Hacia la identidad digital

El actual problema de la privacidad de los datos, al cual debe ser añadido el de la certificación de la identidad de las personas, está presente de forma permanente en internet. La respuesta de las empresas ha sido siempre construir una base de datos interna, un silo donde verter los datos de sus clientes, les guste o no. Algunas organizaciones tienen silos “mejores” que otras, por lo complicado y caro de los mecanismos de seguridad y con la consiguiente dificultad para pasar datos de un silo a otro, con o sin el consentimiento del usuario, y generalmente acompañado de una fuga de datos involuntaria.
Para cada usuario, esto lleva a que encuentra cada vez otro sitio web o aplicación que le exige los mismos detalles que ingresó en los numerosos servicios que ya quería usar. Y luego obtiene otro nombre de usuario y contraseña que debe recordar.

Hasta ahora, ningún usuario tiene su propia identidad digital consolidada. Pero esto puede cambiar gracias al blockchain.
Pero es aún complicado porque, aunque la tecnología es mayormente confiable, hay muchos componentes y problemas que deben resolverse antes de que la cadena de bloques se convierta en una identidad práctica y universal. Varios analistas creen que es todavía muy temprano para lograr un sistema estándar de validez generalizada. Esto no impide que se han estado multiplicando los proyectos, algunos gubernamentales y otros privados, participando incluso las Naciones Unidas pero esta última, al parecer, no se ha propuesto como modelo universal (lo cual es un poco decepcionante). Mostraré aquí algunos de los propecto en marcha, extendiéndome sobre el que encontré mejor explicado y, quizás, más prometedor.

Algunos conceptos básicos

Una identidad digital segura, como la que puede ofrecer el blockchain, debe satisfacer tres requisitos básicos:
1. Seguridad: la información debe estar protegida contra la divulgación no intencional;
2. Control: el propietario de la identidad debe tener el control de quién puede ver y acceder a sus datos y para qué propósitos;
3. Portabilidad: el usuario debe poder usar sus datos de identidad donde quiera y no estar atado a un solo proveedor.

Estos tres elementos se encuentra en el modelo de “identidad auto soberana” (Self-sovereign identity), que elimina el control externo centralizado, bajo el dominio de múltiples empresas, vigente hasta ahora. Aunque cada individuo deberá forzosamente utilizar alguna plataforma (una mera infraestructura) para crear su registro de identidad, él será el único a quien pertenecerá esta identidad, la controlará y la gestionará por completo. Su existencia digital será independiente de cualquier organización individual. Nadie podrá modificarla ni quitarsela. Para que las identidades sean verdaderamente soberanas, esta infraestructura debe residir en un entorno de confianza difuso, no perteneciente o controlado por una sola organización o incluso un pequeño grupo de organizaciones. La tecnología de contabilidad distribuida (DLT), propia del blockchain, es l9o que hace esto posible. Permite a múltiples instituciones, organizaciones y gobiernos trabajar juntos por primera vez formando una red descentralizada como la propia Internet original, donde los datos se replican en múltiples ubicaciones para resistir las fallas y la manipulación.

En dicho modelo, las organizaciones que actualmente sirven como “proveedores de identidad” todavía tienen un papel, que simplemente evoluciona al rol de “creador/certificador de la identidad”. En otras palabras, alguien todavía necesita asegurar que un individuo es quien dice ser. Los estándares de aseguramiento aún deben cumplirse y las partes que confían aún necesitan ser capaz de confiar en tales garantías. Lo que cambiará será la facilidad y simplicidad de hacer tales controles en un entorno donde la mayoría de las personas simplemente pueden dar permiso para acceder a datos verificados para satisfacer cualquier criterio dado.

Proyectos públicos

Las Naciones Unidas, con el apoyo de Microsoft y con la alianza Hyperledger está desarrollando un sistema para ofrecer identificación legal a más de mil millones de personas que no tienen documentos oficiales. En colaboración con World Identity Network, registrará a los niños en áreas vulnerables y almacenará los datos en una cadena de bloques, lo que dificultará que los traficantes de niños falsifiquen documentos y transporten ilegalmente a niños a otros países (The Next Web).
En zonas de hambruna, el World Food Programme registra los fondos asignados a cada individuo en una cadena de bloques. Con eso, la persona puede ir a un mercado regional, escanear su iris y obtener lo que le corresponde, eliminando a los intermediarios y reduciendo en gran medida el espacio para la corrupción.

El proyecto nacional de blockchain de España, Alastria, un consorcio de más de 70 compañías de ese país, utilizará un blockchain basado en Ethereum semi-público que requiere permiso de acceso. La plataforma no tiene modelo de negocio alguno (cada socio puede desarrollar el propio) y lanzó el estándar de Identidad Digital “ID ALASTRIA” que permite que las transacciones sobre la “Red ALASTRIA” puedan tener validez legal. El impulso detrás de Alastria es desarrollar identidades autónomas que puedan interactuar con aplicaciones o contratos inteligentes desarrollados por los miembros de Alastria. Para que esto suceda, la red de Alastria usa Quorum, un protocolo para blockchains basado en consenso (en que hay un número limitado de verificadores). No se incorporará ningún sabor a criptomoneda en el sistema, a pesar de que el Ethereum tiene una moneda nativa. El enfoque de Quorum es que a medida que se ejecuten las transacciones, se requerirá una “prueba de quemado” (proof of burning), pero no costará ninguna criptomoneda. Por ahora Alastria operando con una testnet y espera tener una versión más nueva de su red de prueba para marzo.

Estonia es probablemente el primer país que dio el salto y comenzó a experimentar con las identidades digitales a nivel estatal y ahora se ha convertido en la sociedad más avanzada digitalmente. Y la e-residencia estonia no solo está disponible para ciudadanos estonios, sino también para extranjeros de todo el mundo. Todo es posible a través de blockchains. Para evitar una recurrencia de cyberataques, desarrollaron su propia tecnología de blockchain escalable llamada KSI para garantizar la integridad de los datos almacenados en los repositorios gubernamentales y proteger sus datos contra las amenazas internas.

Esta identificación digital consta de tres dominios, el dominio de autenticación, el dominio de identificación y, lo más importante, el dominio de autorización. El dominio de identificación permite que el titular de la tarjeta se identifique correctamente como cualquier otra tarjeta de identificación ordinaria, pero la belleza de la identificación digital reside en los otros dos dominios; a saber, los aspectos de autenticación y autorización. Estos dos aspectos de la identificación digital permiten firmar digitalmente documentos, acceder a servicios seguros y realizar transacciones seguras, sin tener que poner un pie en Estonia. La tarjeta de identificación digital y los servicios electrónicos se basan en soluciones tecnológicas de última generación, incluida la encriptación de clave pública de 2048 bits. La tarjeta de identificación digital contiene un microchip con dos certificados de seguridad: PIN1 para autenticación y PIN2 para firma digital.

En Finlandia, el Servicio de Inmigración está dando a los solicitantes de asilo una identidad digital única almacenada en una cadena de bloques (asociada además a una tarjeta Mastercard prepagada con la ayuda gubernativa).

uPort, basada en Brooklyn, New York, tiene una prueba ejecutándose en la ciudad de Zug en Suiza para crear identidades digitales que se pueden usar para servicios gubernamentales. Ha desarrollado una aplicación para teléfonos inteligentes que incorpora los principios de identidad soberana. Su sistema funciona con Ethereum. uPort permite a los usuarios recopilar, almacenar y compartir sus datos de identidad privada. Almacena claves privadas en los dispositivos de los usuarios y, por lo tanto, admite fácilmente la autenticación, las firmas, las transacciones y las transacciones de cadenas de bloques en los celulares.

El estado de Illinois es uno de los primeros en haber lanzado un grupo, Illinois Blockchain Initiative, que está estudiando los usos gubernamentales de las aplicaciones de contabilidad distribuida. Este modelo centrado en el usuario permitiría a los ciudadanos poseer la información y compartirla con diferentes agencias gubernamentales para servicios públicos. El estado acudió a Evernym, de Herriman, Utah, una de las muchas compañías privadas que desarrollan productos y servicios en torno a la identidad autónoma. Evernym considera que ninguna entidad puede abordar sola el problema del manejo de identidades, por lo cual adoptó un sistema de código abierto, Plenum, que forma la base de Sovrin (ver a continuación).

Proyectos privados

Sovrin es una fundación sin fines de lucro que está administrando el desarrollo de una de las primeras redes de identidad auto-soberana. Una de las diferencias clave entre Sovrin y los centros de bitcoin es quién puede participar en la red distribuida. Con Bitcoin, cualquiera puede extraer transacciones, pero en Sovrin, solo las entidades de confianza pueden escribir en el libro mayor. El código fuente abierto utilizado por los nodos para ejecutar el libro mayor, llamado Plenum, proviene de Evernym.

Civic, de San Francisco, es una compañía que está desarrollando un sistema de identificación auto-soberano que permitirá a los consumidores compartir información de forma selectiva con las empresas. La plataforma de identidad de Civic tiene una aplicación móvil a través de la cual los usuarios pueden ingresar su información personal, que se almacena en formato cifrado. La compañía está trabajando con asociaciones para traer “validadores” o entidades tales como gobiernos y bancos, que puedan validar la información de identidad de un individuo y luego dejar su sello de certificación en el blockchain.

En un sistema como Evernym/Sovrin, los datos privados se almacenan fuera del libro mayor por cada propietario soberano de identidad, donde sea que lo decida. Los datos personales pueden ser certificados por terceros (como el registro Civil los bancos, etc.) o pueden ser auto atestiguados. Salvo raras excepciones, lo que se almacena son las claves de autenticación de cada dato (los ID que quienes proporcionaron y atestiguaron la información), y el nombre de los atributos y tipos de datos que se compartieron (en lugar de los datos reales en sí). Es posible sin embargo crear un bloque con algunos datos personales básicos habitualmente públicos como el número de identidad legal, la fecha de nacimiento y el lugar de residencia.
Con Sovrin, además, cada usuario puede ser dueño de varios bloques con diferentes claves de acceso, para diferentes usos, evitando el cruce de datos, incluyendo datos inmediatamente legibles cuando se accede con la clave del bloque (p.ej. un número de cuenta bancaria, para recibir una transferencia). Así, tiene control total de cómo, qué y cuándo comparte la información, sin riesgo de correlación y sin crear trozos de datos que se pueden traspasar.
Cualquiera puede presentar información de identidad de cualquier tipo a cualquier otra persona en el mundo dando esta clave y el acceso al dato específico (con una URL, por ejemplo de un documento de acceso reservado en Google Drive, o bien una aplicación -como un código QR- que da acceso a un documento, encriptado o no), y el destinatario puede desempaquetarla y verificarla instantáneamente, sin necesidad de cientos de API complejas o contratos comerciales.
El libro (ledger) de Sovrin no se duplica para cada usuario pero se encuentra duplicado en varios nodos repartidos en todo el mundo, administrados por delegados que son responsables de validar las transacciones y asegurar la consistencia de lo que está escrito en el libro y su orden. (Modelo graficado a continuación. PDF explicando su funcionamiento descargable aquí.)

modelo Sovrin

Avances en materia de estandarización y acuerdos internacionales

Para que la identidad digital se convierta en realidad, se necesita una capa estándar que sea aceptada por todos los países del mundo con el fin de procesar todos los datos; puede pensarlo como http de información de datos: al igual que abre todas las páginas web mediante el protocolo http, almacenaría todos sus datos personales de forma segura en esta nueva capa de datos y otros podrían tener acceso a ella (o a una parte) si se los deja pasar.

La Digital Identity Foundation (DIF) fue fundada “para construir un ecosistema de identidad descentralizada de fuente abierta para personas, organizaciones, aplicaciones y dispositivos”. Los miembros incluyen:

Se puede ver en esta imagen que “grandes jugadores” como IBM y Microsof trabajan con la DIF y forman parte de la alianza ID2020  de las Naciones Unidas que pretende astablecer estándares para un marco de identidad descentralizado confiable, que facilite la interoperabilidad y cree un mercado eficiente, así como aumentar la eficiencia y la sostenibilidad del financiamiento global para la identidad. El World Wide Web Consortium (W3C) se preocupa del mismo tema y trabaja en estrecha relación con Evernym y Sovrin. Agregue a esto que la Identitiy of Things (IDoT) juega una parte integral de la hoja de ruta de IOTA y usted reconocerá que grandes cosas están a punto de ser reveladas.

Observaciones

Es evidente que las cadenas de identidades difícilmente podrían ser “distribuidas” (descentralizadas): no es de esperar que cada ciudadano descargue toda la base de datos que constituye la cadena, sino que podrá acceder a sus propios datos y, probablemente, a una selección limitada de datos de otras personas. Y, por cierto, la certificación no dependerá de una verificación por parte de los inscritos. Felizmente, la tecnología permite muchos ajustes en función de las diversas circunstancias y tipos de usos y son estos ajustes que exploran las empresas antes señaladas.

Vemos avances en la estandarización, gracias a la DIF y ID2020, pero, aún así, se necesitan más avances en materia de interoperabilidad para que las identidades se puedan manejar fácilmente y del mismo modo en todas partes.

Fuentes: Databreachtoday.com, 5/2/2018, VCinsidernews, 5/2/2018, Evernym/Sovrin y @iotasupporter en Medium.