¿Qué es la identidad digital?
A menudo se confunde el identificador con la identidad. La identidad es el conjunto de todas aquellas cosas que nos identifican. En el ámbito digital esta información es por ejemplo nuestro correo electrónico, el perfil en redes sociales, fotos... pero también nuestros datos bancarios, certificado de vacunación ... El gran reto de Internet sigue siendo como garantizar que nuestros datos sean privados y confiables, y que las instituciones y empresas estén seguras frente a la suplantación de identidad y las brechas de seguridad, por mencionar algunos de los problemas que todavía conlleva.
Hoy en día tenemos muchas identidades digitales, ¿qué confianza merece la identidad digital que se publica en internet y la acreditada oficialmente?
Excepto la acreditada por un prestador de servicios de confianza calificado, la identidad sigue siendo un gran problema. Por ejemplo, el coste global de las brechas de seguridad en las empresas fue de casi 5 billones de euros el año pasado. Uno de cada cinco europeos ha sufrido un robo de identidad digital en los últimos dos años.
El modelo ha sido cautivo durante muchos años por parte de grandes operadores de Internet y a menudo es muy difícil probar quién está detrás de una identidad en Internet. Puede ser incluso un bot.
Estamos colaborando con la Comisión Europea en la construcción del modelo que debe permitir que esto cambie. Pero en parte también, como prestador de servicios de confianza calificado por la normativa europea, nos interesa especialmente tener un modelo de identidad digital confiable que a la vez permita un despliegue universal.
¿Los Gobiernos deben acreditar de una forma oficial nuestra identidad digital?
Los gobiernos son una parte imprescindible. La CE establece que para 2030, todos los servicios públicos clave deberán estar disponibles en línea y el 80% de los ciudadanos deberán utilizar una solución de identificación electrónica. Dado que al menos una vez al año cada ciudadano se relaciona con la Administración Pública, esto significa más de 250 millones de usuarios digitales.
Una identidad segura son los Certificados Digitales AAPP pero no están muy desarrollados entre la ciudadanía, ¿puede haber un modelo universal fácil para los ciudadanos y seguro?
Efectivamente, el actual modelo basado en certificados digitales ha demostrado sus problemas de usabilidad que han impedido un desarrollo universal. Ahora bien, la base tecnológica es muy potente y ha sido un gran aprendizaje. El cambio en el paradigma se está produciendo con el modelo de identidades descentralizadas (también llamado SSI - Self-Sovereign identitites). Por ejemplo, nuestro servicio VIDchain se basa en una aplicación móvil (wallet-cartera) donde cada ciudadano puede gestionar las credenciales que forman su identidad: nuestro DNI, permiso de conducción, datos bancarios, de salud, profesionales, con la garantía de poder compartir con terceros únicamente las partes de la identidad que son necesarias según la situación. Por ejemplo, se puede demostrar que somos mayores de edad, sin tener que mostrar todos los datos que aparecen en nuestro DNI.
¿Este modelo de Identidad Digital Soberana será universal?
Este modelo se puede aplicar a todos los entornos y sectores. Alguna de las industrias que más rápidamente lo está incorporando, por razones obvias, es el área de la salud y los viajes. Se necesita la fluidez de la información sanitaria (pasaporte de vacunación) para poder restablecer la economía con seguridad. Bancos, sector público o el área de recursos humanos, son también algunos de los entornos que están pilotando y que más rápidamente se pueden beneficiar de estos procesos. Es por ello, que para que sea universal (como por ejemplo ha sido el correo electrónico) es fundamental que el modelo sea interoperable independientemente de la tecnología o producto concreto que cada persona utilice. Este trabajo se está haciendo en diversos organismos de estandarización globales como el W3C, DIF, ISO, en los que estamos participando.
¿Qué tecnologías se pueden llegar a utilizar?
Hay como 3 grandes áreas en las que estamos trabajando: Por un lado, una cartera de identidad digital que cualquiera puede utilizar en su teléfono inteligente. Por otro, un emisor de credenciales de identidad que permita a las compañías y las instituciones no sólo emitir sino también revocar una credencial para mayor seguridad. Y finalmente un servicio que permita consumir y verificar las credenciales. En este sentido, y para garantizar que las aplicaciones actuales puedan hacer un uso sencillo, hemos desarrollado un conector basado en el estándar OpenID Connect.
¿Sería menos vulnerable a los ciberataques?
Sí, gracias a la descentralización y en que la gestión de usuarios de una aplicación ya no se basa en tener una base de datos centralizada con sus identidades.
¿Qué está haciendo la Comisión Europea en este nuevo modelo de identidad?
El momento es ahora. La Unión Europea está trabajando para que se adopte el modelo de identidad descentralizada. Por un lado, gracias al proyecto EBSI, en el cual estamos trabajando, que ha permitido realizar pruebas de concepto en varios casos de uso entre los estados miembros, y por otro la publicación del borrador de la revisión del no reglamento eIDAS (reglamento de identidad digital y servicios de confianza) en el cual se empiezan a establecer las bases de cómo funcionará este modelo de identidad descentralizada que se prevé que entre en vigor hacia finales de 2022.
¿Está trabajando en casos de uso concretos?
Estamos trabajando en casos de uso para Sanidad, Administración Pública, Bancos y RH. Hay mucho interés por parte de todo el mundo ya que está claro que es un modelo que permitirá superar el problema histórico de la identidad en Internet y que por tanto se podrán ofrecer muchos servicios que aporten valor.
Parecería que el control de los datos personales debe volver a los usuarios, pero ¿Gobiernos y grandes empresas están por la labor?
Es que este es uno de los valores fundacionales de la UE. Por eso tenemos el GDPR que tiene una gran influencia en todo el mundo. Si la UE no nos sirve para eso, ya nos diréis para que sirve. Es decir, por supuesto, la Unión Europea y las empresas están haciendo muchos esfuerzos a implantar el modelo, y las Instituciones y gobiernos locales en la misma dirección. Y no olvidemos que, además, es una gran oportunidad para que la industria de los servicios de confianza europea lidere esta transformación a nivel mundial.
Para contactar con Santi Casas haga su petición AQUÍ