Seguramente cuando tenías 18 años, en más de alguna ocasión te pidieron un documento de identidad en una discoteca o despacho de alcohol para verificar si eras mayor de edad.
¿Te paraste a pensar en la cantidad desmesurada de información que revelabas solo por mostrar tu DNI?
- Tu fecha de nacimiento, no solo si eres mayor de edad
- Tu lugar de nacimiento
- Tu lugar de residencia
- Tus nombres y apellidos
- El nombre de tus padres
- Tu número de DNI
No está mal para responder a una sencilla pregunta binaria ¿Eres o no mayor de edad?
El problema es que en pleno siglo XXI arrastramos un sistema de identidad del siglo XIX. La presentación de las credenciales y su verificación se realiza en el mismo documento: el DNI, el título universitario, la nómina, etc.
Y cuando presentas este documento a un tercero para que verifique alguna de tus afirmaciones (“soy mayor de edad”, “tengo el título de ingeniero”, “gano suficiente para pagarte la renta”), puede hacerse con toda la información del documento y guardarla para siempre. ¡Pierdes el control de tu información personal!
Hoy nuestra vida es digital por lo que en nuestras interacciones en el mundo físico y online vamos dejando un reguero de datos personales.
Cada vez que nos registramos en todo tipo de servicios introducimos una y otra vez los mismos datos. Y una vez cedidos, ya no hay marcha atrás. Los sistemas de identidad actuales están centralizados, no son portables ni confiables y te arrebatan el control de tus propios datos.
Como consecuencia, nuestra identidad digital en Internet aparece fragmentada en multitud de apps y servicios y totalmente fuera de nuestro control.
¿Y si se produce una brecha de datos tras un ciberataque con éxito a uno de la infinidad de servidores que los almacena? Tus datos personales acabarán en las garras de cualquier cibercriminal, quien los venderá al mejor postor.
En los últimos años están ganando tracción las credenciales verificables y los identificadores descentralizados para compartir tus datos personales sin renunciar a tu privacidad.
Gracias a las soluciones de “Identidad Descentralizada» (o “Identidad Auto-Soberana”), ninguna empresa ni institución controla o almacena tu información de forma centralizada: puedes revocar tus credenciales verificables en cualquier momento, manteniendo tus datos siempre bajo tu control. Tú decides quién y cómo usa tus datos.
En este artículo te explicaré cómo funcionan y qué pasos se están dando para acelerar la adopción de la identidad descentralizada en el mundo.
CONTENIDO
¿Qué es la identidad digital?
Sin ponernos muy filosóficos, lo cierto es que en primer lugar debemos abordar esta espinosa cuestión: ¿Qué es la identidad digital? En 2005, en un trabajo pionero y de absoluta vigencia, el ingeniero de Microsoft Kim Cameron la definió de la siguiente manera:
Un conjunto de afirmaciones realizadas por un sujeto digital sobre sí mismo o sobre otro sujeto digital.
¿Y qué es un sujeto digital? Según Cameron:
Una persona o cosa representada o existente en el ámbito digital que se describe o trata.
De manera que, además de a nosotros los humanos, esta definición comprende a todo tipo de máquinas y dispositivos, recursos digitales e incluso políticas y relaciones entre todos ellos.
¿Y una afirmación?
Se trata de una declaración sobre la verdad de algo, típicamente discutida o en duda.
Por ejemplo, que una persona es mayor de edad, que posee el título de ingeniero, que ingresa más de una cierta cantidad de dinero o que conoce la contraseña para autenticarse ante un servicio remoto.
Esta definición de identidad digital separa limpiamente la presentación de afirmaciones de la verificación de su vínculo con un objeto del mundo real.
¿Y qué características debe poseer un sistema de identidad digital para llegar a ser universalmente aceptable y duradero?
Según el propio Kim Cameron, debería cumplir las siguientes «Siete Leyes de la Identidad Digital».
1. Control y consentimiento del usuario
Los sistemas técnicos de identidad sólo deben revelar la información que identifica a un usuario con el consentimiento de éste.
2. Divulgación mínima para un uso restringido
La solución que revela la menor cantidad de información identificable y limita mejor su uso es la más estable a largo plazo.
3. Partes justificadas
La divulgación de información identificable debe limitarse a las partes que ocupan un lugar necesario y justificable en una determinada relación de identidad.
4. Identidad dirigida
Un sistema de identidad universal debe admitir tanto identificadores «omnidireccionales» para su uso por parte de entidades públicas (por ejemplo un servidor web) como identificadores «unidireccionales» para su uso por parte de entidades privadas (por ejemplo un token de sesión entre un visitante y ese sitio web), facilitando así el descubrimiento y evitando la liberación innecesaria de información correlacionable.
5. Pluralismo de operadores y tecnologías
Un sistema de identidad universal debe canalizar y permitir la interoperación de múltiples tecnologías de identidad gestionadas por múltiples proveedores de identidad.
6. Integración humana
El metasistema de identidad universal debe definir al usuario humano como un componente del sistema distribuido integrado a través de mecanismos de comunicación hombre-máquina sin ambigüedad que ofrezcan protección contra los ataques a la identidad.
7. Experiencia coherente en todos los contextos
El metasistema de identidad unificador debe garantizar a sus usuarios una experiencia sencilla y coherente, al tiempo que permite la separación de contextos a través de múltiples operadores y tecnologías.
Los sistemas actuales de identidad no cumplen estas leyes. Pero se está trabajando en nuevas propuestas de identidad digital, basadas en «credenciales verificables», en Blockchain y en algunas tecnologías más. Repasémoslas.
¿Qué son las credenciales verificables?
En primer lugar, para operar una identidad digital según las Leyes de Cameron, se requiere un sistema de almacenamiento e intercambio de credenciales estandarizado, que permita portar al mundo online las credenciales tradicionalmente usadas en el mundo offline: DNI, pasaporte, titulaciones, licencias, títulos de propiedad, información médica, datos fiscales, etc.
El W3C lleva trabajando desde 2017 en el Modelo de Datos de Credenciales Verificables. Esta especificación proporciona «un mecanismo para expresar este tipo de credenciales en la web de manera criptográficamente segura, respetando la privacidad y verificable por máquinas».
En el mundo físico, una credencial contiene como mínimo:
- Información que identifica al sujeto de la credencia, foto, nombre, número de DNI, etc.
- Información que identifica a su emisor, estado, universidad, banco, etc.
- Información sobre el tipo de credencial, pasaporte, carné de conducir, tarjeta sanitaria, diploma, etc.
- Los atributos o las propiedades específicas que se afirman lugar de nacimiento, tipo de vehículo que puede conducir, titulación expedida, etc.
- Evidencia sobre cómo se derivó la credencial.
- Información sobre las restricciones de la identidad: fecha de caducidad, términos de uso, etc.
Una credencial verificable no solo puede representar la misma información que una credencial física, sino que, además, gracias a la adición de tecnologías como las firmas digitales, los intentos de manipulación se vuelven más evidentes, por lo que resultan más fiables que sus homólogas físicas.
Si necesitas compartir información con otra identidad digital, puedes generar una presentación verificable solamente de los datos personales que tú elijas. Luego muestras esta presentación verificable al verificador para demostrar que posees credenciales verificables con las características que afirmas poseer.
Tanto las credenciales verificables como las presentaciones verificables pueden transmitirse rápidamente, lo que las hace más convenientes que sus homólogas físicas cuando se trata de establecer la confianza a través de Internet.
Un elemento clave de este sistema son los «Identificadores Descentralizados» (DID): un nuevo tipo de identificador único global, diseñados para que personas y organizaciones puedan generar sus propios identificadores utilizando sistemas en los que confían.
Estos nuevos identificadores permiten a las entidades demostrar el control sobre ellos mediante la autenticación con pruebas criptográficas como las firmas digitales.
Sus objetivos de diseño son: descentralizados, controlados por el usuario, privados, seguros, basados en pruebas criptográficas, descubribles, interoperables, portables, simples y extensibles.
La cuestión que surge a continuación es: ¿Cómo se almacenan de forma segura?
Identidad descentralizada sobre Blockchain
Actualmente, tu información personal está desperdigada por miles de servidores, fuera de tu control, pueden desaparecer y llevarse con ellos tu información; pueden ser atacados y tu información, divulgada; pueden comerciar con tus datos sin tu consentimiento; pueden negarte el acceso futuro o cambiar los términos de uso.
Tus datos ya no te pertenecen. El objetivo fundamental de la Identidad Auto-Soberana es que tú poseas y controles toda la información sobre ti, garantizando tu privacidad.
Es decir, buscamos un sistema descentralizado no controlado por ninguna organización ni oligopolio, transparente (toda la información está visible por todo el mundo) e inmutable (nadie puede alterar la información almacenada).
Estos requisitos te habrán hecho pensar inmediatamente en Blockchain, que actúa como un libro de contabilidad distribuido y abierto a cualquiera para leer y escribir con la propiedad de que una vez que un bloque se ha añadido a la cadena de bloques es muy difícil (idealmente imposible) cambiarlo.
La identidad descentralizada funciona de forma similar a una criptodivisa, creas una pareja de claves pública y privada en una cartera de identidad (identity wallet).
Tu cartera calcula el hash de tu clave pública (tu identificador) y lo almacena de forma inmutable en una cadena de bloques. Tú creas, posees y controlas estos identificadores descentralizados, independientemente de cualquier organización o gobierno.
Además, tu cartera actúa como interfaz con la cadena de bloques y con otros actores, de manera que te resulte tan sencillo trabajar con tus identidades como usar Instagram. Mientras controles las claves criptográficas vinculadas a tu identidad descentralizada, conservarás el control.
¿Y qué pasa con tus datos? ¿Se almacenan en la cadena de bloques, a la vista de todo el mundo? ¡No! Tus credenciales con sus afirmaciones se guardan en un Hub de Identidad: una red de almacenes de datos distribuidos y replicados, por la nube (cloud) y por el borde (edge), en smartphones, laptops, altavoces inteligentes o donde tú elijas.
Por ejemplo, si completas tus estudios en una universidad, ésta te emitirá un diploma asociado a tu identidad, con toda su información cumpliendo con el estándar de las credenciales verificables.
Puedes almacenar esta información en tu Hub de Identidad. Si más adelante necesitas probar ante un empleador que posees el título, bastará con que crees una presentación verificable de tus credenciales, la cual podrá ser independientemente verificada por el empleador.
¿Quién está trabajando en la Identidad Descentralizada?
El grupo de trabajo más activo sobre identidad auto-soberana es la Decentralized Identity Foundation (DIF). Aglutina a los principales actores del panorama actual y a sus iniciativas más destacadas. Si quieres aprender más sobre este tema, sin duda es tu primer destino.
Uno de estos actores es Microsoft, quien sorprendió a propios y ajenos cuando en 2017 anunció ION (Identity Overlay Network: una red de Identificadores Descentralizados que se ejecuta sobre la blockchain de Bitcoin. Está trabajando muy duramente por hacer penetrar en el mercado la identidad descentralizada, tal y como relatan en su sitio web sobre identidad.
Otra compañía muy relevante que ha apostado por la identidad descentralizada es IBM, con su iniciativa llamada Verify Credentials.
En Europa, el trabajo de referencia es el European Self-Sovereign Identity Framework (ESSIF), uno de los casos de uso más destacados de la European Blockchain Services Infrastructure (EBSI).
Por supuesto, otras muchas iniciativas públicas y privadas se están sumando a este movimiento por todo el mundo: Hyperledger Indy/Aries, ID2020, Sovrin, Civic, Serto o Bloom, por citar algunas.
[irp]
El futuro de la Identidad Descentralizada
Nuestras identidades no son algo que deba gestionar un intermediario. Deberían ser gestionadas por cada uno de nosotros, bajo nuestro completo control, preservando por defecto nuestra privacidad y nuestra seguridad.
Gracias a la identidad digital descentralizada, los usuarios podremos controlar nuestra identidad digital online por primera vez desde el nacimiento de Internet.
Más aún, millones de personas, hoy carentes de identidad digital debido a las limitaciones de nuestras infraestructuras de autenticación, podrán acceder mediante la identidad auto-soberana a servicios financieros, educativos y sociales y disfrutar de derechos que hasta ahora les son inaccesibles.
La historia sobre la Identidad Descentralizada aún se está escribiendo. Te he presentado a varios protagonistas y las primeras escenas del drama, pero el desenlace aún queda lejos. En un mundo cada vez más descentralizado, encaminado hacia la confianza cero, la identidad es el último reto por superar.