La evolución de nuestras vidas físicas y digitales empieza a requerir de nuevos modelos de identificación, de nuevos modelos de garantizar quién soy, qué certificaciones tengo, a qué empresa pertenezco, qué estudios tengo…La idea es que podamos interactuar con las empresas, con los servicios y con las personas de forma segura e inimitable, y que esta relación digital no se vea afectada por los diferentes problemas de seguridad que nos encontramos en nuestro entorno social o laboral.
Estos y otros factores son los que la Decentralized Identity Foundation están analizando para diseñar una solución. Se trata de una fundación en la que colaboran grandes empresas como Microsoft y que ya ha publicado una primera preview de un servicio en Azure.
¿Qué es esto de Identidades Descentralizadas?
Una Identidad Descentralizada es una nueva tecnología que nos permite, como individuos, compartir quiénes somos basándonos en nuestras propias credenciales. Así lo explica el informe Forrester «Prepare for decentralized Digital Identity: Secury SWOT», de enero de 2020:
«Decentralized digital identity (DDID) is not just a technology buzzword: It promises a complete restructuring of the currently centralized phycal and digital identity ecosystem into a decentralized and democratized architecture»
Las identidades descentralizadas delegan a los usuarios el control sobre sus datos personales, identidades que son verificables usando blockchain y permiten a los usuarios hacer afirmaciones sobre sus datos (por ejemplo: «tengo aproximadamente de 21 años») sin revelar los datos reales en sí (por ejemplo, fecha de nacimiento: 1 de enero de 1970).
Los modelos actuales de identidades están basados en la centralización y en la federación de las identidades y necesitan de un servicio web o de un sitio web para validar las credenciales de un usuario. Con este nuevo modelo descentralizado, es la propia cadena de blockchain la que garantiza quién soy, basándose en los principios de blockchain, transparencia e inmutabilidad.
¿Qué problema pueden resolver?
Pensemos en algún tipo de monedero virtual donde puedo guardar mi identidad de empresa, mi identidad en España, mis títulos universitarios, mis datos de salud, etc.
En ese monedero vamos a almacenar las claves públicas y privadas para que cualquier identidad pueda validar la información que le comparto. Validación que realiza en cualquiera de los nodos de la red blockchain, con total confianza de que son válidas y que no se han modificado.
Con este monedero podría tener acceso a la oficina, por ejemplo, presentando un código QR en un lector que verifica mi identidad y si tengo acceso.
En la siguiente imagen tenemos un ejemplo de uso:
- Una universidad genera una identidad para un usuario con su título universitario
- El usuario que recibe el título y lo almacena en su monedero virtual el diploma, como una cadena de blockchain
- Ese mismo usuario, presenta estas credenciales ante potenciales empresas que le quieran contratar, empresas que pueden verificar que los títulos son válidos y están certificados por la universidad.
En este sistema, el monedero virtual actúa como un repositorio seguro para las credenciales del usuario. Protege las credenciales mediante cifrado y biometría, solicita el consentimiento del usuario cada vez que se solicitan credenciales y oculta los metadatos que no quiere compartir en el proceso. Blockchain reduce el riesgo de que una entidad obtenga acceso no autorizado para robar o monetizar los datos de los usuarios.
Aunque esto mejora la privacidad y la seguridad de los usuarios, también ayuda a las organizaciones a reducir los riesgos de seguridad. Muchas organizaciones están sujetas a regulaciones de protección de datos de personas. Al recopilar y almacenar menos datos, las organizaciones simplifican sus responsabilidades de cumplimiento y reducen los riesgos de mal uso de la información y de ser foco de ataques cibernéticos.
¿Qué podemos hacer con Azure AD?
Microsoft ha sacado una preview pública basada en DID en su servicio de identidades de Azure, llamada Azure Active Directory Verifiable Credentials.
Basada en Azure Identity Overlay Network (ION) tenemos un SDK para desarrollar, como organización, las credenciales que queremos entregarle a nuestros usuarios.
Como monedero digital, Microsoft ha añadido la funcionalidad a su aplicación de autenticación: Microsoft Authenticator, que actuará como ese agente de usuario que administra las diferentes identidades y sus claves criptográficas para acceder a los nodos de blockchain.
Llevo años siguiendo este tema, me parece muy interesante y relevante para evolucionar hacia un modelo más seguro de identificación de personas. El problema será animar a las organizaciones participen de la fundación DID, inclusive las públicas, para que adopten ese estándar y que todos podamos hacer uso, cualquiera que sea el país en el que estemos.