimato.

Bill Lamoreaux, vocero de la División de Vehículos Motorizados de Arizona, dijo que las personas que desarrollan e implementan las licencias móviles están abordando esas preocupaciones.

"La identificación móvil, tal como se implementa, es de dispositivo a dispositivo", dijo Lamoreaux. En otras palabras, el dispositivo que verifica su identificación no se conecta al DMV, por lo que no puede rastrearlo. "Como autoridad emisora, no sabemos cuándo ni dónde se usan, como es el caso de una licencia o identificación física, plástica".

Aún así, Alexis Hancock, director de ingeniería de Electronic Frontier Foundation, dijo que el estándar para licencias digitales incluye una forma en que la aplicación se mantiene en contacto con la agencia que la emitió, y "realmente no aborda de manera efectiva cómo limitar esto". ."

Jeremy Grant, coordinador de Better Identity Coalition, dijo que a algunos funcionarios gubernamentales, especialmente a los encargados de hacer cumplir la ley, les encantaría usar licencias digitales para el seguimiento. Y las consecuencias podrían ser graves:Imagínese, dijo Grant, si las licencias pudieran informar cuándo una mujer fue a una clínica de abortos fuera del estado.

Pero ese tipo de seguimiento no puede ocurrir en un sistema diseñado adecuadamente, dijo. Cada licencia móvil vendrá con la firma digital encriptada del estado. Cuando comparte información de su licencia, el dispositivo de verificación solo verifica si la firma digital es válida; de ser así, su ID y los datos que contiene son válidos. "Pueden obtener una respuesta sí/no sin que el estado sepa que fuiste tú", dijo Grant.

Más allá de eso, una licencia móvil basada en estándares no transmite un identificador único cuando comparte sus datos. Entonces, nuevamente, no hay huellas electrónicas para conectar la identificación móvil utilizada en el club nocturno X o la cervecería Y con la persona a la que pertenecía.

Antes de seguir adelante con las licencias móviles, dijo Hancock, los gobiernos deben resolver una serie de problemas que podrían surgir al colocar identificaciones en teléfonos inteligentes llenos de información personal confidencial. Por ejemplo, dijo, ¿qué sucede si un policía de tránsito o un agente de la TSA le exigen que entregue su teléfono desbloqueado para una verificación de identidad, aunque pueden obtener la información que necesitan de su licencia móvil sin que usted lo haga? ¿Qué medidas de seguridad existen contra el registro ilegal de su teléfono?

Algunos defensores de la privacidad quieren extender el almacenamiento de datos de identificación en línea, utilizando blockchain u otra tecnología de registro distribuido, en lugar de tenerlo centralizado en una base de datos estatal. Cada parte de la información de identidad de una persona (nombre, fecha de nacimiento, dirección, fotografía, etc.) se almacenaría por separado para que pudiera verificarse independientemente de las demás. Eso reduciría el riesgo de una fuga masiva de datos y al mismo tiempo garantizaría que el gobierno no mantenga ningún registro de dónde y cuándo se usan las identificaciones digitales.

El enfoque descentralizado, conocido como credenciales verificables, está siendo explorado por la provincia canadiense de Columbia Británica y una coalición de grupos en todo Canadá. Un proyecto de ley del senador estatal Bob Hertzberg (D-Van Nuys), SB 1190, requeriría que California para el 1 de enero de 2024 "brinde estándares de la industria y mejores prácticas" con respecto a la emisión de credenciales verificables para individuos y empresas.

Grant dijo que su grupo no tiene una posición sobre la cuestión técnica de cómo se almacenan las credenciales de identificación, solo que el arreglo debe preservar la privacidad y ser seguro. Pero su opinión personal, dijo, es que los enfoques de blockchain "introducen algunas formas muy complicadas de administrar la identidad y la privacidad que abrumarán al consumidor promedio", como exigir a las personas que "administren una clave [criptográfica] privada diferente para cada punto de datos sobre ellos".

Agregó:"Puede preservar la privacidad y evitar el seguimiento con tecnologías que no requieren blockchain, y que son más fáciles de implementar, más fáciles de usar para las personas y que escalan mejor".

Algunos de los defensores más libertarios del enfoque de credenciales verificadas quieren sacar al gobierno completamente del negocio de la identidad. Harían que la gente se certificara a sí misma, aunque de alguna manera verificable. El gran desafío para este grupo, dijo Grant, es persuadir a los bancos, agencias gubernamentales y otros para que acepten reclamos de "auto-soberanía", en lugar de aquellos respaldados por un DMV u otra agencia gubernamental.

¿Qué está haciendo California?

Los legisladores estatales autorizaron el año pasado al DMV a realizar una prueba con licencias de conducir y tarjetas de identificación móviles, lo que le dio al departamento un año para elaborar un cronograma y una estimación de costos para el proyecto piloto. En este punto, el departamento todavía está hablando con múltiples proveedores sobre posibles enfoques, sin fecha fijada para el lanzamiento de ningún programa piloto, dijo el departamento en un correo electrónico.

El departamento se negó a decir cómo respondería a las preocupaciones expresadas por los defensores de la privacidad. Pero la legislación de autorización, que los legisladores incluyeron en un proyecto de ley de avance del presupuesto 2021-22, estableció una serie de protecciones obligatorias para las personas que participan en el juicio, que incluyen:

—No participación forzada. Solo se incluirán voluntarios en la prueba, que está limitada al 0,5 % de los conductores con licencia del estado, o unas 135 000 personas.

—Sin seguimiento ni extracción de datos por parte de su aplicación. Your digital license or ID card and the corresponding mobile app are barred from collecting or holding any information beyond what's needed to perform their stated functions, "including, but not limited to, any information related to movement or location."

—No sneaky license checks. Before your mobile ID app responds to any request for information, you would have to approve the release of any amount of information.

—No warrantless searches. You cannot be forced to hand over your device in order to verify your ID, nor do you consent to having your device searched if you use it to verify your ID.

—No extra data provided. The information that can be released by the app is limited to what's on your physical driver's license or ID card.

Ultimately, the success of a mobile license will depend on how widely it's adopted—not just by drivers, but by anyone who asks for your ID. There's a bit of a chicken-and-egg problem, Jorgensen said, because there's not much incentive for companies to build apps that support mobile IDs if few people are using them, and states and their residents won't have much incentive to adopt mobile IDs if there aren't many places that accept them.

Yet there are plenty of other factors driving interest in digital IDs among state governments and businesses, particularly national ones. And millions of Americans have already gotten a taste of how their smartphones can be used to verify personal details—they've been using them over the past year to prove their vaccination status.

There's a long way still to go on mobile driver's licenses, though, with basic questions still to be answered about where identity credentials will be stored and how identity will be verified online. At the current pace, Grant said, it will take 10 to 15 years for mobile IDs to get to critical mass.

Californians is likely to have access to one well before that. But the DMV is the agency in charge of this effort, so a long wait time would be on brand.