Muy poca gente entiende realmente el concepto de Identidad Autosoberana. La tecnología está todavía en su infancia, y algunos individuos emprendedores están siendo pioneros en su adopción en el mundo real ahora mismo. Lo que hay que entender aquí, sin embargo, es que se basa en algo llamado Identificadores Descentralizados (DIDs). Lo que hacen los DIDs es desafiar nuestra existencia digital tal y como la conocemos, proporcionando una forma privada y segura sin precedentes de llevar nuestras vidas en la era digital. En contraste con el entusiasmo científico y la investigación de vanguardia que se está llevando a cabo en torno a ellos, un DID en sí mismo parece bastante discreto: es sólo una cadena de caracteres. Sin embargo, sus claves generadas criptográficamente contienen todo el poder necesario para asegurar todos los aspectos de su identidad digital.
Para entender bien el problema que el enfoque de los DID y la identidad autosuficiente intenta resolver, primero tenemos que entender el manejo actual de nuestras identidades digitales.
Los retos a los que nos enfrentamos
En la Internet actual, o en la llamada Web 2.0, nuestra representación digital más sencilla es la credencial de inicio de sesión: las usamos todo el tiempo en Internet para identificarnos como usuarios en un montón de sitios web y plataformas. Solemos verificar nuestra identidad mediante una dirección de correo electrónico, ocasionalmente un nombre de usuario opcional, y la contraseña obligatoria. Dado que casi todos los servicios de Internet exigen ahora esa comprobación de identidad, los principales proveedores de identidad, como Facebook, Google y Apple, ofrecen su servicio de verificación personal. Al iniciar la sesión como usuario de una de estas grandes plataformas, podemos evitar la molestia de crear otra cuenta para cada servicio web.
Desde el punto de vista del usuario, esto parece sencillo y práctico: no es necesario recordar innumerables credenciales de inicio de sesión, añadir contraseñas seguras (o enrevesadas) y gestionarlas mediante gestores de contraseñas. Y lo que es mejor, una vez iniciada la sesión, solemos poder entrar sin problemas en otros sitios (que también utilizan este servicio de inicio de sesión único) sin necesidad de más comprobaciones.
El precio silencioso que se paga aquí es nuestra privacidad, nuestros datos, ya que nada es gratis en el mundo de los proveedores (de identidad) centralizados. El creciente número de usuarios que utilizan este tipo de servicios centralizados en la red indica que mucha gente no es consciente de las implicaciones, o que simplemente no les importa, ya que no se percibe ningún daño directo: ¿qué puede hacer alguien como Facebook con los datos, por ejemplo? Sin embargo, deberíamos pensar en esto. Cuando uno crea una cuenta en una red social, también acepta que sus datos de usuario se cedan a terceros, es decir, que se moneticen y se vendan a anunciantes u otros ofertantes. La increíble concentración de datos personales sobre todos los temas sociales, económicos y de comportamiento hace que este conjunto de información sea increíblemente atractivo para determinadas partes. Los regímenes autoritarios, incluidos sus servicios de inteligencia y fuerzas policiales, los estafadores y los cibermecenas de todo tipo, e incluso las organizaciones criminales o terroristas, pueden encontrar a menudo estos conjuntos de datos centralizados de gran valor.
Otro problema para los usuarios de este tipo de servicios es que sus rastros en Internet pueden rastrearse fácilmente y reconstruirse en trayectorias, hasta llegar a perfiles de movimiento completos. Como ahora todos los datos pueden vincularse a un perfil concreto, Google, por ejemplo, sabe lo que ha comprado en una tienda web, qué destinos vacacionales le interesan y qué artículos lee en su portal de noticias favorito. El hecho de que estos servicios sean generalmente gratuitos se debe a que en realidad los pagamos con nuestros datos. Es posible sacar conclusiones concretas sobre una persona real con la ayuda de los datos disponibles. Nuestras elecciones, creencias y comportamientos ya no son privados.
Algunos servicios en Internet también requieren una autentificación única de la persona real; una dirección de correo electrónico por sí sola no es suficiente para ello. Esto es necesario, por ejemplo, si queremos solicitar un seguro en línea o si se requiere una confirmación de la edad para cumplir con la ley de protección de menores. Para ello, debemos demostrar nuestra identidad real, que luego se vincula a nuestra identidad digital. Dado que aquí se procesan nuestros datos sensibles y personales, queremos la máxima protección y seguridad. Sin embargo, cuando esta información se transmite a una empresa o institución, no tenemos ningún control sobre cómo se almacenan y aseguran allí nuestros datos sensibles. Sin embargo, no podemos evitar por completo compartir nuestra identidad y datos identificables en línea. La red digital de la sociedad es imparable y el uso de los servicios en línea se está convirtiendo en algo cotidiano. Necesitamos una forma fácil de identificarnos en la red, preservando nuestra privacidad y también la seguridad de nuestros datos.
Entonces, ¿qué puede hacer la SSI para permitir una identificación sencilla y segura, evitando al mismo tiempo los inconvenientes asociados a los métodos actuales?
La ausencia de un repositorio central de datos personales y de un vínculo entre la identidad y los rastros de datos que uno ha dejado, son las piedras angulares del mecanismo de identidad que es posible a través de los DID. El concepto de esta identidad descentralizada es lo que denominamos Identidad Soberana (SSI). La idea que la sustenta ya está en el nombre. En este marco, yo, como persona, recupero el control sobre mi identidad y los datos asociados a ella. Los identificadores descentralizados (DID) están surgiendo actualmente como un estándar independiente de la plataforma para la SSI.
El titular de la identidad crea DIDs para cada propósito necesario; cada identidad se refiere al sujeto pero no revela ningún dato personal. Un DID no contiene información sobre una identidad individual, es sólo un identificador. Las denominadas credenciales verificables (CV) se utilizan para demostrar que cierta información sobre el titular es válida. Estas VCs pueden verse como declaraciones de una entidad sobre otra, por ejemplo la declaración de que una identidad pertenece a un usuario específico.
El aspecto más importante de una identidad descentralizada es separar los diferentes componentes de una Gestión de Identidades y Accesos (IAM). De este modo, se pueden asegurar los datos críticos durante el acceso y seguir verificando la identidad del usuario. Para ello se puede utilizar una forma especial de almacenamiento de datos, denominada tecnología de ledger distribuido (DLT). A diferencia de las bases de datos controladas centralmente, que se ejecutan a través de un servidor específico y dependen de él, los datos de la DLT se almacenan de forma distribuida. Un ledger distribuido también aporta la máxima seguridad de forma inherente, ya que se basa en la criptografía. Cada nueva pieza de información está firmada criptográficamente por una clave privada que permanece bajo el control del usuario para proporcionar una prueba de la integridad de los datos.
Una DLT parece ser la infraestructura ideal para un sistema distribuido y seguro de gestión de la identidad y el acceso, cuyos componentes principales son las cuentas de usuario y sus derechos de acceso. Los componentes pueden asignarse a diferentes actores. El propietario de los datos (Titular) puede controlar sus datos y decidir qué cantidad de ellos quiere revelar, y con qué propósito. Una entidad de confianza (Emisor) puede verificar documentos o certificados individuales (por ejemplo, un diploma universitario) y emitir permisos sobre ellos y transmitirlos al propietario, la información personal identificable real nunca está en el ledger. A su vez, un tercero (Verificador) verifica que el propietario de estas credenciales es la persona que dice ser.
El cambio de control de pasar de un modelo de identidad centralizado a un modelo de auto-soberanía.
Modelo de identidad federada: Los titulares de la identidad (por ejemplo, los usuarios) no pueden proporcionar sus datos por sí mismos. La identificación suele ser realizada por un tercero. Un emisor (por ejemplo, el gobierno) debe confirmar la identidad al verificador (por ejemplo, el proveedor de servicios) directamente o a través de un servicio de verificación de la identidad.
Modelo de identidad autosoberana: El Emisor (por ejemplo, el gobierno) emite credenciales a sus DID y Verificadores mediante la presentación de un desafío, que el Titular del DID tiene que probar. El monedero del titular almacena de forma segura una clave, que puede demostrar la propiedad del DID, que se almacena en la DLT junto con el documento DID. El Titular (por ejemplo, el usuario) envía la información de identidad requerida al Proveedor de Servicios y prueba estas credenciales demostrando el control sobre la clave privada. El Proveedor de Servicios valida las firmas criptográficas del usuario y del emisor a través de la DLT. Tras el proceso de validación, el proveedor de servicios concede al usuario el acceso.
El sistema SSI es ampliable, por lo que en el futuro se puede proporcionar cierta información mediante la divulgación selectiva, sin tener que revelar todo sobre uno mismo de inmediato. Es posible utilizar una credencial que demuestre que uno ya tiene 18 años, sin tener que someterse a una comprobación completa de su persona, incluyendo el lugar de residencia, la nacionalidad u otros datos personales. Si se quiere anonimizar una identificación recurrente para los servicios web, se puede crear una nueva credencial para cada proceso de inicio de sesión. De este modo, los inicios de sesión individuales no pueden asociarse entre sí y no se pueden sacar conclusiones sobre la persona.
Las ventajas de esta solución descentralizada y segura son visiblemente valiosas y este enfoque podría beneficiarnos no sólo a nosotros como usuarios, sino que también ayudará a las empresas e instituciones.
¿Cómo me ayuda la Identidad Soberana?
Más protección de los datos mediante una mayor seguridad: los datos se cifran y se almacenan en un sistema de almacenamiento descentralizado, donde están protegidos del acceso de terceros
Más control sobre los propios datos: Como usuario, sólo se ceden los datos que son necesarios. La identidad puede almacenarse en el propio smartphone, por ejemplo.
Privacidad en la web: Mediante el uso de pruebas de conocimiento cero (ZPK) y mecanismos de divulgación selectiva, se crean rastros de datos limitados que pueden utilizarse para sacar conclusiones sobre la identidad de un usuario.
Procedimientos de inicio de sesión simplificados: El usuario se convierte en su propio proveedor de identidad a través de su propia identidad digital descentralizada. En el futuro, será posible prescindir de la creación de nombres de usuario y contraseñas en muchos ámbitos.
Más independencia: Como las plataformas o los servicios web conocen menos al usuario, es más difícil manipularlo e incitarlo a comprar sus propios servicios o productos.
¿Por qué una gran empresa o un organismo gubernamental utilizaría la identidad autosoberana?
Transparencia y confianza: Las empresas e instituciones que protegen activamente la privacidad de sus usuarios son consideradas dignas de confianza y, por tanto, aumentan su relación de fidelidad o confianza con los ciudadanos.
Fortalecimiento de los procesos democráticos: Las pequeñas empresas, pero también los gobiernos, pueden escapar mejor del poder de mercado de los actuales gigantes tecnológicos y alinear sus procesos con las necesidades de los usuarios.
Ahorro de costes gracias a la reducción del almacenamiento de datos: El almacenamiento permanente y seguro de los datos personales es complejo y caro. Esto deja de ser así si los datos ya no se almacenan en la propia empresa, sino que sólo se recuperan los datos relevantes para la relación comercial.
Cumplimiento de la privacidad y la seguridad: al externalizar los datos personales a un sistema externo y encriptado, las empresas no necesitan crear y financiar permanentemente su propia experiencia en este campo que cumpla con la ley.
Con la ayuda de los DID y las sociedades de capital riesgo, el concepto de identidad autosuficiente se convertirá en una realidad tangible. Puede impulsar la digitalización y permitirnos utilizar plenamente el potencial del mundo digital respetando la privacidad. Los conceptos de seguridad que sustenta también proporcionarán bases sólidas para convencer a los usuarios críticos de su adopción y para ayudar a minimizar drásticamente los riesgos de fraude y robo de identidad que prevalecen en los sistemas actuales de la Web 2.0. A medida que observamos los escollos de la actual infraestructura que gestiona nuestras identidades digitales, es importante que empecemos a alejarnos de esta dependencia de la identidad digital proporcionada sólo por un puñado de corporaciones individuales y trabajemos juntos hacia el desarrollo de conocimientos y soluciones en todos los sectores clave que puedan ayudar a allanar el camino hacia el futuro de la identidad autosuficiente, para todos, en todas partes.
Post original escrito por DanieKrie para Tangle Labs: https://blog.tanglelabs.io/the-traces-we-leave-behind/