Por: Melanie Maynes, gerente senior de mercadotecnia de producto en Microsoft Security.
Nuestra identidad se vuelve cada vez más digital: más de nuestras credenciales impresas se convierten a formatos digitales. Usamos estas credenciales digitales para trabajar, aprender, jugar, socializar, comprar y consumir servicios en línea y fuera de línea todos los días. Es tan conveniente y esperado ahora poder tener estos aspectos de la vida al alcance de la mano. Más de la mitad de la economía global se basa o está influenciada por lo digital1. La información digital se vuelve fluida e interconectada a través de los servicios. Sin embargo, no siempre está bajo nuestro control como individuos.
La identidad digital ahora está al borde de una gran transformación en una que sea más segura, respetuosa de la privacidad y portátil. La identidad no se incorporó de manera fundamental a Internet, lo que ha dado lugar a que las empresas establezcan relaciones singulares con cada uno de nosotros. El desarrollo de estas cuentas separadas, cada una almacenada en bases de datos centrales propiedad de diferentes empresas, ha llevado a un mayor riesgo de violaciones de seguridad y privacidad. Tan solo digitalizar un proceso comercial o una identificación física no reduce estos riesgos. Necesitamos un sistema de identidad que reúna nuestra identidad, propiedad del individuo, y haga que las identidades digitales sean portátiles de una manera confiable y segura.
Para ilustrar, consideren una licencia de conducir de plástico. La digitalización de una licencia de conducir reemplaza una tarjeta de plástico con una tarjeta digital en la billetera de su teléfono inteligente, por ejemplo. Si desean usar su licencia para demostrar su edad, una licencia digital hace que sea conveniente compartirla con minoristas y proveedores de servicios, pero al mismo tiempo, también se vuelve más fácil para las empresas ver toda la información impresa en su identificación, como fecha de nacimiento y género, lo que abre así la puerta a preocupaciones de seguimiento y privacidad. Sin embargo, cuando se hace bien, puede mejorar la privacidad y la seguridad. En lugar de tan solo digitalizar la licencia y mover toda la información impresa en su identificación a una imagen en un teléfono, un enfoque descentralizado donde usted posee la identidad y puede mostrar que la información fue verificada, le permite compartir la información que es necesaria de su licencia de conducir y revocarla cuando sea necesario.
Repasemos algunas de las diferencias entre la digitalización y la descentralización de credenciales.
La seguridad y su identidad digital
Digitalizar una identidad solo hace una representación digital de un activo, pero no significa que tenga el mismo nivel de seguridad que el archivo o documento original. Si bien puede ser digitalizada y emitida por una fuente oficial, el verificador podría hacer una copia digital y almacenarla, sobre la cual ustedes no tienen control. Las aplicaciones a menudo confían en los atributos de la credencial, que también son susceptibles a las filtraciones de datos. Para resolver y probar que la persona es quien dice ser, nos hemos apoyado en métodos de autenticación como nombres de usuario y contraseñas. Cuando se piratea una cuenta, una persona está a merced de la empresa para reclamar su cuenta y los datos personales que le pertenecen por derecho. Con la descentralización, se puede demostrar que la persona es el verdadero propietario de la identidad del mundo real mediante la verificación de sus credenciales firmadas de manera digital. Las personas pueden usar una billetera segura y encriptada para almacenar sus datos de identidad y controlar con facilidad el acceso a ellos. Una identidad descentralizada podría reemplazar la necesidad de nombres de usuario y contraseñas por completo y trabajar con otras formas de autenticación para proporcionar el nivel requerido de certificación.
Privacidad y protección de datos
Con el aumento de la digitalización, las preocupaciones sobre la privacidad están al frente y al centro. Las personas son cada vez más conscientes de la cantidad de datos que las organizaciones recopilan y se benefician de ellos, lo que hace que algunas personas recurran a las VPN o compartan información falsa para devaluar los datos recopilados de ellos2. Leyes de protección de datos, como el Reglamento General de Protección de Datos (RGPD), tienen como objetivo poner más control en manos de los usuarios para ver y administrar su información, pero no resuelve el problema por completo. En lugar de que las empresas tomen copias de sus datos de identidad, podrían obtener el permiso de la persona para acceder a la información requerida y verificar los datos de manera digital sin almacenarlos. Los nuevos conceptos estandarizados que se han comenzado a desarrollar incluyen pruebas de conocimiento cero, donde una parte puede probar a otra parte que una declaración dada es verdadera o falsa, como probar su edad o ciudadanía. Esto limita los datos compartidos a solo lo que se necesita. Para las organizaciones, puede reducir la carga de administrar la información de identificación personal (PII, por sus siglas en inglés) al proporcionar a los usuarios un control total sobre lo que comparten y convertirse en administradores de sus propios datos. Creemos que la divulgación selectiva y la minimización del viaje de los datos son requisitos críticos para descentralizar la identidad.
Portabilidad y visibilidad
¿Recuerdan compartir copias de documentos por correo electrónico antes de poder almacenarlos en la nube? Esto creaba varias copias del mismo documento, lo que dificulta el seguimiento de los cambios y cuál era el archivo más reciente. Con la descentralización, las personas pueden almacenar los datos de identidad originales como una credencial en su propio dispositivo, firmados de manera criptográfica con su propia clave privada y compartir el registro con cualquier organización. Luego, la organización puede verificar que proviene de una fuente autorizada con una simple verificación en el libro mayor. El usuario conserva la visibilidad de cómo se utilizó esa información y durante cuánto tiempo la organización tiene acceso a ella. El uso de especificaciones de estándares abiertos, como las credenciales verificables del World Wide Web Consortium (W3C), facilita que las personas y las empresas reciban y presenten credenciales a través de plataformas y servicios. Permite a las personas construir relaciones con organizaciones que son mutuamente beneficiosas.
Siguientes pasos
Convertir las credenciales en formato digital no es nuevo, pero la descentralización de la identidad va más allá. Brinda a las personas la capacidad de verificar sus credenciales una vez y usarlas en cualquier lugar como prueba de certificación. Con el nexo de control que pasa a los usuarios, pueden administrar justo lo que quieren compartir y por cuánto tiempo, y proteger sus datos guardados en su propia billetera digital.
Los estándares para la descentralización aún están en proceso de formalización y prueba, pero no es demasiado pronto para comenzar a explorar casos de uso. Piensen en las áreas en las que los beneficios de la descentralización pueden ayudar a su negocio, como la incorporación rápida de empleados y contratistas, o para brindar seguridad adicional para otorgar acceso a aplicaciones de alto valor o recuperar una cuenta. Con el impulso en torno a la descentralización de Internet, la moneda, los activos y más, vemos un sistema de identidad descentralizado como un componente crucial para permitir la confianza y la seguridad para el futuro.
Obtengan más información sobre las soluciones de identidad descentralizadas de Microsoft.
Para obtener más información sobre las soluciones de seguridad de Microsoft, visiten nuestro sitio web. Agreguen a Favoritos el blog de Seguridad para mantenerse al día con nuestra cobertura experta en asuntos de seguridad. Además, síganos en @MSFTSecurity para conocer las últimas noticias y actualizaciones sobre ciberseguridad.
1Webcast de IDC FutureScape: Predicciones de transformación digital mundial para 2022, Shawn Fitzgerald, Robert Parker, IDC. noviembre de 2021.
2 ¿Qué son los corredores de datos y cuál es el valor de sus datos?, Equipo de WebFX, WebFX. 16 de marzo de 2020.
