Texto con amplias contribuciones técnicas de Vocdoni. Realizado para proyecto Gavius
Más información sobre el acuerdo:
https://www.computerweekly.com/news/366557952/EU-eIDAS-reforms-should-be-actively-resisted-say-experts
Más informaciones sobre identificación:
Las políticas públicas de identificación digital abstraídas de la realidad
https://xnet-x.net/es/politicas-publicas-identificacion-digital-abstraidas-realidad/
Introducción a la identidad digital y sus diferentes modelos
¿Qué es la identidad?
Podemos describir la identidad como el conjunto de características y atributos que definen una persona o grupo, lo diferencian de los demás y permiten reconocerle.
La identidad es un concepto subjetivo. Una persona puede tener diferentes identidades dependiendo de los atributos que decide mostrar y que son conocidas en un determinado contexto.
La identificación, por otra parte, es la prueba o proceso que permite verificar la identidad mediante la exposición de atributos o identificadores concretos que permitan validarla. Por ejemplo, una persona puede verificar su identidad y lugar de residencia identificándose físicamente con su DNI o digitalmente con un certificado digital expedido previamente por una administración pública.
¿Qué es la identidad digital?
Prosiguiendo con la definición del apartado anterior, podemos afirmar que la identidad digital es una representación digital de un conjunto de atributos que uno mismo asigna la propia identidad o le son asignados por terceros.
Estos atributos contienen información sobre el sujeto, como, por ejemplo, el color de sus ojos o su lugar de nacimiento, y suelen estar descritos en formatos que permiten ser leídos y validados tanto por dispositivos electrónicos como por personas. Cuanto mayor sea el número de atributos, más exhaustiva será nuestra caracterización.
Un DNI electrónico, un perfil en las redes sociales o una llave pública criptográfica son ejemplos de identidades digitales que comportan diferentes niveles de validez y seguridad.
La mayoría de los sistemas de identidad usados en Internet pueden conllevar graves problemas de privacidad y ser objeto de ataques.
Por ello, a medida que nuestra interacción con el mundo se desplaza al mundo digital, es cada vez más importante disponer de una capa de identidad segura y en la que la persona usuaria sea la propietaria de su identidad (user-centric identity).
Dos modelos de identidad digital
Existen dos grandes modelos de identidad digital que han ido evolucionando al largo de la historia de Internet y que siguen conviviendo: el modelo centralizado (o basado en silos) y el centrado en la persona usuaria (en el que encontramos la self-sovereign identity, la identidad autosoberana).
El modelo de identidad digital centralizada
Es un modelo centralizado en que la persona usuaria no es propietaria de su identidad digital sino que depende de servicios de terceros y/o autoridades centrales que le facilitan dicha identidad y las condiciones de uso de la misma.
En este sentido, en esta modalidad existen dos subcategorías:
-
• La Identidad vinculada a una aplicación concreta. Como, por ejemplo, usuairo y password del banco, gestionado por la propia aplicación del banco y que no puede usarse en ningún otro sitio.
• La Identidad emitida por un proveedor de identidades. En este modelo se agrupan los sistemas de identidad centralizada desarrollados por los Estados o los sistemas de identidad de plataformas como Facebook, Google o Twitter. Como usuario y password de Google, “idCAT Mòbil” o Cl@ve. Pueden ser usados por aquellos proveedores de servicios que estén integrados.
A pesar de ser el modelo implantado en todo el mundo de forma mayoritaria, este modelo conlleva peligros de seguridad y confianza, ya que la persona usuaria no está en control de su identidad y depende de terceros que la pueden manipular o eliminar en cualquier momento. La persona usuaria cede una parte de sus datos a silos de información que pueden usarlos de forma engañosa. La información sobre los atributos de la persona usuaria es gestionada por lo que se conoce como “terceros de confianza”, y además supone un único punto de blanco delante de posibles ataques.
Por lo general, este diseño centralizado es inseguro, como ya han ejemplificado los recurrentes fallos de seguridad de plataformas online, dejando expuestos datos privados de millones de personas, o el uso fraudulento de esos datos por las mismas plataformas, que puede incluso llegar a suponer un ataque a la democracia, como se reveló con el caso de Cambridge Analytica y sus lazos con Facebook.
El acuerdo alcanzado no se distancia realmente de este modelo a pesar de cómo se presenta.
Desde hace tiempo varias iniciativas y estándares que intentan posibilitar la compatibilidad entre identidades digitales (SAML, oAuth, OpenID….). El eIdAS y el acuerdo son parte del marco legal a nivel europeo que pretende regular la confianza en algunos de dichos sistemas por parte de las administraciones públicas (eIdAS). Estas experiencias, de federación de identidades se basan principalmente en facilitar la interoperabilidad y, en la práctica, llevan a un modelo similar al centralizado, en el que Las personas usuarias delegan su identidad a terceros.
Hoy en día es prácticamente inevitable tener que disponer de una identidad digital, que, como comentado, conlleva una pérdida de control sobre qué información o atributos se comparten y con quién. Podemos decir que la identidad digital centralizada no es soberana por este motivo.
Los problemas de este tipo de identificación se hacen más evidentes cuando además se abre el camino a tecnologías invasivas como por ejemplo el reconocimiento facial y/o biométrico, debido a las dificultades que comporta garantizar el derecho a la privacidad de los datos, en particular datos tanto sensibles e inmodificables como son los datos biométricos, en particular las de los rostros o similares, además de la preocupación alrededor de los sesgos algorítmicos.
El modelo de identidad digital autosoberana
El planteamiento que este modelo propone puede tener diferentes grados de descentralización, pero su característica común es el hecho de estar centrados en el usuario, es decir que este es libre de elegir cómo compartir su identidad, con quién y por cuánto tiempo.
Definimos identidad digital soberana como un recurso digital único e intransferible que controla un individuo y lo representa en el mundo digital. Para que sea soberana, el individuo representado por esta identidad debe disponer de total soberanía y control sobre ella. Es un modelo de identidad en proceso de definición, pero ya existen diferentes organismos internacionales que están desarrollando directrices y estándares abiertos, como por ejemplo el World Wide Web Consortium.
En contraposición a los modelos centralizados, la identidad digital pasa a ser autosoberana cuando se cumplen ciertos principios, expuestos por primera vez por Christopher Allen (2016), como la transparencia de los sistemas y algoritmos que se utilicen que deben ser descentralizados y basados en código libre, de forma que se pueda ver y comprobar cómo funcionan, si son robustos y seguros; la portabilidad para que la persona usuaria pueda cambiar de software, jurisdicción o sistema y llevarse toda su información con ella; minimización, por ejemplo, si alguien pregunta a un usuario si es mayor de edad, no es necesario que este muestre su edad de nacimiento, sino que debería poder verificar que es mayor de edad sin hacerla pública. Esto requiere el uso de técnicas criptográficas que se describirán a continuación.
La identidad digital soberana se caracteriza también por poder identificar indistintamente personas, grupos o cosas. De esta manera una persona, una Universidad o un barco de mercancías pueden tener su propia identidad digital.
Dónde se guarda la información (o verifiable credentials)
Toda esta información se guarda en una billetera. Estos wallets son un software específico en formato digital (e.g. aplicación móvil o extensión de navegador) o físico (e.g. tarjetas con chips electrónicos) que permiten guardar y usar los verifiable credentials.
En definitiva, los verifiable credentials son documentos que permiten demostrar cierta información y se caracterizan por:
-
• Disponer de llaves criptográficas que permiten comprobar quien los ha creado y firmado
• No poder ser clonados y difícilmente se pueden falsificar
• No poder usarse para identificarse a menos que se cuente también con los métodos de identificación personal (como PINs o private keys)
• Poder ser revocados por el creador (mantiene la credencial pero ya no es verificable)
• La persona usuaria puede eliminarlo de su wallet
• Poder delegar su uso a terceros de forma verificada
• Permitir minimizar la exposición de datos gracias a las zero-knowledge proofs o pruebas de conocimiento cero.
Las pruebas de conocimiento cero
En los modelos de identidad digital soberana se utilizan pruebas criptográficas de conocimiento cero (zero-knowledge proofs) para garantizar la privacidad y minimizar la exposición de datos.
Estas permiten decidir exactamente qué información compartir. Por ejemplo, para demostrar la mayoría de edad sin revelar la edad o fecha de nacimiento.
Últimos posts sobre:
Derechos digitales, datos, IA y neutralidad de la Red
- Enmiendas de Xnet al Proyecto de RD Ley sobre licencias colectivas de propriedad intelectual para IA
- Reclamamos soberanía digital para las personas: nace la coalición
- (En) REPORT – Electoral Integrity and Political Microtargeting: Monitoring European elections 2024 in Spain
- ¿Debemos actualizar las licencias de Software Libre y de Código abierto?
- Organizamos la Conferencia Europea 4D – Digitalización Democrática y Derechos Digitales