spinner

Self-Sovereign Identity: Identidad ciudadana y privacidad en un mundo sin fronteras

En la sociedad digital cada vez tenemos más información y menos herramientas para verificarla. Tenemos más facilidades y menos privacidad. Los datos de nuestra identidad digital están en manos o pertenecen a terceros. La Identidad Digital Descentralizada (SSI) puede ser el primer paso de la solución.

La identidad es un ente dinámico

Se dice que en algunas tribus indias de los Estados Unidos los padres acostumbraban a poner a los recién nacidos un nombre secreto que no podía ser divulgado fuera del círculo familiar, bajo pena de perder el alma. Cuando un indio imprudente cometía el error de descubrir esta «clave privada», era despreciado por la comunidad y pasaba a llamarse «el que ya no tiene nombre» o «el que ya no tiene alma». Como este primer nombre era secreto, el recién nacido recibía también un nombre público que se debía a alguna característica que le podía describir. Este nombre descriptivo iba cambiando, adaptándose a la nueva identidad de su propietario. Los padres de Toro Sentado (en realidad “Bisonte Asentado”, debido a la tozudez del animal cuando está sobre sus patas traseras) le llamaron Tejón Saltarín hasta que consiguió su nombre definitivo en la ceremonia en la que se ganó su estatus de guerrero.

Esta noción de dividir la identidad en una parte privada y varias partes públicas se ha aplicado durante la historia de múltiples maneras. En internet, los robos de contraseñas o de datos de tarjetas de crédito han sido, en ocasiones, casi tan dañinos como la pérdida del alma en los guerreros sioux. No solo eso, otros datos personales como el email, dirección o el número de teléfono terminan estando en manos de terceros sin nuestro consentimiento.

La GDPR y la Identidad en Internet

“La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos”. (Artículo 18.4 de la Constitución Española)

Para tratar de dar solución a muchos de estos problemas, la Unión Europea formuló un reglamento que entró en vigor en mayo de 2018 y que protege el tratamiento de los datos personales de sus ciudadanos, el RGPD o (GDPR en sus siglas en inglés).

El escollo técnico al que se enfrenta cualquier regulación de este tipo viene de los inicios de Internet. Como dice Kim Cameron en «The laws of identity«, «Internet fue construido sin una manera de saber a quién y a qué se está usted conectando»; de otra manera, se adolece de una capa de Identidad con la que los usuarios estén protegidos del robo de datos privados y en la que nadie pueda suplantarlos ni engañarlos.

Estas carencias podemos verlas aplicadas tanto a las miles de cuentas falsas o bots de Twitter destinadas a mover la opinión pública hacia un lado u otro, a la certificación de los títulos académicos que alguien dice poseer o simplemente a la veracidad de la edad o de la foto que un individuo decide poner en el perfil de algunas redes sociales.

¿Quién es mi proveedor de identidad digital?

Si profundizamos un poco, encontramos que incluso en el mundo físico tenemos múltiples proveedores de identidad: los organismos del Estado que expiden los pasaportes, el DNI o el carné de conducir, la universidad que certifica qué títulos hemos cursado, el hospital que guarda nuestro historial médico, el banco que elabora nuestro perfil como cliente…

En el mundo digital necesitaremos también que nuestra identidad sea certificada por una suma de muchas entidades (públicas y privadas), no solo por un proveedor centralizado.

SSI, Self Sovereign Identity ¿La solución al problema?

“Creemos que el cliente tiene que tener el control de su propia información. Os pueden gustar estos servicios que son supuestamente gratuitos, pero no creemos que sean merecedores de tener vuestros correos electrónicos, vuestros historiales de búsqueda y ahora incluso vuestras fotos familiares sustraídas y vendidas para Dios sabe qué propósitos publicitarios. Y pensamos que algún día, los clientes verán esto como lo que es”.

Tim Cook, CEO de Apple

Desde hace varios años, existe una comunidad activa formada por profesionales de varios países que abogan por la creación de estándares y tecnologías que den soporte a estas cuestiones.

La identidad digital descentralizada o SSI, se define así:

“Sistema que permite a la gente controlar y utilizar su identidad digital para conseguir confianza a la vez que se preserva su privacidad como individuo”.

Esta identidad digital cumplirá estos principios (según el conocido artículo del experto Christopher Allen) :

  1. Existencia – Los usuarios deben tener una existencia independiente.
  2. Control – Los usuarios deben controlar sus identidades.
  3. Acceso – Los usuarios deben tener acceso a sus propios datos.
  4. Transparencia – Los sistemas y algoritmos deben ser transparentes.
  5. Persistencia – Las identidades deben ser duraderas.
  6. Portabilidad – La información sobre la identidad debe ser transportables.
  7. Interoperabilidad – Las identidades deben ser ampliamente utilizables.
  8. Consentimiento – Los usuarios deben estar de acuerdo con el uso de su identidad.
  9. Minimización – La divulgación de la información debe ser la mínima necesaria.
  10. Protección – Los derechos de los usuarios deben ser protegidos

En los sistemas actuales de identidad digital y tradicional, en las redes sociales, en las compañías de servicios… ¿se cumplen estos requisitos?

  • Hay cientos de miles de cuentas falsas de Twitter, Facebook, Instagram. En ocasiones un usuario puede tener tantas cuentas como direcciones de correo aporte.
  • Los datos de tu identidad son controlados por estas grandes empresas.
  • La compañía telefónica, la compañía eléctrica, tus datos fiscales… En ocasiones es complicado saber cuántos agentes tienen guardada tu información y es una tarea tediosa acceder a todos ellos para cambiarla o para suprimirla.
  • Cuando te piden identificación para verificar que eres mayor de edad ¿existe alguna forma de dar solo ese dato, sin mostrar el resto de la identidad (nombre, dirección…) que no es relevante?

ZKP (Zero Knowledge Proof), la herramienta

“No decir más de lo que haga falta, a quien haga falta y cuando haga falta”.
André Maurois (1885-1967) Novelista y ensayista francés.

Una prueba de conocimiento cero (ZKP) es un método criptográfico que permite a una persona (“prover”) probar a otra persona (“verifier”) que tiene la posesión de alguna información sin revelar la información al verificador.

En otras palabras, ZKP permite transmitir la seguridad de que la información es verdadera sin revelar la información en sí.
En este artículo de nuestros compañeros de New Digital Business se profundiza sobre esta tecnología.

Blockchain, el canal

Para cumplir los requisitos de transparencia, persistencia, portabilidad e interoperabilidad, uno de los métodos que se ha propuesto como canal para almacenar y compartir las pruebas de conocimiento cero es Blockchain. No es el único método, pero ahora mismo es el que se está explorando mayoritariamente en la comunidad.

Un ejemplo del mundo real

Imaginemos un escenario en el que la Identidad Digital Descentralizada estuviera plenamente instaurado y los usuarios lo tuvieran integrado en su día a día. Tendríamos estos componentes:

  1. Un wallet de usuario con diversos certificados y claves (privadas y públicas) que tendría cada ciudadano. Esas claves (DIDs decentralized ids, según la terminología de SSI) le servirían para comunicarse con sus diferentes proveedores de identidad. Al tener diferentes claves para cada proveedor, estos solo conocen del usuario la parte que les compete a ellos. Un usuario no tiene por qué ser únicamente una persona física, también puede hacer referencia a una cosa (vehículo, vivienda, propiedad…) o a un animal cuyo propietario guarde un histórico. El wallet se implementará como una app de móvil, una tarjeta de claves, una aplicación de ordenador o todas ellas.
  2. Un canal donde compartir las pruebas de identidad (ZKP). Este canal podría ser proporcionado por un proveedor independiente o podría ser una cadena de bloques. Cuando un tercero al que el usuario autorizara quisiera comprobar un dato del ciudadano (la edad, la titulación, la vida laboral…), podría conseguirlo sumando las claves del usuario y la información almacenada de este canal.
  3. Un conjunto de organizaciones (los “provers”) que tengan cierta credibilidad que otorgarán a los usuarios las claves y certificados de identidad. Estas organizaciones serán:
  • Los gobiernos que emitan pasaportes digitales.
  • Las universidades que certifiquen los títulos.
  • Las empresas que certifiquen a sus trabajadores.
  • Entidades bancarias que verifiquen el saldo de clientes a terceros.
  • Aseguradoras que certifiquen las coberturas.
  • Empresas certificadoras de datos biométricos (fotografías…).
  • Organismos que guarden el histórico de mantenimiento de un vehículo…

Otras organizaciones que requieran datos de mi identidad (los “verifiers”). Entre los datos que aporte el usuario y el canal donde están las pruebas (el blockchain o equivalente) estas organizaciones sabrán a ciencia cierta que los datos del ciudadano son los que dicen ser.

Las posibilidades que este modelo abre en el futuro pueden ser insospechadas, no solo para la defensa de la privacidad de los usuarios. También va a crear nuevas oportunidades y puede modificar el modelo de negocio de algunas empresas:

  • Si los datos de los ciudadanos pasan a ser realmente privados, será el usuario el que realmente decida cuándo compartirlos e incluso cuándo monetizarlos (¿Qué ocurrirá con el Big Data?)
  • Privacidad no significa anonimato. Se dificultarán diversos delitos cibernéticos que ahora son complicados de perseguir. No se podrá actuar en la red anónimamente de manera impune.
  • Se crearán nuevas necesidades. Será posible que haya organismos que verifiquen biométricamente la información que subes a internet. La suplantación de identidad en publicidad falsa o redes sociales se verá acotada.
  • Surgirán muchas oportunidades de negocio basadas en la disponibilidad de datos privados de usuarios: ofertas personalizadas según el perfil económico del cliente, facilidad en los procesos de know your customer y de anti-money-laundry, facilidad de acceso a historiales médicos (que estarán en el wallet del ciudadano)…

¿Es SSI el futuro de la identidad o solo otro intento bienintencionado?

Mucho se ha hablado del potencial de otras tecnologías como Blockchain para transformar diversos aspectos de la sociedad y muy poco es lo que hasta ahora hemos visto. ¿Pasará lo mismo con la identidad digital descentralizada (la SSI) o empezaremos a ver en 2020 las primeras implementaciones serias?

De momento, el proyecto Hyperledger Indy fomentado por la Fundación Sovrin es uno de los intentos más serios de fomentar unos estándares y una tecnología abierta para abordar este desafío.

Fuente de la imagen principal: Pexels

Las opiniones vertidas por el autor son enteramente suyas y no siempre representan la opinión de BBVA Next Technologies.

¿Quieres saber que más cosas hacemos en BBVA Next Technologies?