Nivel técnico del artículo

La Revolución Industrial y la llegada de maquinaria a las fábricas textiles supuso una disrupción absoluta en el sector. Se pasaba de necesitar mano de obra completamente especializada para realizar un proceso relativamente lento a que cualquiera pudiera operar una máquina en un proceso mucho más eficiente y rápido. Incontables trabajadores abandonaron el campo u otros trabajos ante la promesa de trabajo más estable, mejor pagado y menos agotador. Sin embargo, esto resultó ser un regalo envenenado puesto que, eventualmente, la falta de regulación atrapó a esos trabajadores en jornadas laborales de 14 o más horas, 6 días a la semana y condiciones de trabajo peligrosas con numerosos accidentes en las fábricas. La falta de alternativas al no ser personal especializado hacía que los trabajadores fueran completamente dependientes de estos trabajos y fueran, a su vez, abusados laboralmente. Esta situación acabó estallando, llevando a huelgas como las de “La Canadiense” en Barcelona, las “Cerilleras” en Londres o la del “Pan y Rosas” en Nueva York.

Es inevitable ver paralelismos en la gestión de la identidad en internet. En sus inicios, los usuarios creaban sus cuentas para cada sitio web que quisieran utilizar, pudiendo identificarse con un alias para mantener su pseudoanonimato. Mantener las cuentas implicaban apuntar, memorizar o repetir contraseñas, lo que podía ser tedioso a la par que ineficiente o inseguro, pero la identidad estaba bajo control del usuario. Este proceso se simplificó enormemente con la llegada de los sistemas SSO (del inglés Single-Sign-On) y la conocida coletilla “iniciar sesión con…”. Esta opción nos ahorra tener que crear cuentas diferentes para cada servicio, manteniendo un número reducido de contraseñas.

En principio parece que las empresas nos hacen el “favor” de guardar nuestras contraseñas, pero a cambio estamos perdiendo nuestra libertad. Estas empresas controlan toda la información sobre nosotros como el historial de webs que visitamos, dispositivos a través de los que nos conectamos, dónde vamos o incluso nuestra biometría. Disponiendo de nuestros datos estas organizaciones pueden agruparlos y generar perfiles de información, lo cual les permite calcular las rutinas y preferencias de los usuarios. Estos perfiles son lo que conocemos como la identidad digital de los usuarios. Eso es lo que hemos cedido.

En un principio, el seguimiento que nos realizaban presentaba una buena intención, crear una experiencia más agradable y personalizada para cada persona. Este supuesto se ha ido derrumbando conforme se descubrió el negocio de la venta de datos. Este tráfico se produce la gran mayoría de las veces sin el conocimiento de los usuarios, demostrando así que no tenemos control sobre nuestras identidades digitales. Peor aún, los almacenes de datos de empresas como Google, Facebook o Apple se han convertido en un objetivo de ciberdelincuentes. Un único ataque exitoso puede obtener de miles a millones de cuentas de usuarios con los que suplantarles o tener acceso a otros datos asociados a las cuentas comprometidas.

Ha llegado el momento de retomar el control

La identidad autosoberana devuelve al usuario el control sobre sus datos, eliminando intermediarios y previniendo el abuso de información. En este modelo, el usuario es el único gestor de su identidad, decide qué información compartir y con quién, y tiene control total sobre el nivel de anonimato que desea preservar. Las identidades serán portables e interoperables. Además, el usuario siempre podrá aprobar el acceso de terceros a sus datos, revelando solo la información mínima necesaria para cada proceso. Esta información se registrará en forma de credenciales verificables, que buscan imitar el funcionamiento de sus contrapartes físicas, pero añadiendo una capa de seguridad gracias a la criptografía. Junto con las credenciales se usarán los os identificadores descentralizados (DID), los cuales nos permiten presentar información sobre nosotros mismos mientras preservamos la privacidad y el anonimato de nuestra identidad.

Pongamos un ejemplo. Cuando compramos por internet el vendedor no necesita saber exactamente quienes somos, igual que cuando entramos a una tienda en un centro comercial no necesitamos ir con nuestro DNI en la mano. Aun así, compañías como Amazon nos solicitan casi nuestra identidad digital completa para poder comprar un simple producto. Mediante el uso de credenciales verificables y DID podríamos implementar sistemas que emulen como interactuamos en el mundo físico para conseguir liberar los datos de los usuarios del control que sufren.

Retos

Para poder trabajar con identificadores descentralizados y credenciales verificables, necesitamos una cartera digital diseñada para un sistema de identidad autosoberana. Ésta nos permitirá almacenar de forma segura nuestras credenciales y claves privadas. Con una cartera digital autosoberana los usuarios podrán utilizar cientos de identificadores diferentes en internet de forma transparente evitando que las organizaciones puedan relacionarlos fácilmente. Esto sería equivalente al funcionamiento previo a la era del “iniciar sesión con”, pero sin tener que recordar las contraseñas. Además, estas carteras no serán un objetivo tan atractivo para los hackers ya que requerirían demasiado esfuerzo para únicamente lograr la identidad digital de una persona, en principio, anónima.

Desarrollar una cartera requiere tener en cuenta muchos elementos de diseño, como la criptografía que utilizarán los DID o el formato y protocolo que se utilizará para la comunicación de las credenciales. Es en este punto donde surge un conflicto, la falta de consenso actual de cara a los protocolos de comunicación. Sin este consenso, las carteras basadas en distintos protocolos no serían interoperables, dificultando el uso de la tecnología e incluso forzando al usuario a disponer de distintas carteras digitales, perdiéndose el principio de sencillez de la tecnología,

Por este motivo, en el contexto del proyecto Sigma, financiado por IVACE-FEDER con número de expediente IMDEEA/2023/45 ,  ITI está trabajando en la implementación de una cartera multi-protocolo, compatible con los dos protocolos más maduros en la actualidad: OpenID y Aries; lo cual permitirá un alto grado de interoperabilidad con otras carteras. Igualmente, este mecanismo permitiría ampliar el número de protocolos compatibles si, en el corto/medio plazo no se alcanzará ningún consenso en la industria y surgiera algún otro protocolo predominante. Esta apuesta por carteras multiprotocolo permitirá, en cualquier caso, evitar que el usuario tenga que mantener un conjunto de carteras digitales diferentes. Igualmente, potenciar el uso y adopción de esta tecnología facilitará que la privacidad y las identidades digitales retornen vuelvan a estar bajo nuestro control, liberándonos poco a poco del control de estas grandes corporaciones.

 

Autor
Ismael Illán García | Ingeniero I+D Junior en ITI
Categorías

Posts relacionados