El “Big-Bang” de un nuevo mercado: un ejemplo de éxito de colaboración público privada

Aunque muchos de vosotros ya lo habréis leído, me gustaría compartir en este espacio  el artículo publicado en  Boletic, la revista de ASTIC, la Asociación Profesional del Cuerpo Superior de Sistemas y Tecnologías de la Administración del Estado.

Os dejo el enlace de la fuente original, donde encontrareis otros artículos de temática variada y muy interesantes. 

Resumen: la puesta en marcha del nuevo mercado de juego online supuso la necesidad de implementar, en el plazo de 6 meses, una serie de servicios de verificación de identidad y de presencia en RGIAJ con el objetivo de que los operadores de juego online pudieran ofrecer sus plataformas de juego a aquellos ciudadanos interesados. Se trataba de poner a disposición de empresas cierta información sobre sus posibles jugadores y de no hacerlo, aquellas no podrían ofrecer los servicios para los que habían abonado fuertes sumas de dinero en forma de garantías o tasas para la adquisición de licencias, así como resultarían inútiles las inversiones realizadas para adecuar sus plataformas de juego a la novedosa legislación española.

Es algo inusual dentro del ámbito de las administraciones públicas españolas encontrarse con un ámbito de nueva creación donde es preciso intervenir (regular, observar, participar, …). Somos un país con una larga tradición en lo que a sector público se refiere, y en muy pocos sectores se puede tener la oportunidad de participar desde cero en la creación de todo el entramado jurídico-técnico y sus correspondientes derivaciones prácticas.

Sin embargo, la irrupción de las nuevas tecnologías en la vida diaria del ciudadano, así como, no hay que negarlo, la necesidad que existe de conseguir nuevos ingresos tributarios –aunque sea aduciendo el evidente peligro para la cohesión social que tiene el sector del juego, hicieron necesaria la promulgación de una ley del juego (Ley 13/2011, de 27 de Mayo, de regulación del juego, cuyo texto consolidado puede encontrarse a través de este enlace), eminentemente centrada en el juego online y que además de ser pionera por su temática, lo era por abordar un tema –el juego- competencialmente en manos de las Comunidades Autónomas, pero que al ser realizado a través de medios telemáticos, hacía necesaria una actuación y regulación a nivel estatal.

Así, la mencionada ley y sus correspondientes desarrollos reglamentarios (Real Decreto 1614/2011, de 14 de noviembre, por el que se desarrolla la Ley 13/2011, de 27 de mayo, de regulación del juego, en lo relativo a licencias, autorizaciones y registros del juego y Real Decreto 1613/2011, de 14 de noviembre, por el que se desarrolla la Ley 13/2011, de 27 de mayo, regulación del juego, en lo relativo a los requisitos técnicos de las actividades de juego) venían a abordar el juego online desde la óptima de cuatro pilares principales:

• Prevención de los juegos de azar como fuente de perturbación del orden público y de fraude: regulación de los juegos permitidos y necesidad de obtener la correspondiente licencia para poder ejercer dicha actividad.
• Asegurar que el negocio del juego se lleva a cabo de manera justa y abierta
• Salvaguardar los derechos de los participantes en los juegos.
• Proteger a la infancia y a los colectivos vulnerables, de forma que no puedan ser utilizados por los operadores de juego en su propio beneficio.

Ejes principales L13/2011

Dejando a un lado las partes más polémicas de la legislación (se creó una Comisión Nacional del Juego –todavía no efectivamente constituida- para la regulación, el control e inspección del nuevo mercado, teniendo una tasa afectada a su funcionamiento –tasa desafectada posteriormente-, o la limitación de acceso a plataformas de juego desde territorio español - únicamente se puede acceder a aquellas plataformas que dispongan de un dominio .es-), los cuatro ejes anteriores se tradujeron principalmente en:

Convocatoria de adjudicación de licencias: las posibles licencias a solicitar se dividieron en tres principales categorías (llamadas licencias generales –LG-), y dentro de cada una de ellas, se diseñaron distintos tipos de lo que se denominaron licencias singulares (LS):

• LG juegos de apuestas
  • LS apuestas deportivas mutuas
  • LS apuestas deportivas de contrapartida
  • LS apuestas hípicas mutuas
  • LS apuestas hípicas de contrapartida
  • LS Otras contrapartida
• LG concursos
• LG otros juegos
  • LS Black Jack
  • LS Bingo
  • LS Punto y banca
  • LS Póquer
  • LS Ruleta
  • LS Juegos complementarios

El proceso de adjudicación de licencias finalizó de forma general en Junio de 2.012 con algo más de 50 operadores de juego (de naturaleza mayoritariamente extranjera) que se repartieron algo más de 80 licencias generales y casi 300 licencias singulares (los detalles se pueden encontrar en http://www.ordenacionjuego.es/es/operadores/buscador).

Control de la actividad de los operadores de juego: se definió el modelo de datos del sistema de monitorización de la información correspondiente a los registros de operaciones de juego. O lo que es lo mismo, se detallaron las especificaciones técnicas que deben cumplir los sistemas técnicos de los operadores de juego de forma que quede a disposición de la Dirección General de Juego todo el detalle de las actividades de juego realizadas. Así se definieron el formato, el contenido, la forma de acceso y la disponibilidad de la información a la que la Dirección General de Ordenación del Juego tendría acceso con el fin de asegurar las limitaciones legales establecidas así como verificar que el juego se realiza de una forma segura y justa, sin olvidar temas como la prevención del fraude o el blanqueo de capitales.

Activación de los sistemas técnicos que habiliten la protección de los colectivos vulnerables (infancia e inscritos en el Registro General de Interdicciones de Acceso al Juego, RGIAJ): los puntos anteriores no hubiera tenido aplicación alguna sin la creación de los mecanismos que permitiesen a los operadores de juego online el cumplimiento de las verificaciones de los participantes en los juegos, contenido central de este artículo. Por ello, a partir del mismo día de la concesión de cada una de las licencias, y en el caso de que quisieran ofrecer sus servicios al público, los operadores de juego online deben identificar al jugador en una doble vertiente (artículos 26 y 27 del RD 1614/2011):

• En el proceso de registro: asegurar que no era menor de edad
• En el proceso de registro y sobre todo en el momento de abono de premios: asegurar que no está inscrito en el RGIAJ

Con el objetivo de cumplir ambos requisitos, la DGOJ realizó (a través de una contratación vía Catálogo de Patrimonio 25/2002 con la empresa IBM S.A.) el desarrollo de un sistema de información que posibilitara ambas verificaciones. Dicho desarrollo está siendo manteniendo por la empresa Connectis, adjudicataria de un contrato de Catálogo de Patrimonio 26/2011.

El Sistema de Verificación de Datos de Identidad (SVDI)

La primera de las dos verificaciones mencionadas anteriormente está basada en la utilización del Sistema de Verificación de Datos de Identidad proporcionado por la Dirección General de Modernización Administrativa, Procedimientos e Impulso de la Administración Electrónica del Ministerio de Hacienda y Administraciones Públicas.

Se utiliza siempre que se trata de ciudadanos en posesión de un DNI o NIE (para la identificación en base a otros documentos acreditativos de identidad –pasaporte- los operadores de juego deben implementar sus propios sistemas de verificación documental)

Aunque la legislación permitía que los operadores de juego online utilizasen sus propios sistemas de verificación de identidad con el objeto de permitir el juego únicamente a mayores de edad, también habilitaba a la DGOJ a establecer los mecanismos necesarios para proporcionar ese servicio usando los servicios de intermediación existentes. Además, la legislación recalcaba que, únicamente los datos obtenidos de la DGOJ se presumían ciertos (en el caso de realizar una verificación de identidad por medios propios y detectarse un error en la misma, el operador podría ser sancionado), y además permitía a la DGOJ contestar dentro de los tres días siguientes a la recepción de la petición (eliminaba el requisito de un estricto 24x7)..

El mecanismo implantado obligaba a que el usuario en proceso de registro en una plataforma de juego online proporcionase los datos de su DNI o NIE tal y como aparecen en el documento (número de DNI o NIE, nombre y apellidos y fecha de nacimiento). La DGOJ, una vez recibida la consulta, la reencaminaba hacia el servicio de intermediación, que a su vez lo dirige hacia la Dirección General de la Policía. Una vez analizada la respuesta recibida, la DGOJ simplificaba la misma con el objeto de facilitar el tratamiento al operador de juego online, ofreciendo estos códigos de respuesta:

Consulta de identidad en los métodos habilitados
COD003	La identidad del usuario es correcta
COD004	La identidad del usuario es incorrecta. Motivo1 1 Texto aclaratorio del posible causa del problema de identificación. En la fecha de publicación del documento existen tres Motivos: Titular no identificado Titular no identificado positivamente - Ciudadano Nacionalizado Español El documento solicitado puede estar en trámite de renovación, retenido, retirado por autoridad judicial o anulado por duplicidad. Si necesita aclaración, póngase en contacto con la Unidad de Documentación de Españoles y Archivo Se ha encontrado mas de un registro con ese identificador. Este error normalmente aparece en consultas de verificación de identidad usando NIE y se debe a que el NIE consultado tiene más de una filiación en el Registro Central de Extranjeros. Las causas de los cambios de filiación son variados, ya que afectan a cualquiera de los datos de filiación (nombre, apellidos, nombres de padres, país de nacimiento, nacionalidad, fecha de nacimiento, cambio de nacionalidad, ..). Cuando un ciudadano con NIE cambia cualquiera de esos datos, circunstancia que parece que se da con cierta frecuencia, la consulta a ese NIE determinado ofrece el error mencionado. En estos casos el operador tendrá que proceder a la verificación documental del jugador.
COD005	No se ha podido verificar la identidad del usuario
Otros
COD901	Formato de datos incorrecto
COD902	La petición tiene caracteres no válidos

Con el objeto de no sobrecargar el sistema de intermediación, la DGOJ habilitó un sistema de cacheo por el cual, todas aquellas identificaciones correctas eran utilizadas para la resolución de peticiones que tratasen sobre el mismo DNI o NIE (en principio se estimaba que existiría un gran número de jugadores presentes en varios operadores, por lo que el sistema de cacheo, además de evitar sobrecargar al sistema de intermediación con un tráfico para el que no estaba diseñado y que además era imprevisible en cuanto a volumen y a ocurrencias horarias, evitaría posibles errores surgidos de la interconexión de distintos sistemas de información)

Desde la puesta en marcha del servicio se han validado más de 1’1 millones de jugadores a razón de una media de más de 5 peticiones por jugador (aunque parezca lo contrario, la obligatoriedad de que los datos se transmitan tal y como aparecen en el DNI o NIE es fuente de múltiples errores, sobre todo cuando se trata de personas con nombres originarios de lenguas distintas de las del territorio español).

Verificación de presencia en el Registro de Interdicciones de Acceso al Juego (RGIAJ)

Una vez identificada correctamente la identidad del posible participante, el operador de juego debía comprobar que el mismo no estaba dado de alta en el RGIAJ, ya sea por propia iniciativa o por sentencia judicial firme.

El RGIAJ es el registro de prohibiciones de acceso al juego a nivel nacional (cada Comunidad Autónoma tiene el suyo para el control de acceso al juego en su territorio) que legislativamente se habilitó para que también soportara las prohibiciones de acceso al juego online. En la actualidad cuenta con algo más de 40.000 inscritos de los cuales 30.000 están en estado activo.

Dado que la legislación indicaba claramente que antes de la retirada de premios se debía controlar el estado en RGIAJ del interesado, y previendo que una posible consulta masiva de todos los operadores una vez algunos eventos deportivos hubiesen terminado, se diseñaron dos formas de consulta al RGIAJ. Una orientada a la consulta inicial de un nuevo cliente del operador y otra para que el mismo operador pueda consultar los cambios de estado de todos sus clientes (o lo que es lo mismo, de todos aquellos por los que preguntó en su día). Esta consulta de cambios se debía hacer cada hora a las horas en punto, que es cuando se determinó que los cambios en RGIAJ tomarían efecto (ya se realicen modificaciones de estado a través de la sede electrónica por parte del interesado o por parte del gestor de la aplicación de Gestión del RGIAJ –aplicación que la DGOJ heredó del Ministerio del Interior, que era el competente hasta la entrada en vigor de la L13/2011-). De esa forma se pasó a consultar de forma individualizada el RGIAJ en el proceso de alta de cada cuenta y se establecieron 24 consultas por hora por cada operador activo (algo menos de 40 operadores), reduciendo drásticamente el supuesto riesgo de colapso (no hay que perder de vista que durante el diseño del sistema se desconocía el volumen de juego, el volumen de abono de premios o el de registros nuevos, por lo que era de vital importancia el diseño de un sistema que soportase la actividad del mercado sin afectarlo. Es necesario recordar que así como en la verificación de identidad la legislación deja a la DGOJ 3 días para contestar o que el operador de juego online tenga sus propios sistemas de verificación de identidad, en el caso de la verificación del RGIAJ, la ausencia de servicio implicaba el no poder registrar nuevos jugadores o el abono de premios, lo que supone un grave efecto nocivo para el negocio, incluyendo cierta posibilidad de reclamación por lucro cesante).

Descripción funcional de los procesos de verificación

(1) En el caso de que el operador utilice los servicios de identificación de participantes proporcionados por la DGOJ, se hará uso de este servicio en la fase inicial del proceso de registro con el objeto de comprobar la identidad del jugador y en el caso de una identificación incorrecta no se acceda a fases posteriores del proceso de registro donde se realicen otras comprobaciones (estado RGIAJ ) o se soliciten otros datos adicionales necesarios para la constitución efectiva de la cuenta de usuario (tarjetas de crédito, domicilio, …). Desde el punto de vista de la DGOJ no se produce una asociación del jugador y del operador.

(2) A utilizar en la fase final del proceso de registro, tras el cual se podrá (si procede) activar la cuenta de usuario. La utilización de este método implica que la DGOJ asociará al jugador al operador que realiza la consulta, por lo que en el futuro y sobre el jugador consultado, se notificarán los cambios de su estado en el RGIAJ vía VerificarCambiosRGIAJ.

(3) A utilizar cuando el proceso de registro del jugador se realiza en una sola fase, comprobando en un solo paso la identidad y su estado en RGIAJ, tras el cual se podrá (si procede) activar la cuenta de usuario. La utilización de este método implica que la DGOJ asociará al jugador al operador que realiza la consulta, por lo que en el futuro y sobre el jugador consultado, se notificarán los cambios de su estado en RGIAJ vía VerificarCambiosRGIAJ.

4) Dado que los cambios de estado en RGIAJ se producen a las horas en punto, los datos obtenidos en la consulta del método serán válidos durante toda la hora siguiente y se deberán usar para impedir realizar cualquier actividad de juego en los términos recogidos en la normativa vigente.

(5) Ambas acciones deben tener en cuenta la situación de inscripción del jugador en el RGIAJ. Para ello se utilizará la información obtenida a través del servicio VerificarCambiosRGIAJ, con la que el operador deberán actualizar su base de datos de clientes y actuar en consecuencia.

Seguridad en el intercambio de información

Los anteriores servicios descritos se implementaron mediante Web Services autenticados usando el estándar Web Services Security 1.0.

Dado que muchos de los operadores eran de nacionalidad extranjera, teniendo por tanto sus servicios de desarrollo repartidos por casi todo el mundo, se decidió que el control de certificados con los que se realiza el WS-Security no estaría basado en que los mismos estuvieran emitidos por una CA reconocida y que al recibirlos, la DGOJ realizase una validación del estado del certificado (requería además de un gasto en tiempo, que podría perjudicar al operador, ya que en el extremo del operador habría un usuario esperando a ser dado de alta, el tener conexión con cualquiera de las CAs que emiten certificados en el mundo para comprobar la no revocación los certificados recibidos). Por ello, se decidió aceptar cualquier certificado (incluso uno autoemitido por el operador), comunicando en el proceso de alta del operador la parte pública del mismo.

Así, en el proceso de comprobación del WS-Security, se modificó el código fuente de distribución cargada en el servidor de aplicaciones para no verificar la CA del extremo remoto y posteriormente validar el certificado con el que se había firmado el mensaje recibido contra la base de datos local de certificados aceptados.

Así mismo se hizo especial hincapié en asegurar el sistema contra ataques “man in the middle”, de forma que además de que los mensajes vinieran con un sello de tiempo, este debería acceder a los sistemas de la DGOJ en los intervalos marcados por los parámetros <wsu:Created> y <wsu:Expired>.

Adicionalmente, y con el objeto de no sobrecargar el sistema con comprobaciones que darían resultados erróneos, se definieron en el tratamiento inicial de los valores recibidos una serie de comprobaciones, entre las que se encuentran:

• Comprobación formato DNI o NIE es correcto
• Fechas anteriores a 01/01/1900 no son correctas
• El primer apellido es obligatorio para DNI y NIE
• El segundo apellido es obligatorio para DNI
• Caracteres no permitidos en el nombre y apellidos: 1234567890$&¿?¡!|()@#¬+*{}<>%/\ u otros obtenidos con combinación de letras
• Sistema de sustitución de caracteres (más allá de los guiones o espacios en blanco):

Carácter recibido	Carácter con el que trabaja el sistema
áàäâÁÀÄÂ	a
éèëêÉÈËÊ	e
íìïîÍÌÏÎ	i
óòöôÓÒÖÔ	o
úùûÚÙÛ	U
Üü	Ü

Consulta Alternativa de Interdictos (CAIREST)

Debido a lo crítico del sistema de consulta de interdictos y a que la DGOJ no contaba con un centro de respaldo, para solucionar posibles problemas en la prestación del servicio de consulta del RGIAJ por parte de los operadores, ya sea provocado por un desastre físico o lógico, se diseñó un mecanismo de consulta alternativa (limitado en cuanto a funcionalidades respecto del servicio convencional) basado en la tecnología REST con autenticación de certificados.

De esa forma, se ejecuta un proceso por el cual, cada hora, el sistema de información de la DGOJ actualiza una determinada información en el sistema de información alternativo e independiente del que presta servicio de forma convencional. La información que se le pasa es:

• Certificados de los operadores que pueden consultar el CAIREST
• Lista de DNI y NIE presentes en el RGIAJ, construida a través de la representación BASE64 del resultado de aplicar el algoritmo de composición de la clave de búsqueda que se construye con un HASH mediante un algoritmo HMAC SHA1 con contraseña. Dicha clave es enviada por correo electrónico a un buzón de la DGOJ.

En el caso de que hubiera un desastre que impida prestar el servicio RGIAJ convencional durante un periodo de tiempo prolongado, y con el objetivo que los operadores puedan seguir con su actividad normal (únicamente no podrían verificar la identidad del jugador a través de los medios que ofrece la DGOJ si no a través de los que tenga habilitados) en lo que se refiere a comprobación de RGIAJ, la DGOJ es enviaría un correo con la clave a utilizar en el sistema CAIREST y el periodo de tiempo en que este sistema es válido. Así los operadores podrían consultar las nuevas altas y abonar los premios, sabiendo que no puede existir modificaciones del estado de sus clientes, ya que el sistema principal de la DGOJ no presta servicio.

La operación por parte de los operadores es tan sencilla como mandar una consulta, utilizando el certificado de operador correspondiente, tipo REST con el id del DNI construido según el algoritmo HMAC SHA1 y la clave proporcionada y obtener la respuesta correcta: usuario inscrito o no inscrito en RGIAJ.

Factores de riesgo

Uno de los factores críticos para el éxito del proyecto era estimar la demanda de los servicios de identificación por parte de los operadores del juego. Ese riesgo se minimizó, como se ha comentado anteriormente, mediante la interpretación de la legislación, adecuando la funcionalidad requerida a un uso no intensivo de los servicios de verificación RGIAJ.

Otro de los riesgos era el relacionado con el tiempo de puesta en producción del sistema, teniendo en cuenta que el desarrollo de la ley 13/2011 en lo referente al control de los participantes se publicó el 14 de Noviembre y que la fecha en la que debían concederse las licencias (que es lo que marcaba el inicio de las actividades de los operadores de juego online) debía ser antes de finalizar el 2.011. Afortunadamente, se prorrogó dicha fecha, teniendo hasta Junio’12 para conceder las licencias, momento en el cual empezaría el mercado a operar. Sin embargo, el operador Sociedad Estatal de Loterías del Estado, que ostenta tipos de juego reservado y por tanto no necesita licencia para operar, debía empezar a validar usuarios con fecha 1 de enero de 2.012, por lo que el sistema debía estar listo para esa fecha.

Pero quizá el mayor riesgo estaba en la posibilidad de que aquellos operadores que llevaban operando en el estado español de forma alegal, procedieran a realizar una migración masiva de sus clientes. A pesar de que dicha actividad de regulación masiva de usuarios previos fue prohibida mediante las correspondientes resoluciones de la DGOJ, no existía forma material de evitar esas comprobaciones masivas (dado que no se conocía el volumen real de validaciones “normales” no se estimó conveniente el realizar costosos mecanismos de comprobación de número de peticiones dentro de un determinado tiempo). Si a lo anterior le unimos que existía bastante probabilidad que los desarrolladores (extranjeros) no interpretasen correctamente la legislación, resoluciones o notas técnicas, y que por tanto, utilizasen los servicios web de manera incorrecta, poniendo en grave riesgo el funcionamiento de los mismos y por tanto el servicio prestado a otros operadores, se establecieron una serie de mecanismos de alarma para tener controlado la actividad de cada operador (número de peticiones de validación de identidad, número de peticiones de validación RGIAJ, relación entre ambos valores, número de peticiones con formato incorrecto, número de peticiones de validación de identidad para un mismo operador y con los mismos datos de filiación, número de peticiones de validación RGIAJ para un mismo DNI o NIE –dentro de un mismo día o en días anteriores, número de veces que consultan los cambios RGIAJ de sus clientes, …). Esa información ha sido de mucha utilidad a la hora de corregir los comportamientos de los operadores y conseguir que todos se comporten según un patrón definido y que no pongan en peligro la estabilidad de un servicio tan crítico.

Volumetrías

De todos los jugadores, un 70% está registrado en un solo operador y si se tiene en cuenta aquellos registrados en 4 operadores se llega hasta el 96% del volumen total de operadores.

En cuanto a la distribución por edades:

Futuro

Una vez puesto en marcha el mercado de juego online, sustentando por los servicios descritos con anterioridad, la DGOJ se centrará en el control de la actividad de las operaciones de juego.

No obstante, se han detectado una serie de mejoras a realizar en los servicios web, que proporcionarán una mayor estabilidad y funcionalidades.

Entre las principales mejoras a acometer se pueden destacar:

• Modificación del módulo WS-Security estándar para que al igual que acepta un certificado de cualquier CA, no rechace aquellos certificados remotos caducados
• Incluir la funcionalidad de dar de baja jugadores, de forma que no se le tenga en cuenta a la hora de informar sobre cambios de estado en RGIAJ
• Incorporar el soporte de Tarjetas de Identificación de Extranjeros (TIE) en el servicio de verificación de identidad, de forma que se elimine la actual deficiencia que impide identificar a un NIE si tiene asociados varios TIEs
• Incorporar el soporte de identificación a través del Certificado Europeo
• Establecimientos de controles software que impidan que superado un umbral, un mismo operador y para un mismo día, pueda preguntar por un mismo DNI tanto en el servicio de identificación como en el RGIAJ