Abitab avanza hacia la Identidad Digital 3.0 con Criptografía Poscuántica

Primeros pasos en certificación digital

En 2002, Abitab se convirtió en la primera empresa privada de Uruguay en montar una infraestructura criptográfica para la emisión de certificados digitales basados en claves RSA, en paralelo con el Correo Uruguayo, que hizo lo propio desde el sector público.

Esta tecnología permitió a los usuarios de los certificados digitales realizar firmas electrónicas con altos estándares de seguridad en portales como el del Banco Central del Uruguay. Aquellas iniciativas pioneras sentaron las bases de la identidad digital en el país.

Con la promulgación de la Ley 18.600 en 2009, que otorgó rango legal a la firma electrónica y estableció procesos de homologación bajo estrictas regulaciones de la Agencia de Gobierno Electrónico y Sociedad de la Información y del Conocimiento (Agesic) y certificaciones internacionales, Abitab dio un paso más hacia un rol estratégico.

“En 2014, Abitab se certificó frente al Estado como Autoridad de Certificación de Firma Electrónica Avanzada, lo que permitió que las firmas digitales alcanzaran la misma validez jurídica que las manuscritas”, dijo a Montevideo Portal Diego Vergara, gerente de ID Digital.

Cedida a Montevideo Portal

Hacia la identidad digital universal

En aquel momento, la tecnología dependía de tokens criptográficos o computadoras personales, lo que encarecía y dificultaba su masificación. Conscientes de que los dispositivos físicos limitaban la adopción, Abitab trabajó junto a Agesic en el diseño de un ecosistema más accesible. De esa colaboración público-privada surgió la identidad digital móvil, y Abitab fue la primera empresa en obtener la homologación estatal como Prestador de Servicios de Confianza (PSCO).

Desde 2018, esta solución permite a cualquier ciudadano autenticarse y firmar documentos en línea desde su celular, con los más altos estándares de seguridad. El avance posibilitó que una miríada de uruguayos realizase trámites como acceder a su historia clínica, presentar declaraciones juradas o solicitar partidas de nacimiento, además de que el sector privado implementara aperturas de cuentas y firmas remotas.

Gracias a la universalización del servicio, Uruguay fue reconocido por la ONU como uno de los países con mayor desarrollo en gobierno electrónico y servicios digitales en la región.

Servicios para la era de la pandemia: firma y votación remota

La crisis sanitaria de 2020 aceleró la digitalización y, al mismo tiempo, los fraudes cibernéticos. Ante este escenario, Abitab desarrolló nuevas soluciones tecnológicas. Entre ellas se destacó ID Firma, una plataforma que permite firmar documentos a distancia con validez jurídica. Esta herramienta resultó fundamental para miles de uruguayos que debieron reducir su movilidad y continuar trabajando de forma remota.

Más de 20.000 personas y cientos de empresas adoptaron la solución, intercambiando documentos firmados digitalmente. A su vez, a partir de esa base tecnológica, Abitab creó también ID Voto, una plataforma que permite votaciones electrónicas seguras. Cada voto se firma digitalmente con un certificado, garantizando el no repudio y convirtiéndose en la primera herramienta de votación con validez jurídica del país. Este servicio actualmente es muy demandado y verifica este aserto votaciones realizadas en varios sindicatos, la Cruz Roja Uruguaya y las manifestaciones de interés mostradas por actores prestigiosos de la sociedad como el Club Nacional de Fútbol y el Club Atlético Peñarol.

Foto: cedida a Montevideo Portal

Autenticación biométrica y multifactor: identidad digital 2.0

En respuesta al aumento del ciberdelito, en 2023 Abitab desarrolló junto a técnicos e ingenieros uruguayos la plataforma Identidad Digital 2.0, que ofrece distintos niveles de registro y mecanismos de autenticación.

Se definieron dos niveles principales:

• Registro 100 % digital (Seguridad Media-Alta):

Se realiza desde el teléfono del usuario, mediante un video verificado por algoritmos de detección de vida (liveness detection) y comparado con la base de datos de la Dirección Nacional de Identificación Civil (DNIC). El proceso elimina la necesidad de enviar o escanear documentos, uno de los puntos más vulnerables en otros sistemas. Es ideal para empresas que requieren aprobaciones instantáneas, como créditos o apuestas en línea. Un ejemplo es la Banca de Quinielas de Montevideo, que utiliza esta solución para prevenir suplantaciones y lavado de dinero.

• Registro presencial (Seguridad Muy Alta):

Se realiza en locales de Abitab. Se valida la identidad del interesado mediante comparación biométrica de huella dactilar y rostro contra la base de datos de la DNIC, además de los controles de identidad realizados por los oficiales de registro. Se complementa, a su vez, con la prueba de vida en el teléfono explicada anteriormente.

Niveles de registro: conclusión

La combinación de mecanismos digitales y presenciales es fundamental para identificar con certeza a las personas, reduciendo al mínimo el margen de error y dando robustez al ecosistema digital uruguayo.

A modo de referencia, los sistemas de validación de identidad 100 % digitales basados en biometría suelen presentar tasas de error del orden de 1 en 100. Sin embargo, cuando estos mecanismos digitales se combinan con validaciones presenciales y múltiples cruces biométricos, especialmente con verificación contra registros oficiales e interacción con personas, es posible alcanzar niveles de precisión significativamente mayores, con tasas de errores cientos o miles de veces inferiores a los de un registro 100% en línea.

Cobertura nacional y cercanía

El registro presencial no ha sido un problema en Uruguay, por el contrario, ha solucionado los problemas de seguridad de los usuarios en el mundo digital.

La identidad digital de Abitab puede obtenerse en una red de más de 500 locales distribuidos en pueblos y ciudades de todo el país. Esta amplia presencia territorial permite que cualquier persona complete el registro presencial sin necesidad de desplazarse grandes distancias y a un costo accesible, en el entorno de los 200 pesos anuales, con uso ilimitado. Este precio incluye la licencia de uso por un año y resulta mucho más económico que pagar cualquier otro trámite que se realiza de forma tradicional.

A esto se suma la posibilidad de obtener la identidad digital desde cualquier parte del mundo, a través de consulados o embajadas uruguayas, accediendo así al nivel máximo de registro y a la posibilidad de realizar trámites en Uruguay con el mayor nivel de seguridad. Un ejemplo de ello es la emisión reciente de una Identidad Digital a una compatriota que reside en Armenia.

Conclusión:

El sistema permite emitir identidades digitales y certificados digitales desde cualquier parte del mundo con los máximos niveles de seguridad.

La conjunción de las distintas funcionalidades del producto, es decir, la posibilidad de obtener un certificado haciendo acto presencial, sumado a la posibilidad de un onboarding 100% digital y a un costo sumamente económico, hace posible la universalización y democratización de la identidad digital, garantizando acceso y cobertura global para todos los uruguayos.

Datos clave

Un ejemplo de la aceptación de este sistema es que Abitab cuenta con más de medio millón de usuarios activos con registro presencial y emite en promedio más de 1.500 identidades por día, una cifra levemente inferior con la cantidad de documentos de identidad que emite la DNIC diariamente. Por su parte, alrededor de 200.000 usuarios poseen el nivel de registro remoto.

El nivel de registro requerido depende siempre de la plataforma donde se vaya a utilizar la identidad. Por ejemplo, en la banca privada y en la mayoría de los portales del Estado se exige el máximo nivel de registro por razones de seguridad, lo cual es razonable considerando que allí los usuarios acceden a información sensible, como su Historia Clínica Electrónica o la firma digital (base para la suscripción de contratos, vales y otros documentos jurídicos). Sin embargo, también existen casos de negocio donde el riesgo es menor, en los cuales resulta suficiente un nivel de registro 100 % digital, sin necesidad de presencialidad.

Autenticación:

La autenticación es el mecanismo a través del cual un usuario demuestra que es quien dice ser en una transacción digital. La Identidad Digital 2.0 admite múltiples factores de autenticación combinados según los requerimientos de cada servicio, basándose en los tres principios clásicos: lo que sé, lo que tengo y lo que soy.

Abitab ha eliminado deliberadamente el uso de usuario y contraseña de la Identidad Digital 2.0, dado que este mecanismo se considera obsoleto y es responsable de la mayoría de los ataques por robo de credenciales. En efecto, es así debido a la capacidad que tienen los computadores actuales para desentrañar cualquier contraseña a través de mecanismos de fuerza bruta.

Un ejemplo de la vulnerabilidad de las contraseñas es el uso que los usuarios suelen darle. Se ha verificado que generalmente se utilizan contraseñas iguales o similares en distintos portales, lo que posibilita que sean fácilmente desentrañadas por ataques como el phishing.

“Un ejemplo claro de la vulnerabilidad de las contraseñas es el uso que los usuarios suelen darles. En la mayoría de los casos se repiten o se utilizan contraseñas muy similares en distintos portales, lo que las vuelve fáciles de vulnerar mediante ataques como el phishing”, explicó Diego Vergara.

Se sabe también que existen bases de datos con usuarios y contraseñas filtradas que se comercializan por pocos dólares. Esto ocurre, en gran medida, por la práctica de reutilizar las mismas contraseñas en diferentes sistemas. Así, si uno de estos sistemas es vulnerado, o ingresamos nuestras credenciales en un sitio fraudulento, queda comprometido todo nuestro ecosistema digital o identidad digital en base a contraseñas.

Otro problema de los sistemas de autenticación basados en usuario y contraseña es que no pueden garantizar que quien está detrás de una operación digital, es realmente quien dice ser, ya que es común la delegación de identidad de forma intencional por parte de los usuarios. Es decir, el titular de una cuenta puede delegar intencionalmente en un tercero sus credenciales.

Por estas razones, uno de los mecanismos de autenticación más robustos que permite la Identidad Digital 2.0 es la prueba de vida con comparación biométrica, como se explicó anteriormente.

Software de integración (SDK)

De acuerdo a la experiencia de Abitab, para muchas empresas es fundamental que sus usuarios abandonen sus propias aplicaciones o sistemas al momento de realizar una autenticación. Por ello, Identidad Digital 2.0 permite, a través de un software de integración (SDK), incorporar sus métodos de autenticación directamente en las aplicaciones de cada empresa, sin perder la identidad visual y manteniendo al cliente dentro de su entorno, con una experiencia más fluida y segura.

Esta tecnología, desarrollada íntegramente por ingenieros uruguayos, ofrece bajos costos de uso e implementación para las empresas, ya que no depende de licencias de proveedores internacionales y destaca por su flexibilidad y adaptabilidad. Al ser un producto 100 % uruguayo, y gracias a su integración con los mecanismos biométricos de fuentes oficiales, tanto en el registro como en la autenticación, se posiciona como una solución diseñada específicamente para el mercado uruguayo.

“Al ser un producto 100 % uruguayo, e integrado con los mecanismos biométricos de fuentes oficiales tanto en el registro como en la autenticación, se posiciona como una solución diseñada específicamente para el mercado uruguayo”, aseguró Vergara.

Innovación continua y Criptografía Poscuántica (PQC)

En virtud del vertiginoso avance tecnológico que permitirá el desarrollo de la computación cuántica, con capacidades siderales de procesamiento, resulta necesario pensar que el sistema de seguridad criptográfico de clave pública y privada quedará obsoleto en algunos años. Por tanto, el equipo de ID Digital Abitab mantiene la mirada puesta en el futuro.

“Apoyándonos en Agesic y en la visión de distintos asesores internacionales, ya estamos trabajando en la transición hacia algoritmos poscuánticos capaces de resistir los ataques de los futuros ordenadores cuánticos”, dijo el gerente de ID Digital.

Se estima que hacia el año 2030 la computación cuántica podrá romper o descifrar el algoritmo RSA (clave pública y privada), lo que volverá obsoletas las tecnologías actuales basadas en ese esquema criptográfico.

Esto implica que los nuevos procesadores cuánticos, con su capacidad de procesamiento muy superiores a los actuales, podrán descifrar en segundos archivos cifrados o firmados con los métodos tradicionales.

Para anticiparse a este escenario, recientemente el Instituto Nacional de Estándares y Tecnología (NIST) ha publicado nuevos estándares que establecen la base de la criptografía poscuántica. Entre ellos se destacan el algoritmo de encapsulación de claves ML-KEM, definido en el FIPS 203, y el esquema de firma ML-DSA, incluido en el FIPS 204. Estos mecanismos reemplazarán progresivamente a las claves RSA y garantizarán que las firmas electrónicas, la encriptación de archivos y la transferencia de datos se mantengan seguras en la próxima década.

Es fundamental mantener una visión de largo plazo, ya que la sustitución de infraestructuras criptográficas o tecnológicas requiere años de planificación y despliegue. Tanto los técnicos del sector público como los del privado están comprometidos a preservar los altos niveles de seguridad que caracterizan al ecosistema uruguayo de identidad digital.

Dos décadas de liderazgo y desafíos por venir

Desde sus inicios en 2002 hasta los actuales proyectos de criptografía poscuántica, Abitab y su equipo ha sido protagonistas de la transformación digital uruguaya, con orgullo y compromiso.

Su trayectoria combina innovación tecnológica, amplia cobertura territorial, precios accesibles y la confianza de los usuarios en la marca, junto con una cooperación constante con el sector público.

Todo ello permite garantizar que la identidad digital y su ecosistema sean seguros, accesibles y útiles para toda la ciudadanía uruguaya.

Con más de medio millón de usuarios activos, miles de registros diarios y cientos de miles de autenticaciones y firmas digitales en diversos sistemas públicos y privados integrados a la solución de Identidad Digital Abitab, la empresa se mantiene como un referente en la materia y se prepara para los desafíos que traerá la nueva era de la computación.

Abitab avanza hacia la Identidad Digital 3.0 con Criptografía Poscuántica

Delgado criticó a Negro por plan de seguridad: “Hay algo peor, que es no tener ideas”

Todos los detalles de Uruguay para la fase de grupos del Mundial: fechas, sedes y horario

El abogado de Sebastián Marset reveló cuándo se iba a entregar y por qué lo descartaron

Vuelve Todas las voces: detalles del nuevo formato y las expectativas de Viviana Ruggiero

Eric Dane, actor de “Grey’s Anatomy” y “Euphoria”, reveló que padece ELA

La Academia dará un premio Óscar a los dobles de riesgo de los actores a partir de 2028

Todos los detalles de Uruguay para la fase de grupos del Mundial: fechas, sedes y horario

Antonio Palma: la espera por Suárez y la reafirmación de sus dichos sobre Diego Aguirre