Identidad Descentralizada para proteger nuestros datos
Para ser usuarios de aplicaciones debemos compartir demasiada información, lo que aumenta el riesgo de filtraciones. Cómo solucionarlo.
En las últimas semanas fue noticia la fragilidad del Estado para gestionar y proteger nuestros datos personales. Primero por la filtración de cerca de seis millones de licencias de conducir con imágenes y datos, incluidos los del Presidente y algunos de sus ministros, a las cuales podemos acceder con sólo enviar un mensaje por Telegram. Luego fue el turno del Renaper. De un lado aseguran que se robaron 65 millones de registros que incluyen nuestros datos, fotos y huellas, así como el código de las API, contraseñas y más. Del otro, el organismo dice que nada de eso sucedió y que todo está en orden.
Dejando de lado estas situaciones en particular, lo cierto es que el Estado está en constante riesgo y su rol como protector de nuestros datos personales está en crisis. Aquí, y en la gran mayoría de los países, capacitar a los empleados públicos, invertir en ciberseguridad, profesionalizar las áreas de TI y tomar el tema seriamente, puede ayudar a mejorar la situación, aunque también hay otro aspecto del que poco se habla: necesitamos descentralizar el riesgo y, con ello, construir una nueva identidad digital. ¿Pero eso qué significa?
ejercicio de nuestra identidad en el mundo físico funciona bastante bien. Si quiero validar quién soy, solo debo presentar una tarjetita de plástico. Si quiero abrir una cuenta bancaria, comprar un vino o sacar una línea telefónica, el proceso es el mismo: presento mi DNI, del otro lado miran la foto, que sea original y listo. Y algo muy importante: el Estado emite mi DNI, pero no sabe cuándo lo uso. Eso sucede en todos los países democráticos.
En el mundo digital la cosa es distinta. Cuando empezamos a utilizar la web para más cosas que solo acceder a información, tenemos que asegurarnos, que quién está detrás de la computadora o del celular es quien dice ser. ¿Y cómo lo hacemos? O bien creando una nueva identidad digital para cada institución o aplicación, o delegando esa tarea a un tercero (proveedor de identidad). La primera opción requiere acordarse de cientos de usuarios y contraseñas, mientras que la segunda implica hacer login con Google, Facebook, Apple, Renaper o Anses, entre otros. Este modelo de identidad ha generado silos de información y algunos silos son tan grandes que son irresistibles para hackers o ladrones, especialmente en el caso del sector público (aunque también es un grave problema en las empresas).
En la actualidad, el Estado argentino tiene que guardar millones de registros para poder validar nuestra identidad de manera online y que podamos acceder a distintos servicios públicos y privados. Para que ello suceda, no solo tiene que concentrar mucha información, sino que además, tiene que compartirla con empresas u otros organismos para que ellos puedan darnos servicios.
Y los problemas surgen cuando se comparte. Por ejemplo, para que podamos tener nuestra licencia de conducir en la app Mi Argentina, la Agencia Nacional de Seguridad Vial debe compartir los datos con la aplicación y esto duplica el riesgo de filtraciones o robo de información. Lo mismo sucede con el Renaper, quien debe compartir nuestros datos con bancos, fintech u organismos del Estado, entre muchos otros. Comúnmente este tipo de organismos se resisten a compartir información, porque saben el riesgo que ello implica.
Quedamos atrapados en un juego imposible donde los proveedores de identidad tienen mucha información y deben compartirla con otros para que existan servicios online, pero, al mismo tiempo, eso genera un riesgo enorme de filtraciones o hackeos de información que luego se utiliza para robos o estafas.
¿Entonces qué hacer? Un camino es tomarse el tema seriamente e invertir en ciberseguridad. Además de ello, deben generarse arquitectuel ras que disminuyan el riesgo y que reduzcan el incentivo de los ladrones. Ese camino es lo que hoy se denomina Identidad Descentralizada y es el que han tomado países como Canadá, Estados Unidos o la Unión Europea con su EIDAS 2.0.
Para comprender qué nos permite hacer la Identidad Descentralizada, volvamos a la comparación con el mundo físico. La gran mayoría de nosotros tenemos una billetera en la cual guardamos dinero, credenciales y tarjetas. Algunos puntos a destacar sobre el funcionamiento de las billeteras en el mundo físico: ninguna de las instituciones tuvo que compartir información entre sí para emitir la credencial, sólo el dueño de la billetera sabe cuáles credenciales tiene y para poder llevarlas los emisores sólo tuvieron que ponerse de acuerdo en un estándar: su tamaño. Otro aspecto importante es que hay una clara diferencia entre la credencial (o sus datos) y el artefacto que la contiene. Las credenciales las emitió una institución, pero la billetera es del usuario, por lo que tiene autonomía para utilizarla por fuera de las instituciones emisoras.
Nuevamente, en el mundo digital el modelo es diferente. Tenemos credenciales digitales, pero viven sólo dentro de la app de la institución emisora. Por ejemplo, para el caso de Argentina, la licencia de conducir y el DNI digital solo puedo llevarlas dentro de la app de Mi Argentina. No pueden vivir por fuera de ese entorno y, lo que es más problemático, no pueden interactuar con otros sistemas como tampoco pueden compartirse con terceros. Lo mismo sucede con la credencial del seguro médico o el carnet de socio de un club: solo tienen vida dentro de la app emisora. Por ende, las credenciales que tenemos hoy en nuestros dispositivos no son credenciales digitales, sino credenciales digitalizadas. Con mi DNI físico yo puedo comprar una bebida en cualquier vinería, pero con mi DNI digital no puedo hacerlo en un ecommerce.
En evidente que necesitamos un modelo de identidad que combine lo mejor del mundo físico (privacidad y simpleza) con lo mejor del mundo digital (portabilidad y verificación). Debemos ejercer nuestra identidad digital con los mismos parámetros que lo hacemos en el mundo físico, y así poder interactuar con las instituciones de manera más simple, segura y con mayor confianza.
Equilibrar la privacidad con conveniencia para el usuario es posible, sólo debemos repensar la arquitectura sobre la cual funciona nuestra identidad. La Identidad Descentralizada puede transformar la web y, en el camino, mejorar la relación entre ciudadanos y gobiernos.