Identidad Auto-Soberana (SSI) vs. Modelos de Datos en Silos

Written by

Published on

hace 5 meses

Blockchain, Identidad Auto Soberana, Zero Knowledge Proof

¿Las contraseñas están desapareciendo?

Uno de los principales dilemas en el universo digital es si las contraseñas podrían quedar obsoletas y ser solo un recuerdo en algunos años.

Parece algo lejano y hasta casi loco pensar en esto, ya que las contraseñas forman parte de nuestro día a día desde hace ya mucho tiempo. Pero sucesos como el anuncio de Apple de que habilitará claves de acceso basadas en WebAuth cuando lance las próximas versiones de sus sistemas operativos macOS, iOS y WatchOS, nos da la pauta de que los usuarios podrán confiar en una tecnología similar a Face ID para iniciar sesión en cuentas online, dejando atrás a la tecnología de passwords.

La medida de Apple (como también de muchas otras grandes empresas de tecnología), sería una mejora drástica con respecto a las medidas de seguridad en línea existentes.

Pero en realidad, las passkeys no protegen nuestra privacidad ni nos dan el control total de nuestras identidades y datos en línea, sino que en realidad estos siguen estando a la deriva de ataques cibernéticos de hackers, y continúan siendo comercializados y ofrecidos sin nuestro consentimiento.

¿Cuál es la solución más segura?

Para un real cambio en el paradigma donde los usuarios tengan control total de los datos y de sus cuentas personales (también en el caso de empresas y gobiernos), debemos considerar la identidad auto-soberana (SSI).

Si claro, las claves de acceso mejoran la seguridad, pero la privacidad de nuestro comportamiento en línea sigue estando amenazada. Incluso si se aplica la tecnología de claves de acceso único al inicio de cada sesión, nuestras acciones en línea podrían ser registradas por el proveedor de identidad (IDP), recopilando información sobre nuestro comportamiento.

En teoría, un IDP podría rastrear y analizar esos patrones, lo que le permitiría aplicar ingeniería inversa para aplicar incluso vender los datos a terceros

SSI (Self-Sovereign Identity) del lado del usuario.

El principio central de la SSI -con sus 10 principios rectores que Christopher Allen definió en 2016- es que todo el mundo tiene el derecho moral a controlar su identidad.

Esto quiere decir que cada uno de nosotros decide si comparte información privada con cualquier entidad para su autenticación, así como qué datos comparte y cuándo lo hace. De esta forma, no se crean silos de datos personales.

Tanto los atributos como las credenciales, que pueden ser auto-afirmadas o firmadas por terceros, deben ser controlados por los usuarios, que presentan sus datos a los proveedores de servicios siempre que lo desean.

Pero ¿Cómo es que la Identidad Auto-Soberana puede ayudar en este control?

Los dos componentes principales de la SSI son las credenciales verificables (CV) y los identificadores descentralizados (DID).

Credenciales verificables

Según la W3C: «Las credenciales verificables representan declaraciones hechas por un emisor de forma que no se puedan manipular y que respeten la privacidad».

De acuerdo al modelo de prueba de conocimiento cero (ZKP) que SSI toma, esto permite digitalizar las credenciales físicas, y los titulares o dueños de los datos y credenciales pueden revelar selectivamente información específica de esta credencial sin exponer los datos reales (selective disclosure).

Por ejemplo, alguien podría demostrar que se tiene edad suficiente para comprar alcohol o para jugar en un casino en línea sin revelar la fecha de nacimiento. Incluso, se podría demostrar que se tiene licencia para conducir o edad suficiente para entrar a un local para mayores de edad sin revelar el nombre o la dirección).

Identificadores descentralizados

Algo importante de SSI es que este sistema debe garantizar que las comunicaciones en las relaciones entre partes, no impliquen a terceros. Es decir, que no debe haber un intermediario que tome control de los datos ni que intervenga en los procesos, sino que debe existir una forma de crear confianza digital de forma descentralizada.

En esta tarea, los identificadores descentralizados (DID) permiten una identidad digital verificable y descentralizada mediante la «creación de conexiones peer-to-peer únicas, privadas y seguras entre dos partes.»

¿Cómo funciona SSI en la vida real?

Vamos a tomar un caso de ejemplo en el que Teo desea renovar su pasaporte para viajar a otro país. Entonces, pide al ente gubernamental encargado de dicho trámite, que le emita una versión digital de su pasaporte junto a su copia física.

Al realizar el proceso, se le pide que escanee un código QR desde su ID Wallet, donde se intercambian los DID, creando la conexión segura donde verifican que cada parte sea quien dice ser, gracias a la tecnología criptográfica y a la red de blockchain donde estos DID están almacenados.

A través de esta conexión segura, el empleado del gobierno, le expide su pasaporte digital en forma de credencial verificable, lo envía a su wallet de identidad, Teo lo acepta y lo guarda en su wallet (digital). Luego puede usarlo, por ejemplo en el caso del pasaporte, para hacer los trámites con la compañía aérea al momento de irse de viaje. En ese momento, el verificador (la aerolínea, le pedirá que escanee un código QR desde su ID wallet, y al hacerlo, le solicitará que presente las credenciales necesarias para hacer el procedimiento necesario antes de abordar el avión. En este caso, deberá aceptar compartir su pasaporte.

Pero como dijimos, al verificador solo le llegará una respuesta de este claim cómo “positivo” o “negativo” a su reclamo de información. De esta forma sabrá si la credencial indica que el título de la misma reúne o no las condiciones, sin necesidad de pedirle al mismo datos innecesarios y privados.

Estos “claims” o reclamos y la emisión de la credencial, quedan registrados en el libro distribuido/blockchain, pero sin necesidad de exponer datos privados, sino que solo se registran las validación.

¿Dónde más podemos utilizar SSI en nuestro día a día?

Además, Teo podrá tener muchas otras credenciales en su wallet de identidad, como por ejemplo, su tarjeta de ciudadano, su historial financiero y médico, etc. Son muchos los casos donde la Identidad Auto.Soberana puede aportar una capa de confianza, facilitar los procesos y cuidar la privacidad de los usuarios, empresas y gobiernos. Si querés saber más sobre posibles aplicaciones de SSI, te sugerimos leer este artículo llamado Self-Sovereign Identity sounds nice… but how will it affect my life? en nuestro blog.

El proceso de Identidad Digital Auto-Soberana:

Cómo ya dijimos previamente, inicialmente una entidad pública o privada debe registrarse en la cadena de bloques para obtener su DID (Decentralized Identifier) y así poder emitir certificados o credenciales.

Esta Credencial Verificable o VC (Verifiable Credential), se envía inmediatamente después de que el titular (holder) realice el trámite y este sea aprobado por la anteriormente mencionada entidad emisora (issuer). Generalmente contiene datos cómo: el nombre y fecha de nacimiento del titular de dicha VC, su fecha de emisión y vencimiento (en caso de ser necesario), estado de dicha credencial, nombre de quien la emitió, etc. (depende de la credencial, los datos suministrados en la misma).

El titular como dijimos, guarda el CV en un monedero digital, lo que garantiza que no se almacena ninguna información personal en la cadena de bloques.

En cualquier momento, el holder puede producir una presentación verificable (VP) utilizando la wallet de identidad digital para demostrar su condición o sus credenciales a un verificador para así acceder a un servicio o beneficio.

SSI, ZKP y Selective Disclosure (divulgación selectiva):

En este momento, el usuario puede personalizar la cantidad de datos personales incluidos en la presentación (VP). Por ejemplo, si prefiere no revelar su nombre completo o dirección (contenida por ejemplo en una Credencial de Ciudadano), porque desea solo demostrar que es ciudadanos de “x” jurisdicción para acceder a un servicio que así lo requiere, puede crear una VP utilizando ZKP (Zero Knowledge Proof) para demostrar que el valor del campo que se desea ocultar en la VP, coincide con uno de los valores aceptados por el verificador (en este caso, se verifica con ZKP, que su dirección está en la lista admitida).

Alternativamente, el verificador podría definir el formato de la VP basándose en requisitos específicos para un caso de uso determinado, osea, que solo “reclamaría” que el titular o usuario presente “x” dato necesario para constatar que aplica para acceder a su servicio.

Entonces ¿Por qué aún no vemos mayor adopción de SSI?

Bueno, es una pregunta algo difícil de contestar ya que depende de muchos factores. Pero vamos a hacer algunos análisis y supuestos sobre ¿por qué siendo SSI tan prometedora, no es más conocida y qué hace falta para que sea una norma aceptada y ampliamente implantada?

La razón principal es que las cosas llevan su tiempo. Sabemos que la mayoría de los procesos tecnológicos y las revoluciones en la evolución del área digital llevan su tiempo.

Christopher Allen, uno de los pioneros de esta tecnología, definió los principios rectores de SSI en 2016, por lo que podemos suponer que sigue siendo una tecnología en vía de desarrollo y de adopción.

¿Qué puede ayudar a impulsar esto?

Algo que suele ayudar a que estas tecnologías despeguen, es el valor y la visibilidad que aportan los gigantes tecnológicos y pioneros en impulsar nuevas tecnologías. El problema con esto, es que todavía, muchas de estas empresas están en proceso de entender cual es el potencial de SSI para el sector privado.

Y, en resumidas palabras y volviendo al principio de este artículo, podríamos decir que el mayor beneficio para este sector, es la posibilidad enorme que estas tienen de desviar o eliminar los ataques cibernéticos que estas tienen por su estructura de silos de información centralizada.

Además, como ya nombramos, SSI podría disminuir los costos de compliance y de onboarding de usuarios, además de mejorar notablemente la UX de los mismos facilitando, entre otras cosas el gran problema con las numerosas cuentas y passwords que los usuarios manejan hoy en día, el registro e inicio de sesión tedioso que deben realizar cada vez que se desea utilizar una nueva herramienta o aplicación en línea.

Pero el mayor diferencia para empresas y organismos públicos, es que la Identidad Auto-Soberana ayuda a devolver o consolidar esa capa de confianza digital que es necesaria hoy en día. Devuelve a los usuarios el control de sus datos y les da la posibilidad de decidir que hacer con ellos. Esto podría verse como una actitud fuertemente empática y conciliadora por parte de los entes para con los usuarios, y ayudar con esta confianza regenerada a aumentar el comercio electrónico, etc.

¿Cuál es el próximo paso?

Bueno, desde luego que no tenemos la bola de cristal, pero si sabemos que los procesos de surgimiento de nuevas tecnologías llevan tiempo y se basan mucho en la necesidad del aumento de la concienciación, las necesidades y en cómo esto desencadena la demanda.

Volviendo al principio, el origen de las passkeys demuestra que los grandes impulsores de la tecnología buscan siempre mejoras en la seguridad en Internet, así que, sabiendo que en 2022 fue uno de los años con mayor cantidad de robo de datos, hackeos y origen de nuevo tipo de ataques (ver este informe de Termly), y que las predicciones de expertos (según este artículo de Cybercrime Magazine, una de las revistas dedicadas a seguridad informática más prestigiosas) no son muy prometedoras en cuanto a ciberseguridad (si todo continúa como ahora), se dice que los usuarios cada vez se preocupan más porque las apps que usan, y sitios web de servicios, productos y compras en línea que usan, tengan medidas de seguridad de información y políticas de privacidad.

Además, teniendo en cuenta el cambio de paradigma hacia la descentralización que se está dando en los últimos años, podemos pensar que SSI podría ayudarnos a alcanzar el punto óptimo en el que el control de la identificación personal, la privacidad total y la descentralización ofrecen la máxima comodidad y tranquilidad.

Aplicada a una amplia gama de casos de uso de la vida cotidiana, la SSI puede proporcionar seguridad, proteger la privacidad de nuestro comportamiento y darnos el control de nuestras identidades.

Si querés saber más sobre Identidad Auto-Soberana y otras tecnologías descentralizadas que están dando vuelta el modelo digital, lee otros artículos de nuestro blog, y seguinos en redes sociales: LinkedIn y Twitter, o sumate a nuestro servidor de Discord público para obtener soporte y asesoramiento.

Tags: Ataque cibernético, Blockchain, cadena de bloques, centralized model, Christopher Allen, Confianza Digital, Credencial Verificable, Criptografia, crypto, cryptography, data breach, Decentralized Identifier, Development, DID, DIDs, Digital Trust, Hacker, Hacking, Identidad Auto-Soberana, Identidad Digital, identificador descentralizado, Privacidad de datos, proteccion de datos, protocolo informatico, Prueba de Conocimiento Cero, Ransomware, Robo de Datos, Self-Sovereig Identity, Servidor Centralizado., siloed data, siloed model, SSI, VC, VCs, W3C, Web, Web 3, Web 3.0, web3, Zero Knowledge Proof, ZKP

Julieta Cura

Enthusiast of decentralized technologies and specialist in Growth Marketing and Content Marketing at Extrimian.

What to read next

Identidad Auto-Soberana y Zero Knowledge Proof

Blockchain, Identidad Auto Soberana, Zero Knowledge Proof

12/23/2022

blog