Publicado el , Última actualización el por Fundación Karisma

¿Un cambio de paradigma en la identidad y autenticación digital?

La Cédula Digital es la más reciente propuesta de identificación de la Registraduría Nacional del Estado Civil (RNEC). La idea es que sea la llave maestra de la transformación digital en Colombia al permitir la interoperabilidad entre servicios digitales del Estado,  la interconexión con servicios financieros y la recepción de notificaciones y documentos oficiales.

Con este desarrollo, la RNEC busca también transformar la forma en la que nos identificamos: la Cédula Digital debería usarse siempre que se necesite verificar la identidad de una persona en internet. Estas nuevas posibilidades en su implementación abren interrogantes que, desde Karisma, consideramos necesario abordar con una mirada crítica y reflexiva.

Investigar en ocho direcciones

Hacer visible lo invisible” siempre ha sido una meta del Laboratorio de seguridad digital y privacidad de Fundación Karisma (K+Lab). Cuando hablamos de tecnologías, como un software electoral, un sitio web o una aplicación, no siempre hay transparencia, por lo tanto, la investigación técnica  por parte de entidades independientes es un complemento poderoso a los estudios que se puede hacer a través del análisis de información pública, documentos contractuales e incluso las respuestas a derechos de petición.

Analizamos el caso de la aplicación Cédula Digital durante el segundo semestre de 2024 y el inicio de 2025. Muy poco se sabe sobre su funcionalidad, la información pública sobre su funcionamiento es escasa. Para descubrir cómo funciona, qué hace con la información que recopila y a dónde envía nuestros datos, hicimos una investigación siguiendo estas ocho direcciones:

Unos de estos ejes han sido los análisis del tráfico generado por la aplicación, es decir, los datos que manda y recibe la Cédula Digital. Lo hicimos gracias a las herramientas de código abierto PCAPdroid y Pirogue Tool Suite, fundamentales para entender cuáles eran los datos que recibía y enviaba la aplicación y a dónde se iban.

Hallazgos y preguntas existenciales

Uno de los hallazgos más importantes de esta investigación fue mostrar cómo los métodos del K+Lab pueden dialogar con y complementar la investigación social. En este artículo académico, Joan López y Juan Diego Castañeda analizaron las relaciones contractuales entre IDEMIA y la RNEC y discutieron las dificultades de hacer distinciones estrictas entre lo público y lo privado cuando el Estado delega en terceros la operación de infraestructuras tecnológicas. 

El análisis técnico que presentamos descubre el rol central de la empresa multinacional IDEMIA en el desarrollo, mantenimiento y administración de la aplicación y su infraestructura. Además, resalta cómo los métodos usados permiten descubrir esa relación aunque no haya ninguna mención de la empresa en el sitio web de la Cédula Digital o en las páginas de las tiendas de Google y Apple. Este plato fuerte que nos venden como “exclusivo” o “de alta cocina” termina siendo la receta de una franquicia reempacada como original. No nos nombran a su chef y tampoco nos hablan del origen de sus ingredientes. 

En este trabajo identificamos que la aplicación Cédula Digital es, en realidad, una adaptación local —un rebranding para Colombia— de una aplicación genérica llamada Mobile ID, desarrollada por la empresa IDEMIA. Además, como nos indicó la RNEC en su respuesta a un derecho de petición: “IDEMIA tiene acceso a los servidores informáticos que almacenan las bases de datos de la Cédula Digital y otros servidores involucrados con su funcionamiento.” Varios elementos indican que sólo está empresa sabe administrar las bases de datos de la Cédula Digital (aunque la RNEC tenga una interfaz aplicativa para acceder a ellos), por lo tanto, de acuerdo con la legislación colombiana sobre protección de datos personales, pensamos que IDEMIA es el “encargado del tratamiento de datos personales

El análisis de tráfico mostró que la aplicación manda datos a dos dominios de IDEMIA pero también al servicio de analítica de datos y marketing Localytics y a Google, lo que genera además inquietudes en términos de privacidad.

A pesar de que la aplicación tiene buenas medidas de seguridad, identificamos algunas vulnerabilidades moderadas que entregamos a la Registraduría en los anexos técnicos detallados de nuestro informe. Esta versión detallada de los anexos no se hará pública hasta que dichas vulnerabilidades no sean resueltas. 

Por último, la investigación resalta algunas barreras de accesibilidad para las personas usuarias. Por ejemplo, la necesidad de tener equipos móviles muy recientes con un sistema operativo mínimo de Android 12 (lanzado en octubre de 2021) e iOS 17 (anunciado en junio de 2023), lo que excluye a una parte de la población colombiana. Por otro lado, la activación de la aplicación con reconocimiento facial presenta un alto nivel de dificultad para personas con discapacidad visual, incluso cuando esta es moderada. 

Pero más allá de los hallazgos pensamos que esta investigación debe abrir un gran debate que debe abordar, entre otras, las siguientes preguntas:

  • ¿Quién debe definir, y con base en qué criterios, el nivel de dependencia aceptable de una entidad pública -como la Registraduría- respecto de una empresa privada – como IDEMIA- para el cumplimiento de funciones constitucionales y legales -como la identificación oficial-?
  • Cuando dicha dependencia se considere excesiva o inaceptable, ¿cómo puede reducirse sin afectar la continuidad del servicio ni comprometer la seguridad y privacidad de los datos de las personas?
  • ¿Qué opciones existen para la identificación y autenticación en línea asociados con Cédula Digital no recurran a datos biométricos?
  • ¿Cuáles de estas alternativas podrían implicar menores riesgos para los derechos fundamentales de las personas, especialmente en términos de privacidad, autonomía y no discriminación?
  • ¿Cuál es el papel de las empresas de publicidad digital y analítica de datos en el ecosistema de Cédula Digital?
  • ¿Cómo institucionalizar auditorías externas, independientes y técnicamente robustas en proyectos estatales que han sido tercerizados o que involucran propiedad intelectual privada, de modo que se genere confianza pública y se garanticen los derechos de las personas?

Es más fácil dar lecciones o consejos que resolver concretamente los problemas y no pretendemos tener las respuestas a todas estas preguntas. Sin embargo, nos parece fundamental plantearlas en un debate público y transparente que permita tener mejores acercamientos para la digitalización de servicios asociados a derechos fundamentales. 

Lee, descarga y comparte nuestro Análisis de la aplicación de Cédula Digital completo aquí:

Análisis de la aplicación Cédula DigitalDescargar
Anexos_Informe_cedula_digital_publicosDescargar

Acompáñanos en @Karisma en X, Fundación Karisma en Facebook y YouTube, y @karismacol en Instagram y Tik Tok.

Si por algún motivo esta entrada no es accesible para tí, por favor escríbenos a comunicaciones@karisma.org.co y haremos los ajustes que estén a nuestro alcance para que puedas acceder al contenido.

Indícanos el título del contenido en el asunto del correo, por ejemplo: La identidad de Cédula Digital.

Es fundamental poner el tema en la agenda y nutrir la conversación. ¿Trabajas en un medio de comunicación? Escríbenos a comunicaciones@karisma.org.co