Ir al contenido principal

La era de la Identidad Auto-Soberana

La Identidad Auto-Soberana, dentro del movimiento digital, es un concepto según el cual solamente el usuario debe tener sus propios datos de identidad sin que ninguna administración externa intervenga. La COVID-19 ha generado una situación en la que se intenta digitalizar el día a día para reducir el contacto humano. Con ello nos hemos enfrentado a retos de protección de nuestra identidad. Esta es la razón por la cual debemos pasarnos a la era de la Identidad Auto-Soberana, veamos cómo nos puede ayudar.  

El uso de la Identidad Auto-Soberana

Hace poco he tenido que ir al banco a cancelar mi tarjeta debido a unas transacciones fraudulentas. Cuando el banco me pidió que confirmara si había dado datos del banco a terceros, no pude hacerlo ya que no recordaba a quién le había dado mis datos bancarios.  Básicamente, no tengo el control de mi identidad cuando se trata de terceros.  

Con la aparición de internet en nuestras vidas y el rápido incremento de usuarios online, surgen varias cuestiones. Robo de datos, fraude cibernético y en especial, usurpación de identidad.  

Cuando interactúas con tiendas online para comprar, siempre tienes que confiar en terceros para conseguir lo que quieres. La mayoría de las veces, estos son proveedores de servicio.  A veces damos nuestros datos a dichos terceros para que actúen como nosotros y hagan movimientos como, por ejemplo, efectuar pagos. Lo que más miedo da es que estos terceros recogen datos confidenciales de mucha gente y los convierte en objetivo de los hackers.  

Debido al incremento del uso de internet, es difícil no usar nuestros datos. Y la actual situación de la COVID-19 hace que la digitalización sea muy importante.  

Sin embargo, físicamente no tenemos ese problema. Por ejemplo, si alguien te pide que verifiques tu identidad, mostramos nuestro DNI o el carnet de conducir. O cuando efectuamos un pago en una tienda, simplemente lo hacemos con la tarjeta de crédito. De esta forma, el control y la propiedad de datos están a salvo. El verificador lo acepta porque proviene de una credencial fiable y este no tiene acceso a todos los datos que hemos proporcionado en el sitio donde utilizamos la tarjeta bancaria o el carnet de conducir. Esto es la Identidad Auto-Soberana, necesitamos tener una versión digital. 

Al utilizar la Identidad Auto-Soberana, los titulares de la identidad individual dejan de tener que pedir permiso a una autoridad centralizada o a un intermediario, pudiendo así controlar sus datos y credenciales por completo.

Relación entre las entidades, identidades y los  identificadores

Relación entre las entidades, identidades y los  identificadores

Credenciales verificables e identidades descentralizadas (DID)

Las Credenciales Verificables (CV) son un estándar abierto para las credenciales digitales. Estas representan ser el equivalente electrónico de las credenciales físicas que todos tenemos, como pueden ser, el carnet de conducir, el DNI, el pasaporte, etc. Una de las grandes ventajas que presentan estas credenciales verificables frente a las físicas son que son mucho más fiables y seguras.

Se puede explicar con el siguiente ejemplo: 

Ecosistema de credenciales verificables

Ecosistema de credenciales verificables

Detrás de estas credenciales verificables, tenemos una serie de hechos que están ligados a ello y que forman el asunto. Representa a la persona y solo el propietario tiene acceso a los detalles y puede controlar la información. Puedes presentar estos hechos y peticiones de una credencial verificable de un emisor autorizado. Y será criptográficamente verificada. 

Por ejemplo, una tarjeta de crédito es una credencial tradicional y físicamente verificable.  Cuando le pidas la tarjeta de crédito a un emisor, previamente autorizado por el banco, deberás presentar varios documentos, tus datos biográficos, información salarial la cual representa al sujeto, que eres tú.  Y cuando obtienes la tarjeta de crédito puedes usarla y hacer pagos en la tienda con la cual verificarán tu identidad sin tener que presentar datos personales y confidenciales.  

Cuando se digitalice este concepto, en vez de usar una tarjeta física, se usará criptografía.  Lo más normal es disponer de una cartera digital a la que solo tú puedas acceder. Esto no significa que sea lo más seguro, tienes que ser responsable de proteger tus datos, pero reduce el riesgo de que se expongan los datos detallados de muchos usuarios. Aquí es cuando las identidades descentralizadas entran en acción. 

Las Identidades descentralizadas (DID) son el elemento clave de la Identidad Auto-Soberana.  Este tipo de identificadores ofrecen una mayor seguridad, ya que permiten que la identidad sea digital, verificable y descentralizada. Además, estos identificadores permiten que el controlador del DID pueda controlar y disociarse de los registros centralidades, es decir, de cualquiera de las autoridades certificadas o de proveedores de identidad.

Credencial verificable basada en la autentificación vía OpenID Connect 

OpenID Connect es una capa de identidad en el protocolo OAuth 2.0 que permite a los usuarios, basándose en la autenticación de un servidor autorizado, obtener la información y verificar la identidad del usuario final. Técnicamente hablando, el OpenID Connect precisa un RESTful HTTP API que usa JSON como formato de datos.

WSO2 Identity Server puede actuar como un proveedor de OpenID.  Cualquier OpenID se puede usar para salir y entrar de la sesión del WSO2 Identity Server. El WSO2 Identity Server actúa como un usuario de OpenID.  Cualquier OpenID se puede usar para salir y entrar de la sesión del WSO2 Identity Server. Además, el WSO2 incluye formas para conectarse a registros más fiables. 

El OpenID te pedirá un nombre de usuario o una contraseña como básicos, pero puede ser que vaya más allá y use la autenticación biométrica con los móviles. Los proveedores del OpenID emiten un registro de identidad con la información que se solicita. La información incluida en este registro es parecida a los datos plasmados en tu tarjeta de crédito.  

Existe una forma de mejorar esto aún más utilizando la Autenticación de Credenciales verificables con OpenID Connect (VC-AuthN OIDC). Ya que con el modelo de OpenID mencionado, el proveedor se centraliza y controla un poco más los datos.  con los datos disponibles en OpenID se puede autenticar el acceso a otro sitio o servicio. Esta es una característica de identidad federada e infringe el concepto de Identidad Auto-Soberana.  

VC-AuthN OIDC usa los modelos del OpenID Connect para integrarse fácilmente en el sistema y proporcionar también una forma de autenticación usando las credenciales verificables y devolviendo el control al usuario.  Esto se parece más al modelo tradicional de OpenID Connect, la única diferencia está en la información de registro.  En lugar de utilizar la información del usuario para construir el token, reclama una credencial verificable presentada por el usuario.

Cómo blockchain hace más fácil la Identidad Auto-Soberana   

La evolución del Identity Management hacia un enfoque centrado en el usuario. La Identidad Auto-Soberana ha evolucionado gracias a la popularidad de la tecnología de blockchainBlockchain no solo resuelve los desafíos mencionados, sino que también proporciona el eslabón perdido que utiliza criptografía para comprobar identidades.  

Se puede usar el mismo ejemplo para explicarlo. El banco es el emisor del titular de la solicitud, que es tu tarjeta de crédito.  El banco se asociará a la identidad descentralizada del blockchain que firma las solicitudes con ayuda de las claves. Tu cartera digital, que contiene las solicitudes, tiene claves que se unen a las identidades descentralizadas que se controlan en el blockchain y puede usarla para validar la tarjeta de crédito. La tienda que te lo valida puede comprobar si esto lo emite el banco y si es tuya. Así es cómo se usa blockchain para buscar identidades descentralizadas

Conclusión

Con la evolución del Identity Management, hemos alcanzado la era de la Identidad Auto-Soberana centrada en el usuario. Esto hace que el usuario vuelva a tener el control y que sea tan real como el mundo digital. También que la digitalización sea más segura y fiable para los usuarios, algo bastante necesario hoy en día ya que aislarse de la sociedad para superar esta pandemia es importante.  

Referencias: