En el día de ayer, nos preguntábamos retóricamente: ¿Incumplen las entidades financieras el Reglamento de Desarrollo de la LOPD? En esta entrada se trataba de realizar un breve análisis sobre si los mecanismos de identificación y autenticación de las entidades financieras en los accesos de los clientes a la banca online.
Así también nos centrábamos en lo que es la contraseña (y la consiguiente obligación de cambiarla, al menos una vez al año). Pero ¿cuál es su definición en el RLOPD? La encontramos en su artículo 5.2.c:
información confidencial, frecuentemente constituida por una cadena de caracteres, que puede ser usada en la autenticación de un usuario o en el acceso a un recurso.
Ahora os propongo el siguiente supuesto de hecho: Tenemos una entidad que, para acceder a sus sistemas de información, utiliza, para la identificación y autenticación de sus usuarios, una smart card o tarjeta inteligente, es decir, una tarjeta en la que se incluye una certificado electrónico. Como no queremos aburrir al lector sobre el cifrado asimétrico, la firma electrónica y demás, me voy a remitir a la Wikipedia.
Bien, para la autenticación en este sistema, es necesario la tarjeta inteligente y el PIN. En este punto nos preguntamos:
1.- ¿Consideramos a ese PIN como una contraseña? Si esto es así y según el RLOPD, ¿debemos cambiar ese PIN al menos anualmente?
2.- Por el contrario, ¿no consideramos al PIN como una contraseña según el RLOPD?
Si observamos estrictamente el RLOPD y su concepto de contraseña, deberíamos cambiar al menos anualmente el PIN de la tarjeta inteligente. No obstante, estimamos que el espíritu de esta norma no es ese.
Así, entendemos que el Reglamento, cuando hace mención a la obligación del cambio anual de contraseñas, lo hace cuando EXCLUSIVAMENTE se utilice ese método para la autenticación.
En el supuesto que hemos planteado, no se utiliza únicamente la contraseña (PIN) para la autenticación, sino que tenemos otro elemento, la tarjeta. Por tanto, necesitamos los dos elementos para la autenticación y si falla alguno de ellos, la autenticación no sería posible.
En resumen, el cambio anual de contraseña sería aplicable cuando se utiliza un sistema de autenticación de un sólo factor, mientras que cuando se utilizan un mecanismo de seguridad más robusto, como una autenticación de más de un factor (tarjeta + PIN, huella dactilar + PIN, datos biométricos+tarjeta+PIN), este cambio no sería necesario
¿Que opináis?
Autores:
Gontzal Gallo
Especialista en Derecho de las TIC
Colegiado en el Ilustre Colegio de Abogados del Señorío de Vizcaya
Twitter: @gongaru
Linkedin: Gonzalo Gallo
Google+: +Gontzal Gallo
Arkaitz Gamino
Consultor – auditor en Seguridad
Twitter: @arkaitzgamino
Linkedin: Arkaitz Gamino
Entre Códigos Civiles y Androides 
Efectivamente estoy totalmente de acuerdo contigo en que la idetificación y autenticacón de un usuario de banca on line realizada a través de sistemas de autenticación de al menos 2 factores es má que suficiete para el cumplimiento de lo determinado en el Reglamento de la LOPD. El riesgo de violacón con el empleo de «algo que tengo y algo que se» es mucho menor que usar sistemas basados unicamene en «algo que se».
Gracias Talía por dar tu punto de vista. No obstante, y cómo comentábamos en la entrada, una interpretación literal del Reglamento nos lleva a cambiar el pin de acceso, al menos, una vez al año.