Gran Bretaña está sujeta a innumerables peligros, desde ultrajes terroristas hasta la amenaza de un conflicto nuclear provocado por una o más de las superpotencias autocráticas del mundo.
Pero se presta poca atención al peligro presentado por una amenaza que se forma mucho más cerca de casa: tarjetas de identificación.
Si el gobierno laborista continúa con su esquema de identidad digital planificado, recolectar las estadísticas vitales de todos bajo un solo paraguas computarizado, Gran Bretaña será vulnerable a un ataque de piralizas de proporciones incomparables. Será factible para un enemigo, ya sea un estado extranjero, como Rusia o China, o un grupo de delincuencia organizada, para que todo el país rescate.
Imagine una situación en la que todos los beneficios estatales, incluidas las pensiones, se congelaron, los pasaportes se hicieron inutilizables y muchas funciones comerciales cruciales se cerraron. Con todos estos servicios incapaces de ser restaurados hasta que Downing Street cumpliera con todas las demandas de los piratas informáticos, el Reino Unido podría ser literalmente rehén por miles de millones de libras.
La obsesión a ciegas de Labour con un sistema de identificación digital, que se remonta a la administración Blair, tiene el potencial de hacernos vulnerables al tipo de ataque que cerró las operaciones en línea de Marks y Spencer durante varias semanas a principios de este año.
Me hago la vida escribiendo sobre el impacto de la tecnología en la vida moderna y, desde la evidencia que me proporciona un denunciante, he aprendido que piratear el esquema de tarjetas de identificación británica sería el juego del niño en comparación con derribar marcas y chispas. Esto se debe a que el sueño de larga data del gobierno de introducir una identificación digital obligatoria está respaldada por un sistema informático existente llamado un inicio de sesión, una vasta base de datos diseñada para actuar como un solo punto de contacto para el acceso a hasta 180 servicios, desde impuestos y pensiones hasta citas y cuentas bancarias.
En enero, un funcionario mayor responsable de evaluar las amenazas de seguridad cibernética, cuyo equipo fue marginado después de expresar preocupaciones sobre la vulnerabilidad del proyecto, me proporcionó una montaña de evidencia de que no se puede confiar en que no se puede confiar.
Sus temores se confirmaron de manera dramática poco después cuando un llamado ejercicio del ‘equipo rojo’, que involucró especialistas amistosos que imitaban lo que harían los atacantes, mostraron que los piratas informáticos podían obtener el control del sistema sin ser detectados. Probó que, una vez en control del esquema, los piratas informáticos no solo podían producir identificaciones falsas, sino también crear tanto caos que el país se pondría de rodillas.
Un ejemplo de cómo podrían verse las tarjetas de identificación digital, mostrando el derecho de alguien a trabajar y alquilar
Si los piratas informáticos pueden acceder a la tecnología de identificación digital, no solo podrían producir identificaciones falsas, sino que crean tanto caos que el país se pondría de rodillas
Para seguir adelante con el esquema de identificación ahora, sin una auditoría completa de cuán seguro es, sería nada menos que suicidio nacional. El Equipo de Servicio Digital del Gobierno (GDS) lo sabe y advirtió tanto en una propuesta de negocios revisada para que haya inicio de sesión, de bastante manera tardía, presentada a la oficina del gabinete. Declaró que las vulnerabilidades de seguridad podrían ser explotadas por “estafadores para robar información del usuario o por actores hostiles que buscan interrumpir la infraestructura nacional”.
Agregó: “Esto podría tener graves consecuencias para una gran cantidad de personas y dar lugar a un daño persistente de reputación y política”. GDS no ha publicado este documento al público o al Parlamento, pero tengo una copia.
David Davis, un diputado que durante mucho tiempo se ha interesado en los problemas de privacidad, señala el historial lamentable del gobierno cuando se trata de mantener seguros nuestros datos personales.
“El estado ha perdido más de 20 millones de registros de ciudadanos en el pasado”, dice. ‘Y fue entonces cuando esos registros estaban en medios físicos mucho más seguros. Hoy, puede ser el trabajo de milisegundos para ciberdelincuentes o estados extranjeros para robar todos nuestros datos. Si eso sucediera, sería un desastre irreversible para la gente común a quien sucede ”.
Sin embargo, los planes son tan avanzados y tan complejos que nadie en Whitehall parece capaz de ver el peligro inminente. Peor aún, Keir Starmer tiene un compromiso ideológico de introducir tarjetas de identificación, porque es solo el último de una larga línea de líderes laborales con una obsesión con la planificación centralizada que está ansiosa por afirmar el control del gobierno sobre los documentos de identidad de todos sus ciudadanos.
Uno de sus predecesores, Tony Blair, no es solo uno de los partidarios más fuertes y más insistentes del esquema, sino de alguien que tiene un gran interés personal en su éxito. Larry Ellison, cofundador de Oracle, el gigante tecnológico que proporciona gran parte del software que impulsa un inicio de sesión, es uno de los mayores donantes del Instituto Tony Blair para el cambio global.
Bajo Blair y su canciller, Gordon Brown, intenta introducir una tarjeta de identificación nacional le costó al contribuyente miles de millones, antes de ser abandonado en 2010. Blair nunca renunció al sueño: simplemente se transformó de una entidad física a un concepto digital. Durante la pandemia de Covid, el Instituto de Blair pidió identificaciones digitales obligatorias, en varias formas diferentes, no menos de tres veces.
El arquitecto de estas iniciativas fue Kirsty Innes, el “director de gobierno digital” del instituto durante la pandemia, con una propuesta que involucra un “pasaporte de vacuna”. El año pasado, Innes dejó la organización de Blair para unirse al grupo de expertos favorito de Starmer, Labor Together, que fue dirigido por su jefe de gabinete, Morgan McSweeney, durante casi tres años.
Larry Ellison, cofundador de Oracle, el gigante tecnológico que proporciona gran parte del software que impulsa un inicio de sesión, tiene un interés adquirido en las tarjetas de identificación digital
A partir de ahí, lidera el último impulso para ‘una identidad digital nacional obligatoria’, una medida que ya ha atraído el respaldo de 100 parlamentarios laborales. Si bien ella ya no trabaja para Blair, él continúa teniendo sus tentáculos en todos los aspectos del esquema.
Pero la seguridad del material que el primer ministro quiere que todos llevemos a nuestros teléfonos inteligentes se basa en bases muy inestables. Después de que los planes de Blair para tarjetas de plástico fueron abandonados en 2010, el gobierno gastó £ 400 millones desarrollando un sistema de identificación digital llamado Verify que nadie quería usar. En 2021, Michael Gove, como canciller del ducado de Lancaster, lo desechó formalmente y le pidió a GDS que construyera un reemplazo.
El nuevo esquema, llamado oficialmente un inicio de sesión, se conoce internamente como simplemente ‘identidad digital’. Alrededor de cuatro millones de personas ya lo usan para acceder a una variedad de sitios web gubernamentales, por ejemplo, para registrar un negocio o solicitar ser maestro o trabajador social. Un inicio de sesión es un gigante de TI Whitehall, que emplea a más de 700 personas, incluidos más de 300 contratistas, muchos de los cuales estaban involucrados sin la autorización de seguridad necesaria para procesar datos personales confidenciales.
Extraordinariamente, varios de los ingenieros de software contratados por Deloitte, uno de los principales consultores del gobierno en el proyecto, se basaron en Rumania. La decisión de externalizar el trabajo a este país de Europa del Este desafía toda la comprensión racional. Su capital Bucarest es apodada ‘Hackerville’ y es ‘la capital mundial del crimen cibernético’, según el proyecto de informes de crímenes organizados y de corrupción. Mientras tanto, el índice mundial de delitos cibernéticos, que encuesta a 92 expertos en ciberseguridad, clasifica a Rumania como incluso peor que Corea del Norte.
Los estándares de seguridad entre uno de los desarrolladores de inicio de sesión, tanto en Rumania como en el Reino Unido, han sido laxos en extremo. A los ingenieros se les permitió usar sus computadoras portátiles para tareas personales casuales, como mirar videos de Tiktok, junto con su trabajo. El potencial para que los piratas informáticos exploten una actitud tan descuidada es efectivamente ilimitado.
Sin embargo, un inicio de sesión será la base de la versión de Labor de la billetera Apple, una característica de iPhone que permite a los usuarios recopilar todas sus tarjetas de pago, boletos y otros datos financieros en un solo lugar. El nombre actual y no muy pegadizo para la versión del gobierno será la billetera Gov.uk. Y el artículo más importante en su billetera Gov.uk será su tarjeta de identificación, que se llamará britcard.
Peter Kyle, quien era Secretario de Estado de Ciencia, Innovación y Tecnología hasta una reorganización del gabinete a principios de este mes, apenas podía contener su entusiasmo cuando mostró una maqueta de la aplicación de billetera en enero en el bloque de oficinas de Whitechapel donde se basa el GDS.
Su ingenuidad es impresionante. Incluso si dejamos de lado la amenaza obvia para la seguridad nacional, los ministros laborales ignoran rotundamente el potencial de fraude de identidad individual.
Tener todos los aspectos de su vida, excluyendo los datos de salud, vinculado a una sola aplicación es ‘una licencia para que los estafadores lo hacen pasar por usted’, advierte a Guy Herbert del grupo de campaña No2ID. “Una vez que han agarrado tu teléfono, tienen todo”.
No está solo en tener serias reservas sobre el esquema. El experto en seguridad y consultor de identidad digital Mark King, anteriormente del Centro Nacional de Seguridad Cibernética, parte de GCHQ en Cheltenham, dice: ‘Está poniendo todos sus huevos en una sola canasta. Un inicio de sesión es una versión particularmente atroz de lo que se conoce como un solo punto de falla ”.
El fraude de identidad ya cuesta al Reino Unido £ 1.8 mil millones al año, representando casi dos tercios de los casos presentados en la base de datos nacional de fraude. Y las particulares de ninguna manera son las únicas víctimas de los piratas informáticos. El servicio civil ya ha demostrado ser un objetivo fácil.
En junio pasado, HM Ingresos y Aduanas admitieron que las pandillas habían obtenido los registros de 100,000 contribuyentes, defraudándonos de £ 47 millones en reembolsos de Paye.
La gran escala de los riesgos de seguridad adjuntos a los proyectos de identificación digital ya ha provocado un replanteamiento en todo el Atlántico. El presidente de los Estados Unidos, Donald Trump, ha comenzado a desmantelar una variedad de proyectos de identificación lanzados por su predecesor, Joe Biden. Un sistema de identificación digital, escribió Trump en una orden ejecutiva, “defraude sistemáticamente los programas de beneficios públicos, cuesta a los contribuyentes y desechos de fondos del gobierno federal”.
Pero justo cuando Estados Unidos está asegurando a sus ciudadanos aboliendo sus planes de identificación digital, el Reino Unido se apresura a la cabeza en la dirección opuesta, hacia el desastre.
Andrew Orlowski es un ex ingeniero de software que escribe sobre tecnología
