A medida que la actividad digital se ha incrementado en los últimos años, también lo ha hecho el cuidado con la protección de los datos de carácter personal. Legislaciones como la europea, con el RGPD, se han endurecido, precisamente para ofrecer mayores garantías de protección a las personas. Ante este escenario surge un nuevo tipo de innovación, bautizada como tecnologías de mejora de la privacidad (privacy-enhancing technologies, PET).

Compartir sin compartir. Esa es una de las grandes innovaciones que llegan de la mano de la encriptación y de las PET

A través de diferentes enfoques computacionales y matemáticos, las PET persiguen extraer el valor de los datos, ya sea con fines científicos, comerciales o de marketing, pero sin poner en riesgo ni la privacidad ni la seguridad de la información, empleando para ello criptografía y técnicas de enmascaramiento de datos confidenciales.

El objetivo es minimizar la exposición de datos confidenciales y maximizar la seguridad, sin que por ello mengüen las posibilidades de uso y análisis. Esto puede marcar un punto de inflexión en sectores como el financiero o el sanitario, así como en nuestra relación con la Administración Pública.

La tarea no es sencilla. Existen diferentes aproximaciones a la cuestión. Aleksandar Nikov, responsable de Innovación de Netcetera, explica que “se trata de un conjunto de diferentes tecnologías, muy distintas entre sí, que abordan esta problemática”. En su opinión, “prácticamente todo se está desarrollando ahora, incluso el acrónimo PET es de reciente creación”.

Proteger los datos confidenciales

Sin embargo, el experto llama la atención sobre dos tecnologías que sí están lo suficientemente maduras en el mercado. En primer lugar, “la encriptación estándar propiamente dicha, mediante la cual no es necesario que los datos se encuentren almacenados en ningún sitio: basta con un token o una mínima representación de los datos”.

En segundo lugar destaca el aprendizaje federado (federated learning, FL). En esencia, se trata de una técnica de aprendizaje automático mediante la cual diferentes dispositivos o sistemas aprenden colaborativamente un modelo de predicción compartido. De hecho, ni siquiera es preciso que los datos salgan de la organización o del dispositivo en el que se encuentran. Esta técnica es de utilidad en casos de uso relacionados con el big data y la IoT.

Las tecnologías de FL ya están siendo exploradas por algunas compañías para, por ejemplo, entrenar a sus asistentes virtuales, que se alimentan de datos almacenados en múltiples dispositivos sin acceder a información privada y sin necesidad de extraer los datos.

Seguridad y rendimiento

Por otro lado, el cifrado homomórfico (Homomorphic Encryption, HE) es una PET que, si bien está destacando, no alcanza la madurez de las anteriores. Esta tecnología permite realizar cálculos sobre los datos cifrados sin necesidad de desencriptarlos, obteniendo los mismos resultados.

Si el cifrado es una suerte de bóveda que protege los datos personales, toda la operación se realiza bajo esa bóveda evitando que se vean comprometidos. De esta manera, es posible efectuar todo tipo de análisis sin que peligren su anonimato o su privacidad.

“En Netcetera llevamos tiempo sondeando las posibilidades de HE y, de hecho, es una de las líneas de innovación que exploramos con nuestro socio Giesecke+Devrient (G+D)”, apunta Nikov. Sin embargo, el experto se muestra cauto a la hora de abrirse por completo a su aplicación: “Ya existen algunas implementaciones de HE, pero han visto que las operaciones que se realizan con los datos encriptados son un millón de veces más lentas”. Infravalorar los aspectos funcionales puede dar al traste con su aplicación práctica por un problema de rendimiento.

El responsable de Innovación hace un llamamiento a “no tener prisa e ir construyendo los casos de uso poco a poco”. De esta manera, algunas de las PET que se encuentran ahora en fase de experimentación podrían ofrecer unos niveles aceptables de madurez en el plazo de dos o tres años, según Nikov. “Hay muchas compañías, muchas de ellas startups, trabajando en ello, en el desarrollo de las librerías, algunas de ellas, incluso, soportadas ya por Microsoft o Google”, precisa.

Este es el caso, por ejemplo, de la computación segura entre múltiples partes (Secure Multi-party Computation, SMPC), mediante la cual varios actores colaboran en el proceso con los datos cifrados. Esta tecnología ya se está aplicando en soluciones como Tensor Flow: la biblioteca de código abierto para la computación numérica y el machine learning desarrollada por Google.

Divisas digitales

La alianza de Netcetera con G+D busca sacar el máximo partido a sus sinergias. Como apunta Kurt Schmid, responsable de Marketing e Innovación en Pagos Digitales Seguros de Netcetera, “G+D es una empresa de reconocido prestigio en el segmento de los sistemas de pago, en la que confían muchas instituciones financieras y empresas centradas en la seguridad en todo el mundo. Aprovechamos su probada experiencia con origen en el mundo físico para unirla al nivel digital, que es donde opera Netcetera como empresa de software”.

El valor que surge de la alianza se traslada, por ejemplo, a la conversión de los wallets en superwallets digitales, como los denominan ambos socios, que brinda la oportunidad a las entidades financieras de prestar servicios personalizados sin utilizar información personal.

En esta misma línea, Schmid también ve en las divisas digitales —donde G+D cuenta con proyectos piloto en varios países— otro de los casos de uso que hará clave utilizar las PET. Según explica, “las monedas digitales de los bancos centrales (CBDC) están concebidas para ser una forma digital de efectivo y para complementar los métodos de pago existentes. Para evitar que los depósitos bancarios se cambien a CBDC en grandes cantidades, los bancos centrales están discutiendo límites potenciales para las tenencias en CBDC, por ejemplo, un máximo de 3000 euros digitales”.

El aprendizaje federado permite que diferentes dispositivos o sistemas aprendan un modelo de predicción compartido

En este punto puede surgir un problema que las PET pueden solucionar, pues al tiempo que uno ha de ser capaz de realizar una transacción anónima, la legislación exige garantizar que solo exista un wallet por persona, pero sin identificarla. “En el futuro esta va a ser una de las aplicaciones más intensivas de este tipo de tecnologías”, presupone Schmid.

Según Nikov, “la capacidad de identificar, autentificar a las personas para autorizarlas a realizar determinadas acciones, pero sin conocer realmente su identidad, será otro de los casos de uso más habituales”. Quizás sea la Unión Europea la que lidere este desarrollo ya que, como precisa Schmid “en EEUU hay mucha menos preocupación por la privacidad que en Europa. Hay una gran diferencia en el modo en que se tratan los datos personales en uno y otro lugar y esto podría ser una oportunidad para que Europa se focalice en el desarrollo de estas tecnologías”.

Las compañías ya cuentan con la sensibilidad para ello, “conocen los problemas y la regulación, pero no la solución; ahí es donde entramos nosotros”, indica Nikov, que se muestra muy optimista ante lo que está por venir, ese “compartir sin compartir” que llega de la mano de la encriptación y las PET.