Los memes sobre Facebook han inundado la red. Ya es un clásico el «sobreviví a la caída de Facebook, WhatsApp e Instagram en 2021».
El origen de la caída ya ha sido muy bien explicado por toda la red, como en The Guardian (para el usuario de a pie) y Cloudflare (para técnicos).
El problema real no fue la ausencia de redes sociales durante unas horas, el ser humano puede superarlo. El problema real fue para los ecosistemas de aplicaciones que usaban “Continuar con Facebook” como herramienta de login.
Pero, ¿Qué es «Continuar con Facebook»?
Pues es un servicio centralizado con el que las aplicaciones, en vez de desarrollar su propio login y seguridad de usuario, usan servicios de Facebook para hacerlo. En pura teoría es bueno para esas aplicaciones porque simplifica el desarrollo, reduce la infraestructura y atrae usuarios. Pero a veces no es tan Bueno, por ejemplo, cuando se cae Facebook…
Muchos dirían que es un pequeño precio para un beneficio mayor, pero ¿es el único precio? Me la juego a que no. Facebook dice:
Use Cases
Facebook Login is used to enable the following experiences:
Account Creation
Facebook Login lets people quickly and easily create an account in your app without having to set (and likely later forget) a password. This simple and convenient experience leads to higher conversion. Once someone has created an account on one platform, they can log into your app—often with a single click—on all your other platforms. A validated email address means you’re able to reach that person to re-engage them at a later date.
Personalization
Personalized experiences are more engaging and lead to higher retention. Facebook Login lets you access information which would be complex or arduous to collect via your own registration form. Even just importing someone’s profile picture from Facebook gives them a stronger sense of connection with your app
Facebook
Es decir, ellos (Facebook) se quedan con toda la información de actividad del usuario. Este es el típico modelo de identidad de usuario centralizada: tú y mucho otros usuarios, compartís la información con Facebook y ellos la usan para alimentar su modelo de negocio.
¿Sería posible un modelo diferente?
¿Un modelo en el que las aplicaciones no necesiten desarrollar un sistema complejo de login y el usuario no tenga que compartir todos sus datos (tan sólo los mínimos necesarios) con la compañía? Es posible.
El nombre es Identidad auto-gestionada, o identidad soberana (en inglés Self Sovereing Identity o SSI). Es un modelo en el que el usuario es dueño de sus datos. Y no sólo es dueño de sus datos, sino que también es autónomo en temas como identificación (tenemos una introducción aquí o un video más técnico.
En el caso de la caída de Facebook, si las aplicaciones hubieran usado un modelo SSI, en vez de usar “Continuar con Facebook” no habrían sufrido un corte en el servicio, por que el propio usuario es que puede firmar una prueba de identidad. Entonces la aplicación puede verificar esa prueba contra una base de datos o conta una red Blockchain pública, con la ventaja de que una red Blockchain pública es casi imposible que se caiga (o casi imposible mientras no se caiga casi todo internet).
Podemos ver ambos modelos comparados:
Más allá del login el usuario además controla que datos personales se envían a la aplicación, el propósito de los mismo y, gracias a la implementación basa en Blockchain se puede revertir el acceso a los mismos. El modelo ahora está centrado en el usuario: es el usuario quien controla sus datos provenientes de diversas fuentes.
¿Cuál sería el precio a pagar por el modelo SSI?
Para el usuario: nada extra. Ni tan siquiera sus datos, sólo se comparte lo mínimo para contratar el servicio. Si el Servicio requiere una cuenta bancaria o un número de tarjeta para los cobros se enviará esa información (y no la dirección postal, por ejemplo). Y si es un Servicio para mayores de edad el usuario puede proveer una prueba de edad, usando un método ZKP (Zero Knowledge Proof) que ni tan siquiera revela la fecha de nacimiento o la edad, tan sólo que es mayor de edad.
Las compañías deben implementar un modelo SSI, pero afortunadamente muchos de ellos son OpenSource y la comunidad está ansiosa por compartir y ayudar (en España tenemos AlastriaID en Sudamérica Lacchain, Europa está definiendo EBSI y eIDAS). El software y el hardware requerido para SSI es sencillo.
Resumiendo, una buena aplicación que use un modelo SSI no se hubiera visto afectada por la caída de Facebook y, a la vez, la información del usuario se hubiera mantenido bajo su control.
Santander Global Tech es la empresa de tecnología global, parte de la división de Technology and Operations (T&O) de Santander. Con más de 2.000 empleados y basada en Madrid, trabajamos para convertir al Santander en una plataforma abierta de servicios financieros.
Mira las posiciones que tenemos abiertas aquí para unirte a este equipazo y Be Tech! with Santander ?
Síguenos en LinkedIn y en Instagram.
Juan Tavira
Universia
Specialist, architect and interdisciplinary geek passionate about all kinds of innovations. This is easy to say for oneself, but when my computing colleagues, my geek friends and even my wife say so, then it must be true somehow ;-). I also like to build violins as a hobby. I see code
