Síguenos

Tecnología

¿Por qué la identidad digital europea da más poder a Google y Apple?

La cartera digital europea promete privacidad, pero puede dejar en manos de Google y Apple quién accede a servicios públicos y con qué móvil

Publicado

el

cartera europea de identidad digital

Resumen

  • La cartera digital europea puede depender de controles de Google y Apple
  • Bruselas exige seguridad, pero no obliga a usar sus sistemas privados
  • El riesgo es que dos empresas decidan qué móviles acceden a servicios públicos

La futura cartera europea de identidad digital no entrega por ley nuestros documentos a Google ni a Apple. El problema es más discreto, casi invisible para quien desbloquea el móvil con el pulgar: algunos proyectos nacionales recurren a servicios de estas compañías para certificar que la aplicación, el sistema operativo y el dispositivo no han sido manipulados. Si esa comprobación privada se convierte en requisito de acceso, una empresa estadounidense podría terminar decidiendo qué teléfono es lo bastante fiable para utilizar una infraestructura pública europea.

La crítica lanzada por Waag Futurelab apunta, sobre todo, a Google Play Integrity, aunque también señala los mecanismos de certificación de Apple. No es una acusación menor: una cartera concebida para reforzar la autonomía digital de Europa podría excluir móviles con sistemas alternativos de Android, aplicaciones obtenidas fuera de las tiendas oficiales o dispositivos que no cumplan las políticas comerciales de las dos grandes plataformas. Ahora bien, conviene apartar un poco el humo. La arquitectura europea vigente exige seguridad e integridad, pero no obliga expresamente a utilizar las herramientas de Google o Apple; la decisión concreta queda en manos de cada proveedor nacional.

Una cartera para llevar el DNI, el carné y la firma

Los Estados miembros deben poner a disposición de ciudadanos, residentes y empresas al menos una EUDI Wallet, la cartera europea de identidad digital. El calendario comunitario sitúa su despliegue a finales de 2026, con aplicaciones nacionales construidas sobre unas especificaciones comunes para que puedan utilizarse en los demás países de la Unión Europea.

La idea es reunir en el teléfono documentos y credenciales verificables: datos de identidad, permiso de conducir, titulaciones, certificados profesionales o firmas electrónicas. También permitirá abrir una cuenta bancaria, identificarse ante una administración o demostrar una determinada edad. No será exactamente un DNI convertido en fotografía, sino una billetera de atributos digitales emitidos por organismos de confianza.

Uno de sus atractivos es la divulgación selectiva. Al entrar en un servicio reservado a mayores de edad, el usuario podría acreditar que tiene más de 18 años sin entregar su nombre, la fecha completa de nacimiento ni una copia del documento. Se muestra lo necesario y nada más. Sobre el papel, es bastante más sensato que enviar el pasaporte a una página de internet y esperar que nadie lo deje olvidado en un servidor con contraseña “admin123”.

La Comisión Europea presenta el sistema como una herramienta voluntaria, interoperable y respetuosa con la privacidad. El código abierto de las carteras deberá facilitar la auditoría y los ciudadanos conservarán el control sobre los datos compartidos. El propósito político es claro: crear una identidad digital europea que no dependa de cuentas sociales, inicios de sesión comerciales o servicios privados que durante años han ocupado ese espacio por abandono de las administraciones.

El portero invisible que decide si el móvil es fiable

Una identidad oficial alojada en un teléfono necesita garantías superiores a las de una aplicación para pedir comida. El sistema debe comprobar que la aplicación oficial es auténtica, que su código no ha sido alterado, que las claves criptográficas permanecen protegidas y que el dispositivo no está ejecutando un entorno preparado para robar credenciales.

Para realizar esas comprobaciones se utiliza la atestación remota. El teléfono genera pruebas técnicas sobre su estado y un servicio externo emite un veredicto: aplicación legítima o modificada, dispositivo certificado o sospechoso, sistema íntegro o comprometido. Ese dictamen puede utilizarse para permitir el acceso completo, restringir determinadas operaciones o bloquear la cartera.

No es una extravagancia burocrática. Una aplicación falsa capaz de presentarse como cartera oficial permitiría suplantar identidades, manipular credenciales o capturar claves privadas. El conflicto aparece en otro sitio: quién define qué significa exactamente dispositivo fiable y con qué criterios se concede ese sello.

Qué comprueban Google y Apple

Google Play Integrity permite verificar que una solicitud procede de una aplicación reconocida por Google Play, instalada en un dispositivo Android considerado genuino y certificado. Sus respuestas pueden señalar modificaciones del programa, entornos emulados, aparatos que no cumplen los requisitos de integridad, falta de actualizaciones recientes o la presencia de aplicaciones potencialmente dañinas. La propia lógica del sistema aconseja combinar esos resultados con otras señales y no utilizarlos como único mecanismo contra el fraude.

El problema es que la certificación técnica se mezcla con el ecosistema comercial. Un móvil puede ejecutar un sistema alternativo, estar actualizado y conservar mecanismos sólidos de arranque verificado, pero no recibir el visto bueno esperado porque no incorpora los servicios de Google o porque la aplicación no llegó por el canal previsto. Seguridad y obediencia a la plataforma empiezan entonces a parecerse demasiado.

Apple dispone de App Attest para demostrar que una aplicación legítima se ejecuta sobre hardware auténtico de la compañía. En dispositivos administrados ofrece también Managed Device Attestation, que genera una declaración criptográfica sobre determinadas propiedades del aparato. Son herramientas eficaces contra programas manipulados y peticiones fraudulentas, pero la raíz de confianza vuelve a residir en el fabricante del sistema operativo. Apple fabrica la cerradura, conserva el molde y certifica la llave.

Cuando la seguridad se convierte en dependencia

Waag sostiene que varios proyectos nacionales han integrado estas soluciones de una manera demasiado rígida. Cita a Italia y Países Bajos entre los desarrollos que han recurrido a Play Integrity, con el riesgo de dejar fuera a usuarios de sistemas como GrapheneOS o /e/OS. La consecuencia no sería perder una función decorativa, sino encontrar dificultades para identificarse ante servicios públicos o gestionar documentos oficiales.

Ahí está el núcleo del debate. Una administración puede exigir que el dispositivo sea seguro; resulta bastante más discutible que delegue esa evaluación en un proveedor que también controla el sistema operativo, la tienda de aplicaciones y buena parte de los servicios instalados. La compañía deja de ser un suministrador técnico y se convierte, en la práctica, en guardián de acceso.

La dependencia tampoco necesita una conspiración de despacho oscuro. Basta una modificación de las condiciones del servicio, un cambio en los dispositivos admitidos, una interrupción técnica o una decisión empresarial que altere los criterios de certificación. Si millones de carteras públicas consultan el mismo semáforo privado, el día que ese semáforo se apaga Europa descubre que la soberanía digital era, en realidad, una suscripción.

El efecto competitivo importa igualmente. Los sistemas operativos alternativos pierden atractivo cuando no pueden ejecutar aplicaciones bancarias, credenciales oficiales o servicios esenciales. El ciudadano conserva teóricamente la libertad de instalar otro Android, pero la elección se vuelve parecida a mudarse a una casa sin agua corriente: posible, sí; razonable, bastante menos.

Bruselas no lo impone, pero deja la puerta abierta

La denuncia necesita un matiz importante. La versión vigente del Marco de Arquitectura y Referencia europeo establece que el proveedor de la cartera debe autenticar la aplicación y evaluar el estado de seguridad del dispositivo, pero no determina cómo deben satisfacerse esas relaciones de confianza. No aparece una obligación general de contratar Google Play Integrity ni los servicios equivalentes de Apple.

El marco recomienda distribuir las carteras mediante las tiendas oficiales del sistema operativo porque simplifican la verificación de autenticidad y reducen el riesgo de instalar copias maliciosas. Aun así, contempla canales alternativos: cuando la aplicación se ofrezca fuera de esas tiendas, el proveedor deberá facilitar mecanismos para comprobarla, por ejemplo mediante la comparación de una huella criptográfica publicada oficialmente. No es una puerta enorme, pero existe.

También permite distintas arquitecturas para proteger las claves. Pueden utilizarse elementos seguros integrados en el teléfono, tarjetas externas o módulos criptográficos remotos administrados por el proveedor. Esta flexibilidad demuestra que la dependencia de Google y Apple no es una ley de la física. Es una elección de diseño, probablemente cómoda, quizá barata y desde luego tentadora cuando el reloj del despliegue aprieta.

Suiza ofrece un contraste interesante, aunque no forme parte de la Unión Europea. Su proyecto de identidad electrónica ha defendido una combinación de seguridad y libertad de elección, evitando convertir Play Integrity en la única vía para los usuarios de Android. El caso muestra que pueden definirse requisitos técnicos verificables sin entregar a Google la última palabra sobre cada dispositivo.

Privacidad, metadatos y una batalla jurídica abierta

Nada de esto significa que Google o Apple reciban automáticamente el contenido del DNI, las titulaciones o las credenciales almacenadas. Los servicios de atestación certifican propiedades del dispositivo y de la aplicación; no necesitan leer todos los documentos guardados en la cartera. La arquitectura europea, además, exige que el proveedor no pueda acceder al contenido de la unidad ni conocer los atributos presentados por el usuario. La privacidad, al menos en el diseño, no queda abandonada en la cuneta.

El riesgo principal es otro: controlar quién puede entrar, obtener información técnica sobre los dispositivos y consolidar una dependencia estructural. También existe una cuestión de metadatos. Aunque una plataforma no vea el documento presentado, la intervención reiterada de sus servicios en procesos de validación puede revelar patrones técnicos o generar nuevos puntos de observación. El alcance exacto dependerá de cada implementación, de los datos transmitidos y de las políticas nacionales.

Waag califica el uso excluyente de Play Integrity como una posible vulneración de la Ley de Mercados Digitales. Es una tesis jurídicamente plausible cuando la herramienta fuerza el uso de una tienda, unos servicios o una versión licenciada del sistema, pero no equivale a una sentencia ni a una decisión oficial específica contra esta integración. La normativa europea permite medidas justificadas para proteger la integridad, aunque exige que las restricciones de los guardianes de acceso sean necesarias y proporcionadas. Justo ahí se librará la pelea: demostrar si existe una alternativa menos restrictiva que ofrezca una seguridad comparable.

Tampoco debe olvidarse que el Marco de Arquitectura y Referencia es un documento técnico en evolución y no tiene por sí solo valor jurídico obligatorio. Las normas vinculantes son el reglamento europeo y sus actos de ejecución. La implementación final de cada Estado, su certificación y las condiciones reales de acceso revelarán si el problema acaba siendo un aviso oportuno o un candado instalado con plena conciencia.

Europa no debería alquilar la puerta de su identidad

Europa está construyendo una infraestructura capaz de mejorar la privacidad, reducir el intercambio innecesario de documentos y facilitar trámites que todavía huelen a fotocopia, carpeta azul y cita previa. Sería absurdo rechazarla porque utiliza componentes creados por empresas estadounidenses. Ningún sistema complejo nace en una urna de cristal europea, aislado del resto de la industria.

Otra cosa es diseñar el acceso de modo que solo dos compañías privadas puedan certificar qué teléfonos merecen participar. Una identidad pública no debería depender exclusivamente de la tienda instalada de fábrica, de una licencia comercial o de una lista de dispositivos aprobados en California. Debe reconocer requisitos de seguridad abiertos, auditables y alcanzables por diferentes fabricantes y sistemas.

La alarma de Waag exagera al presentar la dependencia como un destino cerrado, pero acierta al señalar el peligro antes de que el cemento se seque. El marco europeo todavía permite soluciones alternativas. La cuestión es si los gobiernos asumirán el trabajo de construirlas o escogerán el atajo más cómodo: pedir a Google y Apple que vigilen la puerta y llamar soberanía digital al edificio.

Gracias por leerme y por pasarte por Don Porqué. Si te apetece seguir curioseando, arriba tienes la lupa para buscar más temas. Y si esto te ha gustado, compártelo: así la historia llegará un poco más lejos.

Lo más leído