- Cómo funciona el modelo centralizado de gestión de datos personales
- Cómo funciona el modelo federado de gestión de datos personales
- Cómo funciona el modelo SSi para la gestión de datos personales
¿Qué es una identidad digital? Se trata de una pregunta cada vez más actual en un mundo cada vez más digitalizado y que traslada sus servicios del mundo físico al mundo informático. Desde un punto de vista técnico, una identidad digital consiste en un conjunto de información catalogada dentro de un sistema informático y gestionada por una entidad centralizada propietaria de ese sistema informático.
Más allá de la simple definición de identidad digital, ahora forma parte de todos nosotros. La identidad digital es la forma en que todos nos identificamos dentro de nuestras interacciones en línea, que ahora representan una gran parte de nuestras interacciones diarias.
La Self-Sovereign Identity, un concepto que empezamos a explorar en este artículo, es un nuevo modelo de gestión de la identidad digital, mucho más centrado en el individuo. Hasta la fecha, de hecho, se han sucedido varios modelos de gestión de la identidad digital, y es muy importante conocerlos para entender cómo la Identidad Autosoberana es una innovación radical en este campo.
Los modelos de identidad digital que han existido hasta la fecha son principalmente tres:
- Modelo centralizado
- Modelo Federado
- Modelo de identidad auto-soberana
Internet, una tecnología cada día más utilizada en nuestra vida cotidiana, nos ha puesto ante el reto de identificar al cada vez mayor número de usuarios en línea. Por esta razón, junto con el crecimiento de Internet, hemos asistido a un aumento del uso de las identidades digitales. En este contexto se ha acuñado la definición de proveedores de identidad. Estos últimos son entidades que, desde el principio, se encargan de crear y gestionar las identidades digitales de los usuarios, identificados mediante atributos específicos (como el correo electrónico y las contraseñas).
Modelo centralizado
El modelo centralizado de identidad digital también se denomina “modelo de silos”. Según este modelo, como ya se ha mencionado, la organización que crea la identidad del usuario para su servicio sigue siendo el punto central del modelo.
Para entender qué se entiende por un modelo de identidad digital centralizado, se puede pensar en todos aquellos servicios en los que es necesario crear una cuenta en la organización (por ejemplo, Facebook) que gestiona ese servicio. La identidad y toda la información relacionada con ella se mantiene y representa dentro de la cuenta.
En este modelo, los usuarios pueden crear su propia identidad digital (a menudo y con frecuencia en forma de “cuenta”). La identidad es entonces custodiada de forma centralizada por las organizaciones que actúan como proveedoras de identidad (que en este caso es también el propio proveedor de servicios) y permiten a los usuarios acceder a los servicios, por ejemplo pidiéndoles “secretos” que sólo el usuario puede conocer, como una contraseña o un PIN.
Todos los datos personales del usuario se guardan en las bases de datos internas de la organización, también llamadas “Silos” (de ahí el nombre “Modelo de Silos”).
El modelo centralizado hace que los usuarios sean completamente “dependientes” de las organizaciones que tienen sus datos, y conlleva algunos riesgos y debilidades potenciales:
- Dado que la mayoría de los datos personales se guardan en bases de datos centralizadas, existen riesgos de ciberseguridad debido a que una filtración de la base de datos de la organización expondría los datos sensibles de los usuarios (como se ha visto en los numerosos incidentes de piratería informática ocurridos en los últimos años, el último en términos de tiempo incluyendo a EasyJet);
- Los sistemas de identidad digital centralizados han creado lo que se define como el “fenómeno de la identidad múltiple”. Los usuarios se encuentran ahora con una identidad digital diferente para cada servicio que utilizan: Facebook, LinkedIn, Google y cualquier otra cuenta que tengan en línea. Esto hace que la experiencia online del usuario sea más complicada y que no tenga forma de gestionar todos sus datos dentro de la misma identidad digital.
El modelo centralizado es un modelo sencillo de utilizar y aplicar para las organizaciones. Permite a las empresas conservar los datos de sus usuarios y, de este modo, mantener una relación constante con el usuario (siempre que éste utilice el servicio ofrecido). Por otro lado, este modelo puede presentar problemas de seguridad, como ya se ha visto en varios casos en los que los datos personales de los usuarios han sido robados por piratas informáticos o han quedado expuestos de alguna manera en Internet. Además, este modelo no tiene un planteamiento que apunte a una mejor gestión para el usuario, sino sólo para las organizaciones que poseen los datos, creando fenómenos como las identidades múltiples.
Modelo federado
El modelo centralizado de gestión de identidades presenta algunos problemas en cuanto a la forma en que se gestiona la experiencia del usuario de gestionar su identidad en línea. Por ello, con el paso del tiempo, se ha observado una transición hacia el modelo denominado federado. El centro de este modelo de identidad es el proveedor de identidad (IDP), que actúa como puente entre el usuario y el servicio al que accede.
En el caso del modelo federado, la entidad que realmente “posee” la identidad digital del usuario y los datos asociados es el proveedor de identidad. El usuario puede utilizar su identidad digital con los distintos servicios, siempre “pasando” por el IDP, que sigue siendo el núcleo del modelo.
Un ejemplo de IDP a nivel italiano puede ser el SPID: a través de una única identidad, poseída por un usuario a través de uno de los proveedores (provider) que forma parte de la “Federación”, el usuario puede acceder a diferentes servicios. Otro ejemplo de gestión de la identidad digital federada lo representa Google: un usuario de Google puede hoy acceder de forma federada a varios servicios a través de su cuenta de Google (basta pensar en las redes wi-fi públicas, que requieren la identificación del usuario mediante el acceso a su cuenta de Google o Facebook).
Este modelo de gestión de identidades digitales permite evitar el fenómeno de las identidades múltiples para los usuarios, que a través de una única identidad pueden disfrutar de una experiencia de Single-Sign-On. Al mismo tiempo, también en este modelo, al igual que en el centralizado, un usuario no es el verdadero propietario de sus datos “digitales”, que en cambio siempre están en manos de un tercero, es decir, del proveedor de identidad. Por esta razón, un modelo de identidad digital federada pesa mucho sobre el proveedor, que debe “estar presente” en cada acceso del usuario a los servicios en línea. Esto, como puede deducirse, también plantea riesgos para la privacidad del usuario, ya que el proveedor de identidad puede realmente “controlar” los servicios utilizados con la identidad digital del usuario.
Modelo de identidad autosuficiente
El paradigma de la Self-Sovereign Identity representa una forma nueva y completamente revolucionaria de gestionar la identidad digital. El concepto de SSI está completamente centrado en el usuario: éste es el único e independiente propietario de su identidad digital y de todos los datos relacionados con ella.
La Self-Sovereign Identity es un modelo que se diferencia de los anteriores y tiene como objetivo que el usuario siga siendo el único propietario de sus datos (del término Autosoberano), gracias al uso de protocolos como Blockchain. De hecho, los modelos descritos anteriormente utilizan un “sistema de nombres centralizado” como base de datos para almacenar las distintas informaciones relacionadas con las identidades. El SSi sustituye esta herramienta utilizando la Blockchain, creando lo que se define como un “sistema de nombres descentralizado”. También hay que tener en cuenta que, debido a las características esenciales de una Blockchain, como la inmutabilidad y la resiliencia (sin tiempo de inactividad), el modelo de identidad autosuficiente cuenta con una mayor seguridad para todos los actores implicados.
La Self-Sovereign Identity es un concepto que se ve favorecido por una serie de innovaciones, como los estándares DID y Verifiable Credentials que se están definiendo. Se profundizará en el tema a través de una serie de guías que cubrirán todos los aspectos de este nuevo paradigma de la identidad digital.