Las circunstancias sanitarias no han dejado opción y están suponiendo el último empujón hacia la transformación digital de nuestra sociedad. Se está conquistando la cima de la digitalización de procesos y los trámites presenciales han perdido la batalla. A nivel empresarial, en el ámbito de procesos business to business (b2b), este camino tan solo sigue su curso natural. Pero ¿qué sucede con las personas, los ciudadanos, los usuarios?
Una de las consecuencias directas de esta digitalización tan vertiginosa que estamos viviendo es el notable aumento en cuanto al número de formularios que hay que completar de forma manual, y también de su longitud. Esto es algo que va más allá de la experiencia de usuario. De hecho, en ese ámbito ya existen propuestas para ayudarnos con el autocompletado de la información ofrecidas por gigantes como Google o Facebook. El problema es mucho más profundo y está relacionado con la identidad digital de las personas, con nuestros datos personales.
En Europa, desde hace años se reconocen múltiples derechos relativos a la información de las personas, y se obliga a las empresas y entidades a facilitarnos su ejercicio (RGPD); pero, en la práctica, las personas no tenemos el control de qué dato hemos compartido en cada situación, con quién, con qué propósito, desde cuándo y hasta cuándo. Los canales para ejercer los derechos de supresión, cancelación u olvido existen, pero ¿cómo hacer uso de ellos si ni siquiera recordamos que en su momento entregamos cierta información? Podríamos concluir, de forma pesimista, que ahora mismo ya no somos dueños de nuestra información.
Uso de credenciales
En 2008, Satoshi Nakamoto, con su paper sobre Bitcoin, se erigió como atalaya del movimiento cyberpunk, aquel que busca el caos a través de la tecnología. En su momento, trataba de revolucionar el sistema financiero centralizado del sector bancario, y creó blockchain: la tecnología de la descentralización. Alrededor de nuestro antihéroe emergen continuamente nuevos conceptos que desafían cualquier planteamiento tradicional, entre ellos la identidad autosoberana (self-sovereign identity, SSI). La idea principal es que el sujeto en cuestión sea el que controla su información. Aunque el concepto se aplica tanto a personas físicas como jurídicas, así como a procesos o cosas, en este artículo nos centraremos en ilustrar el caso de las personas físicas.
Los canales para ejercer los derechos de supresión, cancelación u olvido existen, pero ¿cómo hacer uso de ellos?
La identidad digital de un sujeto la conforman atributos de diferente tipo (en adelante, credenciales). Actualmente estos atributos son “autoalegados”, es decir, es la propia persona la que facilita información sobre sí misma. Este tipo de atributos conllevan, en muchos casos, la necesidad de verificación por parte del receptor. Esta verificación puede ser sencilla, como el envío de un SMS a un teléfono o un enlace al correo electrónico, pero otras veces es más compleja y costosa, como, por ejemplo, el caso del onboarding digital en un proceso bancario mediante fotografía del documento de identidad y un videoselfie con prueba de vida.
Uno de los aspectos más potentes en los esquemas de identidad soberana es que las credenciales sean emitidas por las fuentes oficiales del dato, de tal manera que el receptor no requiera del proceso de verificación. Ilustremos el concepto con el ejemplo más habitual: el alquiler de un coche. En este caso existen tres actores: la empresa que alquila coches; Manuel, que es la persona que quiere alquilar; y la Dirección General de Tráfico (DGT). Si la DGT ha emitido su credencial del carné de conducir a Manuel, este puede presentarla a la empresa de alquiler para utilizar sus servicios sin la necesidad de hacer una fotografía y esperar 24 horas hasta que la validen, como ocurre actualmente.
No es factible crear un sistema centralizado que contenga toda la información de todas las personas
Subrayemos una cuestión que puede pasar desapercibida, la DGT no tiene por qué conocer que Manuel ha compartido ese dato con la empresa de alquiler de coches, es decir, la actividad del sujeto con sus credenciales debe ser totalmente privada.
Alastria ID
Si funcionalmente la idea es atractiva, tecnológicamente plantea todo un desafío porque no es factible crear un sistema centralizado que contenga toda la información de todas las personas. Garantizar este punto sería imposible sin la tecnología blockchain. Existen múltiples aproximaciones y propuestas unificadas bajo el estándar de Verifiable Credentials del World Wide Web Consortium (W3C). Entre ellas, desde España se ha trabajado en el modelo denominado Alastria ID, de forma conjunta con los más de noventa socios de Alastria Blockchain Ecosystem. Se ha analizado desde todos los prismas existentes: legal, user experience, técnico, de seguridad, etc. Además, actualmente Alastria se encuentra en conversaciones con otro gran consorcio —LACChain— para garantizar la interoperabilidad de la solución entre redes.
Por otra parte, desde el sector privado existen proyectos como Dalion, en los que, colaborativamente, las principales empresas españolas maduran y mejoran el concepto aplicado a sus propios casos de uso.
Como breve pincelada técnica, en el modelo concreto de Alastria ID la propuesta es que cada sujeto disponga de un repositorio de credenciales controlado únicamente por sí mismo, normalmente mediante una aplicación móvil denominada wallet de identidad. Las credenciales siempre deben ir firmadas por el emisor (en el caso de las autoalegadas, por el propio sujeto) lo que garantiza su integridad y no repudio.
La propuesta de Alastria ID es que cada sujeto disponga de un repositorio de credenciales controlado únicamente por sí mismo: wallet de identidad
En blockchain existen una serie de smart contracts en los que solamente se almacenan hashes de las credenciales asociadas a su status, para que los receptores puedan verificar la información tras recibir una credencial. Para cada credencial se calculan dos hashes diferentes a través de la técnica Private Multi-Sharing Hashes (PSM Hashes). Teniendo en cuenta que el emisor registra en blockchain un hash diferente al sujeto, esto permite garantizar la privacidad de la actividad del usuario, ya que ningún tercero, aunque posea un nodo, puede intuir una relación entre partes.
De esta forma, cada vez que el sujeto presenta una credencial a un proveedor de servicios se calculan dos hashes de la propia presentación, que incluye un propósito y un período de validez, junto con otra metainformación relevante de la entrega de datos. En cualquier momento, el sujeto, mediante su wallet de identidad, puede revocar el consentimiento acerca de su uso, aunque queda una evidencia inmutable y permanente en blockchain asociada a esa presentación de credenciales, que debe ser respondida por el receptor de la información.
Control y privacidad
El nivel de expectación sobre esta solución es altísimo en todos los sectores, públicos y privados, y para una amplia variedad de casos de uso, ya que permite mejorar la calidad de la información que compartimos sin perder el control y la privacidad. Esto es algo que, en tiempos de coronavirus, nos preocupa más que nunca.
¿Será la cadena de bloques la incógnita que falta en la ecuación de la gestión de los test sanitarios?