¿Alguna vez te has preguntado si podrías digitalizar tu identidad? Bueno, tu identidad “oficial”, eso es. Todos tienen una serie de documentos o certificados emitidos por organismos oficiales que atestiguan su identidad, calificaciones y habilidades en relación con organismos administrativos, el estado o cualquier otro tipo de institución.
Colectivamente, estos documentos se denominan cada vez más “credenciales“, ya que pueden utilizarse en una gran variedad de contextos. Pueden incluir, por ejemplo, una tarjeta de identificación, una licencia de conducir, un número de seguro de salud o seguridad social, un diploma, un título universitario o un certificado de formación, o incluso tu currículum vitae. Todos los datos de credenciales son propiedad del sujeto individual, pero pueden ser útiles en cualquier tipo de interacción con organismos públicos u otros tipos de organismos a los que se les dé permiso para verificar cualquier reclamación o presentación hecha por ese sujeto.
Añadiendo al desafío de digitalizar tales documentos, por razones prácticas, está el de garantizar la absoluta autenticidad de estas versiones digitales, o “credenciales digitales“, como se les llama. Debido a los riesgos muy reales de fraude y ciberataques, poder almacenar y verificar de forma segura cualquier tipo de datos se ha vuelto fundamental, lo que ha llevado al desarrollo de una especificación de estándar internacional abierto para la presentación de credenciales digitales verificables que estarán seguras con una clave o firma criptográfica.
BCdiploma está aquí para explicarte todo sobre este estándar, que permitirá que los datos de los documentos de identidad digital se almacenen y verifiquen de manera segura, manteniendo la privacidad del usuario final del servicio.
El desafío de digitalizar documentos de identidad
La creciente digitalización de documentos de identificación: hacia una identidad digital
Hoy en día, cada vez existen más documentos de identidad y certificados de formación en forma digital.
Por ejemplo, en Francia, se introdujo el 2 de agosto de 2021 una nueva tarjeta de identidad biométrica que incluye un código QR y un chip electrónico, con el fin de proporcionar acceso a pruebas de una versión totalmente digital de los documentos de identidad de uno. Estas identidades digitales, o “DIDs”, son la nueva frontera en tokens de prueba de identidad.
Varias universidades también han comenzado a emitir certificados digitales para la finalización de cursos. Y ahora puedes mostrar un Open Badge, testificando tu calificación, en tu perfil de LinkedIn, para mostrar tus habilidades personales y compartirlos y sus pruebas con un solo clic.
Los documentos de identidad digitalizados (dIDs) tienen varias ventajas:
- Almacenamiento más sencillo.
- Acceso más rápido.
- Mayor seguridad contra pérdidas o robos.
- Prueba de revocación en caso de necesidad.
Sin embargo, un modelo de digitalización simple puede presentar varios problemas. Con el desarrollo de herramientas como Photoshop, las credenciales digitales presentadas como un archivo, nota, imagen, PDF u otro tipo de token se han vuelto mucho más fáciles de manipular de formas difíciles de detectar. Y la revocación de una credencial emitida de esta manera es imposible de implementar. De hecho, una imagen digitalizada de una firma u otros identificadores similares ya no es suficiente, los documentos ahora deben firmarse con una clave criptográfica para ser considerados como un token en tiempo real a prueba de falsificaciones.
La necesidad de verificabilidad para combatir el robo, el fraude y las falsificaciones
Según un estudio de Onfido en Francia, más de 200,000 personas fueron víctimas de fraude de identidad en 2020, un 29% más que en 2019, en parte debido a la pandemia de Covid-19. El estudio también informó que en el 70% de los casos de fraude, la información en los documentos oficiales estaba incorrecta o había sido manipulada.
Si bien el fraude y la falsificación de documentos de respaldo se han centrado principalmente en documentos necesarios para servicios bancarios, el fraude de diplomas también es generalizado y está en aumento, con hasta un 68% de los currículums de los solicitantes de empleo en Francia que se informa que son engañosos de alguna manera. En el 29% de los casos de fraude, un solicitante presentó un diploma diferente al que realmente había obtenido como estudiante universitario. Aunque esta práctica se está volviendo cada vez más común, los reclutadores rara vez tienen el reflejo de verificar la autenticidad de los diplomas y los datos informados.
Ya sea que estemos hablando de demostrar la identidad o las calificaciones de uno, ¿cómo se puede verificar la autenticidad de la información? Las nuevas tecnologías ahora permiten utilizar credenciales digitales como un servicio para combatir el robo de identidad, la falsificación y el fraude a través de un tercero. Estas nuevas tecnologías son el origen del estándar internacional de credenciales verificables.
Credenciales Verificables: una identidad digital digitalizada, descentralizada y segura
¿Qué es una credencial verificable?
Una “credencial verificable” es un documento que presenta información, al tiempo que permite que esa información se verifique frente a registros oficiales. La credencial verificable es una versión digital de la credencial que es verificable a través de la tecnología utilizada como servicio para garantizar su autenticidad.
El estándar de modelo de datos de Credenciales Verificables de W3C de código abierto especifica cómo generar credenciales verificables (VCs) que son:
- Aseguradas por criptografía.
- Respetuosas de la privacidad.
- Verificables por máquina.
Las tecnologías utilizadas para cumplir con estos criterios incluyen firmas digitales y la blockchain. La blockchain es una tecnología segura para almacenar y transmitir datos de manera descentralizada, asegurando que todos los usuarios tengan acceso a un registro de datos encriptados y que todas las modificaciones sean perfectamente rastreables.
¿Cómo funcionan las credenciales verificables para garantizar una identidad verificable de manera descentralizada?
Tres tipos de actores permiten que las credenciales verificables (VCs) funcionen:
- El emisor es la organización oficial y reconocida que emite la credencial verificable al titular.
- El titular puede generar enlaces URL, códigos QR y otros medios digitales y compartirlos con cualquier parte que quiera verificar las credenciales.
- El verificador puede verificar la autenticidad, validez y conformidad de la información, que sigue siendo propiedad del titular.
El titular tiene un control completo sobre sus propias credenciales verificables (VCs) y, por lo tanto, sobre su identidad y documentos de identidad digital o “dIDs”. El titular puede decidir qué datos compartir, con quién y cuándo desee. Aunque cada credencial es emitida por un organismo oficial y puede ser verificada por otra parte, todas las credenciales pertenecen exclusivamente al titular, ya sea que se mantengan en una billetera, una aplicación o una aplicación web. Es esta distribución bien definida de roles entre estos tres actores la que garantiza que las credenciales verificables (VCs) tengan una naturaleza descentralizada y segura.
Los tres actores conforman lo que se llama un “triángulo de confianza”. En términos técnicos, cada papel puede ser desempeñado por una persona, una institución, un servidor web o un dispositivo de Internet de las cosas (IoT). Esto significa que, en principio, cualquier persona puede presentar una credencial verificable a cualquier otra persona. El emisor no necesariamente tiene que ser un tipo de institución, universidad u organismo público. Una analogía es un banco que emite una tarjeta de crédito física. El banco, o emisor, asigna al usuario, o titular, la propiedad de la tarjeta, que luego puede ser utilizada en cualquier tienda donde la propia tienda, el verificador, deba decidir si confiar o no en el emisor.
El triángulo de confianza funciona porque el verificador no tiene que confiar únicamente en el usuario titular. Al presentar una tarjeta, puede verificar su validez en tiempo real, enviando una solicitud al emisor específico para verificar cualquier identificador del usuario y cualquier caso de revocación de sus derechos para usar la tarjeta.
En el contexto de un servicio digitalizado, el método de presentación de la credencial emitida puede ser una aplicación, una aplicación web, un sitio web o una billetera criptográfica, donde las afirmaciones de cualquier propiedad específica, como un diploma universitario, se pueden ofrecer al verificador para que las verifique por sí mismas a través del tercero, es decir, el emisor. Las afirmaciones del titular estudiante del diploma están, por lo tanto, instantáneamente sujetas a prueba.
¿Cómo funciona el Modelo de Datos de Credenciales Verificables de W3C a nivel técnico?
Las VCs deben contener ciertos datos que sean fácilmente legibles para humanos y máquinas, de modo que puedan ser verificados tanto a mano como automáticamente. El formato de archivo utilizado generalmente para esto es un archivo JSON. Un archivo de Notación de Objetos JavaScript (JSON) es un formato de especificación abierta para transmitir datos como una serie de atributos y valores, así como matrices.
Los atributos pueden llevar nombres como:
- verifiableCredential.
- credentialSubject.
- emisor.
- grado.
- universidad.
- prueba.
- fecha de emisión.
- fecha de vencimiento.
- método de verificación.
- … y así sucesivamente.
Luego, un archivo JSON se puede convertir en un Token Web JSON, o JWT. Este JWT es un archivo JSON al que se ha añadido una firma de cifrado, asegurada por una clave secreta privada o un par de claves pública y privada. Este JWT es, por lo tanto, una forma de asegurar las pruebas de las afirmaciones hechas en el archivo JSON y codificadas como atributos, como verifiableCredential, credentialSubject, y así sucesivamente.
La presentación de un JWT permite al titular cifrar los datos JSON de la credencial usando la clave pública del receptor previsto y luego permite al receptor leer esos datos y los valores de los atributos, como verifiableCredential y credentialSubject, utilizando su propia clave privada. Del mismo modo, el receptor, en este contexto también el verificador, puede solicitar la confirmación de la validez de las credenciales al emisor y recibir, a cambio, un JWT que también puede ser descifrado por clave privada.
¿Cómo se mantiene la privacidad del titular de la credencial?
Retomemos la analogía de una tarjeta de crédito por un momento una vez más. Cuando llegas al mostrador de pago de una tienda, no saben absolutamente nada de ti hasta que presentas tu tarjeta. Luego, no tienen medios para saber cuánto tienes en tu cuenta bancaria. Todo lo que pueden hacer es tomar identificadores públicos como el nombre en la tarjeta y la firma en la parte posterior, antes de proceder con la solicitud al emisor para confirmar los derechos de uso. Esta solicitud se realiza a través de una línea telefónica, utilizando una conexión cifrada. En caso de revocación de la tarjeta por parte del emisor, el pago simplemente no se realiza. La tarjeta sigue siendo propiedad del usuario, que es libre de salir de la tienda con la tarjeta en mano.
De manera similar, en el contexto de un antiguo estudiante haciendo presentaciones o reclamaciones a un posible empleador sobre la materia específica que estudiaron en la universidad, el reclutador no tiene conocimiento previo del candidato. Sin embargo, si se le da permiso como verificador, el reclutador puede verificar con la universidad o el emisor de un certificado de grado o documento similar o credencial, si las presentaciones hechas por el solicitante de empleo son verdaderas o no. Es decir, pueden comprobar si el estudiante realmente estudió esa materia específica en esa institución específica.
La decisión de compartir esa información recae en el estudiante. Por ejemplo, en lugar de un código PIN, el estudiante tiene una firma o clave digital que le permite dar permiso al reclutador. No tienen ninguna obligación de hacer presentaciones sobre sus estudios a nadie. Pero, si de hecho han estudiado la materia en la universidad y necesitan una prueba de ello, pueden usar un tipo sencillo de token web, como un JWT, para hacerlo.
Un ejemplo de credenciales verificables: los certificados 100% blockchain de BCdiploma
BCdiploma ha creado los primeros diplomas y certificaciones digitales verificables, a prueba de manipulaciones y duraderos basados en la tecnología blockchain. Estas certificaciones cumplen con la especificación del Modelo de Datos de Credenciales Verificables de W3C a nivel internacional, ya que, por naturaleza, la blockchain garantiza la autenticidad y seguridad de todos los datos que contiene.
¿Cómo se verifica la información contenida en los certificados digitales de BCdiploma? Ejemplo de un diploma digital 100% blockchain:
- La identidad del emisor del diploma, como una escuela u organización de formación, se verifica mediante un sistema patentado.
- El diploma digital presenta las diversas piezas de información de identificación almacenadas en la blockchain, como nombre, apellido, escuela, tipo de diploma y una marca de tiempo.
- En forma digitalizada, se puede compartir a través de un enlace URL, código QR, billetera virtual de estudiante o directamente en redes sociales.
- Los reclutadores pueden verificar instantáneamente la autenticidad del diploma específico abriendo el documento virtual en una aplicación o en la web.
En este contexto, además de permitir la digitalización de los diplomas, a través de Open Badges y certificaciones blockchain, por ejemplo, el equipo de I+D de BCdiploma está contribuyendo a la especificación de los estándares de código abierto del mañana, como el Modelo de Datos de Credenciales Verificables de W3C, a través de diversos proyectos llevados a cabo en colaboración con actores institucionales, que incluyen:
- La Infraestructura de Servicios de Blockchain Europea (EBSI), que trabaja en la especificación de un ecosistema europeo que permitirá el intercambio y la presentación automatizados de credenciales verificables emitidas (VCs).
- El Laboratorio de Marco de Identidad Auto-Soberano Europeo de la Próxima Generación de Internet (NGI) (eSSIF), que trabaja en la creación de una billetera en línea para identidades digitales (dIDs) que permitirá el intercambio y la firma de cualquier tipo específico de certificado oficial.
- El proyecto Bridge Blockchain Health Card, con CEREMA, en Francia, que creará una plataforma de almacenamiento descentralizado y seguro para los datos del inventario de estructuras de ingeniería civil en municipios que participan en el Programa Nacional de Puentes.
Lea nuestro white paper sobre un caso de uso de credenciales verificables basado en blockchain.