A medida que las sociedades se digitalizan cada vez más, el tema de la identidad y la seguridad de los datos personales en Internet toman también un lugar preponderante. Más aún cuando existe el riesgo de que esta información, una vez en la red, sea robada o manipulada con fines perversos como el fraude o robo de identidad; vendida y explotada con propósitos comerciales; o usada contra los propios usuarios.

Recientemente se encendieron las alarmas respecto a la manera en que se gestiona la información personal en Internet, cuando el gigante de las redes sociales, Facebook, el cual cuenta con más de 2 mil millones de usuarios a nivel mundial, se vio envuelto en un escándalo de fuga de información, que afectó a más de 87 millones de personas. En este hecho, ampliamente difundido por los medios de comunicación, estuvo implicada la firma inglesa Cambrige Analítica, la cual presuntamente se valió de una aplicación en la plataforma de Facebook para obtener información relevante de los usuarios y usarla sin consentimiento para crear propaganda sucia, e influir en procesos electorales en varios países.

Según la opinión del Ph.D. en Ciencias Computacionales Phillip J. Windley, este tipo de ataques son posibles porque el manejo de datos de identificación en Internet se ha enfocado desde el punto de vista de las organizaciones y sus intereses, y no desde la óptica de las necesidades de las personas. Es un enfoque centralizado, ya que la masa de datos de identidad de todos los usuarios de un sitio web en particular es administrada por el propietario de dicho sitio. Estas grandes bases de datos se convierten además en los objetivos principales de los hackers.

Muchos sistemas de identidad en línea se crean con la finalidad de asociar datos con los individuos, que permitan personalizar su experiencia al ingresar en un sitio de Internet, pero esta información no es propiedad del usuario. Esto tiene otras implicaciones, ya que por cada sitio web donde las personas crean un perfil, se genera nuevamente una serie de datos asociados a su identidad. Así, tendrán tantas identidades en Internet, como sitios donde estén registrados.

Actualmente, han surgido una serie de iniciativas que buscan dar respuesta a estos problemas, a través de un concepto denominado identidad digital auto-soberana. Alex Preukschat en su artículo Self Sovereign Identity: a guide to privacy for your digital identity with Blockchain, afirma que ña tecnología blockchain es el avance crucial que ahora está impulsando la identidad digital hacia la era de la Identidad “Self Sovereign” (auto-soberana).

¿Qué es la Identidad digital auto-soberana?

Según la RAE, la identidad se define como el “conjunto de rasgos propios de un individuo o de una colectividad que los caracterizan frente a los demás”. Desde un punto de vista práctico, podemos tomar el concepto funcional de identidad esbozado por Preukschat, donde se refiere a la identidad como “la suma de atributos asociados a una persona (edad, altura, fecha de nacimiento, datos biométricos, etc.), atributos acumulados a lo largo del tiempo (información médica, preferencias, metadatos de comunicación, etc.) y atributos designados (número de teléfono, correo electrónico, números de pasaporte, etc.), pero podemos ir más allá de las personas y también hablar de identidades legales, identidades de dispositivos o activos que a menudo están vinculados a la identidad humana”.

Muchos de estos atributos son los que comúnmente se usan para identificar a un individuo en el mundo digital, y que terminan duplicándose en múltiples bases de datos de sitios web, con los riesgos de seguridad antes descritos. Es aquí donde entra en juego la identidad digital auto soberana, como una fórmula para colocar el control de estos datos en manos del usuario.

De acuerdo con el White Paper de Selfkey, una staurtup blockchain centrada en identidad auto-soberana, este concepto es similar a la forma en que almacenamos y gestionamos nuestras identidades no digitales. Fuera de Internet, documentos de identidad como pasaportes, certificados de nacimiento, facturas de servicios, etc., se resguardan en un lugar seguro del hogar, se comparten con terceros solo cuando es necesario, y decidimos qué tipo de información compartir. Este mismo efecto es el que se busca replicar en el ambiente digital, con la identidad auto-soberana, y la ayuda de la tecnología blockchain.

En el mundo físico, los procesos de identificación admiten el uso de atributos validados por terceros. Por ejemplo, un individuo (propietario de la identidad) quiere acceder a un establecimiento (parte que confía), donde la condición de acceso es la mayoría de edad. Saca de su billetera la licencia de conducir, emitida y validada por un instituto de control de vehículos (tercero) y la presenta en el establecimiento. Aunque el encargado no tiene contacto con ese tercero, da crédito a los datos que ve en la licencia de conducir, porque confía en esa institución.

En esta dinámica se evidencian tres actores que Selfkey distingue en una transacción de identidad, y que se pueden emular en el mundo digital. Con la ventaja adicional de que mediante el uso de la tecnología blockchain el usuario puede elegir a qué datos tiene acceso la “parte que confía”. Es decir, en el ejemplo anterior, el individuo podría decidir que la respuesta a la pregunta ¿es mayor de edad?, sea simplemente “si o no”, sin necesidad de revelar todos los datos contenidos en la licencia de conducir. A esto se refiere la identidad digital auto-soberana.

Los atributos que debería tener esta identidad, son descritos detalladamente por el Emprendedor, Asesor y Tecnólogo Christopher Allen, en un texto de 2016, donde desarrolló un apartado denominado Ten Principles of Self-Sovereign Identity (Diez principios de identidad auto-soberana). Entre ellos destacan tres rasgos, que no son factibles con los sistemas de identificación centralizados, como el acceso y control de los datos por parte del usuario, así como la portabilidad de los mismos.

5 problemas de la identidad digital

Otro proyecto blockchain que se basa en la identidad auto-soberana, Sovring, identificó 5 problemas de la identidad en Internet, explicados en su blog por el Presidente de la Fundación Sovrin, Ph.D. Phillip J. Windley. A saber:

El problema de la proximidad: ya que los actores no interactúan físicamente, sino a distancia.

El problema de la escala: la identidad digital depende de los grandes centros de información e identidad.

El problema de la flexibilidad: muchas de la “soluciones de identidad digital” actuales, se limitan a esquemas o conjuntos de atributos fijos.

El problema de la privacidad: las “soluciones de identidad digital” actuales se basan en una colección de datos, que a menudo se recopilan sin conocimiento del usuario.

El problema del consentimiento: los datos contenidos en miles bases de datos de identidad, a menudo se comparten con otros sin consentimiento.

Según Windley, en el mundo físico la mayoría de las transacciones de identidad son auto-soberanas. Son “escalables, flexibles, privadas y suceden con el consentimiento del propietario de la identidad. Internet introdujo el problema de proximidad” y las limitaciones de las soluciones disponibles actualmente nos llevaron a la situación en la que nos encontramos ahora. En su opinión, la solución más viable es aprovechar la criptografía y la tecnología blockchain para replantearse las transacciones de identidad en el mundo digital, haciendo posible que emulen los atributos del mundo físico.

¿Cómo ayuda blockchain?

Basados en la estructura de las transacciones de identidad antes descrita, donde se definen tres actores principales, los sistemas blockchain de identidad soberana utilizan la cadena de bloques para registrar identificadores descentralizados (DID), a los cuales se puede acceder sin necesidad de un directorio central.

Tal como en Upot, Sovrin o Veres One, proyectos en diferentes etapas de desarrollo, el usuario (propietario de la identidad) accede a la aplicación, donde crea una billetera virtual en la cual almacenará certificados avalados por un ente emisor (tercero). La “parte que confía” puede solicitar una verificación (reclamo) al ente emisor. Luego, la “parte que confía” también podrá certificar las credenciales del usuario, así éste fortalecerá su identidad digital. Toda esta data estará bajo el control del usuario a través de claves o llaves. Esta identidad digital podría comprender historias médicas, académicas, laborales y demás datos personales que solo se compartirán en caso de que la persona lo autorice.

En el siguiente esquema, Phillip Windley expresa de forma gráfica  como funciona este sistema:

El siguiente paso, en opinión Windley, es completar normas para los identificadores descentralizados y declaraciones verificables que garanticen la interoperabilidad.

Son varios los proyectos y plataformas que se están ocupando del tema de la Identidad digital, para resolver diferentes necesidades, y con diferentes enfoques, como la identidad económica, la identificación de refugiados y desplazados, o la protección contra el fraude. En todo caso, el surgimiento de la identidad digital auto-soberana, parece inevitable.

Imagen destacada por fgnopporn / stock.adobe.com