A principios de este verano, millones de personas empezaron a utilizar una nueva tecnología que podría remodelar la forma en que gestionamos, compartimos y utilizamos nuestros datos.
Esta tecnología es fundamental para Certificado COVID digital de la Unión Europea (a veces denominado erróneamente "pasaporte de vacunación" de Europa).
En sólo unos meses, esta identidad distribuida por la tecnología (o 'identidad descentralizada) y credenciales específicamente verificables- se puso a disposición de casi todo el mundo en la UE. En cambio, se tardó una década en Federación de identidades o identidad federada-el método para hacer cumplir las normas de identidad y los protocolos de autenticación- para establecerse como mejor práctica de ciberseguridad.
A pesar de que millones de personas están utilizando estas tecnologías para ayudar a controlar la propagación del COVID, mucha gente -incluso muchos expertos en identidad- no conoce la identidad distribuida y las credenciales verificables. Por eso me entusiasmó tanto hablar de estas innovaciones en un discurso pronunciado la semana pasada en la conferencia KuppingerCole's Conferencia Europea sobre Identidad y Nube.
Porque por muy importantes que sean la identidad distribuida y las credenciales verificables para el Certificado Digital COVID de la UE, lo cierto es que aún no nos hemos acercado a la realización de su potencial.
La identidad distribuida ayuda a resolver un problema casi tan antiguo como Internet: ¿cómo puede un usuario compartir de forma segura cierta información (quizá sensible) con espectadores específicos?
Es un problema que ha adquirido mayor urgencia a medida que la web ha seguido creciendo: hoy en día, nuestros datos e identidades tienden a estar bajo el control de las grandes empresas tecnológicas que gestionan aplicaciones y servicios centralizados. Esos datos tienden a comprarse, venderse y utilizarse sin nuestro conocimiento o permiso, lo que ha generado importantes preocupaciones y nuevas normativas. Tim Berners-Lee, a quien se suele atribuir el mérito de ser el inventor de Internet, ha "lamentado la estado de la web y cómo se ha desviado constantemente de su visión original de un espacio digital con libertad e igualdad".
La identidad distribuida cambia esa dinámica. Permite a los usuarios especificar qué información quieren compartir y con quién quieren hacerlo.
El Certificado Digital COVID de la UE utiliza la identidad distribuida para compartir una prueba digital de que una persona ha sido vacunada contra COVID-19, ha recibido un resultado negativo en las pruebas o se ha recuperado de COVID-19.
Y lo que es más importante, la identidad distribuida permite al usuario sólo compartir su Certificado, y compartirlo sólo con especificado los usuarios. El usuario, y sólo él, decide quién puede ver qué.
La identidad distribuida ayuda a los usuarios a controlar sus datos y compartirlos como y con quien quieran. En el caso del Certificado Digital COVID de la UE, permite a los ciudadanos de la UE afirmar digitalmente que han sido vacunados, han dado negativo en la prueba o se han recuperado de COVID-19.
Pero en este caso, controlar el utilice de nuestra información por sí sola no es suficiente. También tenemos que verificar la precisión de una reclamación.
Credenciales verificables son específicamente la tecnología que impulsa el Certificado Digital COVID de la UE. Cuando utilizo una identidad distribuida para afirmar que he sido vacunado y comparto esa información con otra persona, unas credenciales verificables me permiten hacer esa afirmación.
Establecer el modelo de confianza para ello es bastante sencillo y sigue el clásico Infraestructura de clave pública (PKI): el sistema permite que unos pocos autorizados -por ejemplo, organismos gubernamentales- expidan las credenciales.
Por ejemplo, en Alemania, el Instituto Robert Koch (más o menos el equivalente a los Centros de Control de Enfermedades de EE.UU.) emite la credencial verificable de mi Certificado. La siguiente credencial verificada condensada (y ficticia) muestra el tipo de información que contendría un Certificado: la declaración (recibí dos dosis de la vacuna contra el coronavirus); sobre quién versa la declaración (sobre mí); quién emitió la declaración (el Instituto Robert Koch); y una "firma" (prueba) que impide a cualquier otra persona modificar o crear la declaración.
Puedo añadir esta reclamación a una aplicación de monedero digital y mostrarla cuando la necesite a través de mi smartphone. Incluso podría imprimir el código QR y llevarlo conmigo en papel
Este es el aspecto que tendría una credencial verificada como código QR que demuestra que he sido vacunado contra COVID-19:
RSA y Janeiro Digital ya han utilizado instancias similares de esta tecnología con anterioridad, por ejemplo en un importante proyecto piloto en el Reino Unido. Servicio Nacional de Salud (SNS). Allí hemos utilizado la identidad distribuida y las credenciales verificables para ayudar a los pacientes con demencia, sus cuidadores y los sistemas hospitalarios a vincular y compartir los historiales de los pacientes.
¿Deberíamos utilizar blockchain como base para afirmar que he recibido la vacuna contra el coronavirus? En pocas palabras: no.
Identidad distribuida puede trabajar en blockchain. De hecho, la UE intentó originalmente utilizar varias blockchains superpuestas e interdependientes como base del modelo de confianza. Pero para algo como un certificado de vacunación COVID, es mejor y mucho más sencillo utilizar el modelo PKI clásico. Hacerlo así permite restringir quién puede y quién no puede emitir un registro verificado: las agencias sanitarias pueden, pero los particulares no. Ese mismo modelo podría aplicarse a otra documentación, como pasaportes, permisos de conducir u otros certificados.
He ignorado algunos problemas fundamentales al describir la identidad distribuida y las credenciales verificables. Baste decir que ningún sistema es intrínsecamente perfecto: hay formas de que este proceso salga mal, normalmente como resultado de un error del usuario. Yo mismo me he encontrado con esos errores, normalmente cuando alguien me pide que le muestre el código QR de mi certificado de vacunación pero no consigue escanearlo realmente con una aplicación que pueda validar el certificado de vacunación. No estoy seguro de tus habilidades de lectura de códigos QR, pero por mucho que lo intente no puedo descodificar un código QR y comprobar la firma digital de la prueba en mi cabeza.
El otro error típico es no comprobar si el certificado de vacunación se refiere realmente a la persona que hace la reclamación. Cuando utilizo mi código QR, también tengo que mostrar alguna identificación (como un pasaporte) para establecer que la declaración sobre la vacuna se aplica a mí. La persona que comprueba mi código QR y mi pasaporte debe verificar que el certificado pertenece efectivamente a la persona que tiene delante.
Pero el hecho de que tanta gente utilice identidades distribuidas y credenciales verificables tiene un valor real: demuestra que existe una nueva forma de que los usuarios controlen y compartan sus datos, que no necesitamos conformarnos con los "jardines amurallados" del pasado y que podemos crear cierto nivel de confianza en Internet. Indican un cambio de actitud sobre a quién se debe permitir controlar, utilizar y compartir nuestra información.
Y lo que es más importante, revelan que la identidad no es estática, sino que sigue evolucionando.
