El papel de las DLT y las identidades descentralizadas
Como parte del proyecto H2020 ENSURESEC, una actividad de innovación financiada por la UE para reforzar la seguridad del ecosistema del comercio electrónico, la Fundación IOTA y sus socios acaban de alcanzar el segundo hito del proyecto.
Después de un año de proyecto, la Fundación ha desarrollado la primera implementación de dos nuevas herramientas (disponibles en github), a saber, la herramienta Immutable Audit Trail y el bridge Ecommerce-SSI (Self-Sovereign Identity). Las herramientas aprovechan los protocolos IOTA Streams e IOTA Identities.
Para medir el impacto potencial de nuestro trabajo, nos dirigimos a una comunidad de expertos con una encuesta de impacto.
La encuesta tenía como objetivo comprender la viabilidad de nuestras soluciones y su relevancia para el ecosistema del comercio electrónico, recogiendo las opiniones de expertos no relacionados directamente con el proyecto ENSURESEC. Publicada el 16/3/21, la encuesta se realizó durante tres semanas. El conjunto de preguntas originales puede encontrarse aquí.
Antes de analizar los resultados de la encuesta, recapitulemos lo que la Fundación IOTA está construyendo en el marco de ENSURESEC.
La figura siguiente destaca el concepto y las herramientas junto con su integración prevista.
Como se ha mencionado anteriormente, hay dos herramientas que se están desarrollando actualmente y que pronto se probarán en pilotos reales: el bridge SSI de comercio electrónico y la herramienta de seguimiento de auditoría inmutable.
Bridge Ecommerce-SSI
La primera es un bridge Ecommerce-SSI de identidad autosoberana. El bridge ofrece un conjunto de API para que los emisores exporten credenciales verificables (VC) a un monedero de credenciales (es decir, una aplicación para clientes) y para que los verificadores reciban las VC y verifiquen su autenticidad, es decir, que el emisor es una organización reconocida y que la credencial fue realmente emitida al propietario del monedero (es decir, un cliente). Las credenciales se basan en una identidad descentralizada (o DID en la jerga del W3C). Debajo del Bridge está la implementación de la Identidad IOTA.
Para ver un ejemplo de dónde se utilizará el Bridge, considere lo siguiente. Un banco que ha verificado la edad de su cliente utiliza el Bridge para permitir que el cliente obtenga una credencial verificable firmada, en la que se indica su edad. A continuación, el cliente puede entrar en un sitio web de comercio electrónico y comprar un medicamento especial que requiere la verificación de la edad. El sitio web de comercio electrónico puede verificar de forma segura la edad del cliente sin necesidad de conectarse al banco.
Entre otros casos de uso, la Fundación IOTA está estudiando la posibilidad de verificar las identidades y credenciales de organizaciones (por ejemplo, un vendedor autorizado de dispositivos médicos) y productos cuando se venden en un sitio web de comercio electrónico. Esto ayudará a eliminar las fricciones para que las pequeñas y medianas empresas accedan a los mercados de comercio electrónico, mantengan su seguridad y cuenten con la confianza de los clientes, que es uno de los principales objetivos del proyecto ENSURESEC.
Nuestra herramienta está bien alineada con el reciente anuncio de la UE de una billetera digital y una red de identidad descentralizada.
Herramienta de seguimiento de auditoría inmutable
El Bridge también se ha integrado con la segunda herramienta que la Fundación IOTA está desarrollando para ENSURESEC, la Immutable Audit Trail. La herramienta Immutable Audit Trail responde a una de las necesidades más importantes del sector del comercio electrónico: comunicar y compartir información de confianza sobre amenazas para gestionar y prevenir ataques cibernéticos. Esta necesidad es similar a la expresada recientemente por la administración Biden en su Orden Ejecutiva para Mejorar la Ciberseguridad de la Nación (Sección 2). Compartir dicha información requiere identificar correctamente su origen, para evitar información falsa y maliciosa, así como regular quién puede acceder a ella, para evitar el riesgo de que sea manipulada.
La herramienta Immutable Audit Trail proporciona una API GW (pasarela) hacia el ledger de IOTA que permite a los sistemas de comercio electrónico publicar y suscribirse a la información sobre amenazas. El ledger garantiza la inmutabilidad, mientras que el marco de IOTA Streams permite el control de acceso. El bridge SSI se utiliza para establecer y verificar la identidad de las partes autorizadas a escribir y leer dicha información, garantizando así la integridad de su fuente y evitando su uso indebido. Todo ello sin necesidad de un IdM (Sistema de Gestión de Identidades) e IAM (Gestor de Acceso de Identidades) centrales, que podrían ser fácilmente objeto de ciberataques.
En una futura entrada del blog más detallada desde el punto de vista técnico se ofrecerán más detalles sobre las herramientas, los casos de uso probados y las API.
A la luz de todos los desarrollos desde la primera propuesta de IF para el proyecto ENSURESEC en 2019, ahora era el momento adecuado para comprobar si el proyecto va por buen camino mediante una encuesta sobre el sentimiento actual del mercado.
Sumerjámonos en lo que hemos aprendido encuestando a los expertos de nuestra comunidad sobre el papel de las DLT y de IOTA en la seguridad del comercio electrónico.
La encuesta
Antecedentes de los participantes
La mayoría de las respuestas recibidas eran de personas familiarizadas o muy familiarizadas con la DLT. Más del 60% de los encuestados se declararon familiarizados con la tecnología en su conjunto y bastante familiarizados con el concepto de Identidades Autosoberana (SSI).
Sentimiento general
Antes de compartir los planes reales de IOTA para ENSURESEC con nuestros expertos encuestados y evaluar sus reacciones, la encuesta se centró en conocer el papel que los expertos asignarían a las DLT en el ecosistema general del comercio electrónico.
La mayoría de ellos (el 57% de los encuestados) coincidió en que la seguridad del intercambio de datos es una característica importante, aunque no tanto como la autenticación y autorización de los clientes con DID (el 76% de los encuestados). También preguntamos si veían un papel para las criptomonedas en su uso como forma de pago.
¿Entonces, qué pasa con las criptomonedas?
Si bien hubo un acuerdo general en que el uso de criptomonedas podría aumentar la seguridad, la escalabilidad y la descentralización, y permitir a los usuarios pagar más fácilmente por lo que obtienen, en el caso de los servicios temporales (con IOTA siendo reconocido por sus microtransacciones sin fees), el uso de un ledger abierto para gestionar los pagos también se vio como una oportunidad potencial para construir la reputación de los pagadores, una especie de prueba de honestidad en la industria financiera.
Sin embargo, a pesar de las oportunidades que ofrecen las criptomonedas, los encuestados destacaron también los riesgos asociados, como la volatilidad y las cargas adicionales (como la necesidad de pagar impuestos sobre las plusvalías en las compras favorables) o la ausencia de regulaciones.
«Lo anterior confirma que estamos en el camino correcto, ya que nunca planeamos utilizar IOTA como moneda en la industria del comercio electrónico dentro del proyecto ENSURESEC.»
Hemos estado experimentando con las criptomonedas como moneda en otros ámbitos (como la energía) y somos conscientes de los riesgos. Por lo tanto, no nos han sorprendido las recientes noticias sobre los que han probado este camino, de vender activos por criptomonedas (cara sonriente).
¿Por qué es importante la inmutabilidad?
Dado que el comercio electrónico es un ecosistema complejo formado por clientes, vendedores y distribuidores, el almacenamiento inmutable de datos en DLT tiene un valor reconocido para garantizar la seguridad entre las distintas partes. En particular, según los participantes en nuestra encuesta, permite: 1) rastrear la autenticidad de los productos; 2) crear un vínculo más directo desde el producto hasta los consumidores y 3) responsabilidades de identidad sin necesidad de terceros auditores.
¿Por qué es importante la auto-soberanía?
Según los participantes en la encuesta, las identidades descentralizadas son la única herramienta fiable para construir la reputación de los actores del comercio electrónico y evitar estafas y fraudes o listas blancas y negras de vendedores y clientes en ecosistemas tan complejos. Con ello, se podrán mejorar las reseñas de productos, verificando su autenticidad y eliminando las falsas. Al superar las limitaciones de los inicios de sesión de Google y Facebook, la identidad descentralizada (DID) también permite a los clientes iniciar fácilmente la sesión en múltiples servicios manteniendo el control sobre sus datos y evitando la reventa por parte de terceros; permite la autenticación de segundo factor, la verificación de la edad sin problemas y garantiza la entrega al cliente correcto.
Estos dos últimos son, casualmente, dos de los casos de uso previstos para probar las herramientas IOTA con los socios de ENSURESEC. Se presentarán más en el futuro, cuando se realicen los pilotos del proyecto.
¿Dónde más pueden ser útiles las DLT?
La mayoría de los encuestados se centraron en el uso de NFT (tokens no fungibles) y, en particular, sugirieron que las DLT y las NFT pueden:
- Conectar mejor las cadenas de venta de productos, es decir, el propietario del producto/token x tendrá un beneficio/descuento al comprar el producto/token y. La información posterior a la venta sobre el uso del producto puede recogerse de forma anónima cuando se adjunta a las identidades de los productos. Las mismas identidades de producto podrían utilizarse para proporcionar actualizaciones sobre nuevas versiones de productos, reservar reparaciones o comprar complementos.
- Las NFT pueden permitir la compra segura de productos evitando problemas de liquidez con los artículos no stockeados; automatizar las declaraciones de impuestos y aduanas; recompensar e incentivar a los clientes por la monetización de los datos de sus productos.
Después de todo esto, ¿estamos en el camino correcto con ENSURESEC?
Después de recoger las ideas de los participantes en la encuesta sobre los posibles beneficios del uso de DLT, SSI y criptomonedas en el ámbito del comercio electrónico, nuestra investigación se centró en la recogida de opiniones sobre lo que estamos haciendo realmente en el proyecto. Con respecto a esto, el 60% de los participantes cree que es bueno que utilicemos el ledger de IOTA para hacer un registro inmutable en el comercio electrónico para el análisis de incidentes.
Un porcentaje igual, 50/50, también cree que crear APIs que permitan el acceso centralizado a las funcionalidades del ledger es un buen enfoque, ya que esto ayuda a reducir la complejidad cuando se introducen por primera vez las DLT. Se recomienda que esto se elimine en el futuro. Sin embargo, aunque los encuestados están de acuerdo en que la escritura centralizada es útil, confirman que la integridad de los datos debe verificarse siempre localmente.
«Este es exactamente nuestro enfoque ENSURESEC. Diferentes sistemas pueden utilizar IOTA Audit GW para escribir y verificar los datos en el ledger utilizando un servicio REST desplegado de forma local o centralizada, pero evitando la complejidad de la integración directa.»
Los datos del comercio electrónico deberían almacenarse en un ledger con permisos, según el 50% de nuestros encuestados. Esto permite un mejor manejo de las regulaciones y la protección de los datos. Sin embargo, para evitar el riesgo de que un ledger con permiso pueda ser detenido, algunos de los datos podrían estar permanentemente anclados a las huellas digitales almacenadas en redes sin permiso.
La infraestructura con permiso debería ser mantenida por los proveedores de comercio electrónico o alojada por una infraestructura pública de la UE.
«También en este caso vamos por buen camino, ya que estamos investigando el uso de un Tangle privado de ENSURESEC o de una mainnet conectada a una red privada de chronicle, gestionada por los proveedores de comercio electrónico. En el futuro podríamos considerar la posibilidad de crear un fragmento de datos, así como aprovechar los vínculos con la UE del proyecto ENSURESEC para investigar también la interconexión con la red EBSI«.
«También estamos de acuerdo con la opinión de los participantes de que los datos personales no deberían figurar en el ledger, mientras que los datos de los productos sí. Por eso estamos construyendo identidades descentralizadas con identificadores DID anónimos almacenados en el ledger, mientras que las credenciales se mantienen off chain. También estamos protegiendo la confidencialidad de los datos de los productos, almacenándolos en Streams de IOTA privados».
De acuerdo: tenemos la implementación correcta. Pero, ¿tienen nuestras herramientas un futuro de adopción?
Hemos planteado esta pregunta a los participantes en nuestra encuesta. El 80% de ellos cree que el inicio de sesión en el comercio electrónico con identidades descentralizadas tendrá tracción, ya que es más fácil, reduce la fatiga de las contraseñas, proporciona el cumplimiento del GDPR y evita el fraude/robo de identidad. Sin embargo, hay una expectativa moderada de adopción a corto plazo, a menos que la integración sea fácil.
«Por esta razón hemos decidido construir un bridge de integración que simplificará los sistemas de comercio electrónico y la integración de aplicaciones, utilizando un único marco. Al simplificar la integración y hacerla más accesible, los proveedores de comercio electrónico pueden centrarse en una experiencia de usuario positiva y sencilla para atraer a sus clientes al uso de las identidades descentralizadas.»
El 96% de los participantes también cree que SSI debería utilizarse también para las organizaciones, con los siguientes beneficios esperados:
-
- Permite una integración e interacciones más fáciles y seguras;
-
- Permite construir un sistema de reputación, de modo que no haya un punto central de fallo en el proceso de admisión a los mercados de comercio electrónico;
¿En qué casos de uso debemos centrarnos?
En lo que respecta a las identidades descentralizadas, la mayoría de los encuestados coinciden en que deberían explorarse y evaluarse las identidades descentralizadas para las organizaciones como medio para mejorar la financiación del comercio y crear sistemas de reputación. Sin embargo, el cumplimiento legal sigue siendo un factor de riesgo, así como la posible resistencia de las organizaciones que quieren beneficiarse de los diferentes sistemas de identidad establecidos. Deben considerarse nuevos modelos de negocio y queda por ver cómo se pueden monetizar las identidades descentralizadas.
El 92% de los participantes está de acuerdo en que las identidades descentralizadas para el IoT son útiles para los siguientes casos de uso:
- Verificación, autenticidad y estado de los productos
- Entrega correcta de paquetes
- Seguimiento de la distribución de equipos médicos
- Oráculos de confianza, fuentes de datos
- Supervisión del estado y de la posventa, servicio técnico
Esto coincide con lo que la Fundación IOTA está haciendo con ENSURESEC.
«De hecho, estamos planeando utilizar las identidades de las cosas y las organizaciones para permitir a los clientes verificar la identidad del vendedor (con los bancos del consorcio del proyecto) y la autenticidad del producto desde cualquier sitio web de comercio electrónico (es decir, una credencial de autenticidad firmada emitida por un vendedor verificado se adjuntará a la identidad de un producto determinado). También tenemos previsto probar nuestro bridge Ecommerce-SSI para compartir las credenciales de los clientes y las pruebas de compra (con los operadores de comercio electrónico del proyecto) con los operadores logísticos (caso de uso 2).»
«Pondremos en práctica y probaremos el caso de uso 3 «Supervisión de la distribución de equipos médicos» en un proyecto que está a punto de comenzar (SECANT, permanezca atento a más detalles). El caso de uso 4 «Oráculos de confianza, fuentes de datos» es también la razón principal por la que conectaremos otras herramientas de supervisión del comercio electrónico a las identidades descentralizadas, antes de que compartan los datos mediante la herramienta Audit Trail.»
Conclusiones
La encuesta confirmó la mayoría de nuestras hipótesis y las de ENSURESEC, resultantes de las conversaciones con las partes interesadas en el comercio electrónico que participan en el proyecto. Identificó casos de uso interesantes, en particular relacionados con las NFT de IOTA, que no se tuvieron en cuenta en este proyecto pero que podrían representar una dirección interesante para futuros proyectos en el espacio del comercio electrónico.
La encuesta reconocía que, a pesar de la competencia existente en el ecosistema de Ethereum, el ledger y las herramientas de IOTA siguen siendo feeless, más ecológicos, abiertos, escalables y mantenidos por una fundación sin ánimo de lucro. A pesar de ello, el reto de la adopción, en particular de las identidades descentralizadas, sigue pendiente hasta que se identifique una forma sostenible de monetización en un ecosistema tan abierto.
El uso del ledger para garantizar los datos es más fácil cuando se dispone de las herramientas adecuadas para su integración, ya que aumenta la transparencia y la responsabilidad en estos complejos ecosistemas.
Todo esto es muy alentador para la Fundación IOTA. Nuestras herramientas están casi terminadas y los casos de uso de los pilotos finales están tomando forma. Permanezca atento para obtener más información técnica sobre las herramientas de comercio electrónico de IOTA y los resultados de su evaluación. Al recopilar y comunicar pruebas de valor de escenarios de demostración reales, confiamos en que también podremos promover su adopción de manera más amplia en el transcurso del proyecto ENSURESEC.
Post original: IOTA-ENSURESEC: How to make an impact in the e-commerce ecosystem
