La identificación en InternetEscrito por Albert Solana el 01/12/2020 a las 12:50:563621
(Product Manager en Validated ID) Como suele ser de costumbre, nada más levantarse, María accede a leer su correo personal, una revisión de las noticias en Twitter y un repaso rápido de los estados de su gente en Instagram. Ya está al día. Después de llevar a sus hijos al cole, regresa a casa para empezar la jornada laboral. Revisa la agenda del día, un repaso rápido a los correos pendientes, y entra en la videollamada de estatus diaria. Justo al terminar, le llega un aviso de la app RadarCovid que una persona de su entorno ha dado positivo y deberá hacerse la prueba PCR. Accede al espacio de salud de su comunidad para programar una cita en su centro de salud para ese mismo día.
Esto podría ser una práctica bien común de muchos de nosotros, y más en el momento actual, con el teletrabajo a la orden del día por motivos obvios. Si nos damos cuenta, estamos utilizando diferentes entornos digitales para realizar la tarea deseada, y en todos ellos, debemos identificarnos, con mayor o menor seguridad, para poder acceder. Y precisamente el punto de la identificación sigue siendo una debilidad en pleno siglo XXI.
Así como en un entorno físico tenemos una identidad, podríamos llamar base, compuesta por nuestro nombre legal, mediante el registro civil, con un número de identidad (DNI), o pasaporte, entre otros. Esta identidad base nos viene proporcionada por una institución pública que tiene competencias para expedir estas identidades y el documento físico es conocido y confiado por cualquier otra entidad a la quien se lo mostremos.
Por otro lado, tenemos unos atributos que perfilan nuestra identidad y que varían para cada contexto. Así, se conforman atributos bancarios, como una tarjeta de crédito, cuando nos relacionamos con instituciones bancarias o atributos empresariales, la tarjeta de la empresa para acceder a las instalaciones, en nuestro entorno laboral, entre muchos ejemplos. En este caso, estos atributos que serían unas credenciales para identificarse en cada contexto vienen proporcionadas por cada institución requiriendo alguna identidad base, nuestro DNI, para ser expedida.
Nuestra identidad física presenta ciertas complicaciones cuando hablamos de identidad digital. Por un lado, para disponer de la identidad digital base, emitida por las administraciones públicas, obligan a un organismo central a custodiar las identificaciones de todos sus ciudadanos y, al menos en plantearse, disponer de servicios de emisión y verificación de esos documentos en formato electrónico. Lo que provoca un posible riesgo de seguridad, por posibles ataques informáticos a los sistemas centrales, y además, sin tener claro quién debería asumir el coste de un servicio de validación para ser usado por las empresas privadas para verificar la identidad de los ciudadanos.
Por otro lado, los atributos o credenciales de identidad tampoco se mueven bien en su homólogo digital. En este caso, dado que en Internet la capa de identidad no está resuelta, cada empresa lo ha resuelto a su manera, ya sea obligando a los usuarios a recordarse de una contraseña o delegando el acceso a proveedores de identidad como Google o Facebook, forzando a compartir los datos privados de los usuarios con terceros, con el posible riesgo de privacidad.
Por suerte, se está avanzando en un modelo de identidad digital descentralizada donde la persona pasa a ser quien la gestiona. Del mismo modo que nosotros tenemos la cartera con los diferentes carnés para usarlos en en situaciones presenciales, también existe la “cartera digital” donde almacenar nuestras identidades base, expedidas por instituciones públicas proporcionandonos nuestra identidad digital legal, y otras credenciales digitales, emitidas por terceras empresas. Este modelo se conoce como identidad soberana o auto-gestionada (SSI, en sus siglas en inglés), en el que el usuario es el propietario de sus datos de identidad y quien tiene el control de los mismos, decidiendo con quien los desea compartir.
Este modelo de identidad se basa en una tecnología de red distribuida, en la que se basa una blockchain, en la que permite que la verificación de la identidad o credenciales de una persona, se pueda realizar sin necesidad de contactar con el emisor. Es decir, elimina la necesidad de las administraciones públicas de tener que ofrecer el servicio de validación, pudiendo delegarlo a la red distribuida.
Lo mejor de todo, es que España tiene una posición avanzada en este modelo de gestión de la identidad, con diferentes iniciativas como el proyecto de identidad en Alastria, y con diferentes compañías participando en el proyecto de definición del marco de identidad soberana de Europa (ESSIF) y en los numerosos grupos de trabajo a nivel global para definir marcos común de comunicación en el entorno digital, como el W3C, DIF, Open ID Foundation, o el IIW. Noticias Relacionadas:Validated ID llevará al Mobile World Congress la cartera digital europea Administraciones Públicas sin papel |