Este artículo también está disponible en inglés, francés y alemán.
La historia del concepto de la identidad auto soberana (Self-Sovereign Identity, SSI, por sus siglas en inglés) es relativamente corta. Al principio, la identidad descentralizada era un tema que preocupaba únicamente a profesionales muy especializados, preocupados por los problemas de privacidad relacionados con las identidades en internet.
El interés por este fenómeno creció más allá de esta comunidad, debido a las filtraciones de datos, que expusieron los datos personales de millones de personas, robados de grandes empresas como Yahoo, Equifax, eBay, Uber, entre otras. Más tarde, llegó la tecnología blockchain con su capacidad de crear sistemas resistentes al fraude y más seguros. Esto llevó al impulso de la descentralización de la identidad.
La preocupación pública por la privacidad y la seguridad alcanzó tal nivel que los gobiernos comenzaron a regular este ámbito con leyes como el Reglamento General de Protección de Datos (RGPD) en Europa o la Ley de Privacidad del Consumidor de California (CCPA).
VIDchain, el servicio de identidad descentralizado que ofrece Validated ID, se basa en los principios de la identidad autosuficiente.
Pretty Good Privacy
En 1991, el programa Pretty Good Privacy (PGP) de Phil Zimmermann fue una de las primeras implementaciones de un esquema de cifrado basado en clave pública. Este sistema, previo al uso masivo de internet, sentó las bases del concepto de modelo de confianza descentralizado que, posteriormente, sirvieron para crear el modelo de identidad auto soberana o descentralizada.
Para enviar mensajes cifrados, el PGP requería que los usuarios intercambiasen claves criptográficas antes de comunicarse. En el PGP, este intercambio de claves se realiza a través de una red de confianza: cada usuario distribuye su clave pública a sus amigos y asociados, que, a su vez, distribuyen sus propias claves públicas a sus amigos y asociados y así sucesivamente.
Este proceso eliminaba la necesidad de un tercero para el intercambio de la información. Este proceso construye gradualmente una red de confianza que puede utilizarse para distribuir claves de forma segura. Cuantas más personas firmen la clave de una persona, mayor será la probabilidad de que la clave sea segura. Este concepto es el de Web Of Trust (red de confianza). El PGP llegó a alcanzar tal nivel de popularidad que incluso se celebraban fiestas con el objetivo de conocer gente e intercambiar claves.
Las siete leyes de la identidad
El origen del concepto de identidad auto soberana comenzó con Las siete leyes de identidad, escritas en 2005 por Kim Cameron, entonces arquitecto de sistemas en Microsoft. La teoría de las leyes de identidad describe cómo debe ser un modelo de identidad moderno, flexible y seguro. Para Cameron, este modelo de identidad sólo debe revelar información sobre un usuario con su consentimiento. Además, se debe mostrar la mínima información posible que sea necesaria. Por ejemplo, si un usuario debe demostrar que es mayor de edad, deberá poder mostrar únicamente el año de su nacimiento.
En este modelo, se generarán identificadores omnidireccionales para entidades públicas (como Google.com) y unidireccionales para las entidades privadas (como una persona), para poder preservar la privacidad.
Para que el sistema sea universal, deberá permitir la interacción de múltiples tecnologías y múltiples proveedores de identidad. Además, deberá estar diseñado para mejorar la experiencia de uso de las personas y no de la tecnología o de los sistemas.
A finales de los 2000, hubo varias iniciativas para crear un modelo de identidad en internet. La más relevante fue OpenID, que conocemos como los modelos de "Login with Facebook y Google" que tenemos hoy. Estos modelos tienen varios fallos: por un lado, la falta de privacidad y, por otro, la falta de verificación de la identidad que afectan tanto a los usuarios como a las empresas. Al mismo tiempo, contamos con un modelo europeo oficial de identidad basado en eIDAS (la Ley de identidad electrónica de la Unión Europea). Al contrario del modelo anterior, este modelo cuenta con una identidad fuerte, pero con un uso prácticamente residual por parte de la mayoría de los ciudadanos debido a la gran complejidad de uso.
Los principios de la identidad auto soberana
El concepto de la identidad auto soberana o descentralizada surge de la explosión de la tecnología Blockchain, que generó un fuerte impacto en el sector de la identidad digital. El término Self-Sovereign Identity fue acuñado por Cristopher Allen, en 2016, en su artículo El camino hacia la identidad auto soberana. En este artículo, Cristopher Allen explica los principios que deben guiar a toda identidad auto soberana.
Para Allen, es necesario comprender que la identidad de una persona, inevitablemente, nunca podrá existir como tal en formato digital. La identidad auto soberana simplemente hace públicos y accesibles algunos aspectos de la persona. En este modelo, el usuario debe poder controlar su identidad. Siempre deberá poder consultarla, actualizarla o, incluso, esconderla.
El usuario debe poder acceder siempre a sus propios datos, no puede haber datos ocultos o inaccesibles de su propia identidad. Por otro lado, sólo debe tener acceso a su propia identidad y no a las de los demás. Las identidades deberían durar para siempre o, como mínimo, hasta cuando el usuario quiera. Esto no puede contradecir el “derecho al olvido”: el usuario debe poder eliminar una identidad si así lo desea.
La información y los servicios relacionados con la identidad deben ser fácilmente portables para garantizar que la identidad de un usuario sea transferida y almacenada en múltiples lugares, según desee. La información deberá estar disponible en todo el mundo, sin que el usuario pierda el control de su identidad. El usuario debe consentir el uso de su identidad. Aunque otros usuarios, como la empresa en la que trabaja, el seguro médico o un amigo pueden presentar datos, el usuario siempre tiene que dar el consentimiento para que estos datos sean válidos.
Cuando se comparten datos de un usuario, la divulgación de la información debe incluir la menor cantidad posible de información para poder llevar a cabo la transacción. Los derechos de los usuarios deben ser respetados. Cuando haya un conflicto entre las necesidades de la red de identidad y los derechos de los usuarios, la red debe errar en favor de preservar las libertades y derechos de las personas. Los algoritmos y los sistemas deben ser transparentes y abiertos.
Rebooting Web Of Trust: la primera iniciativa para organizar a la industria
Cristopher Allen organizó los eventos RWOT (Rebooting Web Of Trust) para crear un nuevo sistema de identidad basado en el concepto de una red de confianza descentralizada. El RWOT es una conferencia que se realiza cada seis meses, donde profesionales de perfiles muy variados tratan temas de la identidad.
De las conversaciones que tienen lugar en este foro, se elaboran a posteriori white papers que han sido claves para el impulso del sector. Por ejemplo, el primer paper que resultó de primer evento, celebrado en noviembre de 2015, se tituló “Rebranding the Web of Trust”, que redefinió el término y creó un nuevo modelo para los elementos de confianza con una definición más moderna. Se puede acceder a la lista de todos los whitepapers publicados en este enlace.
DIF: el gran think-tank del mundo SSI
Además del RWOT, el IIW (Identity Internet Workshop) era el principal foro de la industria de la identidad. El primer taller se celebró en octubre de 2005, con el objetivo de contar con un foro en el que se pudieran tratar los temas de arquitectura, gobernanza, etc. para los servicios de identidad en internet y sus filosofías subyacentes. Como resultado de estos eventos, surgió la necesidad de organizar a los distintos pensadores de la industria sobre temas de SSI. Así pues, tanto el RWOT como el IIW sirvieron de base para crear el DIF (Decentralized Identity Foundation) en 2017, el think tank más relevante en el mundo del SSI. En él participan centenares de empresas como Microsoft, Hyperledger, Accenture, Sovrin, entre otras. DIF ha liderado los esfuerzos en estandarización en el sector.
INATBA: la asociación europea para temas de blockchain
En 2019, la Unión Europea impulsa la creación de la alianza internacional blockchain INATBA (International Association of Trusted Blockchain Applications), con el objetivo de promover el uso de la tecnología blockchain. Cuenta con más de un centenar de miembros, como Accenture, Everis, Fujitsu, IBM, Deutsche Telekom, Telefónica, BBVA, IOTA, Ripple, Sovrin, ConsenSys o Validated ID. Cuentan con un grupo de trabajo específico que trata lo relacionado con el sector de la identidad. Cabe destacar el whitepaper “Decentralised Identity: What’s at Stake?, publicado en noviembre de 2020, así como la respuesta a la consulta pública sobre el borrador del reglamento eIDAS 2, en la que se proponen varias mejoras.
Sovrin: la primera gran red SSI
En paralelo a las labores de definición de conceptos, protocolo y estándares internacionales, surgen varias iniciativas y proyectos alrededor de la identidad descentralizada. La red de Sovrin es una red distribuida, pública y con permisos, construida específicamente para la identidad. Sovrin fue la primera gran red de identidad descentralizada y que ha tenido mucha influencia en el modelo actual. En España, el único nodo de Sovrin lo aloja Validated ID. En 2020, como resultado de la colaboración entre empresas en los foros internacionales, surge Trust Over IP (ToIP). La idea se gestó durante 2019, como una confluencia de múltiples esfuerzos en los espacios de identidad digital, credenciales verificables, tecnología blockchain y comunicaciones seguras por parte de personas que vieron la necesidad de converger y crear una arquitectura interoperable para la confianza digital descentralizada. Más de 300 organizaciones e individuos miembros forman parte de la Fundación ToIP, como Accenture, Avast, British Columbia, IBM, MasterCard, entre otros.
Alastria: la gran iniciativa nacional
En España, Alastria es la principal red en el sector de la identidad descentralizada. Fundada en 2017, se presentó como “la primera red nacional regulada basada en blockchain en el mundo”. Respaldada por grandes entidades españolas como BBVA, Banco Santander, Iberdrola, Repsol, entre muchas otras, nace con el objetivo de acelerar la creación de ecosistemas digitales poniendo a disposición una plataforma colaborativa común. Esta iniciativa trata más allá del ámbito de la identidad, aunque con foco importante en la misma. Basada en la tecnología Ethereum, es la primera iniciativa que le da un foco específico al tema legal.
Europa y el eIDAS Bridge
Todos los actores mencionados, excepto tal vez Alastria, están muy alejados del mundo regulatorio. A pesar de que hay muchas carteras de identidad (o wallets) en desarrollo y de que varias empresas como Validated ID esperan este cambio de paradigma, la realidad es que el marco legal está aún por madurar. Por el momento, contamos con el reglamento eIDAS, centrado sobre todo en las PKIs y los certificados tradicionales.
En junio de 2021, la Comisión Europea aprobó un nuevo borrador de este reglamento que establece que las nuevas identidades de los ciudadanos europeos estarán basadas en los principios de la identidad descentralizada y estarán respaldadas por carteras de identidad. Sin embargo, esta normativa aún debe ser aprobada y desarrollada formalmente.
Por esta razón, el proyecto eIDAS Bridge ha surgido como un paso intermedio. El proyecto eIDAS Bridge es una iniciativa de la Comisión Europea (CE) para promover eIDAS como marco de confianza para el ecosistema SSI. Más adelante, eSSIF Lab, otro proyecto financiado por la UE cuyo objetivo es proporcionar una implementación de eIDAS Bridge y probar la interoperabilidad entre diferentes implementaciones de proveedores. Los entregables técnicos del proyecto, desarrollados por Validated ID, consisten en utilizar claves vinculadas de certificados cualificados para operaciones SSI. Los entregables legales, elaborados por Nacho Alamillo, exponen las partes de la regulación actual que necesitan ser modificadas para dar cabida a este nuevo modelo de identidades, que posteriormente resuelve el eIDAS 2.0.
EBSI: el gran proyecto europeo
La Infraestructura Europea de Servicios de Blockchain (EBSI) es una iniciativa conjunta de la Comisión Europea y la European Blockchain Partnership. Nace en 2020 para aprovechar la tecnología blockchain para acelerar la creación de servicios transfronterizos para que las administraciones públicas y sus ecosistemas verifiquen la información y hagan que los servicios sean más fiables. Desde 2020, EBSI ha desplegado una red de nodos distribuidos en toda Europa, apoyando aplicaciones centradas en casos de uso seleccionados. Ha sido el proyecto de referencia en Europa en el mundo del SSI. EBSI y eIDAS 2 se han creado de manera independiente y los gestionaban grupos diferentes, aunque han evolucionado hasta confluir.
eIDAS 2.0: el horizonte final de SSI
El Reglamento eIDAS, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior, se publicó en julio de 2014. Esta iniciativa europea fue un hito clave en la regulación de la identificación en las transacciones electrónicas. Esta regulación tenía como objetivo aumentar la confianza de las transacciones electrónicas para promover el comercio online y se basaba en los certificados, sellos y la firma electrónica de documentos (servicios de confianza). El primer reglamento eIDAS es un referente mundial que sienta las bases regulatorias replicadas en los reglamentos de países de fuera de la Unión Europea. A pesar de su gran nivel de aceptación en lo referente a los servicios de confianza, casi una década más tarde, la adopción de sistemas de identificación electrónica en las administraciones públicas es aún muy baja. Por ello, en junio de 2021 se publica una nueva propuesta para modificar el Reglamento eIDAS (conocido como eIDAS 2). Este reglamento quiere que los ciudadanos europeos cuenten con una identidad digital para todo el territorio de la UE, que sirva para poder compartir la información personal en una amplia variedad de contextos, incluido el entorno privado. EIDAS 2 está basado en los conceptos de la identidad descentralizada. No deja de ser sorprendente que, con un origen en el mundo tan alternativo como el del blockchain, este modelo haya servido de base para la nueva regulación de identidad europea.
El siguiente gran hito es el Toolbox, una serie de protocolos y herramientas comunes, en la que está trabajando tanto la Comisión Europea como los estados miembros y que está previsto que su primera versión vea la luz en septiembre de este año.
