Sovra Blog

Sovra Blog

Velocidad de reproducción
×
Compartir post
Compartir post en el momento actual
0:00
/
0:00

¿Qué funciona mal con nuestra identidad digital? (y cómo solucionarlo)

El manejo de nuestra identidad en Internet se ha vuelto un dolor de cabeza. Conoce cómo la Identidad Descentralizada y las Credenciales Verificables pueden solucionarlo.
Avatar de Lucas Jolias
Lucas Jolias
mar 08, 2024
Compartir

Quizás no sientas ese dolor de cabeza o mucho menos que algo anda mal, pero eso no quiere decir que debamos aceptar la web tal como la conocemos. 

Hoy nos parece súper normal el tener que recordar muchos usuarios y contraseñas, que nuestros padres anden con listas en un papel, que nos lleguen publicidades de empresas a las que nunca dimos nuestros datos o que mi documento de identidad ande dando vueltas por cualquier sitio, hasta ese efecto extraño de conversar algo y al instante ver publicidad en redes al respecto. El beneficio que nos trae internet es enorme comparado con estos inconvenientes, por eso lo soportamos. Ahora bien, eso no quiere decir que no podamos construir una web mejor, más segura y amigable para el usuario. La clave de ello está en reinventar nuestra identidad digital, buscar formas de usar nuestra identidad más parecidas a las prácticas del mundo físico, en donde la privacidad era por diseño y no un beneficio colateral. La Identidad Descentralizada es el camino para pensar una nueva internet, o por lo menos eso es lo que piensan países como Canadá, EE.UU o la Unión Europea. Por estas latitudes, la Ciudad de Buenos Aires es pionera en América Latina y hace pocos días liberó el código del protocolo QuarkID, del cuál OS City forma parte del grupo fundador. 

Para entender mejor qué beneficios trae esta nueva identidad, veamos primero qué está mal con la identidad digital en la actualidad. 

Lo que está mal para el usuario 

Cómo usamos nuestra identidad en el mundo físico no se parece en nada a cómo la usamos en el mundo digital. Imaginemos que quiero comprar una cerveza en la licorería o supermercado cerca de casa. La secuencia es más o menos así:

  • Me presento en el lugar

  • El vendedor debe asegurar que soy mayor de 18 años 

  • Para ello, le presento mi Documento de Identidad (u otro documento según el país) 

  • El vendedor verifica que soy mayor de 18 años y me vende la cerveza. 

El proceso es simple y, algo no menor, es exactamente igual en cualquier licorería. Muestro la misma credencial y es la misma secuencia sin importar la marca del lugar, si es otra sucursal u otra ciudad. En este mundo, no era necesario pensar en interoperabilidad entre licorerías, ni mucho menos en que las licorerías debían compartir información con un tercero. En la transacción intervienen tres actores principales: un emisor de la credencial (el gobierno), un portador (ciudadano) y un validador (la licorería). Llegar a esa simpleza y tener confianza en el proceso, nos llevó décadas. 

En este modelo, el verificador de la credencial (licorería) no tuvo que llamar al emisor de la credencial (gobierno) para verificarla. El empleado de la licorería confía en la credencial, la foto y otras medidas de seguridad que traen las credenciales físicas sin tener que consultar con el emisor si la credencial es verdadera o falsa. Imaginemos la situación en la que cada vez que alguien deba verificar un documento tiene que llamar al área de gobierno responsable de esa credencial. Sería impracticable. El modelo no es perfecto pero confiamos en él. Lo mismo con otro tipo de credenciales como una licencia de conducir, un título universitario o muchos otros. Un punto importante, central si queremos preservar la privacidad de las personas, es que el emisor de la credencial no sabe ni cuando ni donde la utilizo. El gobierno no tiene forma de saber que fui a una licorería, ni cuantas veces. Al poder verificar la credencial sin “llamar al emisor”, éste último no sabe (ni puede saberlo) donde yo utilizo esa credencial. La identidad y las credenciales del mundo físico resguardan nuestra privacidad por diseño. ¿Qué pasaría si el Estado o una empresa supieran cada vez que yo me quiero relacionar con un comercio, un banco o cualquier otra institución? En el mundo físico nos parece una locura pero ¿qué pasa en el mundo digital? 

En lo virtual la cosa es distinta. La web 2.0, aquella de las redes sociales, los e-commerce y la web que mayormente experimentamos hoy, multiplicó las capacidades de las personas para comunicarse, consumir, expresarse, generar nuevos negocios y muchas bondades más. Pero debemos recordar que internet surge sin una capa de identidad, no fue pensada en sus inicios para hacer todas esas cosas que mencionamos antes, por lo que no era necesaria una infraestructura de identidad digital para utilizarla. Básicamente en los inicios de la web nadie sabía que eras un perro. 

On the Internet, nobody knows you're a dog” – Still True Today? | Acxiom
Historieta de Peter Steiner, publicada en el New Yorker el 5 de Julio de 1993

Cuando comenzamos a utilizar la web para más cosas que acceder a información, entonces necesitamos construir mecanismos para asegurarnos que quién está detrás de la computadora, no es un perro… o mejor dicho, por lo menos necesitamos saber que el perro es quién dice ser. Para evitar fraudes, necesitamos pedirle al perro su nombre, dirección, dueño, etc. 

En aproximadamente una década tuvimos que inventar formas novedosas de validar la identidad de las personas de manera online, crear nuevos servicios, aplicaciones e infraestructuras. Algunas de las cosas que inventamos suenan un poco ridículas pero están ampliamente extendidas: tenemos que mover la cabeza, guiñar un ojo, sonreír varias veces, saltar en una pata (o en dos si sos un perro), buscar lugares bien iluminados y repetir la secuencia varias veces hasta que el sistema nos reconozca. Nada de eso teníamos que hacer en el mundo físico. 

Más allá de las piruetas que tenemos que hacer para validar nuestra identidad, la identidad digital tiene una arquitectura distinta a nuestra identidad física. Volvemos al ejemplo de comprar una cerveza pero en este caso queremos hacerlo online. La secuencia es más o menos así:

  • Ingreso al portal de la licorería o del supermercado

  • El vendedor debe asegurarse que soy mayor de 18 años

  • Para ello, nos deriva a un proveedor de identidad: un tercero que brinda el servicio de validar mi identidad (google, facebook o el Estado)

  • El proveedor valida mi identidad y me entrega un claim o credencial para acceder a la licorería. 

  • La licorería confía en el proveedor de identidad, recibe la validación de mi identidad y me deja comprar la cerveza. 

A diferencia del proceso físico, aquí interviene en la relación un tercero: el Proveedor de Identidad (ID). Para evitar crear una nueva identidad cada vez que nos relacionamos con un portal, los proveedores de identidad nos permiten utilizar algunos de mis perfiles ya existentes (login-in con google, facebook, apple, etc). Lo mismo ha sucedido con muchos servicios públicos online. Por ejemplo, en Argentina en vez de crear un perfil con cada gobierno u organismo, puedo utilizar mi identidad de ANSES o AFIP para relacionarme con la administración pública (comúnmente mediante Autentic.ar). Estos proveedores de Identidad nos brindan un token para ser utilizado con la licorería y para evitar un mal uso, ese token es para uso exclusivo en esa licorería. No puedo utilizar ese mismo token o credencial en otra licorería. 

Este modelo ha simplificado la experiencia del usuario, ya que no siempre debo crear una nueva identidad digital por cada empresa o institución. Sin embargo, está lejos del ideal que nos presenta el mundo físico por varias razones. En primer lugar, todas las licorerías o páginas deberían compartir el proveedor de identidad y más allá que es una práctica muy extendida, sabemos que no siempre puedo loguearme con mi cuenta de google o facebook. Si la licorería A y B no comparten el mismo proveedor de ID, entonces debo crear una nueva identidad digital para cada una de ellas. Además, el ideal de que todas las páginas en internet compartan el mismo proveedor de identidad generaría una web mucho más concentrada de lo que hoy tenemos (que no es poco). Segundo, cada vez que entro en contacto con la licorería, el proveedor de ID lo sabe o puede saberlo. Es un tercero de confianza que intermedia la relación entre el usuario y la licorería y que por lo tanto puede (y debe) saber cada vez que quiero ingresar a ese portal. La licorería tiene que “llamar” al proveedor de ID cada vez que alguien quiera ingresar en su local. Tercero, la licorería y el proveedor de ID (o el Estado) deben compartir información entre sí, deben ponerse de acuerdo. Mientras que la identidad en el mundo físico es un modelo descentralizado, en el mundo digital es un modelo de silos. Y como todo modelo de silos, debemos coordinar y poner de acuerdo a cada uno de ellos para que exista interoperabilidad. Volveremos sobre esto cuando hablemos de credenciales y billeteras. 

Además de los problemas generados para el usuario, la Internet de hoy trae otro tipo de problemas que creemos pueden ser mucho más preocupantes que los mencionados. 

Lo que está mal para la economía… 

Internet tal como la conocemos está rota. No solo por los problemas que mencionamos antes, sino por algunos números que preocupan: 

  • El Banco Mundial estima que la economía digital contribuye a más del 15 % del producto interno bruto (PIB) mundial y en la última década ha estado creciendo dos veces y media más rápido que el PIB físico.

  • Ahora bien, según datos del Foro Económico Mundial, la economía digital estaba valorada en 14,5 billones de dólares en 2021, pero el costo global estimado del delito cibernético fue de 6 billones de dólares, o sea, el 41% de la economía digital. Más del 40% de la economía digital se pierde en ciberdelitos. ¿Imaginen si esto sucediera con la economía del mundo físico? ¿Qué pasaría si poco menos de la mitad de la economía mundial se iría en delitos, crímenes y robos? 

  • Lo más preocupante es que para 2025, la economía digital tendrá un valor de 20,8 billones de dólares, pero el ciberdelito tendrá un valor de 10,5 billones. Entonces, a pesar del crecimiento de la economía digital, el cibercrimen crecerá más y representará el 50% del tamaño de la economía digital en 2025

Si bien la confianza es una idea abstracta, es fundamental para construir un mejor ecosistema digital. Si no sabemos con certeza con quién interactuamos en línea, dejaremos de hacerlo. Y si muchos de nosotros perdemos la confianza en los servicios en línea, grandes partes de la economía global y, por lo tanto de la sociedad, comenzarán a desmoronarse. Parte del problema radica en que la web no fue pensada en sus inicios para utilizarse en actividades que requieran la identidad de una persona. Y mientras fuimos haciendo más cosas en Internet, tanto las empresas como el Estado fueron creando mecanismos de identidad digital, con las herramientas que había a disposición. 

¿Entonces? Necesitamos una nueva forma de relacionarnos online, tanto en el sector privado como con el Estado. Pensemos por un segundo lo difícil que es para un ciudadano promedio relacionarse digitalmente con diferentes gobiernos. ¿Se ha puesto a pensar cuántos perfiles digitales tiene en internet? ¿cuántos “usuarios y contraseñas”? Ahora imagine el caso de un ciudadano que trabaja en un municipio, pero vive en otro, que además es el representante legal de su empresa y tributa en distintos Estados o provincias, y obviamente interactúa con distintos organismos nacionales. Por cada una de esas organizaciones públicas, debe crear una identidad digital en particular y gracias a la extendida idea de que cada gobierno debe tener una (o muchas) aplicaciones, el ciudadano debe llevar en su celular una app para cada uno de esos gobiernos con los cuales interactúa. Esto sucede porque hemos digitalizado la burocracia. Si nos ponemos a pensar, gran parte de los servicios y trámites digitales se basan en demostrar al Estado diferentes atributos de mi identidad: que tengo hijos, que soy profesional, que tengo un permiso, que puedo conducir, etc. El gran problema es que todos esos atributos están fragmentados en las decenas de identidades (físicas y digitales) que tengo como ciudadano y cada uno de esos perfiles no dialoga entre sí, por lo que la credencial que tengo de licencia de conducir, no puedo presentarla digitalmente en otro distrito, o la credencial que me entregó mi municipio en su app, solo vive en esa app y no hay forma de poder compartirla digitalmente al momento de hacer un trámite con otro organismo. Una cosa es pasar de bits al papel (digitalizar) y otra es aprovechar al máximo las capacidades de lo digital. Al avanzar con el primer modelo, hemos creado silos estancos de información concentrada que no dialogan entre sí. 

Silos de identidad y credenciales 

Volvamos a la comparación con el mundo físico. Todos o la gran mayoría de nosotros tenemos una billetera en la cual guardamos dinero y credenciales o tarjetas. Toda billetera trae una parte para guardar billetes y otra para guardar credenciales como mi DNI, mi licencia de conducir, mi seguro médico, mi carnet de socio de un club, entre otras. Algunos puntos a destacar sobre el funcionamiento de las billeteras en el mundo físico: a) ninguna de las instituciones tuvo que compartir información entre sí para emitir la credencial, b) sólo el dueño de la billetera sabe qué credenciales tiene y c) para poder llevar las credenciales en mi billetera, los emisores sólo tuvieron que ponerse de acuerdo en un estándar: el tamaño de la credencial. Una cosa es la credencial (o sus datos) y otra es el artefacto que la contiene. Yo puedo agarrar mis credenciales y llevármelas fácilmente a otra billetera, puedo portarlas conmigo en todo lugar y compartirlas cuantas veces necesite mediante un proceso simple. Las credenciales me las emitió una institución pero la billetera es del usuario, por lo que este tiene autonomía para utilizarla por fuera de las instituciones emisoras. 

Nuevamente en el mundo digital el modelo es completamente diferente. Tenemos credenciales digitales pero viven sólo dentro de la app de la institución emisora. Por ejemplo, para el caso de Argentina, yo puedo tener mi licencia de conducir o mi DNI digital pero estas credenciales solo puedo llevarlas dentro de la app de Mi Argentina. No pueden vivir por fuera de ese entorno y, lo que es más problemático, no pueden interactuar con otros sistemas o no puedo compartirlas por fuera de esa app. Lo mismo sucede con mi credencial del seguro médico o mi carnet de socio de un club: solo tienen vida dentro de la app. De manera análoga, sería como si en el mundo físico mi municipio me emitiera la licencia de conducir pero sólo me dejara llevarla dentro de una billetera de cuero que me da el mismo gobierno… y así por cada institución. Andaría por la calle con decenas de billeteras distintas, ya que cada credencial sería soportada por una sola billetera física. Es por ello que las credenciales que tenemos hoy en nuestros dispositivos no son credenciales digitales, sino credenciales digitalizadas. No cuentan con todas las capacidades que nos trae el mundo digital, sino que sólo nos permiten hacer una serie de acciones. Con mi DNI físico yo puedo comparar una bebida en la vinería, pero con mi DNI digital no puedo hacerlo en un e-commerce. 

Necesitamos un modelo de identidad que combine lo mejor del mundo físico (privacidad, simpleza) con lo del mundo digital (portabilidad, verificación). Debemos poder ejercer nuestra identidad digital con los mismos parámetros que lo hacemos en el mundo físico de manera de poder interactuar con las instituciones de manera más simple, segura y con mayor confianza. Equilibrar la privacidad con conveniencia para el usuario es posible, sólo debemos repensar la arquitectura sobre la cuál funciona nuestra identidad. 

¿Cómo solucionarlo? 

Christopher Allen, uno de los “padres” de la Identidad Descentralizada, menciona que ésta tiene dos planos: uno ideológico y otro arquitectónico. Cómo usamos la identidad en internet afecta nuestros derechos, por lo que no sólo se trata de buscar una forma más amigable y simple de usarla sino también de proteger nuestros derechos y nuestra intimidad. En el plano ideológico necesitamos volver a controlar nuestra propia información cada vez que nos relacionamos con otras personas u organizaciones. Hoy no somos capaces de controlar nuestra identidad, los datos son explotados sin nuestro consentimiento y el manejo cotidiano de nuestra información y credenciales se ha transformado en un ejercicio muy tedioso. Para cambiar esto, no solo necesitamos nuevos valores sobre los cuales construir una nueva web sino una nueva arquitectura que permita ejercer esos valores. Desde el punto de vista de la privacidad necesitamos algo más que la ley o una autoridad gubernamental que se encargue de velar por nuestros datos; sabemos que eso falla o puede fallar. Necesitamos infraestructuras que protejan nuestra privacidad por diseño, al mismo tiempo que permitan romper los actuales silos de identidad digital. 

La Identidad Descentralizada busca resolver los problemas que trae la web tal como la conocemos hoy, ya que resguarda la privacidad del usuario por diseño al mismo tiempo en que busca la interoperabilidad global de nuestra identidad. Esto se logra con tres componentes claves: un identificador descentralizado (DID) que permite identificar al usuario, una billetera (o “contenedor” de credenciales) que brinda al usuario un par de llaves que le permiten gestionar ese DID, y las Credenciales Verificables: información criptográficamente segura donde un tercero puede validar automáticamente diferentes cualidades (emisión, originalidad, posesión, efc). Estos componentes nos permiten generar un triángulo de confianza entre emisores, receptores y validadores de información. Volvamos al ejemplo del inicio para entender mejor cómo funciona. 

Nuestro amigo necesita volver a comprar cerveza online pero en este caso bajo el esquema de la Identidad Descentralizada. Para ello, el ciudadano tiene una billetera que le permite generar su identificador descentralizado (DID) y posee su par de llaves criptográficas que le permiten demostrar que tiene control sobre ese DID. A su vez, existe un emisor de credenciales que, en este caso, puede ser el Gobierno emitiendo un DNI (credencial de identidad). Ese DNI se emite en formato de Credencial Verificables y es firmado por el emisor con su par de llaves criptográficas y asociado al DID del ciudadano. El ciudadano recibe esa credencial en su billetera y al momento de compartirla con la licorería también la firma con su par de llaves para demostrar que es el poseedor de esa credencial. La licorería entonces verifica ambas firmas (la del emisor y la del poseedor de la credencial) y puede constatar que es una credencial válida, por lo que procede a venderme la cerveza. Si el ciudadano se presenta a otra licorería, el proceso es similar y puede presentar la misma credencial, al igual que lo hace en el mundo físico. 

Como podemos observar este modelo de identidad tiene significativas diferencias con la identidad digital de la actualidad. Primero, la licorería no tuvo que consultar al emisor de la credencial para verificar su autenticidad, sólo debió corroborar que las firmas eran válidas. Al no tener que “llamar” al emisor de la credencial, éste nunca pudo saber que fui a una licorería; privacidad por diseño o arquitectura. Segundo, el ciudadano no tiene que pasar por un nuevo KYC cada vez que se presenta en una licorería (u otra organización) y puede utilizar la misma credencial emitida en este caso por el Gobierno, al igual que lo hace en el mundo físico. Tercero, el emisor de la credencial y el validador (la licorería) no tuvieron que compartir ningún tipo de información entre sí, sólo tuvieron que seguir un mismo estándar para poder validar las credenciales. Al igual que el mundo físico donde las credenciales comparten el estándar del tamaño pero las instituciones no deben compartir información para que el ciudadano las pueda llevar en su billetera. Cuarto, el único que sabe qué credenciales posee es el ciudadano y además puede llevarlas consigo en el dispositivo o “contenedor” que desee. Son portables y seguras. Por último, este proceso puede utilizarse tanto en mundo físico como en el virtual. El ciudadano puede presentar sus credenciales y ser validadas por una web o por un sistema en el mundo físico. Puedo escanear un QR para presentarla en la licorería presencial o puedo compartirla desde mi billetera con una web y validar mi edad de manera automática. Imaginen poder hacer login en una web con una misma credencial y no andar recordando usuarios y contraseñas. Ese es el poder de las Credenciales Verificables y la Identidad Descentralizada. 

Lo que sigue

La Identidad Descentralizada no viene a resolver un problema de compartir datos en gobierno, viene a generar interoperabilidad global, donde las credenciales sean fácilmente compartidas y validadas por organizaciones públicas y privadas, por instituciones y por personas, por ciudades y países. Viene a cambiar radicalmente la forma en la que usamos la web. Para lograrlo necesitamos generar un ecosistema de datos y credenciales, donde tanto las instituciones públicas como privadas se integren al modelo, compartan protocolos y estándares. Sabemos que no es una tarea fácil pero que regiones como la Unión Europea lo hayan impulsado tan decididamente acelerará este proceso. Para ver los beneficios de este modelo en su totalidad se necesita “liquidez de credenciales”, esto es, una densidad y diversidad de organizaciones, credenciales y billeteras en un ecosistema abierto que interactúa bajo los mismos parámetros. De nada sirve que el gobierno emita credenciales en formatos que sólo el mismo gobierno puede validar; ese es el modelo actual. Así como Buenos Aires, Luján de Cuyo (Argentina), Bogotá o Monterrey ya han comenzado a transitar este camino, necesitamos que organizaciones privadas, universidades, bancos y otras instituciones comiencen a interactuar con este ecosistema. La Identidad Descentralizada puede transformar la web y, en el camino, mejorar la relación entre ciudadanos y gobiernos.

Discusión sobre este video

Avatar de User
© 2025 OS City
PrivacidadTérminosAviso de recolección
Empieza a escribirDescargar la app
Substack es el hogar de la gran cultura