Reglamento eIDAS

El Reglamento eIDAS (Reglamento UE 910/2014) es la piedra angular de la confianza digital en la Unión Europea. Para un opositor de informática, es vital entenderlo no solo como una ley, sino como el marco técnico que define cómo nos identificamos y firmamos «en la nube» con validez legal.

Recientemente ha evolucionado hacia eIDAS 2.0 (Reglamento 2024/1183), que introduce cambios revolucionarios. Aquí tienes el desglose técnico y jurídico:

1. Los dos pilares de eIDAS

El reglamento se divide en dos grandes bloques:

  1. Identificación Electrónica (eID): Sistemas para que personas y empresas demuestren quiénes son electrónicamente.
  2. Servicios de Confianza (Trust Services): Herramientas para dar seguridad jurídica a las transacciones (firmas, sellos, etc.).
2. Niveles de Seguridad (Garantía)

Uno de los conceptos más preguntados. eIDAS define tres niveles de seguridad para los medios de identificación:

  • Bajo: Uso de un solo factor (ej. usuario/contraseña). Riesgo limitado.
  • Sustancial: Requiere al menos dos factores de autenticación (MFA). Diseñado para reducir sustancialmente el riesgo de suplantación.
  • Alto: El nivel del DNI electrónico o certificados en tarjeta criptográfica. Requiere controles técnicos muy estrictos para evitar cualquier alteración de la identidad.
3. Servicios de Confianza (Lo que «hacemos» digitalmente)

El reglamento regula varios servicios, distinguiendo entre servicios «normales» y «cualificados» (estos últimos tienen una presunción legal de validez superior):

  • Firma Electrónica: Para personas físicas. Hay tres niveles:
    1. Simple: Datos asociados (ej. pin de un SMS).
    2. Avanzada: Vinculada de forma única al firmante y bajo su control exclusivo (permite detectar cambios posteriores).
    3. Cualificada: Creada con un dispositivo cualificado (tarjeta/token) y basada en un certificado cualificado. Equivale legalmente a la firma manuscrita.
  • Sello Electrónico: Igual que la firma, pero para personas jurídicas (empresas/instituciones). Garantiza el origen y la integridad de un documento.
  • Sello de Tiempo (Timestamp): Prueba que unos datos existían en un momento concreto y no han sido alterados desde entonces.
  • Entrega Electrónica Certificada: El equivalente digital al burofax. Da pruebas del envío y la recepción.
4. La Revolución: eIDAS 2.0 y el «Wallet» Europeo

Aprobado en 2024, el nuevo reglamento introduce la European Digital Identity Wallet (EUDI):

  • Obligatoriedad: Cada Estado miembro (como España) debe ofrecer al menos una «cartera digital» a sus ciudadanos antes de 2026.
  • Atributos: No solo llevará el DNI; podrás llevar el carnet de conducir, títulos universitarios o recetas médicas, compartiendo solo lo necesario (ej. demostrar que eres mayor de edad sin revelar tu fecha de nacimiento exacta mediante Zero Knowledge Proofs).
  • Sector Privado: Las grandes plataformas (Google, Facebook, Amazon) estarán obligadas a aceptar el Wallet europeo para el login.
5. Conceptos clave para el examen
  • Interoperabilidad: Un ciudadano español puede usar su DNIe para hacer un trámite en la administración francesa gracias al «Nodo eIDAS» (que traduce protocolos, normalmente usando SAML 2.0).
  • Lista de Confianza (TSL): Cada país publica una lista de prestadores de servicios de confianza supervisados. Si no estás en la lista, no eres «cualificado».
  • QWAC (Certificados Cualificados de Autenticación de Sitios Web): Certificados SSL/TLS reforzados que identifican legalmente quién está detrás de una web para evitar el phishing.

Niveles del proyecto eIDAS

1. Nivel Bajo (Low)
  • Definición: Ofrece un grado de confianza limitado en la identidad reclamada.  
  • Requisitos Técnicos: Generalmente se basa en un solo factor de autenticación (ej. una combinación de usuario y contraseña).
  • Uso: Trámites con muy poco riesgo o que no implican datos sensibles (ej. solicitar una cita informativa o acceso a foros públicos).
  • Dato de examen: No existe obligación de reconocimiento transfronterizo por parte de otros Estados miembros.
2. Nivel Sustancial (Substantial)
  • Definición: Ofrece un grado de confianza sustancial. Se busca reducir significativamente el riesgo de uso indebido o alteración de la identidad.  
  • Requisitos Técnicos: Exige al menos dos factores de autenticación (MFA/2FA) de diferentes categorías (ej. algo que sabes —contraseña— y algo que tienes —código enviado al móvil—).
  • Uso: Trámites administrativos comunes (ej. presentar una instancia general, consultar el estado de un expediente).
3. Nivel Alto (High)
  • Definición: Ofrece el mayor grado de confianza. Está diseñado para prevenir de forma casi total la suplantación de identidad.  
  • Requisitos Técnicos: Además de la autenticación multifactor, requiere el uso de dispositivos seguros (como una tarjeta inteligente o un chip criptográfico) y que el registro inicial de la identidad haya sido presencial o equivalente.
  • Ejemplos en España: El DNI electrónico (DNIe) y los certificados en tarjeta criptográfica son nivel Alto.
  • Uso: Trámites de alto riesgo (ej. operaciones financieras de gran volumen, acceso a datos médicos críticos).

¿Por qué es importante esto para el Nodo eIDAS?

Aquí es donde se une con la parte técnica de tu tema (Pág. 12-13):

  1. Reconocimiento Obligatorio: Si España «notifica» a la Comisión Europea que el DNIe es un sistema de nivel Alto, cualquier otro país de la UE está obligado a aceptarlo para acceder a sus servicios públicos en línea que requieran nivel «Sustancial» o «Alto».
  2. Mapeo de Atributos: Cuando te identificas a través del Nodo eIDAS, el mensaje SAML 2.0 lleva una etiqueta indicando el nivel (LoA – Level of Assurance). El país de destino lee esa etiqueta para decidir si te deja pasar o no.
NivelConfianzaAutenticaciónEjemplo Típico
BajoLimitada1 factor (Password)Registro en web informativa
SustancialSignificativa2 factores (MFA)Cl@ve PIN / Cl@ve Permanente
AltoMuy elevada2 factores + Chip seguroDNIe / Certificado FNMT