Hoy en día, uno de los puntos críticos de los que más se habla alrededor de blockchain es la identidad digital. Y es que supone una base necesaria para que muchos de los casos de uso que se relacionan con esta tecnología puedan ser implementados de forma exitosa.

De hecho, hay pocos aspectos más centralizados para una sociedad y una economía actual que la identidad. Sin una forma de identificarse entre nosotros y nuestras posesiones, difícilmente podríamos construir grandes naciones o crear mercados globales. Desafortunadamente, existen problemas persistentes, y cada vez más graves, en la forma en la que funciona la identidad digital.

Identidad digital retos legalidad

Identidad digital y legalidad

Por razones históricas y de otro tipo, la experiencia de la identidad digital actual está fragmentada, con pocos estándares o interoperabilidad. Y además es insegura, como nos lo recuerdan los informes casi diarios de hackeos y violaciones de datos. Para las personas, pero también para las empresas y los gobiernos, el statu quo se está volviendo cada vez menos sostenible. Por otra parte, la representación de esa identidad a través de documentos físicos hace que perdamos el control de la misma. De hecho, no podemos tener certeza de quién cuenta en este momento con documentos con nuestra identidad por cualquier parte del mundo (seguro que más de uno ha perdido en algún momento un documento identificativo).

La centralización aquí no significa que haya una fuente central para las identidades digitales, sino que las identidades digitales casi siempre son proporcionadas por alguna autoridad de terceros (a menudo una empresa privada) para un propósito específico propio. La información de identidad está «centralizada» dentro de esa entidad. Y es aquí donde blockchain y su Self-Sovereign Identity (SSI) juegan un papel clave. 

En un enfoque de SSI, el usuario tiene tanto un medio para generar y controlar identificadores únicos (DIDs) como algunas instalaciones para almacenar datos de identidad. Los usuarios pueden entonces hacer uso de los datos de identidad que deseen. Éstas podrían ser credenciales verificables, pero también podrían ser datos de una cuenta de redes sociales, un historial de transacciones en un sitio de comercio electrónico o declaraciones de amigos o colegas.

Identidad digital y nuevos modelos de negocio

Esta capacidad de recopilar y hacer uso de la identidad de un amplio conjunto de fuentes puede ayudar a los usuarios a crear conjuntos ricos y variados de identidades digitales para ellos mismos. También les permite un control mucho más preciso que el que tienen hoy sobre qué información personal comparten y en qué contextos. Incluso podría abrir la puerta a nuevos modelos de negocio, lo que potencialmente permitiría a los usuarios monetizar sus datos personales si así lo desean

Mientras que no se requiere blockchain para la identidad descentralizada, puede ser una solución poderosa para diferentes aspectos del marco de identificación descentralizado. Esto incluye respaldar la creación y el registro de DID, certificar las credenciales, proporcionar una infraestructura descentralizada para el control de acceso y el consentimiento del uso de datos, y vincular las credenciales con los contratos inteligentes para, por ejemplo, activar pagos automáticos.

¿Y a qué retos se enfrenta la SSI?

Como en casi todos los casos de uso que podamos encontrar en blockchain, el plano regulatorio supone la mayor causa de paralización de proyectos. Esto se debe a la necesidad de encuadrar estas nuevas funcionalidades en marcos legislativos específicos. Aquí, uno de los grandes retos a los que se enfrenta la identidad digital en blockchain es el cumplimiento con el Reglamento General de Protección de Datos. Y, sobre todo, por la caracterísitica de inmutabilidad inherente que posee blockchain.

Si queremos realizar un análisis más exhaustivo sobre los puntos críticos que quedan por definir para que estas soluciones puedan empezar a ser operativas, debemos nombrar los siguientes:

– Qué datos deben incluirse on-chain y qué datos off-chain. La mayoría de soluciones proponen que los datos de los usuarios, así como los claims/credentials que sean emitidos por un issuer, nunca estén grabados en blockchain sino en un sistema de almacenamiento diferente. 

Sobre este tipo de almacenamiento se contemplan diferentes soluciones. Entre ellas, almacenamiento personal en un dispositivo móvil (con el riesgo asociado de que si pierdo el dispositivo, pierdo los documentos que acreditan mi identidad), almacenamientos distribuidos tipo IPFS (con el riesgo asociado de perder la clave privada que desencripta los datos almacenados) o almacenamientos on-premise de proveedores de identidad (delegando la custodia en un tercero de confianza).

Por ejemplo, soluciones como Alastria o Sovrin (basado en Hyperledger Indy) tienen fijado de momento un almacenamiento en el dispositivo móvil del usuario. Por ahora, es un planteamiento que puede ser utilizado para poder lanzar las soluciones. Sin embargo, y mirando en el largo plazo, este sistema conlleva un riesgo demasiado elevado.

Identidad digital: cómo compartir datos

– Cómo se realiza la compartición de datos entre diferentes agentes de forma que garantice una privacidad completa al usuario. Este punto tiene en cuenta cómo los agentes van a intercambiar esos claims/credentials sin que se pueda establecer una correlación entre las transacciones, comprometiendo la privacidad del usuario.

Aquí, la Comisión Europea ha dejado claro que el punto clave para la determinación del cumplimiento de la privacidad es el grado de correlación entre las diferentes actividades realizadas por el usuario. Es decir, debe ser imposible trazar las diferentes relaciones que tiene el usuario por las que ha compartido ciertos atributos.

En este punto, las diferentes soluciones presentadas sí que difieren unas de otras. Por ejemplo, Sovrin propone un sistema de múltiples DID (identificadores descentralizados), únicos para cada relación y propósito con el que compartimos los datos. El objetivo es que no utilicemos el mismo identificador para todas las relaciones y que sea imposible trazarnos dentro de la red. 

Es decir, imaginemos que necesito acreditar que soy solvente. Por ello, necesitaré acreditar un atributo por el que se emitirá un claim de mi entidad bancaria (issuer) porque necesito acreditarlo ante la empresa en la que quiero alquilar un coche (service provider 1). Pero también porque voy a solicitar una hipoteca en otro banco que no es el mío (service provider 2). 

En este ejemplo, utilizaré un DID para compartir el claim con el service provider 1, y utilizaré otro diferente para el service provider 2. De esta forma, no se puede trazar que es la misma persona la que va a alquilar un coche y solicitar una hipoteca.

Un identificador único

Por otro lado, Alastria (un modelo que intenta convertirse en el estándar europeo) propone un sistema con un único identificador (Alastria ID) pero mediante un sistema de doble hash. De esta forma, no es posible trazar una misma credencial desde que es emitida por un issuer hasta que se presenta a un service provider.

El funcionamiento de este sistema se resume en que el usuario siempre tiene el mismo Alastria ID. Sin embargo, cuando un issuer emite un claim o credential, añade al hash su Alastria ID (que funciona como un nonce). De esta forma, hay un doble proceso de hasheado desde que se emite un claim hasta que se presenta a un service provider, garantizando la privacidad del usuario.

Derecho al olvido

– Revocación y derecho al olvido de mis datos. Desde hace ya más de dos años, el derecho al olvido ha estado siempre presente en los debates sobre los distintos casos de uso de blockchain. Por eso, en este punto concreto, las soluciones analizadas ya han tenido muy en cuenta el RGPD.

De hecho, es la razón por la cual los datos se encuentran almacenados en sistemas externos off-chain y tampoco se graban los claims emitidos por los issuers, de forma que se garantiza que ningún dato personal y privado se grabe en la cadena de bloques.

En cuanto al borrado de los datos almacenados en un sistema off-chain, dependerá de cuál sea el finalmente implementado. Por ejemplo, si se trata de un dispositivo móvil o una base de datos común, es sencillo ejercer este derecho. Sin embargo, nos encontramos con un debate muy interesante si lo que estamos implementando es un sistema de almacenamiento distribuido como IPFS.

Bajo mi punto de vista, el borrado de los datos se garantizaría con el borrado de la clave privada que permite descifrarlos (recordemos que los sistemas actuales se basan en una confianza por parte del usuario en que el service provider realmente está procediendo a la eliminación de los datos de su sistema, pero no tenemos acreditación de ello). No obstante, aquí parece que a la Comisión Europea no termina de convencerle este sistema para ejercer el derecho al olvido, ya que los datos se quedarían grabados, aunque no sea posible descifrarlos.

Conclusión

En definitiva, quedan todavía muchos puntos por definir (sobre todo los relacionados con el plano regulatorio) para poder contar con una solución de identidad digital que nos permita explotar el potencial de blockchain al máximo. Los esfuerzos por parte de las comunidades internacionales están siendo bastante importantes para poder crear un estándar que permita tener una identidad digital única. Y es que, de otra forma, si las empresas o consorcios trabajan por su cuenta sin tener en cuenta estos estándares (como, por ejemplo, w3c), nos encontraremos con silos de soluciones que no llegarán a ninguna parte.

Una identidad desagregada y no controlada por el usuario es lo que ya tenemos, por lo que el verdadero desafío es trabajar sobre una base común que permita utilizar una única identidad para todos los agentes con los que debamos compartir esta información. Aquí está el verdadero reto de blockchain y las empresas.

Descubre este y otros interesantes artículos en el #11 del Magazine ÁGORA: Retos y Oportunidades.

#Decentralized #Cultural #Magazine

También disponible su versión impresa

👇🏻

revista@agorachain.org