La app que promete acabar con el papeleo
Un grupo de grandes corporaciones y el consorcio de ‘blockchain’ Alastria trabajan para devolver a las personas el control de sus datos (y obtener de ellos información de mayor calidad). Aspiran a cumplir el sueño de la identidad digital soberana.
“La privacidad es necesaria para una sociedad abierta en la era electrónica. La privacidad no es secretismo. Un asunto privado es algo que uno no quiere que todo el mundo sepa, pero un asunto secreto es algo que uno no quiere que nadie sepa. La privacidad es el poder de revelarse selectivamente al mundo”. Así empieza el Manifiesto Cypherpunk que escribió en 1993 el matemático, programador y criptógrafo Eric Hughes. Él y un puñado de cypherpunks (una contracción de los términos cifrado y ciberpunk) fundaron por aquel entonces el movimiento criptoanarquista.
Cualquiera podría hoy estar de acuerdo con varios de sus postulados. El contexto de vigilancia tecnológica y las constantes revelaciones sobre escuchas indebidas, así como el uso y venta a terceros de datos íntimos, hacen que el clamor por la privacidad sea unánime. De ese ansia nace la idea de la Identidad Digital Autosoberana, esto es, lograr que cada persona tenga el control y la propiedad exclusiva sobre su identidad digital, de la misma manera que la tiene de la analógica.
Un grupo de grandes corporaciones españolas se ha unido para tomar cartas en el asunto. Banco Santander, Caixabank, Mapfre, Repsol, Naturgy, Línea Directa Aseguradora, Liberbank e Iecisa (Informática El Corte Inglés) junto con Bolsas y Mercados Españoles (BME) montaron hace seis meses el proyecto Dalion bajo paraguas del consorcio español de blockchain Alastria. Su propósito: facilitar un modelo de gestión de la identidad digital que permita a cada persona decidir qué información forma parte de dicha identidad y controlar quién puede acceder a esos datos. Ahora, tras una primera implementación, están desarrollando las piezas de software para que dicho modelo -llamado Alastria ID- pueda usarse. Planean entrar en fase de pruebas en abril.
Cómo funciona
Alastria ID es un sistema de identidad digital móvil tipo wallet (cartera virtual), en el que el usuario dispondrá de una serie de atributos (nombre, edad, dirección, fecha de nacimiento, estudios, etcétera) y podrá permitir, o no, el acceso a todos o algunos de esos datos a cualquier organismo que se lo solicite. También podrá ver con quién ha compartido qué dato, e incluso pedir su eliminación o revocar permisos de uso.
Una vez creada, esta identidad solo puede ser alterada y modificada por el usuario. Serviría, por ejemplo, para registrarse en cualquier plataforma o aplicación sin tener que rellenar interminables formularios que a menudo solicitan la misma información. “El usuario puede ver que la empresa ha recibido la credencial y la empresa puede ver que el emisor la ha enviado. Solo quien tiene el dato original sabe qué significa”, asegura Carlos Pastor, director de Innovación Abierta de BME.
También permitiría, por ejemplo, usar una aplicación de coche compartido sin necesidad de enviar una copia de nuestro carné de conducir, en tanto que dicha aplicación accedería a los atributos que confirman la posesión del documento y su vigencia. “De esta manera, se evitan fallos al introducir la información, redundancia de datos, etcétera. Estás a uno o escasos clics de contratar productos y servicios; de consultar qué información has dado a qué entidades y de solicitarles el borrado de dichos datos o restringir permisos”, explica María Salgado, responsable de Blockchain de Iecisa.
La validación de esos atributos la harían las diferentes entidades presentes en el proyecto. Por ejemplo, Mapfre podría encargarse, por del carné de conducir. Lo ideal, dicen en Dalion, seria que tanto estos como otros datos fueran valida- dos por las autoridades correspondientes (la Policía y la DGT, en este caso), algo que esperan que suceda en el futuro si su modelo se adopta como estándar.
La tecnología que hay detrás
El proyecto sería inviable sin blockchain, o al menos así lo ven sus impulsores. En la cadena de bloques se registran las acciones relacionadas con los datos de los usuarios (envío, recepción, revocación, petición de borrado, etcétera), usando referencias (lo que se conoce como hash) a dichos datos. El hash es un número de tamaño fijo que identifica esa acción. En el Alastria ID, se generan dos referencias distintas para cada credencial y otros dos (todos distintos) para cada envío de datos al proveedor de servicios. Una referencia es para que la use exclusivamente el emisor y la otra para el usuario, y lo mismo ocurre con los envíos. “Nunca se escriben los datos reales”, afirma Pastor. Se requiere el uso de blockchain, insisten desde Dalion, porque esta tecnología deja una evidencia digital: queda públicamente registrada la evidencia de lo que te han pedido y para qué. También porque un sistema de identidad digital que preserve la privacidad debe ser descentralizado.
Próximos pasos
Sobre la mesa están algunas cuestiones que ponen en duda la robustez y viabilidad de este modelo. El primero, comenta la experta en ética de los datos Galdon, fundadora de la consultora Eticas, es equilibrar usabilidad y seguridad. Desde Dalion señalan que efectivamente es clave que la aplicación sea fácil de manejar “o no la usará nadie”. Sin embargo, sostienen que “los datos se guardarán en un repositorio seguro (cifrado) en el móvil al que solo pueda acceder la aplicación y con la contraseña del usuario, que solo se podrá desbloquear mediante huella dactilar u otros mecanismos”.
¿Y si lo pierdes o te lo roban? “Hay un mecanismo de recuperación protegido en el que intervienen varias entidades que verificarían a la persona y le asignarían una nueva clave privada, que harán coincidir con su clave publica en blockchain”, comenta Pastor. Eso sí: si robasen la clave a un usuario podrían suplantarlo electrónicamente hasta que se diera cuenta.
La perito informática Pilar Vila, cofundadora y directora de las empresas de ciberseguridad Forensic&Secuirty y DFTools, comenta también que la aplicación “tendría que pasar una auditoría de seguridad para ver cómo está hecha”. La forense digital señala la problemática de que el sistema se convierta en un silo de información. “Si alguien consigue robar una de las claves privadas se podría acceder a toda la información de los usuarios sin que se enteren.
Sobre lo primero, Pastor responde que todo el software de Alastria ID es libre y está disponible de forma pública en la plataforma Github. Sobre la posibilidad de robo, afirma que, en el caso de que se hiciera a una entidad, el ladrón vería “solo” la información que esta tenga de cada persona. Si se hiciera al individuo sería, en la práctica, como quitarle la cartera. “Podrían suplantar electrónicamente a un usuario hasta que este se diera cuenta, momento en el cual tendría que iniciar el mecanismo de recuperación explicado antes”, comenta Pastor.
Otra pregunta que plantea Vila es quién va a auditar las transacciones. Lo auditan los participantes en cada transacción. El usuario puede ver que la empresa lo ha recibido y la empresa puede ver que el emisor lo ha enviado. Solo el que tiene el dato original sabe qué significan”, asegura el directivo de BME.
Desde la perspectiva de concepto, Juan Cartagena, fundador de Traity y TrustBond, pone en cuestión que realmente se trate de un sistema de identidad digital soberana. Cartagena, que ha desarrollado precisamente un sistema muy similar al de Dalion (Reputation Network), sostiene que ambos se basan en lo que se llama identidad federada, y no en una SSI. “En una identidad soberana, yo me podría registrar sin permiso de nadie y empezar a operar con esa identidad, pero en este sistema tengo que hablar con alguien que me valida en un primer momento”, asegura.
Pastor responde que “Alastria es una red permisionada donde cualquier lectura o escritura tiene que hacerse a través de un nodo, y crear la identidad necesitas la ayuda técnica de cualquier nodo, que puede ser el tuyo propio o de otro socio de Alastria”. “Lo más importante -añade- es que una vez creada la identidad, la identidad es tuya, nadie puede borrarla más que tú y nadie tiene control sobre tu identidad”.
La economista y abogada Rosa Guirado, fundadora de Legal Sharing, señala otra debilidad -a su juicio- de Dalion, en este caso en cuestiones de regulación y competencia en las que es experta. Guirado cree que se debería esperar a una regulación específica antes de lanzar un proyecto así, o en tal caso enmarcarlo bajo un modelo sandbox [un espacio controlado de pruebas]. “El fin de esto es que se aplique a todos los operadores del mismo mercado, y todos ellos puedan beneficiarse del proyecto de igual manera”, asegura. La abogada sostiene que, por muy libre que sea la entrada al proyecto [al que cualquier entidad se puede unir], no todos los agentes participarán en él y, por tanto, solo unas pocas empresas -algunas competidoras- se beneficiarán de ello.
Dudas aparte, una vez desarrollado todo el software para una versión funcional de Alastria ID, las diferentes entidades en Dalion la integrarán y probarán con una batería de usuarios falsos. “Todo ello será supervisado y analizado desde la perspectiva legal y de experiencia de usuario para asegurarnos de que es factible y tiene sentido poner en marcha una prueba piloto”, afirma Salgado.
La ambición de Alastria es que su modelo se convierta en estándar europeo. “Tiene la aceptación de la industria, impulsora del proyecto”, señala Cartagena.. Además, la UE se apoya en Alastria en su búsqueda del “mejor y más maduro sistema disponible”, dice el coordinador del Marco Europeo de Identidad Soberana (Essif) en EBSI, Daniël Du Seuil. “Es una inspiración para el resto de Europa”, añade.
A la espera del sector público
Por el momento, las administraciones públicas en España no pueden poner en producción proyectos de este tipo. Un real decreto ley de octubre de 2019 establece que estas no podrán usar sistemas de identificación basados en tecnologías de registro distribuido (como blockchain) y sistemas de firma electrónica, “en tanto que no sean objeto de regulación específica por el Estado en el marco del Derecho de la UE”.
Independientemente de ello, y como iniciativa corporativa, Dalion sigue su curso. No es habitual, destaca Miguel Ángel Bernal, experto en blockchain de la Universidad de Zaragoza, que empresas competidoras como son las impulsoras de Dalion colaboren con éxito en lanzar una iniciativa tecnológica de este calibre. “Debemos cambiar ese concepto de que ganamos dinero porque captamos datos y pensar en un servicio enriquecido, centrado en el usuario. Hay que cambiar el chip”, concluyen.
