La UE planea vincular la cartera digital de identidad con la verificación de edad de Google y Apple; surgen objeciones de GitHub

La especificación de verificación de edad para la billetera de identidad digital de la UE (EU Digital Identity Wallet) planea vincular todo el flujo de verificación de autenticidad de la app y del dispositivo a Google Play Integrity API y Apple App Attestation; después de que se filtrara la noticia, el hilo oficial de debates en GitHub se llenó instantáneamente de mensajes, y la comunidad de desarrolladores se mostró casi unánimemente en contra.

Razones por las que los desarrolladores se oponen: Yivi de Países Bajos ya tiene una alternativa verificada; la vinculación obligatoria viola dos principios clave

Según los comentarios del hilo de GitHub, los tres argumentos principales de quienes se oponen son los siguientes:

Yivi de Países Bajos ya ofrece una solución no basada en Google: la app de identidad de Países Bajos Yivi (antes IRMA) puede completar la verificación de edad sin depender de servicios de Google, y ya está disponible en la tienda de código abierto F-Droid; esto prueba directamente que la integración con Play Integrity no es una condición técnica imprescindible.

La especificación se contradice: la especificación de la billetera de identidad digital de la UE establece tres principios propios; la vinculación obligatoria tanto con los servicios privados de verificación de Google como de Apple viola simultáneamente los principios de «interoperabilidad» y «estándares abiertos».

Problema de soberanía digital: los servicios gubernamentales no deberían depender de servicios externos de terceros; si Google o Apple cambian sus políticas, retiran servicios o se produce una vulnerabilidad sistémica, los mecanismos de verificación de identidad de los gobiernos de cada país quedarían forzados a detenerse.

Un investigador de ciberseguridad rompe App PIN en 2 minutos

De acuerdo con el reporte, un investigador de ciberseguridad realizó una prueba y descubrió que en dispositivos Android basta con editar un archivo de preferencias de texto plano, eliminar la entrada del PIN cifrado y desactivar el valor booleano de autenticación biométrica; en menos de 2 minutos es posible restablecer el PIN de la app, cerrar el inicio de sesión con biometría y, aun así, las credenciales almacenadas pueden retirarse de forma completa; otro investigador recreó esta vulnerabilidad y registró más problemas, incluida la falta de cifrado del almacenamiento de datos personales.

Estos fallos de seguridad fueron usados por algunos comentarios para cuestionar: para evitar intrusiones remotas, ¿vale la pena atar todo el sistema firmemente a la autenticación del hardware? Algunos desarrolladores también cuestionaron por qué la verificación de edad debe hacerse como una app nativa; una moderna web app con Digital Credentials API también podría lograr el mismo efecto.

Países Bajos e Italia adoptan Google Play Integrity

Según el reporte, la postura de los gobiernos de distintos países ante este mecanismo no es uniforme: Países Bajos e Italia adoptan actualmente Google Play Integrity sin condiciones; Suiza, en cambio, por consideraciones como protección de datos, soberanía de los datos y la libertad de elección del usuario, optó por el mecanismo de autenticación integrado en Android y dejó directamente de usar Play Integrity.

En cuanto a alternativas, el proveedor de apps para verificación de edad Scytales indicó que las comprobaciones de integridad de su app de verificación de edad en la UE no dependen de Google ni de Apple; Volla Systeme GmbH, que impulsó «Unified Attestation», ofrece tokens de integración de corta duración y funciones de verificación offline, y puede coexistir con Play Integrity; algunos comentarios lo consideran una solución de compromiso.

Preguntas frecuentes

¿Por qué los desarrolladores se oponen a que la billetera de identidad digital de la UE se vincule con Google Play Integrity?

Según el hilo de GitHub, los motivos principales incluyen: la app Yivi de Países Bajos ya completa la verificación de edad sin depender de servicios de Google, lo que demuestra que existen alternativas; la vinculación obligatoria viola los principios de «interoperabilidad» y «estándares abiertos» definidos por la propia especificación de la UE; y que los servicios gubernamentales dependan de las políticas de plataformas de empresas privadas podría generar riesgos para la soberanía digital.

La advertencia de DMA de Waag Futurelab: ¿a qué se refiere de forma concreta?

Según el reporte, la organización sin fines de lucro Waag Futurelab de Países Bajos advierte en su artículo que el diseño de la Google Play Integrity API podría convertir a los gobiernos en ejecutores de políticas de plataformas de empresas privadas, y que su diseño podría contradecir el Reglamento de Mercados Digitales (DMA) de la UE, orientado a evitar el monopolio de grandes empresas.

¿En qué se diferencian las posturas de distintos países sobre la integración de Google Play Integrity?

Según el reporte, Países Bajos e Italia adoptan Google Play Integrity sin condiciones; Suiza, por su parte, por motivos de protección de datos, soberanía de los datos y libertad de elección del usuario, cambia al mecanismo de autenticación integrado en Android y abandona Play Integrity.

Aviso legal: La información en esta página puede provenir de fuentes de terceros y es solo para referencia. No representa las opiniones ni puntos de vista de Gate y no constituye asesoramiento financiero, de inversión ni legal. El comercio de activos virtuales implica un alto riesgo. No te bases únicamente en la información presentada en esta página para tomar decisiones. Para más detalles, consulta el Aviso legal.
Comentar
0/400
Sin comentarios