La app que promete acabar con el papeleo

¡°La privacidad es necesaria para una sociedad abierta en la era electr¨®nica. La privacidad no es secretismo. Un asunto privado es algo que uno no quiere que todo el mundo sepa, pero un asunto secreto es algo que uno no quiere que nadie sepa. La privacidad es el poder de revelarse selectivamente al mundo¡±. As¨ª empieza el Manifiesto Cypherpunk que escribi¨® en 1993 el matem¨¢tico, programador y cripto?grafo Eric Hughes. E?l y un pun?ado de cypherpunks (una contracci¨®n de los t¨¦rminos cifrado y ciberpunk) fundaron por aquel entonces el movimiento criptoanarquista.

Cualquiera podr¨ªa hoy estar de acuerdo con varios de sus postulados. El contexto de vigilancia tecnol¨®gica y las constantes revelaciones sobre escuchas indebidas, as¨ª como el uso y venta a terceros de datos ¨ªntimos, hacen que el clamor por la privacidad sea un¨¢nime. De ese ansia nace la idea de la Identidad Digital Autosoberana, esto es, lograr que cada persona tenga el control y la propiedad exclusiva sobre su identidad digital, de la misma manera que la tiene de la anal¨®gica.

Un grupo de grandes corporaciones espan?olas se ha unido para tomar cartas en el asunto. Banco Santander, Caixabank, Mapfre, Repsol, Naturgy, Li?nea Directa Aseguradora, Liberbank e Iecisa (Informa?tica El Corte Ingle?s) junto con Bolsas y Mercados Espan?oles (BME) montaron hace seis meses el proyecto Dalion bajo paraguas del consorcio espan?ol de blockchain Alastria. Su prop¨®sito: facilitar un modelo de gesti¨®n de la identidad digital que permita a cada persona decidir que? informaci¨®n forma parte de dicha identidad y controlar quie?n puede acceder a esos datos. Ahora, tras una primera implementaci¨®n, est¨¢n desarrollando las piezas de software para que dicho modelo -llamado Alastria ID- pueda usarse. Planean entrar en fase de pruebas en abril.?

Co?mo funciona

Alastria ID es un sistema de identidad digital m¨®vil tipo wallet (cartera virtual), en el que el usuario dispondr¨¢ de una serie de atributos (nombre, edad, direcci¨®n, fecha de nacimiento, estudios, etc¨¦tera) y podr¨¢ permitir, o no, el acceso a todos o algunos de esos datos a cualquier organismo que se lo solicite. Tambi¨¦n podr¨¢ ver con quie?n ha compartido que? dato, e incluso pedir su eliminaci¨®n o revocar permisos de uso.

Una vez creada, esta identidad solo puede ser alterada y modificada por el usuario. Servir¨ªa, por ejemplo, para registrarse en cualquier plataforma o aplicaci¨®n sin tener que rellenar interminables formularios que a menudo solicitan la misma informaci¨®n. ¡°El usuario puede ver que la empresa ha recibido la credencial y la empresa puede ver que el emisor la ha enviado. Solo quien tiene el dato original sabe que? significa¡±, asegura Carlos Pastor, director de Innovaci¨®n Abierta de BME.

Tambi¨¦n permitir¨ªa, por ejemplo, usar una aplicaci¨®n de coche compartido sin necesidad de enviar una copia de nuestro carne? de conducir, en tanto que dicha aplicaci¨®n acceder¨ªa a los atributos que confirman la posesi¨®n del documento y su vigencia. ¡°De esta manera, se evitan fallos al introducir la informaci¨®n, redundancia de datos, etc¨¦tera. Esta?s a uno o escasos clics de contratar productos y servicios; de consultar que? informaci¨®n has dado a que? entidades y de solicitarles el borrado de dichos datos o restringir permisos¡±, explica Mari?a Salgado, responsable de Blockchain de Iecisa.

La validaci¨®n de esos atributos la har¨ªan las diferentes entidades presentes en el proyecto. Por ejemplo, Mapfre podr¨ªa encargarse, por del carne? de conducir. Lo ideal, dicen en Dalion, seria que tanto estos como otros datos fueran valida- dos por las autoridades correspondientes (la Polic¨ªa y la DGT, en este caso), algo que esperan que suceda en el futuro si su modelo se adopta como est¨¢ndar.

La tecnolog¨ªa que hay detr¨¢s

El proyecto seri?a inviable sin blockchain, o al menos as¨ª lo ven sus impulsores. En la cadena de bloques se registran las acciones relacionadas con los datos de los usuarios (envi?o, recepci¨®n, revocaci¨®n, petici¨®n de borrado, etc¨¦tera), usando referencias (lo que se conoce como hash) a dichos datos. El hash es un nu?mero de tama?o fijo que identifica esa acci¨®n. En el Alastria ID, se generan dos referencias distintas para cada credencial y otros dos (todos distintos) para cada envi?o de datos al proveedor de servicios. Una referencia es para que la use exclusivamente el emisor y la otra para el usuario, y lo mismo ocurre con los envi?os. ¡°Nunca se escriben los datos reales¡±, afirma Pastor. Se requiere el uso de blockchain, insisten desde Dalion, porque esta tecnolog¨ªa deja una evidencia digital: queda p¨²blicamente registrada la evidencia de lo que te han pedido y para qu¨¦. Tambi¨¦n porque un sistema de identidad digital que preserve la privacidad debe ser descentralizado.??

Pr¨®ximos pasos

Sobre la mesa est¨¢n algunas cuestiones que ponen en duda la robustez y viabilidad de este modelo. El primero, comenta la experta en ¨¦tica de los datos Galdon, fundadora de la consultora Eticas, es equilibrar usabilidad y seguridad. Desde Dalion sen?alan que efectivamente es clave que la aplicaci¨®n sea f¨¢cil de manejar ¡°o no la usara? nadie¡±. Sin embargo, sostienen que ¡°los datos se guardara?n en un repositorio seguro (cifrado) en el mo?vil al que solo pueda acceder la aplicaci¨®n y con la contrase?a del usuario, que solo se podr¨¢ desbloquear mediante huella dactilar u otros mecanismos¡±.

?Y si lo pierdes o te lo roban? ¡°Hay un mecanismo de recuperaci¨®n protegido en el que intervienen varias entidades que verificar¨ªan a la persona y le asignar¨ªan una nueva clave privada, que har¨¢n coincidir con su clave publica en blockchain¡±, comenta Pastor. Eso si?: si robasen la clave a un usuario podr¨ªan suplantarlo electr¨®nicamente hasta que se diera cuenta.

La perito inform¨¢tica Pilar Vila, cofundadora y directora de las empresas de ciberseguridad Forensic&Secuirty y DFTools, comenta tambi¨¦n que la aplicaci¨®n ¡°tendr¨ªa que pasar una auditor¨ªa de seguridad para ver c¨®mo est¨¢ hecha¡±. La forense digital se?ala la problem¨¢tica de que el sistema se convierta en un silo de informaci¨®n. ¡°Si alguien consigue robar una de las claves privadas se podr¨ªa acceder a toda la informaci¨®n de los usuarios sin que se enteren.

Sobre lo primero, Pastor responde que todo el software de Alastria ID es libre y est¨¢ disponible de forma p¨²blica en la plataforma Github. Sobre la posibilidad de robo, afirma que, en el caso de que se hiciera a una entidad, el ladr¨®n ver¨ªa ¡°solo¡± la informaci¨®n que esta tenga de cada persona. Si se hiciera al individuo ser¨ªa, en la pr¨¢ctica, como quitarle la cartera. ¡°Podr¨ªan suplantar electr¨®nicamente a un usuario hasta que este se diera cuenta, momento en el cual tendr¨ªa que iniciar el mecanismo de recuperaci¨®n explicado antes¡±, comenta Pastor.

Otra pregunta que plantea Vila es qui¨¦n va a auditar las transacciones. Lo auditan los participantes en cada transacci¨®n. El usuario puede ver que la empresa lo ha recibido y la empresa puede ver que el emisor lo ha enviado. Solo el que tiene el dato original sabe qu¨¦ significan¡±, asegura el directivo de BME.

Desde la perspectiva de concepto, Juan Cartagena, fundador de Traity y TrustBond, pone en cuesti¨®n que realmente se trate de un sistema de identidad digital soberana. Cartagena, que ha desarrollado precisamente un sistema muy similar al de Dalion (Reputation Network), sostiene que ambos se basan en lo que se llama identidad federada, y no en una SSI. ¡°En una identidad soberana, yo me podr¨ªa registrar sin permiso de nadie y empezar a operar con esa identidad, pero en este sistema tengo que hablar con alguien que me valida en un primer momento¡±, asegura.

Pastor responde que ¡°Alastria es una red permisionada donde cualquier lectura o escritura tiene que hacerse a trav¨¦s de un nodo, y crear la identidad necesitas la ayuda t¨¦cnica de cualquier nodo, que puede ser el tuyo propio o de otro socio de Alastria¡±. ¡°Lo m¨¢s importante -a?ade- es que una vez creada la identidad, la identidad es tuya, nadie puede borrarla m¨¢s que t¨² y nadie tiene control sobre tu identidad¡±.

La economista y abogada Rosa Guirado, fundadora de Legal Sharing, se?ala otra debilidad -a su juicio- de Dalion, en este caso en cuestiones de regulaci¨®n y competencia en las que es experta. Guirado cree que se deber¨ªa esperar a una regulaci¨®n espec¨ªfica antes de lanzar un proyecto as¨ª, o en tal caso enmarcarlo bajo un modelo sandbox [un espacio controlado de pruebas]. ¡°El fin de esto es que se aplique a todos los operadores del mismo mercado, y todos ellos puedan beneficiarse del proyecto de igual manera¡±, asegura. La abogada sostiene que, por muy libre que sea la entrada al proyecto [al que cualquier entidad se puede unir], no todos los agentes participar¨¢n en ¨¦l y, por tanto, solo unas pocas empresas -algunas competidoras- se beneficiar¨¢n de ello.

Dudas aparte, una vez desarrollado todo el software para una versi¨®n funcional de Alastria ID, las diferentes entidades en Dalion la integrara?n y probara?n con una bateri?a de usuarios falsos. ¡°Todo ello ser¨¢ supervisado y analizado desde la perspectiva legal y de experiencia de usuario para asegurarnos de que es factible y tiene sentido poner en marcha una prueba piloto¡±, afirma Salgado.

La ambici¨®n de Alastria es que su modelo se convierta en est¨¢ndar europeo. ¡°Tiene la aceptaci¨®n de la industria, impulsora del proyecto¡±, se?ala Cartagena.. Adem¨¢s, la UE se apoya en Alastria en su b¨²squeda del ¡°mejor y m¨¢s maduro sistema disponible¡±, dice el coordinador del Marco Europeo de Identidad Soberana (Essif) en EBSI, Danie?l Du Seuil. ¡°Es una inspiraci¨®n para el resto de Europa¡±, a?ade.

A la espera del sector p¨²blico

Por el momento, las administraciones pu?blicas en Espan?a no pueden poner en producci¨®n proyectos de este tipo. Un real decreto ley de octubre de 2019 establece que estas no podr¨¢n usar sistemas de identificaci¨®n basados en tecnolog¨ªas de registro distribuido (como blockchain) y sistemas de firma electr¨®nica, ¡°en tanto que no sean objeto de regulaci¨®n especi?fica por el Estado en el marco del Derecho de la UE¡±.

Independientemente de ello, y como iniciativa corporativa, Dalion sigue su curso. No es habitual, destaca Miguel A?ngel Bernal, experto en blockchain de la Universidad de Zaragoza, que empresas competidoras como son las impulsoras de Dalion colaboren con ¨¦xito en lanzar una iniciativa tecnol¨®gica de este calibre. ¡°Debemos cambiar ese concepto de que ganamos dinero porque captamos datos y pensar en un servicio enriquecido, centrado en el usuario. Hay que cambiar el chip¡±, concluyen.