Alexandre Maravilla

Con el reciente auge de la Web3; la nueva evolución de Internet para hacerla descentralizarla a través de Blockchain, mucho se está hablando también sobre los esquemas de identidad descentralizada y su aplicación en esta nueva y aparente promesa de evolución de la red de redes. En resumen, la evolución de Internet se podría resumir en estas 3 etapas: Web 1.0; 1990-2005; protocolos abiertos (la Internet de los directorios) Web 2.0; 2005-2022; plataformas cerradas (el poder o el “gran hermano” de las Big-Tech) Web3; 2022-en adelante; Internet descentralizada (Internet más democrática y privada) Por su parte, la evolución de la Identidad ligada a la de Internet podría sintetizarse del siguiente modo: Identidad 1.0; identidad centralizada (usuario y contraseña) Identidad 2.0; identidad federada (los datos asociados a la identidad como negocio) Identidad 3.0; identidad descentralizada o auto-soberana (devolviendo el control de identidad a los usuarios a través de las wallets de identidad) Usuario y contraseña (Identidad 1.0) Nos referimos a este modelo como identidad centralizada porque cada proveedor o plataforma de servicios digitales (ecommerce, banca, telecomunicaciones, servicios de streaming, etc..) almacena la información y datos personales de todos sus usuarios de manera centralizada. Nosotros accedemos a estos servicios con nuestro usuario y contraseña (en la mayoría de los casos), creando tantas identidades distintas como sitios en Internet a los que nos registramos. Desde el punto de vista de las plataformas de servicios digitales, almacenar en bases de datos la identidad de miles o millones de personas supone un problema tanto para ellos como para sus usuarios. Estas bases de datos centralizadas son un suculento objetivo para los ciberdelincuentes, quienes intentan de manera ilegal apropiarse de la información personal almacenada en ellas. La finalidad de estos actos de ciberdelincuencia es obtener un beneficio económico al comercializar de manera ilegal la información robada. La identidad centralizada pone en riesgo la privacidad de los usuarios, la seguridad de las empresas o proveedores de servicios, y además tiene una mala experiencia en su uso. Login with Facebook (Identidad 2.0) El anterior modelo además de ser “un engorro” para los usuarios (tenemos que mantener tantas identidades como registros hagamos en Internet), supone un problema de privacidad para los usuarios, y de cumplimiento normativo en materia de protección de datos personales para las empresas o proveedores de servicios digitales. De este modo, la idea de delegar el tratamiento de la identidad de los usuarios en proveedores especializados en ello, parece tener sentido, nos referimos a ello como Identidad Federada. La mayoría de nosotros ya estamos registrados en Google o Facebook (por poner un ejemplo), ¿por qué no entonces utilizar estas identidades para acceder a otros servicios o plataformas digitales? En el modelo de federación, creamos nuestra identidad una única vez (por ejemplo, nos damos de alta en Facebook), y la utilizamos en nuestras sucesivas interacciones en Internet (por ejemplo, para acceder a Spotify). La ventaja para los usuarios es evidente por la comodidad del modelo, el problema es que le estamos dando demasiado poder a estos híper-proveedores de soluciones de identidad. En el ejemplo de Facebook, éste sabe exactamente dónde nos registramos en Internet, desde qué lugar y a qué hora, además de poder mantener un registro de la información personal nuestra, que comparte en cada momento con las terceras partes en las que nos registramos. ¿Imaginamos lo que puede hacer Facebook con toda esta información? Sin duda, ganar dinero, mucho dinero. De hecho, gracias a ello, Facebook ofrece de manera gratuita a empresas y plataformas de Internet, la posibilidad de utilizar su solución de identidad federada. La identidad federada mejora la experiencia de uso, pero sigue poniendo en riesgo la privacidad de los usuarios a través de la monetización sin control de sus datos personales. ID Wallets (Identidad 3.0) Las wallets de identidad (ID Wallets) son la parte visible y más cercana a los usuarios de los modelos de identidad descentralizada o identidad auto-soberana. Estas wallets son aplicaciones instaladas en los dispositivos móviles de los usuarios, capaces de almacenar de manera segura y privada toda su información personal. De este modo, los datos personales de los usuarios únicamente están custodiados por ellos mismos. No existe una autoridad central o híper-proveedor de identidad que controle estos datos personales. Este modelo tiene la ventaja de la identidad federada; solo creamos una única identidad (en este caso en la ID Wallet), y además soluciona la problemática relacionada con el riesgo sobre la privacidad de los datos personales de los usuarios. De este modo, el manejo de la información relacionada con la identidad vuelve a depender sus legítimos propietarios, los usuarios, previniendo de un uso no autorizado de sus datos personales. Al igual que en la Web3, la identidad descentralizada se asienta sobre la tecnología de blockchain, siendo ésta la capa tecnológica que permite validar la autenticidad de la información personal y privada que se comparte, habilitando así un ecosistema de confianza entre las partes implicadas y devolviendo el control de los datos personales y de la identidad a los usuarios. La identidad descentralizada basada en blockchain y en las ID Wallets, soluciona los problemas de privacidad y de abuso de poder que ejercen las plataformas centralizadas, manteniendo a su vez la buena experiencia de uso de los esquemas federados. Web3 e Identidad descentralizada Aventurar que el futuro de Internet pasa por la redefinición de su arquitectura hacía un modelo descentralizado, es quizás hoy por hoy (dada la complejidad de la tarea), algo todavía un tanto arriesgado. No obstante, los esquemas de identidad descentralizados sí están avanzando a buen ritmo, y podrían actuar como la punta del iceberg o la punta de lanza en la evolución de Internet hacía la web3. En ambos casos (web3 e identidad), el objetivo perseguido es el mismo; fomentar esquemas más transparentes, democráticos, privados y confiables de intercambio de información, sin entregar nuestra soberanía digital a grandes plataformas de Internet.

El robo o suplantación de la identidad, es un tipo de fraude en el que los delincuentes consiguen suplantar la identidad del defraudado, a partir del robo de su información personal. Existen casos especialmente relevantes como el que se describe en este artículo de El País. En este caso en concreto, la víctima perdió su documento nacional de identidad, o quizás fue robado a propósito, fuera como fuese, este documento terminó en manos de defraudadores. Suplantar la identidad a partir de un DNI robado es una técnica que lamentablemente está en auge, debido en mayor medida a que desde la irrupción del COVID-19, la mayoría de las transacciones han pasado a ser digitales y a realizarse en remoto. ¿Cómo evitar el fraude por suplantación de identidad? La recomendación y solución más eficaz es reducir al máximo la compartición de información personal. Por ejemplo, en el caso de las solicitudes de envío del DNI escaneado, hacerlo tapando parcialmente la información que no sea estrictamente necesaria, por ejemplo la fecha de caducidad, la dirección postal, o nuestra fotografía. No obstante, en ocasiones las solicitudes de envío de información personal van más allá del DNI, pudiéndose solicitar datos económicos o fiscales como por ejemplo facturas, movimientos bancarios o incluso la declaración de la renta. Este tipo de requerimientos son habituales en las entidades bancarias para prevenir el blanqueo de capitales, pero también es habitual que estos datos personales sean requeridos para trámites relacionados con la evaluación de la solvencia económica, por ejemplo, por parte de los arrendadores en los casos de alquiler de vivienda. ¿Nos podemos negar a compartir este tipo de información personal? La ley actual obliga al receptor de estos datos personales a tratar dicha información según la directiva europea de protección de datos personales (GDPR), pero éste, está en su derecho de solicitarlos. En el caso de los defraudadores, intentan engañar a las víctimas haciéndose pasar por falsos arrendadores, falsos vendedores, o incluso prestamistas. Todo ello para recabar información personal que les permita suplantar la identidad y conseguir acceder a créditos, abrir cuentas bancarias desde donde blanquear capitales (a través de las cuentas mula), o realizar compras fraudulentas. Digital Identity Wallets al rescate Una "ID Wallet" es una aplicación criptográfica que se instala en nuestros dispositivos móviles permitiendo almacenar y compartir credenciales relacionadas con nuestra identidad y sus atributos. Estas aplicaciones nos permiten verificar nuestra identidad sin compartir nuestro DNI, o por ejemplo validar nuestra solvencia económica sin compartir facturas, movimientos bancarios, o la declaración de a renta. ¿Cómo funcionan? Almacenando credenciales vinculadas a nuestra identidad que pueden ser verificadas y validadas por terceras partes. Por ejemplo, podemos almacenar en la wallet nuestro DNI junto con nuestra información económica expedida por nuestro banco. Cuando un arrendador solicita que demostremos que somos residentes en España, mayores de 18 años y solventes, podemos compartir nuestra credencial de identidad (que no es lo mismo que el DNI), junto con la credencial de solvencia económica (que no es la declaración de la renta ni los movimientos bancarios). De este modo estaremos validando las condiciones requeridas por el arrendador, sin necesidad de compartir ningún dato personal sensible a ser manipulado, o utilizado sin nuestro consentimiento. La tecnología subyacente en todo este proceso es blockchain o cadena de bloques, y asegura que la información almacenada en la wallet es verídica, y que la autoridad que la ha expedido es confiable. De este el modo el receptor de la información puede validar su legitimidad. Un futuro no tan lejano La Unión Europea ya está trabajando en este tipo de soluciones y pretende que todos los ciudadanos de la Unión puedan acceder a esta tecnología en 2024. En España, están empezando a surgir numerosas iniciativas como por ejemplo el proyecto alicantino Alicante ID, el cual pretende crear un ecosistema de identidad digital local, dirigido a que tanto ciudadanos, como administraciones y empresas, puedan intercambiar credenciales verificables almacenadas en "wallets" de identidad. Todos estos proyectos tienen como último fin devolver el control de los datos personales a quien les pertenecen, los propios usuarios, porque aumentando la privacidad en el tratamiento de la información personal se incrementa la seguridad y se previene el fraude online.

El fraude online ha experimentado un notorio crecimiento desde que a principios de 2020 la pandemia aceleró la transformación digital de empresas y ciudadanos. Así lo refleja el último informe de la Asociación española contra el Fraude, en el que el 71% de los encuestados asegura que en los últimos meses se han producido más intentos de fraude que el año pasado, siendo el fraude en identidad a cliente el más recurrente en las empresas según el 58% de los consultados. ¿Qué es el fraude en identidad de cliente? El tipo de fraude por el que los estafadores utilizan los datos legítimos de un cliente para suplantar su identidad, tanto en el momento de abrir una cuenta o registrarse en un servicio (Onboarding), como en el momento del acceso a la cuenta o a los servicios previamente contratados (Autenticación). Fraude en la apertura de cuentas (“Account Opening Fraud”) Los atacantes intentan burlar los controles de identidad y prevención del fraude en el proceso de Onboarding. ¿Cómo? A través de identidades reales robadas, o de identidades sintéticas/simuladas que no pertenecen a ningún ciudadano real y creadas a parir de la Inteligencia Artificial. Fraude de suplantación de cuentas (Account Takeover Fraud) Los atacantes intentan saltar los controles de identidad y prevención del fraude en el proceso de autenticación. ¿Cómo? A través del robo de credenciales de usuario, básicamente contraseñas expuestas en la dark web como resultado de las innumerables fugas o brechas de datos habidas en los últimos años. ¿Cómo pueden prevenir las empresas el fraude en identidad de cliente? Incorporando en sus flujos de negocio y operación procesos de Digital Onboarding (apertura de cuenta) y Autenticación Biométrica (acceso sin contraseñas). Los mecanismos de Digital Onboarding verifican la identidad real de un ciudadano que no mantiene una relación previa con la empresa, comparando sus rasgos biométricos faciales, contra la fotografía de su documento nacional de identidad (expedido por una fuente autorizada o de confianza). Los mecanismos de Autenticación Biométrica corroboran que la persona que intenta acceder a un servicio digital, corresponde con un usuario o cliente previamente registrado, y cuya identidad real ha sido verificada. Para ello validan la identidad del usuario comparando los rasgos biométricos presentados en el momento del acceso, contra su patrón biométrico registrado y almacenado en el momento del registro/onboarding. Etapas del proceso de Digital Onboarding El Onboarding se puede descomponer en dos grandes bloques; técnicas de “Identity Proofing” (verificación de la identidad) y técnicas de “Identity Affirmation” (corroboración de la identidad) El proceso de “Identity Proofing” tiene las siguientes fases o etapas: Verificación de la validez del documento nacional de identidad presentado A través de la tecnología OCR (Optical Character Recognition) A través de la tecnología NFC (Near-Field Communication) si el documento presentado y el dispositivo sobre el que se realiza el Onboarding soporta esta tecnología Captura de selfie y prueba de vida La prueba de vida trata de validar que quien quién está realizando el Onboarding es una persona real y no un impostor suplantando la identidad mediante identidades robadas o sintéticas. Es actualmente el factor más crítico de todo el proceso. Existen certificaciones de la industria ISO/IEC 30107 que acreditan que un proveedor cumple con los estándares necesarios para llevar a cabo este proceso con garantías. Comprobación biométrica entre el selfie y la fotografía del documento nacional de identidad presentado. El NIST (National Institute of Standards and Technology) puntúa la efectividad de los algoritmos biométricos a través de su “Face Recognition Vendor Test”. Comprobación “manual” del proceso por agentes especializados (solo para los casos de uso en el que es necesario el cumplimiento de normativas de blanqueo de capitales) Adicionalmente al proceso de Identity Proofing existen procesos dirigidos a la detección del fraude en el Onboarding, que a diferencia de centrarse en la comprobación o validación del documento nacional de identidad, realizan comprobaciones contra otros datos o parámetros del usuario. Estas técnicas se conocen en inglés como “Identity Affirmation Tools”. Algunos ejemplos son: Comprobación de los datos de identidad del usuario (nombre, dirección postal, teléfono, fecha de nacimiento), contra bases de datos oficiales; datos censales/electorales, credit bureau o registros o bases de datos con carácter financiero. También es posible conectar directamente con bases de datos estatales previa autorización de las autoridades (en España la policía nacional es la propietaria y responsable de custodiar la BBDD de los DNIs). Comprobación de los atributos digitales del usuario; email, dirección IP, o redes sociales. Por ejemplo, comparando la geolocalización de la dirección IP contra la dirección postal que aparece en el documento de identidad aportado. Comprobación de parámetros del dispositivo de usuario. La información recopilada sobre el sistema operativo, el navegador y sus plug-ins, y sobre el hardware y sus características, sirve para crear lo que se conoce como “Device Fingerprint” Análisis del comportamiento (“Behavior-Analytics”). El análisis de la cadencia del tecleo, los movimientos del ratón, o la rapidez con la que se rellenan formularios, puede indicar que quien está detrás de la pantalla no es una persona real sino un robot tratando de automatizar el proceso. Desafíos del Onboarding y la Autenticación Biométrica Los mecanismos de Onboarding y Autenticación Biométrica ayudan a prevenir el fraude online a la vez que mejoran la experiencia de usuario/cliente en su interacción con los sistemas de gestión de la identidad y acceso de las plataformas digitales. Entre los principales retos a los que se enfrenta la industria encontramos cuestiones relacionadas con la gestión de la privacidad y el cumplimiento de las distintas regulaciones en matería de protección de datos personales. Los datos biométricos son datos altamente sensibles que, a diferencia de las contraseñas que por ejemplo pueden ser reseteadas y modificadas tantas veces como se quiera, hacen referencia a rasgos fisiológicos imposibles de modificar.

¿Te has parado a pensar en la cantidad de cuentas de usuario que tenemos en Internet? Cuentas bancarias, proveedores de suministros, RR.SS., correo electrónico, e-commerce, etc. En la actualidad manejamos un número casi infinito de servicios digitales. ¿Cuántas veces tuviste que repetir el mismo proceso de alta/registro? ¿Recuerdas qué información personal compartiste cada vez? ¿Sabes qué datos personales tuyos almacena y procesa cada uno de estos servicios en los que estás registrado? Según una encuesta del Eurobarómetro, el 72 % de los usuarios quiere saber cómo se tratan sus datos cuando utiliza servicios digitales, y el 63 % de los ciudadanos de la UE quiere una identificación digital única y segura para todos los servicios en línea. Un nuevo modelo europeo de identidad digital ciudadana En este contexto, el pasado 3 de junio de 2021 la Comisión Europea anunció su nueva propuesta para una identidad digital segura y de confianza. En palabras de Ursula von der Leyen, presidenta de la Comisión Europea: «Cada vez que una aplicación o un sitio web nos pide que creemos una nueva identidad digital o que nos conectemos fácilmente a través de una gran plataforma, en realidad no tenemos ni idea de lo que sucede con nuestros datos. Esta es la razón por la que la Comisión propondrá una identidad electrónica europea segura. Una identidad en la que confiemos y que cualquier ciudadano pueda utilizar en cualquier lugar de Europa para cualquier operación, desde el pago de sus impuestos hasta el alquiler de una bicicleta. Una tecnología con la que nosotros mismos podamos controlar qué datos se utilizan y cómo». De las cuentas de usuario a los wallets de identidad soberana La UE se ha propuesto recuperar la soberanía de nuestros datos personales, y está trabajando en la definición del nuevo modelo de identidad digital, basado en los wallets de identidad. Un wallet es una aplicación que se instala en nuestros dispositivos móviles permitiendo almacenar y compartir credenciales relacionadas con nuestra identidad y sus atributos. Este nuevo modelo se basa en: El concepto de identidad soberana/descentralizada Los estándares de intercambio de credenciales verificables Bajo este nuevo paradigma los usuarios pasamos de tener tantas identidades o cuentas de usuario como servicios digitales utilizamos, a una única identidad que portamos en nuestros móviles, en la que agrupamos todas las anteriores mencionadas en forma de atributos. Estos atributos pueden ser compartidos totalmente, parcialmente o, incluso, podemos dar la información necesaria de verdad (como por ejemplo demostrar que eres mayor de 18 años sin decir tu fecha de nacimiento, simplemente con un sí o un no). Directiva de obligado cumplimiento para los países de la UE La nueva regulación en materia de identificación electrónica (eID) se enmarca dentro del esquema regulatorio europeo eIDAS (electronic IDentification, Authentication and trust Services), y será de aplicación obligatoria para los Estados miembros de la UE, que a más tardar finales de 2023 / inicio de 2024, tendrán que proveer a sus ciudadanos de una wallet de identidad que permitirá: Acceder a servicios públicos y solicitar, por ejemplo, un certificado de nacimiento o médico, o comunicar un cambio de domicilio Presentar su declaración de la renta Solicitar plaza en una universidad pública o privada de cualquier Estado miembro Abrir una cuenta bancaria Almacenar una receta médica que pueda utilizarse en cualquier lugar de Europa Validar su edad online/offline sin tener que compartir/mostrar su documento nacional de identidad Alquilar un coche utilizando un permiso de conducir digital Registrarse en un hotel Impacto en el sector privado Esta nueva normativa también será de aplicación obligatoria para el sector privado, en concreto para aquellos servicios online que necesiten implementar mecanismos de autenticación “fuerte”. Aquí se incluyen sectores como transporte, energía, banca y servicios financieros, seguros, salud, telecomunicaciones o educación, además de las grandes plataformas online: Google, Apple, Facebook y Amazon. Según la Comisión Europea, se estima que la aplicación de este nuevo modelo de identidad beneficiará al sector privado a través de; La reducción de los costes operativos a la hora de; identificar, autenticar y gestionar los datos personales de sus usuarios La reducción del fraude online Recuperando la soberanía digital Los modelos de identidad descentralizada/soberana han sido desde hace tiempo “hot topic” en el marco de la identidad. Tenían el consenso de los expertos sobre su utilidad y viabilidad técnica, pero faltaba un impulso que validase su viabilidad económica, faltaba encontrar ese caso de uso que dinamizara el ecosistema. Ahora parece que ese impulso ha llegado definitivamente vía la UE. Con todo, el horizonte apunta a que estamos empezando la redefinición de la identidad tal y como la conocemos hasta la fecha, un nuevo modelo de identidad pensado para las personas, en el que atributos como la privacidad y la soberanía sobre la información personal son factores definidos desde su concepción inicial.