Credenciales descentralizadas, el rincón más tranquilo y prometedor de la Web3 para los negocios (Parte I)
Mientras el metaverso y las criptomonedas tropiezan, los directivos que no pierden de vista Web3 pueden aprender de las credenciales descentralizadas.
Los ejecutivos oyen hablar mucho de Web3, una hoja de ruta basada en blockchain para la Internet del futuro cuyos componentes básicos incluyen criptomonedas y el metaverso. Aún es pronto para la mayoría de estos desarrollos, pero los líderes deben tomar nota de las credenciales descentralizadas, una de las aplicaciones más silenciosas pero prometedoras bajo el paraguas de Web3.
Aunque no todas las organizaciones necesitarán crear una marca en un metaverso o realizar transacciones con criptomonedas, todas gestionan credenciales como emisores, titulares y verificadores. Todas las organizaciones emiten credenciales para empleados, clientes, proveedores y socios. Una cuenta para la gestión de identidades es la credencial más ubicua que se emite.
Blockchain, la diferencia entre tener futuro en el mercado o no
Cada organización posee múltiples credenciales, como una licencia para operar, identificación de contribuyente y registro de valores. Todas las organizaciones verifican las pruebas de credenciales de colaboradores, clientes, proveedores y socios.
Estas tres funciones, junto con una autoridad de gobierno, forman un ecosistema de credenciales. Hoy en día, las organizaciones gestionan sus necesidades de credenciales con bases de datos centralizadas o pagando a terceros de confianza. Las soluciones suelen ser caras, lentas, frustrantes de utilizar y están plagadas de riesgos de ciberseguridad.
No olvidemos que la brecha de SolarWinds de 2020, que afectó a cientos de organizaciones gubernamentales y empresas, se produjo gracias al robo de credenciales de inicio de sesión.
¿Qué permite la descentralización en la Web3?
La decentralización permite a los titulares controlar sus propias credenciales a través de un monedero digital. Depende del titular aceptar una credencial digital que le ofrezca un emisor o aportar la prueba de una credencial a un verificador.
La privacidad aumenta porque los titulares a menudo sólo tienen que presentar una parte de la credencial a una organización verificadora. Por ejemplo, los clientes que piden una cerveza en un bar pueden demostrar que tienen la edad legal para beber sin revelar otra información.
Para los verificadores, las credenciales descentralizadas son eficientes porque la verificación digital se produce en segundos, sin necesidad de contactar directamente con el emisor. Uno de los casos de uso más prometedores es la incorporación de nuevos empleados.
Las empresas contratantes dedican importantes recursos a verificar los antecedentes de un candidato. Por término medio, cuesta 4 mil 129 dólares por contratación, pero el precio puede llegar a 40 mil dólares por puesto para trabajadores altamente cualificados.1
Los emisores pueden generar credenciales una vez, sin necesidad de volver a certificarlas a menos que la credencial haya caducado o cambiado.
Cómo funcionan las credenciales descentralizadas
Los monederos digitales se utilizan para orquestar las interacciones entre emisores, titulares y verificadores de credenciales descentralizadas. Los monederos gestionan relaciones de igual a igual entre dos partes, como un emisor y un titular, o un titular y un verificador. Ambas partes deben acordar que desean estar conectadas, y cualquiera de ellas puede finalizar la conexión en cualquier momento.
Ya está realizada la relación entre pares, ¿ahora qué?
Una vez establecida la relación entre pares, pueden realizarse transacciones. Los emisores pueden enviar credenciales firmadas digitalmente a los titulares, y los titulares pueden enviar pruebas de credenciales a los verificadores.
El monedero del verificador consulta un registro de confianza distribuido (normalmente una cadena de bloques) para asegurarse de que el emisor, y sólo el emisor, puede haber firmado digitalmente la credencial.
Así, las carteras digitales y los registros de confianza distribuidos pueden hacer uso de identificadores descentralizados. Un monedero puede crear tantos identificadores descentralizados como necesite. Cada identificador está controlado por un par de claves pública y privada.
La clave privada reside en el monedero. Los emisores, titulares y verificadores utilizan una de sus claves públicas para establecer una conexión entre pares; los emisores crean credenciales digitales para una de las claves públicas del titular, y los emisores firman las credenciales con una de las claves privadas del emisor.2
Aunque las credenciales descentralizadas aún se encuentran en una fase temprana de su curva de madurez los responsables deberían conocerlas ahora sin perder de vista otras tecnologías Web3. El principal reto es convencer a los participantes del ecosistema para que adopten las credenciales descentralizadas. Formar a emisores, titulares y verificadores en los nuevos procesos y tecnologías; y ampliar la solución.
Dos normas recientes del Consorcio World Wide Web (W3C) ofrecen un marco para la privacidad, seguridad e interoperabilidad de las credenciales.3 Aunque aún es demasiado pronto para hacer prescripciones definitivas, nuestra investigación muestra que los pilotos de producción en vivo han tenido resultados alentadores.
A continuación, compartimos historias y puntos de vista de tres pequeñas implantaciones de credenciales descentralizadas llevadas a cabo por:
- El Servicio Nacional de Salud (NHS) de Inglaterra
- La provincia canadiense de Columbia Británica
- Un consorcio estadounidense de cooperativas financieras de crédito.
Cada una de ellas aborda problemas específicos de su ecosistema de credenciales como parte de una iniciativa estratégica más amplia.
Pasaporte digital del personal del Web3: NHS de Inglaterra para facilitar la movilidad del personal
Emisores de credenciales
Organizaciones empleadoras del NHS de Inglaterra
Motivo de la adopción
El NHS de Inglaterra necesitaba trasladar a los miembros del personal entre los lugares de trabajo de forma rápida y segura durante la pandemia de COVID-19. La solución, denominada COVID-19 Digital Staff Passport, forma parte de su plan estratégico de personal.
El NHS England comprende más de 200 organizaciones (como hospitales) que funcionan como unidades independientes, cada una con sus propios sistemas de recursos humanos.
Los miembros del personal (médicos, enfermeras y otros) se desplazan con frecuencia, realizando más de un millón de traslados al año. Antes, cada vez que un empleado se trasladaba dentro del sistema, recursos humanos pasaba días verificando un montón de credenciales: diplomas, certificados de formación, licencias de registro profesional, etc.
El papeleo era una pesadilla. Sólo en el caso de los médicos en formación, el tiempo de trabajo perdido mientras esperaban a que se verificaran las credenciales sumaba una importante suma de millones de libras esterlinas al mes.4
El viaje de adopción
En 2019, NHS England convocó a socios del ecosistema para trabajar en la solución piloto, incluidos NHSX, el Consejo Médico General del Reino Unido, varios hospitales del NHS y proveedores de tecnología. El equipo adoptó el estándar de credenciales verificables del W3C y utilizó un producto comercial de Avast como monedero digital.
Para el piloto, el NHS de Inglaterra eligió la red Sovrin para verificar que el emisor había firmado la credencial.5 El Pasaporte Digital del Personal se puso en marcha en el verano de 2020 para facilitar los desplazamientos del personal durante la pandemia.
Sólo pueden participar en el proyecto piloto los actuales miembros del personal del NHS, y la adopción es voluntaria. Recursos Humanos es el principal canal de contratación y formación, ya que todos los traslados comienzan y terminan con una visita a recursos humanos. Este departamento también es el mejor situado para garantizar que el hospital genera credenciales digitales para el empleado correcto, un proceso denominado vinculación de identidades.
Bill Gates predice que ni el metaverso ni la Web3 revolucionarán el mercado laboral, será la IA
En el hospital de salida, recursos humanos explica las ventajas del Pasaporte Digital del Personal
Incorporación más rápida, llevar todas las credenciales necesarias en un lugar conveniente en sus teléfonos, proporcionar copia de seguridad y recuperación de sus credenciales en caso de que su teléfono se pierda. El empleado del NHS descarga el monedero en su teléfono, y RRHH envía al monedero del empleado una solicitud de conexión peer-to-peer.
Una vez que el empleado acepta la solicitud, Recursos Humanos le invita a cargar sus credenciales en el monedero. Cada credencial certifica esencialmente: “Este es un empleado del hospital de origen y ya hemos verificado sus credenciales para X, Y y Z“.
En este punto, el empleado posee una cartera cargada y controla con quién compartirá sus credenciales. Ahora el empleado puede trasladarse fácilmente de un hospital a otro según sus necesidades.
Resultados hasta la fecha y próximos pasos
En noviembre de 2022, 105 organizaciones del NHS se habían registrado para utilizar el sistema.6 El NHS de Inglaterra ha informado de resultados prometedores, aunque no ha publicado estadísticas. Estimamos que más de mil empleados se han incorporado al Pasaporte Digital del Personal.
El NHS de Inglaterra ha conseguido ahorrar costes gracias a la reducción de la carga administrativa, aumentar la flexibilidad de la plantilla al facilitar los traslados. Los empleados han informado de las ventajas de disponer de todas sus credenciales en un solo lugar y tener la posibilidad de controlar la solicitud en cada paso.
Philip Graham, director del programa digital de Blackpool Teaching Hospitals, una de las principales organizaciones del NHS, ha declarado:
“La solución permitió el desplazamiento rápido del personal durante la pandemia y todavía se está utilizando como parte de las actividades de recuperación de la COVID. Uno de los próximos pasos es implantar un pasaporte digital estratégico para el personal con interoperabilidad de carteras digitales para evitar la dependencia de un proveedor”.
Web3: Credenciales verificables de Colombia Británica para empresas y ciudadanos
Emisores de credenciales
La provincia de Colombia Británica (BC)
Motivo de la adopción
Las credenciales digitales forman parte de la estrategia de la provincia para mejorar su capacidad de prestar servicios en la economía digital. John Jordan, director ejecutivo del BC Digital Trust Service, explicó que los “servicios en línea” de muchos organismos suelen implicar enviaar copias de credenciales.
En este caso, las administraciones públicas no están cumpliendo su función de proporcionar a las empresas y los ciudadanos una base digital que les ayude a alquilar fácilmente una propiedad, etc, explicó Jordan.
La Columbia Británica quiere crear credenciales más abiertas, fiables y fáciles de usar para sus empresas y ciudadanos. Considera el paso a las credenciales digitales como la siguiente evolución de las credenciales desde los documentos manuscritos de hace décadas. Eligió credenciales digitales descentralizadas basadas en el modelo creado por la Fundación Trust Over IP de la Fundación Linux.7
El viaje de la adopción
BC comenzó a adoptar credenciales digitales en 2018 con registros de empresas. Como emisora de estas credenciales, la provincia podía crear fácilmente versiones digitales. Es importante destacar que los registros empresariales son de dominio público, por lo que en el proyecto piloto no había inquietud por trabajar con información de identificación personal.
El equipo estaba formado por un gestor y varios desarrolladores. Primero construyeron el monedero de BC con una interfaz de usuario basada en web para titulares y verificadores. Pero se encontraron con un obstáculo: con millones de registros de empresas en el monedero de la provincia, la búsqueda de una empresa concreta era lenta.
BC necesitaba un monedero digital de nivel empresarial, así que convocó un concurso público de 37 mil dólares para construirlo como software de código abierto.
Al igual que el NHS, el equipo eligió la red Sovrin para verificar las firmas digitales. La solución, llamada OrgBook, se lanzó en 2019.8 Ahora cualquiera puede buscar en el sitio web para encontrar registros empresariales verificables.
La IA confronta a Elon Musk y Bill Gates, ¿quién tiene la razón?
Resultados hasta la fecha y próximos pasos
Jordan describió el proceso de adopción de credenciales descentralizadas en la provincia como un “despliegue responsable y respetuoso” en general. A cada paso se aporta un valor añadido, como la prestación de un servicio público gratuito para que cualquiera pueda buscar, encontrar y validar credenciales empresariales. BC, en cooperación con otras jurisdicciones, tiene previsto desarrollar su propio registro de confianza distribuido.
“Cuando las credenciales verificables despegan, se convierten en una infraestructura crítica que el gobierno debe proporcionar a sus ciudadanos para que puedan llevar su vida digital de forma confidencial”, dijo Jordan.
Web3: MemberPass de Bonifii para miembros de cooperativas de crédito
Emisores de credenciales
Cooperativas de crédito
Motivo de la adopción
Bonifii es una organización de servicios que presta apoyo a 70 cooperativas de crédito con sede en Estados Unidos. Las cooperativas de crédito buscaban servicios digitales más seguros y fiables.
Sus sistemas de identidad centralizados, basados en cuentas y contraseñas, eran cada vez más onerosos, ya que los socios tenían que utilizar autenticación en dos o tres pasos. Los estafadores enviaban cada vez más mensajes de texto o de correo electrónico fraudulentos a los afiliados, lo que aumentaba los riesgos de usurpación de identidad y fraude.
Las credenciales descentralizadas ofrecían a las cooperativas de crédito una forma mejor de verificar a los socios y a los socios de verificar que realmente estaban interactuando con sus cooperativas de crédito.
El viaje de adopción
Bonifii, tres cooperativas de crédito y un proveedor tecnológico abordaron por primera vez la prueba de afiliación y comenzaron a desarrollar MemberPass en 2019. Como en los dos casos anteriores, la red Sovrin sirve de registro público para verificar las firmas digitales. Sovrin se basa en los principios de la Trust Over IP Foundation y la FIDO (Fast ID Online) Alliance.10
MemberPass afirma ser “la primera identidad digital controlada por los miembros que cumple con la normativa y emitida por cooperativas de crédito”.11
La credencial digital era sencilla: Proporcionaba pruebas verificables por máquina del número de identificación del socio, el nombre de la cooperativa de crédito y la fecha de activación de la afiliación. En un primer momento, las cooperativas invitaron a los socios a adoptar la credencial cuando acudían a una sucursal. Poco después del lanzamiento, habilitaron la inscripción telefónica. MemberPass puede utilizarse ahora en persona, en una sucursal, en cajeros automáticos, en llamadas telefónicas a centros de atención telefónica y en línea.12
Similitudes entre el póker y la Web 3.0, ¿cómo esquivar los riesgos?
Resultados hasta ahora y próximos pasos
En el segundo trimestre de 2021, siete cooperativas de crédito participaban y más de 22 mil socios habían descargado el monedero MemberPass. En el primer trimestre de 2022, 10 cooperativas de crédito se habían unido al esfuerzo y el número de adoptantes se había quintuplicado.
Para los socios, las principales ventajas son la comodidad y la confianza de que están tratando con sus cooperativas de crédito y no con estafadores. Los beneficios para las cooperativas de crédito son transacciones más eficientes, menor riesgo de fraude y relaciones de mayor confianza con los socios.
En agosto de 2022 se lanzó una nueva versión de MemberPass con funciones adicionales. Las cooperativas de crédito y Bonifii siguen trabajando para ampliar MemberPass a una población objetivo de 6.5 millones de socios. En general, la ampliación de la tecnología ha sido lenta. John Ainsworth, consejero delegado de Bonifii, nos dijo en 2022 que “las credenciales descentralizadas aún están en sus inicios, pero serán una parte crucial de Web3“.
SOBRE LOS AUTORES
Mary Lacity es Catedrática David D. Glass. Erran Carmel es profesor de Tecnología de la Información en la Kogod School of Business de la American University. Amber Grace Young es directora del programa de doctorado en sistemas de información en el Sam M. Walton College of Business. Tamara Roth es investigadora postdoctoral en el Centro Interdisciplinario de Seguridad, Fiabilidad y Confianza de la Universidad de Luxemburgo.
REFERENCIAS
1. B. Turczynski, “2020 HR Statistics: Job Search, Hiring, Recruiting & Interviews,” Zety, updated Jan. 9, 2020, https://zety.com; and “Your Organization’s Reputation on the Line: The Real Cost of Academic Fraud,” PDF file (Herndon, Virginia: National Student Clearinghouse, 2016), https://nscverifications.org.
2. A. Preukschat and D. Reed, “Self-Sovereign Identity: Decentralized Digital Identity and Verifiable Credentials” (Shelter Island, New York: Manning Publications, 2021).
3. The W3C is an international community that develops open standards to ensure the long-term growth of the web. The W3C’s Verifiable Credential standard was published in 2019; its Decentralized Identifiers standard was published in July 2022.
4. M. Lacity and E. Carmel, “Self-Sovereign Identity and Verifiable Credentials in Your Digital Wallet,” MIS Quarterly Executive 21, no. 3 (2022): article 6.
5. The Sovrin Network is managed by the nonprofit Sovrin Foundation. The foundation has authorized over 80 independent volunteers on six continents to operate the network’s nodes.
6. The NHS lists the organizations that have registered to use the Digital Staff Passport on its website.
7. The Trust Over IP Foundation was launched in 2020 with the mission to develop a complete architecture for internet digital trust.
8. The OrgBook for the province of British Columbia is available and can be searched online.
9. “BC Wallet,” Government ID, Government of British Columbia, accessed Jan. 11, 2023, https://www2.gov.bc.ca.
10. The FIDO Alliance is an open industry association with a mission to reduce the world’s overreliance on passwords.
11. “Bonifii and Entersekt Announce New Context-Aware Authentication Solution for Credit Unions,” Bonifii, April 21, 2022, https://bonifii.com.
12. P. Windley, “Building an SSI Ecosystem: MemberPass and Credit Unions,” Phil Windley’s Technometria, June 7, 2021, www.windley.com.