Muchas veces no somos conscientes del volumen de información que hay en la Red sobre nosotros. La identidad digital es un concepto utilizado para definir nuestro yo en el mundo digital a través de un conjunto de datos. En este escenario, el modelo de identidad soberana (SSI o self-sovereing identity) pretende solucionar los problemas de confianza que existen en el manejo de los datos privados que actualmente existen en el mundo digital.

Es habitual que nos demos de alta en portales o aplicaciones donde se nos solicitan datos personales que, en ocasiones, parecen excesivos o innecesarios para el servicio en el que estamos interesados. No sabemos dónde acaban y tampoco cómo son gestionados. Además, quedamos totalmente supeditados al proveedor que registra la identidad, que puede revocarla en cualquier momento sin nuestro consentimiento.

En paralelo, desafortunadamente, se producen de forma esporádica importantes robos de datos en empresas de primera línea. Esto ha acrecentado la incertidumbre y las dudas sobre a quién se ceden estos datos, cómo se están protegiendo y, sobre todo, qué control tenemos sobre ellos en un mundo cada vez más digitalizado.

Ya existen casos reales basados en blockchain donde se está comenzando a implantar el modelo SSI

La self-sovereign identity (SSI) o identidad soberana pretende dar solución a estos problemas. Este modelo se centra en el usuario y su objetivo final es que este tenga el control sobre su identidad, a diferencia de los modelos actuales (centralizados y federados), donde un único gestor o grupo controla nuestros datos y en el que debemos confiar totalmente.

El término SSI fue acuñado por Christopher Allen en 2016 en su artículo The Path to Self-Sovereign Identity, en el que, además, incluyó las diez propiedades que a su juicio debía cumplir una SSI. Estos principios se han tomado como base para el desarrollo y estandarización de la identidad soberana, que tiene aplicaciones en muchos campos, como banca, educación, seguridad, sanidad, ONG, KYC o fintech.

Casos reales

Ya existen algunos casos reales basados en blockchain donde se está comenzando a implantar este modelo. En la Columbia Británica se ha puesto en marcha un directorio llamado OrgBook BC en el que se puede buscar información acerca de entidades legales que operan en la región. Además, los servicios gubernamentales podrán emitir permisos y licencias a través de esta plataforma distribuida y descentralizada.

De este modo, organizaciones, Gobiernos e individuos crean una red de confianza donde se pueden obtener, emitir y verificar credenciales. Aunque está aún en sus primeras etapas, el objetivo final de este proyecto es crear un ecosistema donde todo tipo de entidades y ciudadanos puedan interactuar con el Gobierno, y también entre ellos, de forma directa y segura.

Organizaciones, Gobiernos e individuos crean una red de confianza donde se pueden obtener, emitir y verificar credenciales

Otro caso es el de la ciudad suiza de Zug, donde se lanzó un servicio de identidad soberana —Zug eID— utilizando el protocolo uPort. Desde entonces, los ciudadanos pueden utilizar servicios relacionados, como, por ejemplo, la votación electrónica o la solicitud de certificados de residencia.

Otro ejemplo, el año pasado se lanzó un servicio llamado AirBie mediante el cual los ciudadanos pueden alquilar bicicletas eléctricas. Cuando alguien que ha obtenido previamente una identidad certificada por el Ayuntamiento desea acceder al servicio, lo hace a través de una aplicación donde puede acreditar quién es, así no es necesario registrarse en la aplicación ni proporcionar ningún dato adicional.

Identidad soberana y blockchain

Distintas organizaciones, como W3C o Sovrin Foundation, están trabajando en diferentes aspectos de la identidad soberana, generando una pila de protocolos (la mayoría en su fase inicial o de discusión) que han sido publicados de forma abierta. El nivel más alto de los estándares que se están definiendo corresponde a las verifiable credentials (conocidas anteriormente como verifiable claims); mediante las que se intenta detallar cómo se deberían definir, intercambiar y verificar credenciales en el mundo virtual.

En un ecosistema típico tendríamos los actores y el flujo de información que se muestran en la Figura 1. Habría un emisor (issuer) de unas credenciales, que las envía hacia una entidad o persona (holder), que podría usarlas para algún servicio (verifier), que debería comprobar su autenticidad. Un intermediario (verificable data registry) se encargaría de dar soporte en la verificación de estas credenciales, revocaciones, claves públicas, etc.

Figura 1. Modelo de datos 1.0 de W3C para credenciales verificables: roles y flujo de información.

Hasta ahora, esto recaía en las PKI y CA, un modelo centralizado que queremos evitar. Aquí es donde entra en juego blockchain, que ofrece un lugar donde registrar esta intermediación de forma distribuida, criptográficamente segura e inmutable. Pasando de un modelo centralizado PKI a uno distribuido decentralized PKI (DPKI).

Con esta idea en mente, W3C inició un grupo de trabajo con el que definir un protocolo que sirviera de base a las verifiable credentials, creando decentralized identifier (DID): un protocolo para definir identificadores únicos a nivel global, criptográficamente verificables, que pueden trabajar en cualquier blockchain y que son controlados de forma exclusiva por sus propietarios.

Cuando se registra un DID en la red blockchain, se hace conjuntamente con un objeto llamado DID document, que contiene la clave pública del propietario del DID, ciertas credenciales que se deseen compartir y una serie de endpoints con los que interactuar. El propietario puede controlar el DID mediante la clave privada, y en las credenciales compartidas puede hacer uso de métodos criptográficos —como zero-knowledge proof— para compartir solo la información que desea.

De esta forma, los DID y la blockchain permiten que haya una identidad soberana real. La idea es que un usuario pueda tener miles de DID, cada una de ellas sería un canal privado con otra persona, organización o ente. Siempre bajo su control y sin necesidad de una autoridad central para poder registrar las DID en la blockchain.

Hasta aquí hemos visto cómo podemos compartir ciertos atributos con quien deseemos de forma segura y controlada. Pero, al compartir una credencial, es muy importante el modo de garantizar que somos los auténticos propietarios. Actualmente se está trabajando en un estándar llamado DID Auth, un protocolo de autenticación de tipo desafío-respuesta que permite dar respuesta a este desafío mediante la clave privada del propietario de la identidad.

La identidad soberana está aún dando sus primeros pasos, pero su impacto puede alcanzar a todos los sectores de la industria.

Aplicación a futuro

La identidad soberana está aún dando sus primeros pasos, definiendo los estándares abiertos con los que trabajar y creando las redes donde se podrán utilizar. De momento, el número de proyectos que se están llevando a cabo no es muy elevado, sin embargo, los casos de uso donde pueden aplicarse son innumerables y su impacto puede alcanzar a todos los sectores de la industria.

Son los usuarios los que se verán más beneficiados por la implantación de este modelo, ya que les permitirá gestionar sus datos de una forma más segura y transparente. En un mundo cada vez más digital, y donde la privacidad se ve amenazada constantemente, la identidad soberana puede representar un papel determinante para ayudar a resolver este problema.