Identidad digital, Cartera IDUE, Firma electrónica, Archivo digital, blockchain, Medios de pago, eBanca, administración de justicia. administración pública, Seguridad Jurídica Preventiva Digital
La Cartera IDUE (Cartera de Identidad Digital de la Unión Europea, por sus siglas en español, o European Digital Identity Wallet en inglés, conocida como EUDI Wallet) es una solución digital desarrollada en el marco del Reglamento eIDAS 2.0 de la Unión Europea. Su objetivo principal es permitir a los ciudadanos europeos gestionar de forma segura y privada sus credenciales asociadas a la identidad digital (declaraciones de atributos), como documentos electrónicos (DNI digital, pasaportes, diplomas o certificados), en un dispositivo móvil o similar. Esto facilita transacciones transfronterizas, como abrir una cuenta bancaria en otro país o acceder a servicios públicos, sin necesidad de documentos físicos. La Cartera IDUE se basa en principios de identidad centrada en el usuario, que impulsan un enfoque en el que el usuario controla sus datos y decide qué compartir, garantizando privacidad y seguridad mediante estándares comunes.
El «Architecture and Reference Framework» (ARF), o Marco de Arquitectura y Referencia en español, es un documento técnico clave que define la estructura, componentes y especificaciones para el ecosistema de la Cartera IDUE.
Fue impulsado por la Recomendación de la Comisión Europea de junio de 2021 (COMMISSION RECOMMENDATION (EU) 2021/946), que insta a los Estados miembros a colaborar en una «caja de herramientas» común para la identidad digital europea.
El ARF actúa como guía para el desarrollo de implementaciones interoperables, asegurando que las Carteras IDUE funcionen de manera uniforme en toda la UE, independientemente del país.
El propósito principal del ARF es:
Explicar la arquitectura del ecosistema: Describe cómo interactúan los componentes de la Cartera IDUE para garantizar la seguridad, privacidad y usabilidad. Incluye diagramas, flujos de datos y requisitos de alto nivel.
Servir como referencia técnica: Proporciona estándares comunes, especificaciones técnicas y mejores prácticas para que los proveedores (como Estados miembros o entidades privadas) desarrollen soluciones compatibles. No es un reglamento vinculante, pero se usa para actualizar actos de ejecución del Reglamento eIDAS 2.0.
Apoyar el desarrollo y pruebas: Facilita la creación de una implementación de referencia (open-source en GitHub) y pilots nacionales/transfronterizos por parte de los Proveedores de Servicios de Cartera («Large Scale Pilots» o LSP).
El ARF detalla un ecosistema modular con los siguientes elementos principales:
Componente
Descripción
Rol en la Cartera IDUE
Cartera IDUE (Wallet)
Aplicación en el dispositivo del usuario (móvil o PC) para almacenar y gestionar declaraciones de atributos.
Permite al usuario autenticarse, firmar documentos y compartir datos (entre otros «zero-knowledge proofs»).
Emisores cualificados, no cualificados y estatales, de declaraciones de atributos a partir de «Fuentes auténticas»
Entidades que emiten documentos digitales (ej. gobiernos, bancos, universidades) en especial a través de Prestadores Cualificados que emiten Declaraciones de Atributos Cualificadas.
Generan declaraciones de atributos compatibles con estándares como ISO/IEC 18013-7 para carnets de conducir.
Prestadores de Servicios de Confianza
PSC que gestionan la confianza en el ecosistema (ej. firma cualificada remota, o certificados de participantes en el ecosistema).
Aseguran la interoperabilidad y cumplimiento normativo.
Partes usuarias (o informadas)
Plataformas que solicitan y reciben la información de las declaraciones de atributos (ej. bancos, administraciones).
Solicitan información para proporcionar algún servicio a petición del usuario de la Cartera sin acceder a datos innecesarios.
Datos de Identificación Personal (DIP/PID)
La identidad original del usuario con la que empieza a funcionar la cartera para permitir otros usos. La incorpora a la cartera un organismo del Estado miembro
Facilitan la autenticación del usuario y la obtención y presentación de declaraciones de atributos.
Algunos aspectos claves del ARF son:
El ARF se actualiza con frecuencia para adaptarse a avances tecnológicos y a las publicaciones de «Actos de Ejecución» que desarrollan el Reglamento (UE) 1183/2024 (eIDAS2).
Está disponible en el repositorio de GitHub del proyecto EUDI Wallet y en documentos traducidos al español, euskera, gallego y catalán en este blog.
Se integra con el citado Reglamento de Identidad Digital Europe (eIDAS2), que obliga a los Estados miembros a ofrecer al menos una Cartera IDUE gratuita para finales de 2026-2027 y a entidades privadas de varios sectores (transporte, energía, banca, servicios financieros, seguridad social, sanidad, agua potable, servicios postales, infraestructura digital, educación o telecomunicaciones) a aceptarlas a finales de 2027.
En resumen, el ARF es el documento técnico que detalla la estructura e interfaces de la Cartera y hace posible una identidad digital europea unificada, que promueve la innovación y enfatiza la protección de la privacidad del usuario.
Los días 12 y 13 de noviembre de 2025, EADTrust organizó un evento formativo para que los alumnos puedan entender la forma en que el desarrollo de la física cuántica nos ha permitido llegar a programar ordenadores cuánticos que, entre otras muchas aplicaciones, permiten obtener las claves privadas a partir de las públicas en los sistemas de criptografía de clave pública más utilizados (con el afamado algoritmo de Shor). Hice un recordatorio hace unos días.
Todavía falta algún tiempo para el criptocalipsis pero es muy recomendable iniciar la transición a la criptografía postcuántica lo antes posible, especialmente a la vista de la amenaza «Harvest now, decrypt later».
Y de eso iba la segunda parte del evento: identificar las directivas y reglamentos europeos que establecen obligaciones en la mejora de la seguridad de las organizaciones, interpretando como cumplirlas, entre otras acciones llevando a cabo la adopción de la criptografía postcuántica, siguiendo las recomendaciones de diferentes organizaciones, incluyendo el Centro Criptológico Nacional.
Los alumnos procedían de diferentes sectores: despachos de abogados , organismos de la administración pública, empresa consultoras especializadas en ámbitos legales, prestadores de servicios de confianza,…
Y tuvieron ese efecto «Wow» que he ido anunciando a todos los que les comenté sobre la organización de este evento en las semanas previas a su realización.
Porque sin conocimientos previos de física se llegan a entender conceptos como la «superposición» y «entrelazamiento» de los qubits y como se utiliza la notación de Dirac al definir algoritmos cuánticos utilizando puertas simbólicas como la de Hadamard en el Quantum Composer de IBM.
La clave de este aprendizaje es la metodología ENSAR (Experience Name, Speak, Apply and Repeat) de Jorge Christen y las actividades de construcción de modelos representativos de conceptos cuánticos, como la esfera de Bloch, haciendo uso del IQC Kit de Jorge.
Ya estamos preparando la siguiente edición de este evento formativo, que tendrá lugar la última semana de febrero de 2026.
Cambios de algoritmos criptográficos y tamaños de clave exigidos por el Organismo Supervisor de los Prestadores Cualificados de Servicios de Confianza requerirán la adaptación de las administraciones públicas en un plazo muy corto para admitir los nuevos certificados en sus sedes electrónicas, lo que hace recomendable considerar la inversión requerida en los presupuestos de las entidades y organismos para el próximo año.
En la nota lacónicamente titulada Nota Migración RSA se establece lo siguiente:
Este órgano de supervisión establece que los prestadores de servicios de confianza, cualificados y no cualificados, que emplean algoritmos RSA para la prestación de servicios de confianza, deben cumplir con lo establecido por el Centro Criptológico Nacional, en el Anexo 1- Prestadores de Servicios de Confianza que acompaña a la Guía de Seguridad de las TIC CCN STIC 807 Criptología de Empleo en el Esquema Nacional de Seguridad.
(…) este órgano supervisor determina que el impacto en la migración del algoritmo RSA con longitud de claves inferiores a 3000 bits es significativo, requiriéndose por tanto que (…)
los prestadores de servicios de confianzacualificados que hayan desplegado jerarquías de certificación con claves RSA con longitud de claves inferiores a 3000 bits, generen nuevas jerarquías de certificación con tamaños de clave mayor. Y deberán
(…) aportar como mínimo la evidencia del hito de celebración de la ceremonia de generación de claves criptográficas.
Hay ciertas referencias a plazos en relación con los Informes de Evaluación de Conformidad, de los prestadores que realicen estos cambios de tamaño de claves RSA en su infraestructura, pero son plazos muy cortos. Por otro lado, el citado Anexo 1 del CCN también detalla plazos en los que deberán dejar de usarse claves RSA con longitud de claves inferiores a 3000 bits y establece que
(…) A partir del 1 de enero de 2027, si aún se emiten certificados basados en RSA, se deberán emitir con módulos de al menos 3000 bits.
El documento del CCN a su vez hace referencia al documento de ENISA: ECCG Agreed Cryptographic Mechanisms – version 2 que también recomienda dejar de usar claves RSA de tamaños menores a 3000 bits. Concluye el CCN con esta recomendación:
No obstante, en virtud del principio de mejora continua de la ciberseguridad y de las recomendaciones técnicas emitidas por organismos internacionales y del propio Centro Criptológico Nacional, se insta a los organismos responsables a proceder a la implementación de mecanismos más robustos para mecanismos de clave asimétrica (RSA de mayor longitud y algoritmos postcuánticos) a la mayor brevedad posible.
Entre las entidades afectadas está la FNMT que ya ha generado una nueva jerarquía de certificación con tamaños RSA mayores de 3000 bits (lo que se ha actualizado en la TSL) y está avisando a las todos los organismos públicos de los cambios que se avecinan. Los certificados que ha estado emitiendo hasta ahora eran de 2048 bits.
A EADTrust no le ha afectado esta circular del Organismo Supervisor porque desde el primer momento ha estado gestionando PKIs de diferentes algoritmos y tamaños de clave: RSA 4096, RSA 8192, ECC 256 y ECC 384 (con la posibilidad de emitir certificados RSA 2048 por compatibilidad en proyectos críticos).
Sin embargo, el reto que tienen por delante las administraciones públicas, es el de adaptar sus portales, sus sedes electrónicas y sus sistemas de firma electrónica para que admitan los nuevos certificados, con diferentes algoritmos y tamaños de clave. Y capaces de validar la TSL europea. Y ya casi no queda tiempo. Conviene que reserven una partida para ello en los presupuestos de 2026.
Para que puedan valorar el reto, EADTrust ofrece sin coste a las entidades públicas juegos de certificados de prueba de todo tipo de perfiles y con los algoritmos y tamaños de clave siguientes: RSA 4096, RSA 8192, ECC 256 y ECC 384.
Por ejemplo, estos son los perfiles:
Servicio de expedición de certificados electrónicos cualificados de firma electrónica Expedición de Certificado de Persona física
Servicio de expedición de certificados electrónicos cualificados de firma electrónica — Certificados electrónicos cualificados de Empleado Público Expedición de Certificado de Persona física para AAPP
Servicio de expedición de certificados electrónicos cualificados de sello electrónico — Expedición de certificado de persona jurídica
Servicio de expedición de certificados electrónicos cualificados de sello electrónico — Certificados cualificados de sello electrónico PSD2 Expedición de certificado de persona jurídica PSD2
Servicio de expedición de certificados electrónicos cualificados de sello electrónico — Certificados cualificados de Sello electrónico de la Administración Pública Expedición de certificado de persona jurídica para AAPP
Servicio de expedición de certificados electrónicos cualificados de autenticación de sitios web Expedición de certificados electrónicos cualificados de autenticación de sitios web Expedición de certificados electrónicos cualificados de autenticación de sitios web PSD2
Servicio de expedición de certificados electrónicos cualificados de autenticación de sitios web — Certificados cualificados de Sede electrónica de la Administración Pública Certificado cualificado de sitio web para sede electrónica
Los certificados de EADTrust son «oficiales»: se han testado en la plataforma de @firmaaFirma_Anexo_PSC y en Valide, lo que los hace idóneos para las pruebas.
Para solicitar el «paquete» de certificados de prueba, pueden contactar coninfo (at) eadtrust.eu o llamar al teléfono 917160555 (añadiendo el prefijo 34 si llaman desde fuera de España)
Se incluye al final del artículo la traducción al español del documento Arquitectura y Marco de Referencia (ARF) V2.6 de la Cartera de Identidad Digital Europea.
La última versión del documento Arquitectura y Marco de Referencia (ARF) para la Cartera de Identidad Digital de la Unión Europea (Cartera IDUE, o EUDI Wallet en inglés) es la 2.6 , publicada el 13 de octubre de 2026.
Este documento se actualiza regularmente en el repositorio de GitHub de la Comisión Europea y se alinea con el Reglamento eIDAS 2.0 (Reglamento (UE) 2024/1183). Desde la versión 1.10 incorpora retroalimentación de los 4 pilotos a gran escala y ajustes para interoperabilidad.
El objetivo principal del ARF es proporcionar un conjunto de especificaciones técnicas, estándares comunes y mejores prácticas para desarrollar una solución interoperable, segura y basada en normas para la Cartera IDUE.
Esto incluye definiciones de arquitectura del ecosistema (emisoras, carteras, proveedores de servicios), protocolos de intercambio de información, requisitos de seguridad y privacidad (como divulgación selectiva de datos y políticas de control de atributos), y guías para la implementación en Estados miembros.
Facilita la integración con el Reglamento eIDAS 2, asegurando que las carteras funcionen de manera transfronteriza sin comprometer la soberanía de datos del usuario.
La Cartera Digital (EUDI Wallet) representa un avance clave en la identidad digital europea, permitiendo a los ciudadanos y residentes de la UE controlar de forma segura y autónoma su identidad digital, almacenando y compartiendo credenciales (declaraciones de atributos) selectivamente sin revelar datos innecesarios. Entre sus beneficios principales:
Acceso simplificado a servicios: Identificación con un solo clic para trámites públicos (impuestos, sanidad) y privados (bancos, educación, viajes), eliminando la necesidad de múltiples contraseñas y documentos físicos.
Privacidad y control: Los usuarios deciden qué atributos compartir (ej. edad sin nombre completo), con registro de transacciones para rastreo y cumplimiento del RGPD. Incluso se podrá retirar el consentimiento de cesión de datos personales con posterioridad de forma muy sencilla.
Interoperabilidad transfronteriza: Válida en toda la UE, facilita movilidad laboral, educativa, turística y de negocios.
Seguridad reforzada: Usa cifrado avanzado, biometría y firmas electrónicas cualificadas, y se espera que reduzca fraudes y costes administrativos.
En resumen, transforma la interacción digital en algo más eficiente, sencillo y centrado en el usuario, con expectativas de adopción del 80% de la población para 2030.
Obligatoriedad de adopción de protocolos técnicos para aceptar la interacción con las carteras de identidad para ciertas empresas y sectores
La aceptación de la Cartera IDUE por ciertas empresas será obligatoria a partir de las navidades de 2027, coincidiendo con la disponibilidad plena de las carteras en todos los Estados miembros (cada país debe ofrecer al menos una versión gratuita) que deberán ofrecerla en las navidades de 2026.
Sin embargo, el uso por ciudadanos es voluntario.
Las empresas obligadas no pueden rechazarla como medio de identificación electrónica si el servicio lo requiere, ya que implicaría el incumplimiento del Reglamento eIDAS y lo que llevaría aparejada la aplicación de sanciones.
Los sectores obligados incluyen tanto el sector público (todas las administraciones) como el privado en áreas esenciales donde la verificación de identidad es clave. A continuación, una tabla con los principales:
Sector
Ejemplos de aplicación obligatoria
Razón de obligatoriedad
Transporte
Permisos de conducir móviles, billetes de tren/avión
Verificación de identidad para movilidad segura.
Energía
Contratos de suministro, medidores inteligentes
Acceso a servicios básicos con control de datos.
Banca y finanzas
Apertura de cuentas, transacciones PSD2/3
Cumplimiento AML y seguridad financiera.
Seguridad social
Pensiones, subsidios
Acceso a prestaciones públicas.
Salud
Recetas electrónicas, historiales médicos
Intercambio seguro de datos sensibles (RGPD).
Agua y suministros
Contratos de abastecimiento
Servicios esenciales de infraestructura.
Servicios postales
Envíos certificados, notificaciones
Verificación para entregas seguras.
Educación
Inscripciones, diplomas digitales
Reconocimiento transfronterizo de credenciales.
Telecomunicaciones
Activación de SIM, contratos de telefonía
Registro de usuarios y prevención de fraudes.
Plataformas digitales grandes
Redes sociales (ej. Facebook, Instagram)
Autenticación para servicios de alto impacto.
Estos sectores deben integrar interfaces compatibles con el ARF para aceptar credenciales de la cartera. Otros sectores privados pueden adoptarla voluntariamente para mayor eficiencia.
Todavía no se ha detallado el régimen sancionador específico para España salvo los marcos generales de la Unión Europea, como el del Reglamento (UE) 2022/2065 del Parlamento Europeo y del Consejo de 19 de octubre de 2022 relativo a un mercado único de servicios digitales y por el que se modifica la Directiva 2000/31/CE (Reglamento de Servicios Digitales).
Aquí os ofrezco el documento ARF de la Cartera IDUE en su Versión 2.6 traducida al español por mi (Julián Inza):
He procurado usar ciertos términos en español de forma consistente, evitando, por ejemplo utilizar las palabras «monedero» o billetera» ya que la palabra «cartera» se adapta mejor a la idea de recoger en ella documentos y declaraciones de atributos y tenerlos disponibles según los necesite su usuario, para presentarlos a las partes interesadas (partes informadas).
Y a continuación incluyo la versión 2.6 del ARF en inglés:
Como resumen gráfico de la Cartera IDEU (EUDI Wallet) y de su ecosistema se incluye este diagrama:
Ante las dudas que pueden surgir a las entidades obligadas, ofrecemos en EADTrust un servicio de resolución de dudas sobre eIDAS 2 y Cartera IDUE y otro de implementación de interfaces de «Fuentes Auténticas» y «Partes Interesadas».
Ayer comenté la publicación de 3 nuevos actos de ejecución en el Diario Oficial de la Unión Europea (DOUE) y ahora recojo la lista completa con 25 actos de ejecución publicados en desarrollo del Reglamento eIDAS2.
Hoy se han publicado 3 nuevos Actos de Ejecución en el Diario Oficial de de la Unión Europea de 28 de octubre (Journal of the European Union) en desarrollo del Reglamento EIDAS y EIDAS2.
Decisión de Ejecución (UE) 2025/2164 de la Comisión de 27 de octubre de 2025 por la que se modifica la Decisión de Ejecución (UE) 2015/1505 en lo que respecta a la versión de la norma en la que se basa la plantilla común para las listas de confianza.
Reglamento de Ejecución (UE) 2025/2162 de la Comisión de 27 de octubre de 2025 por el que se establecen disposiciones de aplicación del Reglamento (UE) n.o 910/2014 del Parlamento Europeo y del Consejo en lo que respecta a la acreditación de los organismos de evaluación de la conformidad que realizan la evaluación de los prestadores cualificados de servicios de confianza y de los servicios de confianza cualificados que prestan, el informe de evaluación de la conformidad y el sistema de evaluación de la conformidad
Reglamento de Ejecución (UE) 2025/2160 de la Comisión de 27 de octubre de 2025 por el que se establecen disposiciones de aplicación del Reglamento (UE) n.o 910/2014 del Parlamento Europeo y del Consejo en lo que respecta a las normas de referencia, las especificaciones y los procedimientos para la gestión de riesgos para la prestación de servicios de confianza no cualificados
Aquí está la lista de todos los actos de ejecución publicados anteriormente. Y este cuadro lo ha preparado Joerg Lenz que sigue muy de cerca todos los desarrollos normativos:
Ayer comenté la publicación de 6 nuevos actos de ejecución en el Diario Oficial de la Unión Europea (DOUE) —anteriormente Diario Oficial de las Comunidades Europeas (DOCE)—
Con lo que la lista completa queda con 22 actos de ejecución publicados:
En inglés:
CIR 2024/2977 PID (Personal Identification Data) and EAA (Electronic Attestations of Attributes)
Recordemos que quedan borradores de actos de ejecución cuyos plazos para enviar comentarios acabaron el 2 de octubre, salvo el de archivo con orden cronológico que acaba el 3 de octubre.
En el DOCE del 30 de septiembre se han publicado 6 reglamentos de ejecución que conocíamos en estado de borrador. Son los siguientes:
Español
CIR-2025-1929-ES Reglamento de Ejecución (UE) 2025/1929 de la Comisión, de 29 de septiembre de 2025, por el que se establecen disposiciones de aplicación del Reglamento (UE) n.o 910/2014 del Parlamento Europeo y del Consejo en lo que respecta a la vinculación de la fecha y la hora con los datos y al establecimiento de la exactitud de las fuentes de información temporal para el suministro de sellos cualificados de tiempo electrónicos
CIR-2025-1942-ES Reglamento de Ejecución (UE) 2025/1942 de la Comisión, de 29 de septiembre de 2025, por el que se establecen disposiciones de aplicación del Reglamento (UE) n.o 910/2014 del Parlamento Europeo y del Consejo en lo que respecta a los servicios cualificados de validación de firmas electrónicas cualificadas y los servicios cualificados de validación de sellos electrónicos cualificados
CIR-2025-1943-ES Reglamento de Ejecución (UE) 2025/1943 de la Comisión, de 29 de septiembre de 2025, por el que se establecen disposiciones de aplicación del Reglamento (UE) n.o 910/2014 del Parlamento Europeo y del Consejo en lo que respecta a las normas de referencia para los certificados cualificados de firma electrónica y los certificados cualificados de sello electrónico
CIR-2025-1944-ES Reglamento de Ejecución (UE) 2025/1944 de la Comisión, de 29 de septiembre de 2025, por el que se establecen disposiciones de aplicación del Reglamento (UE) n.o 910/2014 del Parlamento Europeo y del Consejo en lo que respecta a las normas de referencia de los procesos de envío y recepción de datos en los servicios cualificados de entrega electrónica certificada y en lo que respecta a la interoperabilidad de tales servicios
CIR-2025-1945-ES Reglamento de Ejecución (UE) 2025/1945 de la Comisión, de 29 de septiembre de 2025, por el que se establecen disposiciones de aplicación del Reglamento (UE) n.o 910/2014 del Parlamento Europeo y del Consejo en lo que respecta a la validación de las firmas electrónicas cualificadas y de los sellos electrónicos cualificados y a la validación de las firmas electrónicas avanzadas basadas en certificados cualificados y de los sellos electrónicos avanzados basados en certificados cualificados
CIR-2025-1946-ES Reglamento de Ejecución (UE) 2025/1946 de la Comisión, de 29 de septiembre de 2025, por el que se establecen disposiciones de aplicación del Reglamento (UE) n.o 910/2014 del Parlamento Europeo y del Consejo en lo que respecta a los servicios cualificados de conservación de firmas electrónicas cualificadas y de sellos electrónicos cualificados
English
CIR-2025-1929-EN Commission Implementing Regulation (EU) 2025/1929 of 29 September 2025 laying down rules for the application of Regulation (EU) No 910/2014 of the European Parliament and of the Council as regards the binding of date and time to data and establishing the accuracy of the time sources for the provision of qualified electronic time stamps
CIR-2025-1942-EN Commission Implementing Regulation (EU) 2025/1942 of 29 September 2025 laying down rules for the application of Regulation (EU) No 910/2014 of the European Parliament and of the Council as regards qualified validation services for qualified electronic signatures and qualified validation services for qualified electronic seals
CIR-2025-1943-EN Commission Implementing Regulation (EU) 2025/1943 of 29 September 2025 laying down rules for the application of Regulation (EU) No 910/2014 of the European Parliament and of the Council as regards reference standards for qualified certificates for electronic signatures and qualified certificates for electronic seals
CIR-2025-1944-EN Commission Implementing Regulation (EU) 2025/1944 of 29 September 2025 laying down rules for the application of Regulation (EU) No 910/2014 of the European Parliament and of the Council as regards reference standards for processes for sending and receiving data in qualified electronic registered delivery services and as regards interoperability of those services
CIR-2025-1945-EN Commission Implementing Regulation (EU) 2025/1945 of 29 September 2025 laying down rules for the application of Regulation (EU) No 910/2014 of the European Parliament and of the Council as regards the validation of qualified electronic signatures and of qualified electronic seals and the validation of advanced electronic signatures based on qualified certificates and of advanced electronic seals based on qualified certificates
CIR-2025-1946-EN Commission Implementing Regulation (EU) 2025/1946 of 29 September 2025 laying down rules for the application of Regulation (EU) No 910/2014 of the European Parliament and of the Council as regards qualified preservation services for qualified electronic signatures and for qualified electronic seals
La Modular Open-Source Identity Platform (MOSIP), una plataforma de código abierto para sistemas de identidad nacional, que emerge como una potente herramienta para países en desarrollo y emergentes.
En este artículo veremos qué es MOSIP, cómo se conecta con el nuevo marco regulatorio europeo eIDAS 2 y la Cartera de Identidad Digital de la Unión Europea (IDUE, o European Digital Identity Wallet en inglés), y por qué esta integración podría revolucionar la identidad digital global. Además, se incluyen referencias técnicas a los repositorios de código fuente de MOSIP y de la implementación de la Cartera por Scytale Digital, destacando su naturaleza open-source y modular.
¿Qué es MOSIP?
MOSIP es una plataforma modular y de código abierto diseñada para ayudar a los estados a construir y gestionar sistemas de identidad nacional escalables, seguros y privados.
Desarrollada en 2018 por el International Institute of Information Technology Bangalore (IIIT-B) en India, inspirada en el exitoso sistema Aadhaar, MOSIP se ha convertido en un bien público digital global.
Su enfoque API-first permite la gestión del ciclo de vida de la identidad: emisión, verificación y administración.
Repositorios de Código Fuente de MOSIP
El código fuente de MOSIP está disponible en la organización de GitHub de MOSIP (https://github.com/mosip), bajo la licencia Mozilla Public License 2.0. Esta organización alberga más de 100 repositorios que cubren todos los módulos clave. Algunos de los principales incluyen:
mosip/mosip(https://github.com/mosip/mosip): Repositorio principal que proporciona una visión general de la estructura y enlaces a otros repos. Incluye documentación de releases, como la versión 1.2.0.1 LTS lanzada en marzo de 2024, con mejoras en servicios de autenticación y procesamiento.
mosip/registration(https://github.com/mosip/registration): Maneja el cliente de registro (desktop y Android) para capturar datos demográficos y biométricos. Soporta workflows personalizables y integración con ABIS (Automated Biometric Identification System).
mosip/registration-processor(https://github.com/mosip/registration-processor): Procesa paquetes de registro, realiza deduplicación y genera UIN (Unique Identification Number). Utiliza Apache Camel para flujos de trabajo y Vert.x para etapas escalables.
mosip/id-repository(https://github.com/mosip/id-repository): Almacena y gestiona identidades y credenciales, con soporte para encriptación y privacidad por diseño.
mosip/inji(https://github.com/mosip/inji): Aplicación móvil open-source para wallets de identidad, compatible con credenciales verificables (VCs) y presentaciones (VPs), facilitando la interoperabilidad con sistemas como la IDUE.
Estos repositorios permiten a los desarrolladores derivar ampliaciones o particularizaciones, contribuir y personalizar el código. La documentación detallada está en https://github.com/mosip/documentation, con guías para setup y contribuciones.
Principales Características de MOSIP
Modularidad: Permite a los países personalizar flujos de trabajo con microservicios independientes, evitando dependencias de proveedores específicos (vendor-neutral).
Seguridad y Privacidad: Implementa «Security by Design» y «Privacy by Intent», con encriptación criptográfica, arquitectura de conocimiento cero (zero-knowledge) y acceso solo vía APIs. No almacena datos sensibles en el sistema central.
Interoperabilidad: Cumple con estándares abiertos como IEEE, facilitando la integración con ecosistemas globales.
Escalabilidad: Soporta grandes poblaciones (hasta cientos de millones de usuarios) y se ha implementado en países como Filipinas, Marruecos, Sri Lanka y Etiopía, emitiendo más de 48 millones de IDs hasta 2022.
Código Abierto: Licenciado bajo Mozilla Public License 2.0, fomenta contribuciones comunitarias vía GitHub y reduce costos para gobiernos.
MOSIP no es solo una tecnología; es un ecosistema que incluye módulos como pre-registro en línea, captura biométrica, deduplicación (demográfica y biométrica) y autenticación. Su neutralidad de proveedores permite elegir integradores locales, promoviendo la llamada «soberanía digital».
Característica
Beneficio para Gobiernos
Ejemplo de Uso
Repositorio Relacionado
Modularidad
Personalización sin vendor lock-in
Integración con sistemas existentes como registros civiles.
mosip/registration-processor
Seguridad
Encriptación en tránsito y reposo
Prevención de fugas de datos en biometría (huellas, iris).
mosip/commons
Interoperabilidad
Estándares abiertos
Conexión con apps móviles como Inji para wallets.
mosip/inji
Escalabilidad
Soporte para >1B usuarios
Implementación en India-inspired pilots.
mosip/id-repository
eIDAS 2: El Marco Europeo para Identidad Digital
eIDAS (electronic IDentification, Authentication and trust Services) es el Reglamento (UE) 910/2014 que desde 2016 regula la identificación electrónica y servicios de confianza en la UE, como firmas electrónicas y sellos.
Su versión 2.0, aprobada en abril de 2024 como Reglamento (UE) 2024/1183, entró en vigor el 20 de mayo de 2024 y amplió el alcance del Reglamento anterior para abordar limitaciones como la baja adopción (solo un 59% de ciudadanos europeos con acceso seguro a un sistema de gestión digital de identidad) y la falta de interoperabilidad transfronteriza.
Novedades de eIDAS 2
Expansión de Servicios de Confianza: Incluye firmas remotas cualificadas, archivado electrónico y sellos de transacciones, equivalentes a firmas manuscritas.
Interoperabilidad Obligatoria: Los IDs electrónicos notificados en un Estado miembro deben reconocerse en todos los demás.
Énfasis en la Privacidad: Alineado con GDPR, enfatiza control del usuario sobre datos compartidos y minimización de datos.
Acceso Universal: Obliga a proveedores de servicios (públicos y privados en sectores como banca y salud) a aceptar IDs digitales para 2027.
eIDAS 2 busca un Mercado Único Digital inclusivo, con énfasis en ciberseguridad (cumpliendo, por ejemplo, la Directiva NIS 2) y accesibilidad para el 100% de la población europea para 2030.
La Cartera de Identidad Digital Europea (IDUE): El Corazón de eIDAS 2
La Cartera IDUE, o European Digital Identity Wallet (EUDI Wallet), es la innovación estrella de eIDAS 2: una App móvil gratuita y voluntaria para almacenar, gestionar y compartir credenciales digitales de forma segura.
Cada Estado miembro debe ofrecer al menos una versión interoperable para las navidades de 2026, compatible con Android/iOS y funcionalidades offline/online.
Repositorios de Código Fuente de la IDUE por Scytale
Scytale Digital, como parte de los Grandes Proyectos Piloto (Large Scale Pilots – LSP) de la Comisión Europea, contribuye activamente al desarrollo open-source de la EUDI Wallet.
Su código está disponible en GitHub bajo la licencia EUPL 1.2, enfocándose en implementaciones para iOS y alineadas con el «Architecture and Reference Framework (ARF)» arquitectura a la que hemos dedicado varios artículos en este blog.
Repositorios clave incluyen:
scytales-com/eudi-app-ios-wallet-ui-new(https://github.com/scytales-com/eudi-app-ios-wallet-ui-new): Prototipo de la app iOS para la IDUE. Permite obtener, almacenar y presentar Person Identification Data (PID) y mobile Driving License (mDL). Soporta flujos como escaneo de QR para emisión de credenciales, verificación remota vía OpenID4VP (draft 24), y presentaciones en proximidad. Incluye integración con Wallet Kit para orquestar componentes como encriptación y autenticación biométrica.
Contribuciones a la organización oficial eu-digital-identity-wallet(https://github.com/eu-digital-identity-wallet), como eudi-lib-ios-wallet-kit (https://github.com/eu-digital-identity-wallet/eudi-lib-ios-wallet-kit): Biblioteca para iOS que coordina funcionalidades de wallet, incluyendo emisión de documentos (e.g., euPidDocType con SD-JWT y mso_mdoc), resolución de ofertas de credenciales (OID4VCI) y presentaciones con zero-knowledge proofs. Proporciona APIs simplificadas para apps, con soporte para Secure Enclave y políticas de credenciales de un solo uso.
Estos repositorios forman parte de la «Reference Implementation» oficial, disponible en https://github.com/eu-digital-identity-wallet, y se actualizan regularmente para cumplir con especificaciones como Presentation Exchange v2.0 y DCQL.
Scytale enfatiza pruebas con BrowserStack y contribuciones comunitarias vía CONTRIBUTING.md, recomendando no usar en entornos de producción sin validación adicional.
Funcionalidades Clave de la Cartera IDUE (EUDI Wallet)
Almacenamiento Selectivo: Guarda IDs nacionales, diplomas, licencias de conducir, certificados médicos o IBAN, compartiendo solo atributos necesarios (e.g., edad sin revelar nombre completo).
Autenticación Segura: Usa biometría, PIN o claves criptográficas; soporta firmas cualificadas gratuitas para uso no profesional.
Interoperabilidad: Basada en el ARF, permite uso transfronterizo sin revelar datos excesivos.
Control por el Usuario: Rastrea la información que se comparte y permite retirar el consentimiento para usar la información que se cedió en el pasado, en línea con e GDPR y la LOPD-GDD.
Algunos ejemplos de uso: Abrir una cuenta bancaria en otro país UE sin documentos físicos; firmar contratos remotos; acceder a servicios de salud transfronterizos.
Para las navidades de 2027, las empresas de varios sectores económicos deben aceptarla para acreditar la identidad, así como las plataformas con >45M usuarios (e.g., redes sociales).
Beneficio
Para Ciudadanos
Para Empresas
Facilidad
Acceso unificado a servicios EU.
Reducción de fraudes en KYC/AML.
Privacidad
Compartir mínimo viable.
Cumplimiento GDPR/eIDAS.
Eficiencia
Menos burocracia.
Costos bajos en verificación.
Eventos Relevantes sobre MOSIP y la Cartera IDUE
La intersección entre MOSIP y la IDUE ha sido tema de discusión en varios eventos internacionales, fomentando la interoperabilidad entre sistemas de identidad globales y europeos. Estos foros destacan colaboraciones entre expertos, gobiernos y desarrolladores para alinear estándares abiertos y wallets digitales. A continuación, algunos ejemplos:
Seminario internacional de RENIEC en Perú (2023 y 2025): Organizado por el Registro Nacional de Identificación y Estado Civil (RENIEC) de Perú, este taller sobre identidad digital incluyó discusiones sobre la adopción de MOSIP para sistemas nacionales y su potencial integración con marcos europeos como eIDAS 2 y la IDUE. Participaron Julián Inza, experto en identidad digital, y Nagarajan Santhanam, de MOSIP, quienes compartieron experiencias en implementación de plataformas modulares y wallets interoperables. El evento enfatizó la soberanía digital en América Latina y oportunidades para conectar con la IDUE en contextos migratorios y comerciales.
MOSIP CONNECT 2024 (Addis Abeba, Etiopía): Celebrado en noviembre de 2024, este foro anual de MOSIP reunió a líderes globales para explorar interoperabilidad con ecosistemas europeos. Se abordó explícitamente la alineación de MOSIP con la IDUE, incluyendo sesiones sobre zero-knowledge proofs y credenciales verificables compatibles con OpenID4VP. Nagarajan Santhanam presentó avances en el módulo Inji de MOSIP, destacando su rol como puente hacia wallets como la IDUE para países en desarrollo.
Large Scale Pilots (LSP) Workshops de eIDAS 2 (2024-2025): Bajo la iniciativa de la Comisión Europea, estos talleres piloto (e.g., en Bruselas y virtuales) han incluido paneles sobre integración global de wallets. En sesiones de 2024, se mencionó MOSIP como modelo para identidades fundacionales en el Sur Global, con discusiones sobre cómo mapear credenciales MOSIP a la IDUE para reconocimiento transfronterizo. Contribuyentes como Scytale Digital compartieron código open-source para pruebas de interoperabilidad.
Estos eventos subrayan la creciente colaboración, con énfasis en estándares compartidos para un ecosistema inclusivo.
Conexión entre la Identidad Digital de MOSIP y la Cartera IDUE de EIDAS2:
Aunque MOSIP es global y eIDAS 2 se centra en la Unión Europea, su conexión radica en la interoperabilidad y estándares abiertos, esenciales para un mundo interconectado.
MOSIP, con su enfoque en la creación de identidades, puede servir como base para integrar Carteras de identidad, especialmente para países extracomunitarios que interactúan con Europa (e.g., comercio, migración).
Técnicamente, el módulo Inji de MOSIP (https://github.com/mosip/inji) soporta declaraciones electrónicas de atributos compatibles con OpenID4VP y SD-JWT, alineándose con las bibliotecas de Scytale para la EUDI Wallet como eudi-lib-ios-wallet-kit.
Eventos como MOSIP CONNECT 2024 han acelerado estas discusiones, promoviendo pilotos conjuntos.
Algunas posibles interacciones se planean en aspectos como
Interoperabilidad Técnica: MOSIP soporta estándares como OpenID Connect y protocolos biométricos que alinean con el ARF de eIDAS 2. Países que usan MOSIP (e.g., en África, Asia) podrían mapear sus IDs a la Cartera de Identidad Digital Europea para reconocimiento mutuo, facilitando flujos migratorios o comerciales. Por ejemplo, un inmigrante con ID MOSIP podría vincularse a una IDUE para servicios en Europa, usando repos como mosip/id-authentication para verificación.
Privacidad y Seguridad Compartidas: Ambas enfatizan zero-knowledge proofs y consentimiento; la encriptación biométrica de MOSIP complementa la biometría de la IDUE en repos como scytales-com/eudi-app-ios-wallet-ui-new.
Oportunidades para Países en Desarrollo: MOSIP reduce costos (cero licencia) y permite escalabilidad; integrarlo con eIDAS 2 abriría mercados en Europa. En el MOSIP CONNECT 2024 (Addis Abeba), se discutió interoperabilidad con ecosistemas de la UE, reconociendo que sistemas globales como MOSIP deben alinearse con ls Carteras IDUE para encarar convergencias futuras. Similarmente, el evento de RENIEC en Perú exploró aplicaciones regionales.
Desafíos: Diferencias regulatorias (eIDAS es vinculante en para los países europeos; MOSIP es voluntario) requieren puentes estandarizados. Pilotos como los Large Scale Pilots de eIDAS que se están iniciando en 2025, como We Build podrían probar integraciones con MOSIP, contribuyendo código a repositorios compartidos.
En resumen, MOSIP proporciona una infraestructura robusta para identidades nacionales de nuevo cuño (vía su GitHub), mientras eIDAS 2 y la Cartera (con contribuciones de Scytale) aseguran interoperabilidad a nivel europeo.
Juntas, podrían promover un ecosistema global inclusivo, donde un ID MOSIP en Etiopía podría validar transacciones en Alemania, impulsado por colaboraciones en eventos internacionales.
Ideas finales
MOSIP representa la un enfoque orientado a facilitar la adopción de la identidad digital en países con escasa infraestructura, por ejemplo en Asia o África, mientras eIDAS 2 y la Cartera IDUE marcan la soberanía digital en Europa en lo relativo a la identidad digital. Su conexión potencial podría facilitar el comercio y la movilidad, y fomentar principios universales de privacidad y accesibilidad.
Para gobiernos y empresas, adoptar MOSIP con un horizonte labrado por eIDAS 2 significa invertir en un futuro interoperable, según puede intuirse a la vista de sus repositorios open-source para integraciones personalizadas.
Servicios de EADTrust
Contacte con EADTrust en el +34 917160555 o info (at) eadtrust.eu si necesita entender el funcionamiento de las Carteras de Identidad. Nuestros consultores y desarrolladores también están disponibles para proyectos de gobiernos, organismos públicos y entidades multilaterales.
La Comisión Europea anuncia el lanzamiento de una nueva consulta pública (Have Your Say platform for public feedback) para la revisión de actos de ejecución correspondientes a un nuevo lote (el quinto) de los previstos en el Reglamento EIDAS2, respecto a los que se podrán enviar comentarios hasta el 2 de octubre de 2025.
Se trata de la versión consolidada del Reglamento (UE) nº 910/2014, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza en las transacciones electrónicas en el mercado interior, tras la modificación del Reglamento (UE) 2024/1183 del Parlamento Europeo y del Consejo, de 11 de abril de 2024, en lo que respecta al establecimiento del marco europeo de identidad digital (Reglamento eIDAS 2).
En este nuevo lote, el primero de los borradores de actos de ejecución recoge los requisitos que tienen que cumplir los Prestadores de Servicios Cualificados de Confianza según el apartado 2 del artículo 24.
El tercero se refiere a los artículos 27 (firmas electrónicas en los servicios públicos) y 37 (sellos electrónicos en los servicios públicos) y establece sus formatos:
El cuarto se refiere a los certificados cualificados de autenticación de sitio web (Qualified Web Authentication Certificates) que trata el artículo 45
Y el quinto a los sistemas de archivo con garantía de orden cronológico del Artículo 45 terdecies (Requisitos aplicables a los libros mayores electrónicos cualificados):
Todavía faltan la publicación de algunos borradores más:
Artículo 19 bis. Requisitos aplicables a los prestadores no cualificados de servicios de confianza.
Requisitos de evaluación del artículo 20:
a) la acreditación de los organismos de evaluación de la conformidad y el informe de evaluación de la conformidad a que se refiere el apartado 1;
b) los requisitos de auditoría con arreglo a los cuales los organismos de evaluación de la conformidad realizarán la evaluación de la conformidad, incluida la evaluación compuesta, de los prestadores cualificados de servicios de confianza a que se refiere el apartado 1;
c) los sistemas de evaluación de la conformidad que utilizarán los organismos de evaluación de la conformidad para evaluar la conformidad de los prestadores cualificados de servicios de confianza y para proporcionar el informe a que se refiere el apartado 1.
Todo es electrónico 