Giesecke & Devrient, palabras mayores en el mundo de la seguridad de ‘toda la vida’, está siendo también hoy en día referencia ineludible en el emergente mundo de los denominados identificadores únicos corporativos multipropósito, sustentados en su saber hacer en el campo de tarjetas electrónicas con chip. En la siguiente entrevista, Victor Campdelacreu, su director general para España –y responsable además de los mercados de Portugal, Israel, Turquía y Latinoamérica– da cuenta de los importantes proyectos acometidos en nuestro país y del devenir que nos aguarda en los siempre procelosos campos de la autenticación en escenarios telemáticos. |
 |
– ¿Qué fue y qué es Giesecke y Devrient hoy?
– En su origen fue una compañía fundada en Alemania en 1852 para la fabricación de documentos de valor, es decir, acciones, bonos, etc, y más tarde empezó a imprimir marcos, los billetes alemanes. Es decir, era una institución dedicada fundamentalmente a dotar de seguridad a un elemento, que era el papel en aquella época, para que los medios de pago fueran seguros. Desde entonces, con una trayectoria de más de 150 años y diversos avatares a nuestras espaldas, hemos llegado hasta aquí. Hoy G&D es una compañía cuya misión es ofrecer seguridad a sus clientes a través de soluciones de alta tecnología, tanto para el mundo real como el virtual.
Naturalmente, a tenor de la evolución que ha tenido el mundo en todo este tiempo, especialmente en los últimos sesenta años, G&D se ha ido acomodando a todas las nuevas tecnologías que los medios de pago ha venido utilizando, empezando por el cheque, el eurocheque -por cierto, un invento nuestro-, las tarjetas de crédito y de débito, las tarjetas telefónicas, las de prepago, y después, evidentemente, fabricando las máquinas para el reconocimiento de todo esto, especialmente de los billetes; también, como no podía ser de otra manera, hemos entrado en el mundo de las tecnologías digitales e internet, medio donde la tarjeta se constituye en un medio apropiado para proporcionar seguridad, confidencialidad y garantías a un mundo que se está moviendo en estos escenarios.
Como digo, nuestro paradigma es la seguridad. Damos la garantía sobre todo lo que hacemos: si un cliente pide seguridad, sea cual sea su complejidad, nosotros estamos en disposición de dársela; vivimos de eso. Somos de fiar porque si falláramos, no sería sólo con un cliente, fallaríamos en todo el mundo y el negocio se iría al garete. Nuestro más de siglo y medio de historia es un garantía de que nuestra tecnología es suficientemente segura para que todos los clientes tengan confianza.
– A grandes rasgos, ¿cómo está conformada Giesecke & Devrient en tanto multinacional?
– El Grupo G&D tiene su sede central en la ciudad alemana de Munich y comprende alrededor de cincuenta subsidiarias, entre sucursales directas y ‘joint ventures’ locales. Engloba a cerca de 8.000 empleados, de los cuales algo más de 450 operan en la sucursal ibérica. En su último ejercicio facturó mundialmente 1.100 millones de euros, con un incremento de aproximadamente el 4%. A nivel grupo, el 48% de la cifra sería atribuible al segmento de tarjetas y el 52% restante, se enmarcaría en el área de billetes.
Como puede usted entender, la investigación y la innovación tecnológicas en nuestra actividad son determinantes, por ello invertimos en I+D alrededor de un siete por ciento, y contamos con más de seiscientos empleados en áreas de desarrollo de conceptos y nuevos productos.
– ¿Y la filial española?
– Tras la de México, la española fue la segunda filial en tomar carta de naturaleza, primero como una ‘joint venture’ en 1987 y dos años más tarde iniciando su andadura como tal. Es una de las sucursales más grandes del grupo en el mundo, teniendo todos los negocios y actividades centralizados aquí, con la lógica excepción de la fabricación de billetes.
En este momento somos unos 420 empleados en España y unos 40 en Portugal. Tenemos una fábrica en Barcelona y centro de servicios y oficina comercial en Madrid y Lisboa. En este edificio de Madrid, al igual que en el de la capital portuguesa, además de dar servicios comerciales también realizamos personalizaciones de tarjetas. En Madrid disponemos asimismo de una división de procesamiento de billetes.
Aquí hemos tenido un crecimiento de facturación del orden del 23%, alcanzado los 56 millones de euros en el último ejercicio.
– En el mundo de las actividades telemáticas, el concepto de protección que suministran las tarjetas compite a día de hoy con otras alternativas, muy especialmente en escenarios IP. ¿Puede hacer un breve resumen de las virtudes y bondades de esta opción?
– La tarjeta tiene varias ventajas claras: es muy cómoda y estamos acostumbrados a ir con ella; permite llevar la seguridad completamente ‘off-line’ y, además, es muy segura y robusta, su falsificación a la luz de la tecnología actual es prácticamente imposible. Eso le confiere grandes ventajas porque otras alternativas, como por ejemplo tener en el PC un sistema de cifrado, puede ser mucho más vulnerable por estar abierto y en línea en la red. El único inconveniente es que para utilizarla es necesario disponer de un pequeño terminal de lectura.
En ámbitos donde sí se requiere alta seguridad, para transacciones electrónicas, para identificación segura, para firma electrónica, etc, la tarjeta es una opción prácticamente insustituible. Buena prueba de ello son las esperanzas depositadas en la llegada del DNI electrónico para tener un elemento seguro, tan seguro como que el Estado lo garantiza y está soportado en una tarjeta.
 |
“Estamos convencidos de que la inercia del DNI electrónico contribuirá muy positivamente a que las organizaciones que no lo han hecho ya pongan en marcha su proyecto de identidad digital de sus empleados." |
– De todas formas, un asunto pendiente será la implantación a escala masiva de los lectores de tarjetas, cuestión nada trivial dado que no acaba de arrancar.
– Definitivamente, el gran problema al que usted hace referencia se debe a que hay muchos intereses, pocos estándares y una descoordinación entre todos los agentes para que esto salga adelante.
Sin ánimo de ser polémico ni políticamente incorrecto, quizás creo que sí hay algunos factores determinantes para que esto suceda. Uno de ellos es que quién domina la industria informática a nivel mundial es Estados Unidos; ellos marcan los ritmos, la producción, los estándares, y eso también ocurre, en los ámbitos de fabricación de PCs, con otros países ligados a EEUU, como China. En América la tecnología de tarjeta con chip, como no es suya, no ha acabado de triunfar; allí se utilizan otros mecanismos, otros medios quizás menos seguros -tarjetas de crédito vía Internet, códigos que van impresos y se leen con un teléfono, etc- pero a ellos, por ahora, les basta y se fían. No buscan la seguridad como la buscamos aquí en Europa, porque en sus mercados de origen no es demandada.
Tampoco el fabricante dominante del mercado de PCs, Microsoft, tiene muy elaborado a día de hoy el escenario para que las tarjetas y firma electrónica se desenvuelvan bien, con lo cual no tiene ningún interés en facilitar que prospere... hasta que lo considere oportuno.
Hay que tener en cuenta también que los gobiernos y las administraciones públicas aún están en una etapa incipiente en este terreno, entre otras razones por una cuestión de costes; sólo ahora comienzan a ofrecer servicios y aplicaciones preparados para operar, tímidamente empiezan a ’obligar’ a que se hagan a través de la Red...
De todas formas, es lógico pensar que primero llegarán los despliegues de tarjetas, luego de los lectores y, finalmente, el uso generalizado, todo ello en un escenario de consolidación futura prevista en unos ocho o diez años.
– Con todo, el auge creciente del fraude, estafas y suplantación masivas por Internet se ha disparado y está generando que el colectivo de usuarios pierda la confianza en el uso de estos escenarios telemáticos para interrelacionarse mercantilmente, sin contar con el deterioro de la reputación de los principales actores...
– Es claro que todos tenemos que hacer un gran esfuerzo colectivo para evitar la desconfianza del usuario, quien para consumir a través de un medio como Internet necesita sentirse protegido. Para ello habría que actuar en tres frentes. Las entidades financieras, las operadoras y otras compañías que intervienen en operaciones de comercio electrónico y realizan transacciones susceptibles de verse afectadas, deben poner todos los medios a su alcance para evitar estas prácticas, y ya existen tecnologías capaces de impedir casi al cien por cien que sucedan casos relacionados con las prácticas de phishing; un segundo elemento determinante sería disponer de tarjetas con certificados digitales para llevar a cabo con garantías los procesos de autenticación, identificándose así los dos actores intervientes en las transacciones; finalmente, el tercer facilitador sería la legislación, que debe amparar y apoyar más al usuario damnificado, tratando de que no sea éste quien tenga que demostrar.
– ¿Y cómo afrontan, en tanto fabricantes de tecnologías de protección, el auge de estas prácticas ilícitas?
– El riesgo aumenta como aumentan los servicios disponibles por Internet y la misión de G&D es proteger valor, sea dinero o la identidad de personas. En ese concepto siempre hemos anticipado posibles riesgos de fraude para ofrecer una solución a ello. Estamos al lado de nuestros clientes para aconsejarles en su lucha contra este fraude aportando más de 150 años de experiencia. En lo que se refiere a la problemática del ‘pharming’ y ‘phishing’, sobre todo en el sector de ‘homebanking’, G&D ofrece junto con Todos una solución de One Time Password que evita el uso fraudulento de contraseñas robadas.
– ¿Cómo ve el panorama actual respecto del uso y despliegue de tarjetas encuadrables en Identificadores Corporativos únicos en escenarios empresariales?
– Nuestra propuesta de identificador corporativo emplea tarjetas inteligentes con chips con y sin contactos, que ofrecen una gama de funciones bastante más amplia que la de las tarjetas de empresa convencionales.
Garantizar la comunicación electrónica segura en toda la red de la compañía, firmar electrónicamente o proteger la información sensible son tan sólo dos de las muchas y variadas posibilidades que ofrece dicha tarjeta. El ID corporativo pretende además facilitar el despliegue y la gestión sobre un único soporte común a todos los empleados de la organización, de funciones como la identificación visual del personal, el control de acceso físico, el pago en los servicios de cafetería o en máquinas de ‘vending’.
El aumento progresivo de la movilidad de los empleados a la par que las amenazas de robo de las contraseñas estáticas, utilizadas habitualmente para las conexiones remotas, hace también conveniente la implementación de mecanismos de autenticación fuerte. Un canal de comunicación perfectamente protegido mediante cifrado puede tener su eslabón más débil precisamente en la autenticación del usuario.
Estamos viviendo cómo muchas organizaciones, tanto en el ámbito privado como en el público, han decidido recientemente apostar por identificadores corporativos únicos que aúnan las funciones realizadas hasta el momento con distintas contraseñas y varios soportes y dispositivos. Estas organizaciones han podido comprobar que concentrando todos estos servicios en un único soporte, además de aumentar la seguridad, se simplifican significativamente las tareas a realizar en el momento de contratar o dar de baja un empleado, dotar o suprimir privilegios a los usuarios, activar o desactivar el acceso a servicios, etc.
 |
– ¿Podría resumir brevemente en qué entidades y proyectos en nuestro país ha estado GyD Ibérica colaborando últimamente con su tecnología para ID corporativos únicos?
– Grupo Santander y Banco de España son, sin duda, dos buenos ejemplos de las grandes posibilidades de los Identificadores Corporativos únicos que antes apunté.
El Grupo Santander ha emitido para todos los empleados de su nueva ciudad financiera en Boadilla del Monte (Madrid) una tarjeta corporativa que facilitará acceso a las instalaciones del banco y a distintos servicios adicionales. La tarjeta cuenta con dos chips: uno sin contacto, de tipo mifare, para las aplicaciones de control de acceso físico, y otro con tecnología Java, con aplicaciones PKI y monedero precargado.
La tecnología Java permitirá la incorporación de nuevas funciones y servicios durante la vida útil de la tarjeta, facilitando la carga de nuevos datos y de aplicaciones. De esta forma, la tarjeta corporativa de la ciudad financiera del Grupo Santander contará con una versatilidad imposible de lograr con otros tipos de tecnologías.
La tarjeta soporta aplicaciones como el control de acceso físico, monedero electrónico, carga de dinero en los cajeros automáticos de la red, consumos en las máquinas expendedoras y en los distintos restaurantes del centro, reserva de instalaciones deportivas dentro del campus y servicio de aparcamiento. En la siguiente etapa, se integrarán otra serie de aplicaciones, como control de acceso lógico a la intranet de la empresa, firma electrónica y cifrado de mensajes y ficheros.
Por su parte, el Banco de España, tras un estudio de necesidades, decidió que el mecanismo de identificación electrónica de cada usuario de su PKI fuese una nueva tarjeta de identificación con un procesador criptográfico, chip de radiofrecuencia mifare y banda magnética.
La nueva tarjeta permite iniciar sesión en el puesto de trabajo, firmar y cifrar mensajes de correo electrónico o documentos, e incluso sirve a los usuarios itinerantes como mecanismo de autenticación robusta en el acceso remoto. El ID corporativo es utilizado también como dispositivo para el control de presencia y para el acceso a zonas restringidas y, al ser una tarjeta Java, está abierto a futuras aplicaciones.
Su experiencia hasta el momento es que la unificación de todas estas funcionalidades en un único objeto de fácil manejo, como es una tarjeta, ha incrementado la seguridad dado que es más difícil su olvido o pérdida al ser necesaria desde el momento en que se llega al centro de trabajo.
 |
“La seguridad sólo es buena si se aplica bien; en caso contrario puede ser fatal.” |
– G&D viene cosechando no pocos hitos a escala internacional al participar en proyectos vinculados con tarjetas y pasaportes electrónicos, como la eCard en Austria o el Pasaporte electrónico en EEUU...
– Esos proyectos a los que usted se refiere constituyen efectivamente sendos ejemplos de lo que la tecnología de G&D es capaz de proporcionar. En el primero de los casos, la e-card permitirá que las instituciones austriacas de seguridad social migren a un sistema avanzado de administración electrónica. Las nuevas tarjetas empezarán a sustituir el actual sistema de cartillas de papel por la e-card a finales de este 2005. El nuevo proceso electrónico eliminará la necesidad de generar y procesar un volumen anual de más de 40 millones de cartillas. La tarjeta inteligente contendrá datos administrativos como el nombre, el título, la fecha de nacimiento y el número de Seguridad Social del titular.
Además, la e-card permitirá a los titulares su uso para realizar transacciones electrónicas con la Administración y hará llegar la firma electrónica a toda la población. Este importante proyecto supone la fabricación de 11 millones de tarjetas inteligentes y la implementación del sistema de gestión de las tarjetas, con un valor total conjunto de 48 millones de euros.
Respecto al nuevo pasaporte electrónico de Estados Unidos, incorpora un chip criptográfico y una antena y, si no hay ninguna moratoria de por medio, será exigido para entrar en EEUU a finales del presente año. La alternativa será solicitar un visado.
La US Government Printing Office (GPO) seleccionó a G&D como uno de los proveedores tecnológicos del sistema operativo del chip y la tecnología sin contactos (RFID). Estos se suministran en una lámina que posteriormente es implantada en la cubierta de los pasaportes por los fabricantes locales de los mismos.
A través de la antena, el chip se comunica con un lector de proximidad para mostrar la información almacenada. En el chip se almacenarán datos biométricos como la imagen facial y, en posteriores fases, las huellas dactilares y el iris del individuo.
G&D está suministrando chips con tecnología 72 KB para almacenar la información requerida. No quisiera dejar de resaltar que un componente clave de la solución es nuestro sistema operativo StarCOS 3.0, que supera los requisitos de seguridad exigidos por ICAO con respecto al almacenamiento seguro y transferencia de los datos del pasaporte.
– Todo parece indicar que la autenticación, la firma electrónica y la biometría están destinados a entenderse...
– Sin lugar a dudas. La biometría constituye la forma más segura y ‘user-friendly’ de asegurar que únicamente el propietario legítimo de la clave privada tiene acceso a la misma para operaciones de firma electrónica, autenticación en redes y sistemas o descifrado de información protegida.
Como ejemplo significativo, el informe EESSI (European Electronic Signature Standardization Initiative) recomienda la autenticación biométrica para la protección de la clave privada en lugar del PIN o contraseña. Según el citado informe, es de esperar que la autenticación biométrica y, especialmente la identificación por huella digital, reemplace en un futuro cercano al uso de contraseñas o el PIN.
Por otro lado, estamos convencidos de que proyectos como el nuevo pasaporte electrónico antes mencionado impulsarán definitivamente el uso de la biometría para las aplicaciones de autenticación. Los nuevos pasaportes con chip serán requeridos para entrar en algunos países como Estados Unidos a partir del 26 de octubre de este año. En la primera fase, sólo se almacenará en el chip la imagen facial y, en posteriores fases -tal cual antes he indicado-, está previsto registrar en el mismo las huellas dactilares y el iris para su verificación en los puestos de control de fronteras.
– De todas formas, parece que la biometría y la privacidad no se llevan lo que se dice del todo bien...
– Para asuntos de identificación, autenticación y control de acceso, incluso masivos, las tecnologías biométricas tienen ventajas clarísimas siempre y cuando el control esté en manos relativamente restringidas, como ahora sucede, por ejemplo, con la Policía o en escenarios muy específicos y controlados en donde se requiera; nadie discute su capacidad para identificar inequívocamente pero imaginemos un caso, quizás difícil y retorcido pero imaginable: que a mi me roban la huella digital por algún motivo, sea porque me hagan una copia fraudulenta al haberla dejado en un sitio que no debía o sin ser consciente, o porque me cortan la piel. Lo cierto es que a partir de ese momento ya nunca más sería yo, el problema no es ya que con mi huella falsificada pudieran hacer uso de ella para robar, falsificar u obtener algo, todas cosas reprobables pero reparables, sino que ya nunca más podría volver a autenticarme y firmar con mi propia huella. Ya no sería yo nunca más ni podría identificarme y eso sería trágico.
Un resquebrajamiento del sistema tendría un impacto mediático colosal ante el recelo social por la pérdida de privacidad. Me parece que su uso debe seguir quedando restringido. Por ello, si al usarse masivamente no hay el adecuado celo en su protección, podrían propiciar casos de estos que mermarían gravemente la confianza social, incluso cabría cuestionarse al mismísimo DNI, si es posible que roben huellas. La seguridad sólo es buena si se aplica bien, en caso contrario, puede ser fatal.
- En un alarde de anticipación, ¿podría aventurar el posible impacto de DNI electrónico español?
– El DNI electrónico hará llegar la firma electrónica a toda la población y permitirá que se generalice el uso de las tarjetas inteligentes y los lectores. Ello habituará a los ciudadanos a emplear su identidad digital para el acceso seguro a los servicios de la sociedad de la información aumentando, en consecuencia, su confianza en el uso de tales servicios.
Estamos convencidos de que la inercia del DNI electrónico contribuirá muy positivamente a que las organizaciones que no lo han hecho ya pongan en marcha su proyecto de identidad digital de empleados.
Fotografía: Jesús A. de Lucas