IAM

La era de la Auto-Identidad Soberana

La Auto-Identidad Soberana, dentro del movimiento digital, es un concepto según el cual solamente el usuario debe tener sus propios datos de identidad sin que ninguna administración externa intervenga. La COVID-19 ha generado una situación en la que se intenta digitalizar el día a día para reducir el contacto humano. Con ello nos hemos enfrentado a retos de protección de nuestra identidad. Esta es la razón por la cual debemos pasarnos a la era de la Auto-Identidad Soberana, veamos cómo nos puede ayudar.  

El uso de la Auto-Identidad Soberana

Hace poco he tenido que ir al banco a cancelar mi tarjeta debido a unas transacciones fraudulentas. Cuando el banco me pidió que confirmara si había dado datos del banco a terceros, no pude hacerlo ya que no recordaba a quién le había dado mis datos bancarios.  Básicamente, no tengo el control de mi identidad cuando se trata de terceros.  

Con la aparición de internet en nuestras vidas y el rápido incremento de usuarios online, surgen varias cuestiones. Robo de datos, fraude cibernético y en especial, usurpación de identidad.  

Cuando interactúas con tiendas online para comprar, siempre tienes que confiar en terceros para conseguir lo que quieres. La mayoría de las veces, estos son proveedores de servicio.  A veces damos nuestros datos a dichos terceros para que actúen como nosotros y hagan movimientos como, por ejemplo, efectuar pagos. Lo que más miedo da es que estos terceros recogen datos confidenciales de mucha gente y los convierte en objetivo de los hackers.  

Debido al incremento del uso de internet, es difícil no usar nuestros datos. Y la actual situación de la COVID-19 hace que la digitalización sea muy importante.  

Sin embargo, físicamente no tenemos ese problema. Por ejemplo, si alguien te pide que verifiques tu identidad, mostramos nuestro DNI o el carnet de conducir. O cuando efectuamos un pago en una tienda, simplemente lo hacemos con la tarjeta de crédito. De esta forma, el control y la propiedad de datos están a salvo. El verificador lo acepta porque proviene de una credencial fiable y este no tiene acceso a todos los datos que hemos proporcionado en el sitio donde utilizamos la tarjeta bancaria o el carnet de conducir. Esto es la Auto-Identidad Soberana, necesitamos tener una versión digital. 

Al utilizar una Auto-Identidad Soberana, los titulares pueden controlar y crear completamente sus credenciales sin tener que pedir permiso a una autoridad centralizada o intermediaria ni controlar cómo se tratan y comparten sus datos personales.

Relación entre las entidades, identidades y los atributos / identificadores: Wikipedia
 

Credenciales verificables e identidades descentralizadas (DID)

Las Credenciales verificables (VC) son el equivalente electrónico de las credenciales físicas como el carnet de conducir, los diplomas, los pasaportes, etc. Las tecnologías hacen que las credenciales verificables sean más fiables y seguros que su equivalente físico. 

El modelo de datos de credenciales verificables es una recomendación del World Wide Web Consortium, «Verifiable Credentials Data Model 1.0 – Expressing verifiable information on the Web», publicado el 19 de noviembre del 2019.

Se puede explicar con el siguiente ejemplo: 

Detrás de estas credenciales verificables, tenemos una serie de hechos que están ligados a ello y que forman el asunto. Representa a la persona y solo el propietario tiene acceso a los detalles y puede controlar la información. Puedes presentar estos hechos y peticiones de una credencial verificable de un emisor autorizado. Y será criptográficamente verificada. 

Por ejemplo, una tarjeta de crédito es una credencial tradicional y físicamente verificable.  Cuando le pidas la tarjeta de crédito a un emisor, previamente autorizado por el banco, deberás presentar varios documentos, tus datos biográficos, información salarial la cual representa al sujeto, que eres tú.  Y cuando obtienes la tarjeta de crédito puedes usarla y hacer pagos en la tienda con la cual verificarán tu identidad sin tener que presentar datos personales y confidenciales.  

Cuando se digitalice este concepto, en vez de usar una tarjeta física, se usará criptografía.  Lo más normal es disponer de una cartera digital a la que solo tú puedas acceder. Esto no significa que sea lo más seguro, tienes que ser responsable de proteger tus datos, pero reduce el riesgo de que se expongan los datos detallados de muchos usuarios. Aquí es cuando las identidades descentralizadas entran en acción. 

Las Identidades descentralizadas (DID) son el elemento clave de la Auto-Identidad Soberana.  Son un tipo de identificadores que permiten que la identidad sea verificable, descentralizada y digital.  

Una DID identifica cualquier sujeto (empresa, modelo de datos, una persona, etc.) que el controlador del DID decida identificar. Estos identificadores se han diseñado de tal forma que el controlador del DID tiene el control y puede disociarse de los registros centralizados, de los proveedores de identidad o las autoridades certificadas. 

Credencial verificable basada en la autentificación vía OpenID Connect.  

Wikipedia describe el OpenID Connect como «una capa de identidad en el protocolo OAuth 2.0 que permite a los clientes verificar la identidad del usuario final basada en la autenticación de un servidor autorizado, así como la obtención de información sobre el perfil del usuario final de manera interoperable y similar al REST. Técnicamente hablando, el OpenID Connect precisa un RESTful HTTP API que usa JSON como formato de datos

WSO2 Identity Server puede actuar como un proveedor de OpenID.  Cualquier OpenID se puede usar para salir y entrar de la sesión del WSO2 Identity Server. El WSO2 Identity Server actúa como un usuario de OpenID.  Cualquier OpenID se puede usar para salir y entrar de la sesión del WSO2 Identity Server. Además, el WSO2 incluye formas para conectarse a registros más fiables. 

El OpenID te pedirá un nombre de usuario o una contraseña como básicos, pero puede ser que vaya más allá y use la autenticación biométrica con los móviles. Los proveedores del OpenID emiten un registro de identidad con la información que se solicita. La información incluida en este registro es parecida a los datos plasmados en tu tarjeta de crédito.  

Existe una forma de mejorar esto aún más utilizando la Autenticación de Credenciales verificables con OpenID Connect (VC-AuthN OIDC). Ya que con el modelo de OpenID mencionado, el proveedor se centraliza y controla un poco más los datos.  con los datos disponibles en OpenID se puede autenticar el acceso a otro sitio o servicio. Esta es una característica de identidad federada e infringe el concepto de Auto-Identidad Soberana.  

VC-AuthN OIDC usa los modelos del OpenID Connect para integrarse fácilmente en el sistema y proporcionar también una forma de autenticación usando las credenciales verificables y devolviendo el control al usuario.  Esto se parece más al modelo tradicional de OpenID Connect, la única diferencia está en la información de registro.  En lugar de utilizar la información del usuario para construir el token, reclama una credencial verificable presentada por el usuario.

Cómo blockchain hace más fácil la Auto-Identidad Soberana   

La evolución del Identity Management hacia un enfoque centrado en el usuario. La Auto-Identidad Soberana ha evolucionado gracias a la popularidad de la tecnología de blockchainBlockchain no solo resuelve los desafíos mencionados, sino que también proporciona el eslabón perdido que utiliza criptografía para comprobar identidades.  

Se puede usar el mismo ejemplo para explicarlo. El banco es el emisor del titular de la solicitud, que es tu tarjeta de crédito.  El banco se asociará a la identidad descentralizada del blockchain que firma las solicitudes con ayuda de las claves. Tu cartera digital, que contiene las solicitudes, tiene claves que se unen a las identidades descentralizadas que se controlan en el blockchain y puede usarla para validar la tarjeta de crédito. La tienda que te lo valida puede comprobar si esto lo emite el banco y si es tuya. Así es cómo se usa blockchain para buscar identidades descentralizadas

Conclusión

Con la evolución del Identity Management, hemos alcanzado la era de la Auto-Identidad Soberana centrada en el usuario. Esto hace que el usuario vuelva a tener el control y que sea tan real como el mundo digital. También que la digitalización sea más segura y fiable para los usuarios, algo bastante necesario hoy en día ya que aislarse de la sociedad para superar esta pandemia es importante.  

Referencias:

IDENTITY & ACCESS MANAGEMENT ebook

¿Están protegidos los usuarios de tu empresa?

Domina el control de accesos y adelántate al robo de identidades.

Written By

Thara Perera

Senior Engineer