Traducción al español del artículo original publicado por Felix Hildebrandt. Puedes consultar el artículo original en inglés aquí
Este artículo es la segunda parte del Desarrollo de Soluciones de Identidad para Internet. Si deseas leer cómo ha evolucionado la internet en la administración de identidades y los problemas que surgieron, puedes regresar a la primera mitad.
Nuevos enfoques en identidades digitales
La Web3 puede ser vista como la siguiente evolución de la internet y define una forma más descentralizada en el manejo de los datos. La transformación incorpora relaciones justas y equitativas entre usuarios y servicios. Una parte de la evolución es el uso de redes blockchain como la infraestructura subyacente. Una blockchain, en este contexto, puede ser descrita como una red pública de computadoras conectadas y dirigidas por individuos alrededor del mundo. Una blockchain opera sin la necesidad de servidores controlados por una entidad centralizada. Esta tecnología es, a la vez, segura e inmutable, a través de criptografía compleja, haciendo casi imposible falsificar la información que está siendo escrita o cambiar los datos almacenados. Es el equivalente digital a grabar en piedra, habilitando a los usuarios a verdaderamente poseer información y permitiendo que la información represente algo de valor.
A diferencia de la transición de la Web1 a la Web2, en la que los ingenieros de software realizaron mejoras para permitir la interacción, la nueva era Web3 ataca la tecnología backend fundamental. La internet actual consiste en copias de datos para todo lo que hacemos y transferimos. Dejamos largos rastros de datos que se originan desde diferentes dispositivos y enviados a múltiples proveedores de servicios, que almacenan la información en servidores que ellos controlan. Los datos no son verificables, no se encuentran en nuestra posesión. No tiene una huella digital o una firma, y no la llevamos con nosotros. La gran ventaja de la blockchain es que permite a los usuarios firmar, transmitir y verificar datos entre individuos y organizaciones sin tener que darles la posesión. Las acciones en la blockchain hacen referencia a una dirección de una cuenta que tú posees, no sólo a un dispositivo conectado a un proveedor de servicios. A través de cuentas blockchain, múltiples participantes pueden solicitar y verificar los mismos datos acerca de una persona sin tener que ser confiados de dichos datos. La meta de las redes descentralizadas es otorgar el poder de los datos de regreso a la gente.
La avanzada seguridad que ofrece la criptografía, nos permite abandonar la precaria protección que ofrecen los servidores centralizados, permitiendo una tecnología orientada al usuario más segura. En lugar de un nombre de usuario y contraseña, se utilizan llaves públicas y privadas dentro de una cartera digital. Todo lo que un usuario realiza en la red, se transfiere de regreso a la dirección de su cartera. Las llaves públicas representan una huella digital. Te identifica, y hace que dejes un rastro donde quiera que vayas. Una llave privada representa tu firma manuscrita. Tú decides cuándo utilizarla, e identifica quién eres.
Los individuos en el mundo físico comparten relaciones. Estas no pertenecen a nadie. Existen en la consciencia colectiva de aquellos que comparten la conexión. En el mundo digital de la Web2, no existe tecnología para emular dicha conciencia independiente que permite la soberanía. Las compañías y los servicios conectan los datos y facilitan la relación entre individuos. Cuando mucho, los usuarios pueden ganar más derechos para acceder a ciertas funcionalidades de los datos que los representan. Cumplir con regulaciones y verificar la integridad de los datos personales representa mucho trabajo, tanto para el usuario como para el proveedor de servicios. Con la blockchain, los usuarios pueden, de manera independiente, verificar los datos de otros participantes, de forma simple, proveyendo sus credenciales verificables a través de identificadores descentralizados. Con la ayuda de procedimientos criptográficos como las pruebas de cero conocimiento, incluso podemos validar datos de usuarios fuera de la red, sin revelarlos directamente.
Las blockchain punto a punto, incluso, introducen una red más segura y resiliente. En lugar de una compañía corriendo un servidor, los usuarios, de manera simultánea, corren el software y verifican la información. Dichas redes pueden disminuir el sistema de administración de las empresas y los costos de seguridad de TI, ya que los usuarios mantienen sus datos de identidad de manera independiente.
Cuando se utilizan aplicaciones descentralizadas en las blockchains, hay una gran tendencia a hacer el código fuente público, para que cualquier persona lo pueda adoptar y construir a partir de él. La transparencia viene de elevar la confianza que los participantes tienen en el software. El código abierto es especialmente importante para redes blockchain públicas, pues su gobernanza depende, en su totalidad, de la aceptación del protocolo de consenso, y cualquier persona debe tener el derecho a verificar su código.
Como sucede con la propiedad en el mundo real, la blockchain confiere más responsabilidad para el usuario. Entonces, se tienen que desarrollar conceptos más amigables para una transición más sencilla hacia la tecnología blockchain. Tal como Alex Preukschat y Drummond Reed describen, la idea de la Auto Soberanía Identitaria (SSI, por sus siglas en inglés) es “la mejor analogía. Es como probamos nuestra identidad en el mundo real: sacando nuestras carteras y mostrando las credenciales que hemos obtenido de otras partes en las que confiamos.” La diferencia con las identidades digitales descentralizadas es que lo llevamos a cabo con carteras digitales, certificados digitales y conexiones digitales”.
Existen tres roles a destacar dentro de la red: emisores, verificadores y usuarios. Tal como en el mundo real, el usuario es dueño de la cartera y solicita una credencial del emisor. Después que la solicitud es atendida, el emisor firma el certificado en la blockchain que hace referencia a la dirección de la cartera del usuario, brindando prueba de que los nuevos datos relacionados con la identidad son auténticos. El poseedor puede ahora utilizar servicios que requieren esas credenciales. Por ejemplo, ellos pueden usar un pasaporte antes de un intercambio. El verificador, en este caso, el proveedor de intercambios, solicitará las credenciales recientemente adquiridas y verificará la firma del emisor antes de que la transacción sea concretada.
Como mencionamos previamente, la tecnología blockchain favorece el intercambio de activos digitales, mediante el uso de firmas, de una cartera a otra. También permite que programas se integren encima de la red blockchain. Los valores que se intercambian pueden ser de cualquier tipo, desde criptodivisas fungibles, hasta credenciales no fungibles, obras de arte, documentos, etcétera. Algunos ejemplos de usos prácticos que pueden explicar de mejor manera su potencial son:
- Para el comercio electrónico, el registro de usuarios y los pagos pueden ser posibles a través de la SSI, eliminando la necesidad de cuentas y contraseñas. Todos los recibos podrían ser entregados en forma de credenciales y escritas directamente en la blockchain.
- En el sector financiero, los ciudadanos podrían utilizar cualquier servicio bancario sobre la marcha, eliminando la burocracia y el tener que entregar los mismos formatos. Si ambas partes soportan interfaces SSI, pueden intercambiar las credenciales necesarias, e incluso utilizar sistemas multi firmas para documentos esenciales y transacciones de alto valor.
- Los documentos de salud podrían ser compartidos de forma instantánea, brindando consentimiento para procedimientos médicos. También podrían existir registros médicos históricos en la blockchain, verificables y listos para compartir con otros proveedores.
- Mientras viajan, las personas podrían documentar sus pases de abordar y puntos de control para verificar los lugares que visitaron en el pasado. Incluso los boletos de avión, hoteles, trenes o conciertos, podrían ser automáticamente conectados a la cartera de alguien, así como cualquier programa de recompensas o contenido digital asociado con dichos boletos.
- Un último ejemplo: diferentes interpretaciones de SSI podrían ser utilizadas para digitalizar certificados escolares, transcripciones, o credenciales de los estudiantes a través de diferentes escuelas y universidades.
Desventajas
Tal y como sucede en el mundo real, ambos lados siempre mostrarán sus credenciales verificables para asegurar que las instancias son las que dicen ser. Como es de esperar, los usuarios pueden administrar cada ejemplo directamente desde su teléfono inteligente de forma completamente soberana, pero sólo si todos los participantes aceptan un sistema de registro. La adopción de soluciones descentralizadas estará siempre atada a los efectos de red. Lograr que muchos servicios utilicen una solución SSI puede ser un obstáculo. Otro obstáculo es la disponibilidad de accesos a internet. Los datos no pueden ser verificados fuera de línea, especialmente los pasaportes. Nuevas soluciones para la disponibilidad de internet, tales como las mallas satelitales, podrían solucionar esto y hacer la internet más accesible en cualquier rincón del mundo. Esta solución está en una etapa temprana por parte de Starlink.
Otro problema es la escalabilidad. Block Chains completamente descentralizadas incurren en un rendimiento limitado y una alta tasa de utilización, lo que resulta en costos de operación altos. Eventualmente, podríamos resolver esto con complejas tecnologías de cadena cruzada o dividiendo diferentes ramas en redes separadas. El problema final es administrar las llaves para las carteras, lo que representa un punto de falla único, pero que son necesarias para operar el software SSI. La solución a este tema será un nuevo software desde otro enfoque abordado en la siguiente sección.
Cuentas basadas en contratos
En el futuro, los usuarios podrán administrar libremente una gran cantidad de información digital sobre sí mismos. Por ahora, aún hay varios temas con el sistema actual del uso de llaves privadas para asegurar esa información. Una llave privada puede asociarse sólo a una cuenta. Si falta una llave privada, los activos contenidos en la cuenta sólamente pueden ser recuperados con una frase de respaldo específica. El dilema es que se otorga demasiada importancia al ligar una dirección a una persona o dispositivo durante el proceso de inducción a la blockchain. Nadie debería basar toda su identidad en una sola contraseña, tampoco deberían hacerlo con sus activos. Así mismo, las cuentas blockchain regulares no pueden almacenar datos en la dirección de su llave, lo que significa que nadie sabe nada acerca de la persona detrás de la cuenta, sino hasta que ellos mismos lo revelan. Debe existir responsabilidad para organizar todas las credenciales de identidad verificables, razón por la que las cuentas tradicionales en la blockchain, basadas en llaves, están transitando a implementaciones más avanzadas.
Previamente hablamos de la posibilidad de correr aplicaciones sobre la blockchain. La funcionalidad de estas aplicaciones, combinada con llaves de carteras por parte de los usuarios, puede habilitar que perfiles de usuarios resulten en soluciones más sencillas de mantener. Los usuarios pueden almacenar información adicional y conectar múltiples llaves y dispositivos en la misma cuenta. Contar con llaves intercambiables es valioso para los usuarios pues ahora pueden tener respaldos para acceder a sus identidades digitales.
Blockchains basadas en la Máquina Virtual de Ethereum tienen instancias programables llamadas Contratos Inteligentes, mismos que pueden ser ejecutados por los usuarios mandando una transacción desde una cartera. Mediante estos contratos inteligentes, pueden desarrollarse ecosistemas de identidad completamente administrables. Todos los dispositivos o carteras conectadas a una cuenta pueden hablar como una identidad combinada. Con la adición de un administrador de llaves, los individuos pueden, incluso, dar permisos para controlar datos de identidad a múltiples dispositivos, individuos o servicios.
Esta sóla cuenta contrato puede entonces administrar activos digitales, de la misma forma en que lo hacen las direcciones basadas en llaves que ahora conocemos. Los pioneros de la blockchain discutieron la idea inicial de cuentas basadas en contratos en los primeros días de la blockchain Ethereum en 2014. Sin embargo, la descartaron debido a la complejidad de la funcionalidad temprana de los contratos inteligentes y el potencial efecto cisne negro.
En 2017, la identidad fue estandarizada inicialmente como ERC 725 en la blockchain Ethereum, y desarrollada posteriormente por Fabian Vogelsteller. Debido a la utilización de la blockchain Ethereum, sería muy caro realizar cuentas basadas en contratos en la actualidad. Dado que la energía consumida por nuestros ordenadores cuesta dinero, los operadores que corren la blockchain quieren ser compensados por el poder computacional. Contratos complejos generan muchas transacciones, lo que aumenta la demanda en la blockchain y resulta en costosas tarifas. Ni siquiera esquemas de gran escala como la fragmentación pueden ofrecer el rendimiento necesario para administrar la identidad de cada ser humano o dispositivo en una sóla blockchain.
Con estos problemas en mente, el proyecto LUKSO fue fundado en 2018. La meta principal del proyecto es crear un ecosistema de contratos inteligentes estandarizados que haga posible las cuentas de usuario públicas para las personas de la economía creativa. LUKSO está adoptando estructuras de perfil similares a las de las redes sociales en el mundo de la blockchain, mientras ofrece la facilidad de uso encima de la blockchain. Se diferencian de las identidades personales normalmente incluidas en SSI y crea cuentas públicas con un proceso de creación sencillo, ampliando las funcionalidades de administración de activos. Los usuarios pueden agregar información personal libremente en su perfil, ganar reputación, adicionar credenciales, activos y muchos otros tipos de información. Con la funcionalidad del perfil, incluso las aplicaciones externas pueden ser conectadas para almacenar datos en sus bóvedas. La estructura puede ser percibida como un sistema de administración de identidad suave y como una nueva era de plataformas auto soberanas, Dichos estándares ofrecen mecanismos de acceso y utilización en el espacio cripto y abren las puertas a una variedad de soluciones de software adjuntas, como redes sociales, mercados y el metaverso.
A diferencia de los sistemas centralizados Web2, los servicios pueden, incluso, eliminar la pérdida de datos o la pérdida de tiempo con redes blockchain, si los nodos están descentralizados de forma adecuada. Las identidades personales podrían, en algún momento, estar ligadas a perfiles públicos universales como soluciones SSI híbridas mientras sólamente tienen acceso a datos personales fuera de línea a través de accesos en línea. Con el estándar ERC 1056, el ecosistema Ethereum ya cuenta con su solución para datos SSI fuera de línea, ligando las llaves públicas de los usuarios para hacer referencias de su identidad.
Pautas para el desarrollo descentralizado
La pregunta apremiante es esta: ¿cómo definimos la ética y los principios a través de los cuales podemos evaluar servicios de software que manejan datos de usuarios e información de identidad? La GI, un representante de IT en Alemania, ofrece pautas prefabricadas a través de las cuales el software estándar debe ser desarrollado y evaluado. La GI es la sociedad profesional sin fines de lucro, que ha promovido la tecnología computacional, más grande en Alemania. Tiene 20,000 miembros y forma parte del Consejo de las Sociedades Europeas para la Ciencia Computacional. Las pautas han sido diseñadas de forma que la ética profesional o los conflictos morales sean objeto de reflexión conjunta. Las instrucciones pretenden guiar el diseño, la creación, la operación o el uso de sistemas TI. Debido al tema relacionado con los datos de usuarios, las pautas están ligadas al contexto SSI.
El software programado debe ser diseñado y verificado legalmente por personas que poseen el conocimiento adecuado y actualizado. Dentro del espacio de la blockchain, los programadores deben tener amplio conocimiento acerca de la red y la gobernanza en la que construyen, así como de sus contratos inteligentes. Al mismo tiempo, la crítica constructiva es necesaria, lo que se amplifica a través de alta transparencia dentro de la Web3. Para el intercambio de la información, son necesarias grandes habilidades de comunicación, para identificar soluciones, comunicarlas a otros y simplificarlas a un nivel más abstracto. El entrenamiento continuo debe ser necesario en este tema, especialmente para nuevos identificadores descentralizados y las credenciales verificables. Los desarrolladores también necesitan competencia legal cuando estén trabajando con tokens o datos de usuario dentro del espacio blockchain.
Los desarrolladores deben adherirse a principios éticos de la protección de datos. Idealmente, deberían construir sus aplicaciones no sólo dentro sino a partir de esos principios. La ética también debe cubrir el cómo es instalado el software y cómo es traído a la base de usuarios. Como se dijo en el último capítulo, la transparencia total, mediante el uso del código abierto, es obligatoria cuando se identifican soluciones que dicen ser auto soberanas. Los usuarios deben tener el derecho de probar y modificar su software de identidad digital. Las posibilidades de uso práctico para el dueño de la identidad se incrementan en tanto este derecho es otorgado. Podemos hacer una analogía con el mundo real de conducta social. Dentro de un gobierno democrático moderno, los ciudadanos, como seres humanos individuales, pueden confiar o demandar sus derechos y su dignidad humana. Todos pueden expresarse libremente y las opiniones políticas de la mayoría se convierten en el foco principal cuando se desarrollan planes gubernamentales futuros. Para observar los derechos de todos y eliminar problemas futuros, los ciudadanos deben trabajar en unidad con el fin de proveer y establecer futuros que los reflejen de forma brillante. Este enfoque también reduce el riesgo de explotación por parte de corporaciones para que los individuos se puedan mover por la vida con menos limitaciones. Los proyectos deberían construir nuestros sistemas digitales que reflejan lo que buscamos en el mundo natural: individuos empoderados que forman relaciones sólidas mientras permanecen completamente independientes.
El estado actual de la SSI y su panorama
La ventaja significativa de la Web3, con su enfoque orientado al usuario, es la representación de interacciones humanas a través de servicios digitales de software. Cuando se conectan a redes blockchain, los SSI pueden desplegar su verdadero potencial. Son más seguros, descentralizados y actúan como almacenes de valor.
Dicho lo anterior, la administración de identidades orientada al usuario viene con el costo de no ser tan rápido, barato y escalable como servicios centralizados. Crear sistemas complejos basados en sistemas SSI requiere de muchas transacciones y efectos de red para su adopción. Los estándares de identidad no han encontrado una adopción significativa todavía. Nick Poulden publicó un prototipo completamente funcional del estándar de identidad ERC 725 en Ethereum en 2018. Viendo los conceptos técnicos traídos a la vida fue un gran éxito y múltiples block chains están tratando de integrar dicha tecnología de acceso en su producción.
La SSI es entendida como la nueva tendencia en diferentes áreas del desarrollo de la industria: identificadores estrictamente personales, perfiles públicos o variantes híbridas. Muchas instalaciones de investigación están trabajando en diferentes conceptos y protocolos para ciudadanías, organizaciones estudiantiles, financiamiento, viaje, nuevas redes sociales y mucho más.
La clave será la interoperabilidad, la cual es difícil de determinar puesto que la estandarización debe venir primero. Organizaciones como W3C están tratando de estandarizar las identidades con todas las funciones posibles a través de distintas industrias. En tanto que esta es la meta final, el proceso seguramente tomará un largo tiempo para que grandes empresas de tecnología lo desarrollen y se pongan de acuerdo alrededor de una solución funcional, así como la tecnología detrás de esta. Proyectos como LUKSO, tienen un enfoque más ligero, a través de traer perfiles públicos directamente al mercado y construir un ecosistema de contratos estandarizados. Varios negocios fuera de la esfera de la economía creativa podrían adaptar, expandir o incorporarlos en sus estándares, para hacer de los servicios descentralizados convencionales una realidad para las nuevas generaciones.
La adopción masiva será seguramente gradual, ya que las soluciones existentes son convenientes y actualmente funcionales. Una desventaja es que una tecnología SSI completamente establecida debe ser traída a los emisores a través de todas las industrias, principalmente los gobiernos e instituciones antiguas.
Va a ser necesario la aparición de grandes nuevos productos y la facilidad de uso para cambiar la industria. Por encima de todo, estamos enfrentando el inicio de una nueva era de cómo se administran las relaciones digitales. Abrochémonos el cinturón y miremos atentos cómo se desarrolla.