¿Te gustaría poder escuchar este artículo?
Sí es posible. Suscríbete y ten acceso a reproductor de audio de las noticias, contenido exclusivo, sin anuncios y más. Saber más
-
Las firmas digitales basadas en criptografía asimétrica permiten dar una prueba real de identidad.
-
Directory es la capa de identidad y reputación de RIF, la infraestructura de trabajo sobre RSK.
Contenido patrocinado por IOVLabs
La llamada identidad digital descentralizada o auto soberana, uno de los formatos en que han decantado las investigaciones en manejo de credenciales personales en Internet, ha encontrado en las redes de blockchains, y más específicamente en la criptografía asimétrica, una potencial solución centrada en el usuario para la administración de identificaciones en el plano digital.
Hasta ahora, los cibernautas han dependido de servicios de terceros –por lo general, voraces de data– para manejar la información de sus cuentas personales. Además de la molesta obligación de manejar miles de cuentas y contraseñas, alojar nuestra data en servidores ajenos nos expone a brechas de seguridad que deriven en filtrado de información y, potencialmente, en usurpación de identidad.
Buscando crear soluciones que pongan al usuario y no al proveedor de servicio, como centro de interés, muchos proyectos basados en redes distribuidas se encuentran trabajando en la llamada identidad digital descentralizada o auto soberana.
El problema de la identidad en Internet
La identidad en Internet es un asunto, no digamos problemático, pero sí complejo. Con toda la pseudonimia y las personalidades múltiples que pueden asumirse en el mundo digital, cuesta mantener aquel antiguo axioma lógico –precisamente llamado ley de identidad– en que x era igual a x, en tanto que compartían los mismos atributos. Ahora x puede ser igual a y, a z y demás.
Esto, que podría parecer un problema filosófico intrascendente, tiene implicaciones prácticas importantes para empresas y proveedores de servicios en Internet. Como escribió el jefe de arquitectura de identidad de Microsoft, Kim Cameron, “el Internet fue construido sin una capa de identidad”. Con el protocolo TCP/IP solo se conoce la dirección de la máquina que está conectada, pero nada de la persona u organización detrás de ella.
Las dificultades para ligar una identidad digital a una persona física, si bien trae beneficios desde la perspectiva de la privacidad individual, pueden menoscabar la confianza en Internet al proliferar el cibercrimen y fraude cibernético.
Modelos de identidad digital
Hasta el momento, las investigaciones en Identidad Digital han pasado por tres estadios o modelos consecutivos: el modelo centralizado, el modelo federado y el modelo descentralizado.
El modelo centralizado es aquel en que un ente central, tal como un gobierno, un banco o una compañía, emite la credencial del usuario. Este sistema, también llamado identidad basada en cuentas, es el más extendido en el mundo digital: utilizamos cuentas y contraseñas en portales web (luego de un proceso de registro) como llave de acceso para determinados servicios.
En este caso, la organización te está prestando credenciales en su página para representarte y permitir tu acceso, con controles y permisos limitados. Si la organización decide borrar tu cuenta, pierdes completo acceso a tales credenciales. Este modelo también implica tener que recordar miles de nombres de usuarios y contraseñas; no puedes portar esas mismas credenciales a otros sitios; hay un punto único de falla para brechas de seguridad donde tu data se encuentra vulnerable; entre otras.
Luego está el modelo federado. Cada vez prolifera más el uso de credenciales de cuentas en redes sociales como Facebook o Twitter para acceder a servicios externos a estas plataformas. Ya no hay que tener una cuenta con cada página web, sino que se introduce un proveedor de servicio de identidad en la relación, apalancados en protocolos como OpenID Connect.
Aunque esto reduce la carga de miles de cuentas y contraseñas, aún no hay un proveedor de servicio compatible con todos los sitios y aplicaciones. Aún se necesita recordar que servicio de identidad utilizamos para cada sitio. El intermediario también compromete la privacidad y seguridad, al otorgarse a un tercero la vigilancia sobre toda la actividad de inicio de sesión en cada sitio y concentrar las credenciales para múltiples plataformas.
¿Por qué una identidad digital descentralizada?
Finalmente tenemos el modelo descentralizado. Al ser inspirado por las redes de blockchains, las investigaciones en identidad descentralizada no comienzan sino hasta 2015. Con este sistema se elimina al intermediario. La relación entre el sitio o aplicación y el usuario vuelve a ser directa, pero ahora es una relación entre pares.
Ninguno necesita tener una cuenta con el otro. Se establece una conexión entre las partes que persiste el tiempo que decidan mantenerla y en la que cada uno decide qué credenciales compartir durante cuánto tiempo.
Con este tipo de relaciones entre pares o p2p, las conexiones son descentralizadas en el sentido de que cada par se puede conectar con otro sin tener que esperar por la validación de una entidad central.
Utilizando criptografía asimétrica de llaves públicas y privadas, tal como la que se utiliza en las redes de blockchains para la administración de criptomonedas, se establecen relaciones más seguras y privadas donde cada dueño de sus llaves privadas es dueño de la información asociada, y donde se pueden compartir llaves públicas con quien se desee sin que esto comprometa la privacidad ni la seguridad. Esto facilita la creación de esa capa de Identidad que según Cameron, carece Internet, pues las firmas digitales permiten dar una prueba real de identidad.
A continuación, atenderemos a tres proyectos que se encuentran trabajando en proveer esa capa de identidad digital descentralizada que hace falta para un Internet más seguro.
RIF Directory
Directory es la capa de identidad y reputación de RIF, la infraestructura de trabajo sobre RSK, una plataforma de contratos inteligentes sobre Bitcoin. El objetivo de Directory, como su nombre lo dice, es servir de directorio para que personas y desarrolladores encuentren los servicios que necesiten.
También servirá para garantizar la confiabilidad de los usuarios mediante un sistema de reputación y permitirá que sea el usuario quien administre qué información personal compartir con otras personas o servicios.
Para hacer identificable y legible por humanos, Directory se apalancará del Servicio de Nombres de RIF. Esta tecnología permite personalizar las direcciones de las redes de blockchain, normalmente alfanuméricas. Esto puede ser utilizado para identificar otros servicios personales, tal como pagos, identificaciones, almacenamiento o direcciones de comunicación. Con todo, es necesario prevenir que vincular una dirección de monedero a un nombre personal puede comprometer la privacidad financiera del usuario, por lo que este servicio debe ser usado con prudencia.
Entre las ventajas que ofrece Directory está que los usuarios tendrán control pleno sobre su data y reputación, decidiendo ellos a quién dar acceso. Además, permite la interacción con múltiples mercados y plataformas con portabilidad de credenciales, es decir, una misma información para distintos servicios.
Directory también provee APIs y librerías unificadas a nodos y usuarios para interactuar con otros protocolos de identidad digital descentralizada. En un primer momento, servirá como capa de identidad y reputación para los distintos servicios disponibles en el mercado de RIF. Más adelante se espera que sea interoperable con otras redes.
La tecnología de Directory ya ha comenzado a ser explorada en casos de uso reales en Argentina. Es el caso del proyecto DIDI, que utiliza RSK para identificar personas en zonas vulnerables de Buenos Aires.
Sovrin
Sovrin es un proyecto de fuente abierta gobernado principalmente por la entidad sin fines de lucro, Sovrin Foundation, pero impulsado por la empresa Evernym. Se trata de un sistema de identificación digital descentralizada basado en una blockchain híbrida con tecnología de Hyperledger, pública pero permisionada. Permite la emisión privada de credenciales controladas, manejadas y compartidas utilizando pruebas de conocimiento cero.
Las pruebas de conocimiento cero son un método criptográfico que permite probar que una de las partes de una relación conoce cierta información, sin necesidad de revelar el contenido de dicha información. Como su nombre lo dice, es una prueba de posesión de conocimiento que se reserva la necesidad de revelar el conocimiento. Por ejemplo, se prueba la propiedad de USD 100 en una cuenta bancaria, sin revelar todos los fondos de la cuenta.
Sovrin utiliza pruebas de conocimiento cero para que sus usuarios puedan revelar solo la información deseada según sea necesaria, sin comprometer su privacidad.
Como red de blockchain, la información se registra de manera distribuida y redundante en varios nodos para evitar los puntos únicos de falla. Al ser pública, cualquiera puede sumarse a la red. Pero al ser permisionada, solo aquellos que han recibido los permisos requeridos pueden participar como nodos. Con todo, actuar como nodo no confiere acceso a ninguna data encriptada ajena.
Evernym ha recibido financiamiento por parte del Departamento de Seguridad Nacional de los Estados Unidos para el desarrollo de herramientas que ayuden a la administración y verificación de la identidad enfocándose en claves criptográficas. El proyecto está siendo gestionado por la División de Seguridad Cibernética del departamento y se enmarca dentro de su programa Small Business Innovation Research (SBIR).
uPort
Uport también ofrece un sistema de identidad digital descentralizada pero basado en Ethereum. Se trata de uno de los proyectos más antiguos impulsados desde la incubadora ConsenSys, enfocado en proveer herramientas y protocolos de fuente abierta para construir la capa de identidad en esta red de blockchain.
La solución ofrecida por uPort está pensada para desarrolladores, pero teniendo como objetivo final facilitar el abordaje de usuarios a sus aplicaciones. El objetivo es que los desarrolladores implementen uPort en sus aplicaciones para que los usuarios tengan una identidad universal para acceder a los servicios.
Una identidad de uPort se construye utilizando data verificada. Cada interacción, solicitud, respuesta o transacción que un usuario realiza ayuda a mejorar el valor de su identidad. Esto también da confianza al usuario de que, al usar sus credenciales, está interactuando con la misma dApp y no ha sido víctima de un ataque de phishing.
Cada identidad en uPort contiene un identificador descentralizado creado bajo los estándares de W3C, una llave privada para firmar y una llave pública almacenada en el registro de uPort, un contrato inteligente similar al Directorio de RIF, donde se vinculan atributos con identidades.
Los tokens web JSON se pueden firmar con tales identidades para autenticarse ante terceros y revelar la información privada requerida. También recibir solicitudes de revelado de información; recibir y almacenar verificaciones de terceros sobre uno mismo y firmar transacciones de Ethereum.
Conclusiones
La identidad digital descentralizada aún se encuentra en una etapa germinal. Si bien hay varios estudios e iniciativas al respecto, con varios proyectos en Hispanoamérica, estudios han encontrado que la falta de educación sobre el tema, así como el financiamiento limitado y la desconfianza por parte de gobiernos y entidades centrales, son un freno para el avance de esta tecnología.
Aun así, existe una oportunidad global para el desarrollo de esta tecnología que haría más amigable para el usuario no-técnico el uso de blockchain. Además, devolvería a los individuos la propiedad sobre sus datos, con quién los comparte y cómo los administra y resguarda.
