Comencemos con algunos conceptos 📝
SSI significa en inglés “Self Sovereign Identity” lo que podríamos traducir por Identidad autogestionada, un modelo de identidad en la que el usuario tiene el control total de su identidad digital. El usuario, es decir nosotros mismos, guardaremos los documentos de nuestra identidad digital, controlaremos con quien los compartimos y también tendremos la capacidad de revocar el uso de esa información, todo esto con un historial de nuestra actividad.
El núcleo central de la identidad digital son tus documentos: desde el DNI o el pasaporte a tus títulos académicos, el número de teléfono, tu número de cuenta o tus informes médicos. Cualquier cosa que esté intrínsecamente ligada a ti es un dato tuyo y por tanto tu identidad. Cuando hablamos de SSI a esto se le llaman Credenciales Verificables (VC por sus siglas en inglés).
La idea básica es que el usuario es el centro de su identidad y la controla, nunca más habrá información distribuida sobre la que no tienes el control.
«Cualquier cosa que esté intrínsecamente ligada a ti es un dato tuyo y por tanto tu identidad. Cuando hablamos de SSI a esto se le llaman Credenciales Verificables (VC por sus siglas en inglés).»
El Wallet 💳
Dichas VC tienen que ser almacenadas en algún sitio. Ese sitio es tu wallet (o billetera si prefieres la traducción), un wallet digital. Hoy en día estamos acostumbrados a tener un wallet digital en el móvil, uno en el que guardamos las tarjetas de crédito, de descuento, de fidelidad. Las VC podrían acabar ahí pero a los wallet integrados en los móviles les faltan algunas funciones cruciales, generalmente relacionadas con seguridad y auditoría.
Así que se necesita una nueva generación de wallets para gestionar la identidad digital. Ya hay algunos en el mercado y tengamos en cuenta que aunque parece que el más propicio sería uno en el móvil podríamos tener otros, como por ejemplo en la nube.
Las operaciones básicas de un wallet son recibir credenciales de un Emisor, almacenarlas y presentarlas a un proveedor para acceder a algún tipo de servicio.
Seguridad y Privacidad ⚔️
Por debajo de todo esto hay algunos requisitos del diseño. Obviamente es necesario comprobar que el emisor de una Credencial Verificable es válido y que la VC no ha sido falsificada. Esto se puede hacer usando una base de datos, los SmartContracts de una red Blockchain o cualquier otro sistema siempre que cubra las necesidades y garantice seguridad y fidelidad. Lo más demandado a día de hoy es el uso de soluciones Blockchain.
👉 Cómo funciona Blockchain (versión dummies)
El otro gran pilar de la SSI es la privacidad, por eso las VCs siempre se transmiten punto a punto. Esto es: de principio a fin. El emisor la entrega directamente al usuario y es el usuario quien directamente la comparte con el proveedor del servicio, sin usar nunca un sistema centralizado.
Late Binding vs Early Binding
Aunque sepamos que las VCs son ahora parte de nuestra identidad, hay una pregunta subyacente: ¿Cómo puede garantizar un wallet que somos quien aparece en los documentos? Es una pregunta con trampa porque las soluciones SSI más estrictas no la responden. Se te dan las credenciales en base a la identificación que has hecho en otros sistemas, probando así tu identidad.
👀 Veámoslo con un ejemplo: creo un wallet vacío, me conecto al banco con mis credenciales usando usr/pwd habitual (p.e. DNI+password). Esto puedo hacerlo porque previamente cuando me hice cliente un empleado del banco confirmó mi identidad y me dieron de alta con unas credenciales de acceso.
Después usaré ese acceso para pedirle al banco una credencial de titularidad de cuenta bancaria. Así que mi wallet tiene sus datos internos + una VC que dice que soy titular de una cuenta. Puedo hacerlo con otros proveedores.
El punto pendiente es: ¿Alguna vez tendré una VC en mi wallet que lo vincule a mi DNI convirtiéndolo en una identidad legal? Esto sólo puede ocurrir si alguna agencia oficial comprueba mi identidad y me da la credencial adecuada. A esto se le conoce como “late binding” porque la identidad se va recolectando después de la creación del wallet.
La alternativa es lo que se llama “Early Binding”. Justo después de la creación del wallet y antes de usarlo una agencia gubernamental comprueba la identidad y se asocia al wallet contigo. Este es el modelo propuesto por el wallet de la Identidad Digital Europea.
Ambas opciones tienen sus beneficios y desventajas, el usuario debería ser quien decidiera que quiere basado en los requisitos y beneficios asociados.
Uniendo todas estas funciones tenemos la semilla de la identidad digital SSI. Cuando llegue al mercado los proveedores y, por supuesto, los usuarios pueden beneficiarse de estas capacidades y trabajar por la SSI y la muy relacionada Web 3.0
Bonus: Como lectura extra podéis echarle un ojo a este post que habla de algunos detalles de la aplicación miDGT y de su “intento” de ser una identidad digital.
Juan Tavira
Universia
Especialista, arquitecto y friki multidisciplinar apasionado de todas las innovaciones. Esto es fácil de decir por uno mismo, pero cuando lo dicen mis compañeros informáticos, mis amigos geeks de los juegos e incluso mi mujer, algo de verdad tendrá ;-). Me gusta construir violines como hobby. En ocasiones veo código.
