Es fácil argumentar que Internet y las tecnologías de la información son la cuna de la mayoría de las innovaciones tecnológicas del siglo XXI. La medicina, la física, el transporte, la energía: todos estos campos han experimentado grandes avances comparable a las tecnologías de información en el último siglo pero… ¿Estamos asumiendo la responsabilidad de la famosa frase “Un gran poder conlleva una gran responsabilidad”?
En los 90 Internet era aquello a lo que accedías con un modem y, quizá, un navegador web, se usaba para ver los recursos que otros publicaban, lo que ahora llamamos la web 1.0
No hacía falta un usuario y contraseña para casi anda, había muy como comercio electrónico de hecho las web de las tiendas eran sólo una ventana abierta al negocio, pero los pedidos aunque se enviasen por la web (generalmente email) se procesaban manualmente. Luego llegó la era de los servicios de internet y “regístrese” estaba por todos sitios, había que recordar cantidad de usuarios de login diferentes y sus contraseñas (y no reutilizarlas, claro) una por cada servicio al que se quería acceder.
El boom de las plataformas de Identidad Digital
Yahoo, Google, Facebook, Apple, Microsoft… son tan grandes que se convirtieron en los proveedores de Identidad para todos.
Tomemos, por ejemplo “Login con Facebook”. Fue noticia en octubre de 2021 por su caída y podemos leer en su documentación que el precio del servicio son los datos del usuario. Ya no hay privacidad, a cambio el usuario tiene el beneficio de no tener que recordar otro usuario y otra contraseña. Un único identificador y contraseña que funciona para todo.
¿Qué hay de la seguridad?
La seguridad comenzó con una contraseña, luego contraseñas más largas y más complejas. A veces tan difíciles que hay que apuntarlas en un post-it.
Luego llegó la autenticación multifactor (MFA), ese extra que funcionaba con un generador de códigos de un solo uso, un mensaje de texto al teléfono o un pendrive. Las aplicaciones “authenticator” de los móviles no son más que versiones más avanzadas de lo mismo, esto complementa a tu usuario y contraseña.
Apple, Google y Microsoft tienen algo que decir
Porque los tres son algunos de los que están promoviendo el estándar de login sin contraseña, creado por la alianza FIDO y el consorcio W3C. Esencialmente están extendiendo la misma funcionalidad de desbloquear un móvil a la web. No es una mala idea, en absoluto, aunque tendremos que ver las implicaciones de esa tecnología y si difiere –en términos de privacidad- de “Login con XXX”.
¿No hay un “Blockchain al rescate” para esto?
Claro que sí, varias soluciones para ser sinceros. Pero no las resumiríamos alegremente como “simplemente” Blockchain.
Por uso lado tenemos SIWE, Sign In With Ethereum (traducido “haz login con –tu cuenta- Ethereum). En el resumen del EIP-4361 que define SIWE (un EIP es una propuesta de mejora de Etherum) , se dice “Estandariza la autenticación off-chain para que las cuentas Ethereum puedan establecer sesiones –de login-“. Parece un poco contradictorio juntar “off-chain” y “Ethereum” en la misma frase ¿no?
Aquí “Ethereum” no se refiere a la red Blockchain sino a la cuenta, la clave privada que guarda el usuario, la clave pública que te identifica y el mensaje que debes firmar como prueba de posesión. Es, de hecho, una aplicación criptográfica sobre lo que podría llegar a convertirse en el nuevo estándar de “cuenta”. Y no requiere ni registro previo ni una gestión centralizada. Lo podemos llamar Proveedor de Identidad Descentralizado, tu cuenta Ethereum puede ser tu única cuenta para todo.
El estándar aún está siendo desarrollado y se puede ver aquí y aunque es un poco técnico es una lectura interesante.
Funciona de una manera relativamente sencilla: cuando se quiere acceder a un servicio la página web genera un mensaje, lo que se denomina “desafío” que debes firmar con tu wallet de Ethereum y devolverlo a la web. Si estabas registrado previamente accedes al servicio, si no el proveedor puede solicitarte la información necesaria para el registro como un número de tarjeta o una prueba de mayoría de edad.
Para completar el círculo el envío de dicha información debería hacerse en forma de Credenciales Verificables de la W3C, y aquí es donde la Identidad auto-gestionada (SSI por sus siglas en inglés: Self Sovereign Identity) entra a jugar su rol.
SSI son palabras mayores
Por supuesto, y si bien no es necesario para hacer login ayuda mucho si comenzamos a hablar de Identidad Digital.
El núcleo de la SSI es la capacidad del usuario de controlar sus datos. El usuario será su propio data-hub y el decidirá que piezas comparte, a quién, con qué propósito y, sobretodo, cuando acabará el permiso para usar esos datos.
En Europa la GDPR es muy estricta respecto a esto. Blockchain es un facilitador. Evidentemente debido a la naturaleza inmutable de las redes Blockchain los datos de usuario no se almacenarán en ella, pero el registro de acción sí, siempre que se garantice el anonimato y con garantías para las revocaciones: cuando un usuario le pide a una compañía que deje de usar sus datos.
La tecnología Blockchain también es útil para la verificación de identidad. Un dato emitido a un usuario que este comparta con un proveedor de servicios debe ser verificado. Las redes Blockchain, gracias a los SmartContracts, funcionan mejor para compartir las claves públicas que otros PKI y así se puede verificar la firma de una Credencial que por algo se llaman Verificables 😉
¿Habrá un standar de Identidad Digital Autogestionada?
Lo habrá, de nuevo, en Europa. Hay iniciativas gubernamentales como: European Blockchain Services Infrastructure (EBSI), European Self-Sovereign Identity Framework (eSSIF) y el reciente eIDAS framework (electronic IDentification, Authentication and trust Services). Este último, eIDAS 2, detalla todas las capacidades que un Wallet debería tener. Un esfuerzo tan amplio (en términos de ciudadanos que se beneficiarán de ello y de funcionalidades) y tan ambicioso que probablemente se convierta en un estándar de facto, si otros países se deciden a seguirlo.
¿Cuáles son los beneficios de utilizar SSI?
Además de los básicos de SSI (controlar tus datos) hay otros beneficios de usar un Wallet blockchain con capacidades criptográficas avanzadas. Aquí puedes ver los 3 más relevantes:
- Login: en contraposición con usuario/password + MFA o la solución de la alianza FID tenemos la posibilidad de SIWE y otros sistemas de login similares. Un Wallet (normalmente una app en un Smartphone) puede firmar una solicitud de login. Más aún, esta solicitud sería anónima y el wallet no proporcionaría ninguna información personal.
- Seguridad en la navegación: a la vez que podemos usar Smartcontractspara almacenar las claves públicas de los emisores de credenciales se pueden usar Smartcontracts similares para almacenar los certificados o claves públicas de los sitios web. Un usuario podría comprobarlo y solicitar al sitio web la firma de un mensaje de manera que pueda asegurarse que el sitio que visita es auténtico.
Este sistema de navegación segura se podría realizar usando QWACs (Qualified Web Authentication Certificates), que ha levantado polémica entre los principales fabricantes de navegadores web, liderado por Mozilla en el manifiesto que publicó. Argumentan que el sistema actual funciona y que los cambios que serían necesarios son bastante complejos. Pero puede que olviden comentar que los QWACs liberaría al mundo de las esposas que son los certificados raíz.
¿Sabes la diferencia entre Certificados y QWACs ?
- Firma de documentos: Si un desafío de login se resuelve con una firma, un usuario podría usar el mismo sistema de firma de documentos para tener la misma autenticidad que la firma manuscrita. La única restricción sería la prueba de identidad que estableciera la relación entre la identidad nacional y la identidad digital, si fuera necesario.
Cerrando el círculo con la web 3.0
Se dice que la web 3.0 es en la que el usuario posee. Una de estas aplicaciones de esta web es el Metaverso (o los diferentes Metaversos) pero también la compra-venta de NFTs (vinculado fuertemente al Metaverso), las finanzas descentralizadas o DeFi y el resto de las semillas de un futuro descentralizado. Todos ellos se beneficiarán, o mejor dicho, necesitarán la seguridad y trazabilidad de la tecnología Blockchain.
¿Recordáis esos ataques DeFi que robaron tantos millones? No se pueden evitar como no se pueden evitar los bugs en el software. Pero se pueden mitigar y se ha hecho en el pasado con listas negras en los mayores exchanges del mundo. Las criptomonedas que un atacante roba se almacenan en cuentas, puede que no sepamos quien es el dueño de las cuentas pero los exchanges pueden impedir que las criptomonedas de esas cuentas se conviertan en dinero real. O los proveedores de servicio podrían prohibir los pagos con monedas procedentes de la lista negra haciendo, de facto, el robo inútil.
Esto nos lleva de nuevo al punto en que tu cuenta de una red Blockchain podría ser tu cuenta única para todo.
Un momento ¿una cuenta de Blockchain puede ser mi única cuenta para todo?
Eso asusta un poco. ¿Qué pasa si la pierdo? ¿O si me roban el teléfono cuando está desbloqueado?
No debes preocuparte, Blockchain y sus tecnologías asociadas pueden resolverlo. Si te roban el teléfono bloquear tu cuenta es tan sencillo como coger tu frase de recuperación, usar un dispositivo diferente y bloquear la cuenta robada. Esto se puede hacer registrando la cuenta robada como “revocada” en un SmartContract.
¿Y te bloquearan o echarán de todos tus servicio? No
El bloqueo ocurre a nivel de cuenta, la que has registrado como comprometida. Lo primero que hará un proveedor al darte el servicio será comprobar la lista de revocadas. Y posteriormente se puede generar una cuenta nueva, bajo tu control, y decirle a tus proveedores que esa es tu nueva cuenta. Sin demasiados esfuerzos se puede probar que eres el dueño de ambas. Los HD Wallets (Hierarchical Deterministic Wallets) están diseñados con una criptografía fuerte que ofrece seguridad y control.
Al final todas estas tecnologías asociadas a Blockchain trabajan para ofrecer seguridad y privacidad, haciéndote la vida más sencilla. Parece que están llegando unos buenos tiempos para Blockchain.
Santander Global T&O es una compañía del Grupo Santander con más de 3.000 empleados y basada en Madrid, trabajamos para convertir al Santander en una plataforma abierta de servicios financieros.
Mira las posiciones que tenemos abiertas aquí para unirte a este equipazo y Be Tech! with Santander
Síguenos en LinkedIn y en Instagram.
Juan Tavira
Universia
Especialista, arquitecto y friki multidisciplinar apasionado de todas las innovaciones. Esto es fácil de decir por uno mismo, pero cuando lo dicen mis compañeros informáticos, mis amigos geeks de los juegos e incluso mi mujer, algo de verdad tendrá ;-). Me gusta construir violines como hobby. En ocasiones veo código.
