Paradigmas de la Gestión de Identidad Digital

Identidad digital

A lo largo de los últimos años se han ido definiendo diferentes propuestas para facilitar el uso de la identificación digital de las personas en Internet, conectando la identidad digital, la identidad personal que es la base de derechos y obligaciones y la preservación de la privacidad, permitiendo el ejercicio de derechos respecto a la normativa de protección de datos personales.

En este artículo se repasan algunas de las propuestas más populares.

Identidad autogestionada

La identidad autogestionada, también llamada soberana o autosoberana (Self-Sovereign Identity o SSI, por sus siglas en inglés) es un concepto que busca garantizar el control de la información de identidad a los individuos. Los principios fundamentales de la identidad autogestionada son:

1. Control del Usuario

El individuo tiene un control total sobre su propia identidad. Esto significa que decide qué información comparte, con quién y con qué propósito.

2. Existencia

Cada individuo debe tener una existencia única, lo que significa que no debe haber duplicados o múltiples identidades para una misma persona.

3. Acceso Selectivo

El usuario debe tener la capacidad de revelar diferentes aspectos de su identidad a diferentes partes, dependiendo de la situación y de lo que se requiera.

4. Persistencia

Una identidad soberana debe ser duradera y no estar sujeta a la voluntad de ninguna organización o autoridad central. Debería existir incluso si una empresa o entidad deja de operar.

5. Portabilidad

Los datos de identidad deben poder ser transportados y utilizados en diferentes contextos y plataformas sin perder validez o fiabilidad.

6. Consentimiento

Cualquier intercambio de datos de identidad debe estar basado en el consentimiento expreso del individuo. Esto significa que el usuario debe dar permiso antes de que sus datos sean compartidos.

7. Seguridad y Privacidad

Los sistemas de identidad soberana deben ser seguros y proteger la privacidad del individuo. Deben implementar medidas de seguridad robustas y encriptación para evitar el acceso no autorizado.

8. Interoperabilidad

Los sistemas de identidad soberana deben ser capaces de funcionar en conjunto y comunicarse entre sí de manera eficaz, permitiendo que las identidades sean utilizadas en una amplia variedad de contextos y plataformas.

Estos principios son fundamentales para la concepción y desarrollo de sistemas de identidad autogestionada y se centran en garantizar que los individuos tengan un mayor control sobre su propia información de identidad.

Identidad centrada en el usuario

La identidad centrada en el usuario (User-Centric Identity) es otro enfoque que persigue poner al individuo en el centro del control de su propia identidad digital. Aunque comparte algunos principios con la identidad autogestionada, también tiene algunas diferencias. Aquí están los principales principios de la identidad centrada en el usuario:

1. Control del Usuario

Al igual que en la identidad autogestionada, en la identidad centrada en el usuario, el individuo tiene un mayor control sobre su propia información de identidad. Pueden gestionar y compartir su información según sus preferencias y necesidades.

2. Facilita la Experiencia del Usuario

Se enfoca en proporcionar una experiencia de usuario intuitiva y conveniente para la gestión de la identidad, facilitando la administración de la información personal.

3. Privacidad y Seguridad:

Al igual que en la identidad autogestionada, se enfoca en la protección de la privacidad y seguridad del individuo. Esto implica implementar medidas de seguridad robustas y cifrado para evitar el acceso no autorizado.

4. Transparencia y Control del Consentimiento

El usuario tiene un control explícito sobre qué información comparte y con quién. Además, se promueve la transparencia en cómo se utilizarán sus datos.

5.Interoperabilidad

Se busca que los sistemas de identidad sean compatibles y puedan interactuar de manera eficaz con diferentes plataformas y servicios, permitiendo que la identidad se utilice de manera versátil.

6. Facilita la Integración con Servicios Externos

Permite a los individuos vincular o conectar su identidad con una variedad de servicios y aplicaciones de terceros de manera sencilla.

7. Facilita la Personalización y Contextualización

La identidad centrada en el usuario se adapta a las necesidades y preferencias individuales, permitiendo que la información compartida se ajuste al contexto específico.

8. Respeto por la Autonomía del Usuario

Reconoce que el usuario tiene la capacidad de tomar decisiones informadas sobre su propia identidad y cómo la comparte.

Es importante tener en cuenta que la identidad centrada en el usuario y la identidad autogestionada comparten muchos principios, pero pueden tener enfoques ligeramente diferentes en cuanto a la implementación y la tecnología subyacente. Ambas buscan dar control a los individuos en la gestión de su identidad digital y en proteger su privacidad y seguridad.

Aspectos que comparten la identidad centrada en el usuario (UCI) y la identidad autogestionada (SSI)

La identidad centrada en el usuario (UCI) y la identidad autogestionada (SSI) comparten varios principios y objetivos clave, ya que ambos enfoques están diseñados para poner a los individuos en el control de su propia identidad digital y para proteger su privacidad. A continuación, se presentan los principios comunes entre ambas:

1. Control del Usuario

Ambos enfoques favorecen que el individuo controle su propia identidad, permitiéndole gestionar y compartir su información de identidad según sus preferencias y necesidades.

2. Privacidad y Seguridad

Tanto la UCI como la SSI se centran en proteger la privacidad y seguridad del individuo. Esto implica implementar medidas de seguridad robustas y cifrado para evitar el acceso no autorizado.

3. Transparencia y Control del Consentimiento:

En ambas, el usuario tiene un control explícito sobre qué información comparte y con quién. Además, se promueve la transparencia de las partes informadas respecto a cómo se utilizarán sus datos.

4. Interoperabilidad

Ambos enfoques buscan que los sistemas de identidad sean compatibles y puedan interactuar de manera eficaz con diferentes plataformas y servicios, permitiendo que la identidad se utilice de manera versátil.

5. Simplifica la Experiencia del Usuario

Tanto la UCI como la SSI buscan proporcionar una experiencia de usuario intuitiva y sencilla para la gestión de la identidad, en particular respecto a la gestión de la información personal.

6. Respeto por la Autonomía del Usuario

En ambos enfoques se reconoce que el usuario tiene la capacidad de tomar decisiones informadas sobre su propia identidad y cómo la comparte.

A pesar de estas similitudes, la implementación técnica y los detalles específicos pueden variar entre la UCI y la SSI. Cada enfoque puede tener características únicas y tecnologías subyacentes distintas. Sin embargo, en el núcleo de ambos enfoques está el objetivo de dar el control a los individuos respecto a su identidad digital y proteger sus datos personales.

Concepto ZK (Zero Knowledge) asociado a la identidad digital

El concepto de «Zero Knowledge» (en español, «Conocimiento Cero») aporta a la gestión de identidad un enfoque de autenticación y verificación que permite demostrar la validez de una afirmación o declaración sin revelar la información de partida de la que se deriva como conclusión. Así se evita revelar información confidencial o privada. En otras palabras, con «Zero Knowledge», un interviniente puede demostrar que posee cierta información o conocimiento sin tener que revelar cuál es esa información.

Este enfoque es especialmente relevante en el contexto de la identidad digital, ya que permite a los individuos demostrar que poseen ciertos atributos o características (como la edad, la pertenencia a un colectivo, el cumplimiento de requisitos, etc.) sin necesidad de divulgar la información exacta que respalda esos atributos.

Por ejemplo, supongamos que una persona quiere demostrar que tiene más de 18 años para acceder a un servicio o comprar un producto que requiere mayoría de edad. Utilizando un protocolo de «conocimiento cero», la persona puede demostrar este hecho sin revelar su edad exacta. La verificación se realiza de manera que la parte informada no obtiene información adicional más allá del cumplimiento del requisito.

Uno de los protocolos de conocimiento cero más conocidos es el ZK-SNARK (Zero-Knowledge Succinct Non-Interactive Argument of Knowledge).

Las Leyes sobre la identidad de Kim Cameron

Kim Cameron fue un experto en seguridad de la información al que se debe la formulación de las «Siete leyes de la Identidad», también conocidas como «Leyes de Kim Cameron sobre la Identidad». Estas leyes proporcionan principios clave para el diseño y la gestión de sistemas de identidad digitales. A continuación, se enumeran las siete leyes de Kim Cameron:

  1. Ley del Control del Usuario:El usuario debe tener control sobre su propia identidad digital y cómo se utiliza.
  2. Ley del Mínimo Conocimiento:Las partes que interactúan solo deben tener acceso a la información de identidad que sea necesaria para llevar a cabo la transacción o la interacción. No se debe divulgar información adicional.
  3. Ley de la Diversidad de la Identidad:Un único sistema de identificación no debe ser suficiente para acceder a todos los servicios y aplicaciones. Debe haber múltiples formas de autenticación y atributos de identidad.
  4. Ley del Consentimiento Expreso:Los usuarios deben dar un consentimiento explícito antes de que se utilice su información de identidad. Además, deben ser plenamente informados sobre cómo se utilizarán sus datos.
  5. Ley del Mínimo Alcance de la Solución (Minimizing Scope):Las soluciones de identidad deben estar diseñadas para ser lo más simples y específicas posible para cumplir con los objetivos de la transacción. No se deben recopilar más datos de los necesarios.
  6. Ley de la Persistencia de la Identidad:La identidad debe ser consistente y persistente a lo largo del tiempo, incluso si los sistemas o servicios cambian.
  7. Ley del Consentimiento de Separación (Consent and Separation):La gestión de la identidad debe ser independiente de los servicios y aplicaciones. Los usuarios deben poder gestionar su identidad por separado de los servicios que utilizan.
Kim Cameron y Julián Inza en la cumbre europea "Trust in the Information Society" de 2010

Estas leyes proporcionan una guía valiosa para el diseño y la implementación de sistemas de identidad digitales que respeten la privacidad y los derechos de los individuos. Kim Cameron ha sido un influyente defensor de la privacidad y la seguridad en el campo de la tecnología de la información y la identidad digital.

Las leyes de Kim Cameron sobre la identidad comparten varios principios fundamentales con el enfoque de la identidad centrada en el usuario (User-Centric Identity). A continuación, se destacan las similitudes:

  1. Ley del Control del Usuario:Ambos enfoques ponen al usuario en el centro del control de su propia identidad digital. En la identidad centrada en el usuario, el individuo tiene un control total sobre su propia información de identidad, lo que se alinea con el principio de Kim Cameron.
  2. Ley del Consentimiento Expreso:Tanto en la identidad centrada en el usuario como en las leyes de Kim Cameron, se enfatiza el consentimiento explícito del usuario antes de que se utilice su información de identidad. Los individuos deben dar su aprobación antes de que se comparta o utilice su información.
  3. Ley del Mínimo Conocimiento:Ambos enfoques buscan limitar el acceso a la información de identidad solo a lo que es estrictamente necesario para llevar a cabo una transacción o interacción. Esto garantiza que no se divulgue más información de la necesaria.
  4. Ley de la Persistencia de la Identidad:Tanto en la identidad centrada en el usuario como en las leyes de Kim Cameron, se reconoce la importancia de mantener la consistencia y persistencia en la identidad a lo largo del tiempo, independientemente de los cambios en los sistemas o servicios.
  5. Ley de Consentimiento de Separación:Ambos enfoques sugieren que la gestión de la identidad debe ser independiente de los servicios y aplicaciones. Los usuarios deben poder controlar y gestionar su identidad de forma separada de los servicios que utilizan.

Aunque las leyes de Kim Cameron son un conjunto de principios generales y la identidad centrada en el usuario es un enfoque más específico, comparten una orientación hacia el control del usuario en la gestión digital de la identidad y la protección de datos personales en ese contexto, en base al consentimiento de la persona.

La Cartera IDUE

El 3 de junio de 2021, la Comisión Europea adoptó una Recomendación  en la que se pide a los Estados miembros que trabajen en el desarrollo de una caja de herramientas que incluya una arquitectura técnica y un marco de referencia ( el ARF, por su designación en inglés “Architecture and Reference Framework”), un conjunto de normas comunes y especificaciones técnicas y un conjunto de directrices comunes y mejores prácticas.

La Recomendación especifica que estos resultados servirán de base para la aplicación de la propuesta de Marco Europeo de Identidad Digital  sin que el proceso de elaboración de la caja de herramientas interfiera o prejuzgue el proceso legislativo.

La Recomendación prevé que la caja de herramientas sea desarrollada por expertos de los Estados miembros en el Grupo de Expertos eIDAS en estrecha coordinación con la Comisión y, cuando sea pertinente para el funcionamiento de la infraestructura de la Cartera de Identidad Digital de la Unión Europea (IDUE), con otras partes interesadas de los sectores público y privado.

Siguiendo el calendario indicativo establecido en la Recomendación, el 30 de septiembre de 2021 se acordaron un proceso y unos procedimientos de trabajo que se debatieron en un documento oficioso sobre una descripción de alto nivel del ecosistema Cartera IDUE, propuesto por la Comisión.

Sobre esta base, entre octubre y diciembre de 2021 se definió un esquema que proporcionaba una descripción más detallada del concepto de cartera IDUE, sus funcionalidades y aspectos de seguridad, así como de varios casos de uso básicos. Ese trabajo dio lugar al Esbozo del ARF, adoptado por el Grupo de Expertos eIDAS en febrero de 2022. El esquema se publicó en Futurium para recabar la opinión del público. Cuando se cerró el periodo de comentarios el 15 de abril de 2022, 36 partes interesadas habían enviado sus comentarios sobre el Esbozo.

Desde entonces, el Grupo de Expertos eIDAS ha seguido desarrollando los conceptos y especificaciones del Marco Europeo de Identidad Digital sobre la base de la propuesta de revisión del Reglamento EIDAS de la Comisión y seguirá haciéndolo hasta que concluyan las negociaciones legislativas y se adopten los actos de ejecución.

Otros paradigmas de identidad digital

Además de la identidad centrada en el usuario (UCI) y la identidad autogestionada (SSI), existen otros paradigmas de identidad digital que han ganado popularidad en los últimos años. Cabría citar:

1. Identidad Federada

Este paradigma permite a un usuario utilizar las mismas credenciales de inicio de sesión para acceder a múltiples servicios y aplicaciones en diferentes dominios o plataformas. Esto se logra a través de protocolos de federación de identidad como SAML (Security Assertion Markup Language) y OAuth.

2. Blockchain e Identidad Descentralizada

Similar a SSI, este enfoque utiliza tecnologías de blockchain para registrar algunos códigos que permiten autorizar a las partes informadas a acceder a ciertos datos personales o señalan su interés en que dejen de tenerlos.

3. Biometría y Autenticación Multifactor (MFA)

Estos métodos de autenticación se basan en características físicas o de comportamiento únicas de la persona, como huellas dactilares, rasgos faciales o patrones de escritura. MFA combina múltiples métodos de autenticación para mejorar la seguridad.

4. Verificación de Identidad Digital (VID)

Este enfoque se centra en la verificación de la identidad de un individuo en línea mediante videoidentificación utilizando tecnologías y métodos de autenticación avanzados, como análisis de documentos de identidad, reconocimiento facial y verificación biométrica.

5. Identidad Contextual

Este paradigma tiene en cuenta el contexto en el que se realiza la autenticación, como la ubicación, el dispositivo utilizado, la lógica del comportamiento según contextos de caso de uso y otros factores. La autenticación puede adaptarse en función de la experiencia de usuario para mejorar la seguridad.

6. Identidad Social

Se basa en la autenticación a través de cuentas registradas en redes sociales. Los usuarios pueden utilizar sus credenciales de una red social para acceder a otros servicios y aplicaciones.

7. Identidad Anónima o Pseudónima

En lugar de revelar información personal completa, este enfoque permite a las personas que usen un alias o pseudónimo para interactuar en línea, manteniendo cierto grado de privacidad.

Cada paradigma tiene sus propias ventajas y desafíos, y la elección del enfoque adecuado dependerá de los requisitos específicos de cada situación y de las preferencias de quienes implementan las variantes más adecuadas a caso de uso.

A fecha de 28 de septiembre de 2023 no ha concluido el proceso legislativo que dará lugar al «Reglamento EIDAS 2» aunque sí se han publicado varias versiones del ARF, la última la versión 1.1 (Arquitectura técnica y marco de referencia V1.1.0)

Si le resultó interesante este artículo, visite otros artículos o nuestra página web.