Credenciales descentralizadas, el rincón más tranquilo y prometedor de la Web3 para los negocios (Parte 2)
Mientras el metaverso y las criptomonedas tropiezan, los directivos que no pierden de vista Web3 pueden aprender de las credenciales descentralizadas.
Los ejecutivos oyen hablar mucho de Web3, una hoja de ruta basada en blockchain para la Internet del futuro cuyos componentes básicos incluyen criptomonedas y el metaverso. Aún es pronto para la mayoría de estos desarrollos, pero los líderes deben tomar nota de las credenciales descentralizadas, una de las aplicaciones más silenciosas pero prometedoras bajo el paraguas de Web3.
Perspectivas de los casos pioneros de la Web3 y más allá
Como demuestran los tres casos, las implantaciones muestran resultados prometedores para todas las funciones del ecosistema de credenciales. Los titulares poseen y controlan quién ve sus credenciales, Los emisores pueden generar credenciales una vez. Los verificadores pueden validar credenciales en segundos.
En estos casos, los costes de transacción son bajos para los emisores y gratuitos para los titulares y los verificadores.13 A nivel de ecosistema, las ventajas de la ciberseguridad surgen de la gestión de las relaciones con conexiones entre pares en lugar de con cuentas y contraseñas centralizadas.
Aunque estos resultados son prometedores, nos preguntamos si una solución centralizada podría haber ofrecido resultados similares, así que preguntamos a los pioneros. Para el NHS, integrar y centralizar los historiales médicos de mil 200 hospitales sería técnica y políticamente prohibitivo.
Además, la descentralización implica que los hospitales no renuncian al control. Bonifii se encuentra en una situación similar, ya que las cooperativas de crédito son independientes. En Canadá, una solución centralizada no sería apropiada, ya que las provincias son las emisoras autorizadas de credenciales como certificados de nacimiento.
A pesar del valor prometido, existen importantes retos de adopción que superar y la ampliación de la solución para soportar una mayor participación y tipos adicionales de credenciales. La interoperabilidad y la inmadurez técnica también plantean problemas. Esta es nuestra opinión sobre la adopción en este momento:
Empezar con los emisores, que son los mejor situados para liderar la adopción.
A diferencia de la mayoría de las aplicaciones informáticas que se adoptan dentro de los límites de una organización, las credenciales descentralizadas sólo funcionan si todo un ecosistema las adopta.
Para poner en marcha una solución, debe haber credenciales autorizadas disponibles. Por lo que tiene sentido que los emisores hayan liderado los pilotos en los tres casos anteriores, con el apoyo de las autoridades gobernantes. Tanto en el caso del NHS como en el de Bonifii, los hospitales y las cooperativas de crédito (respectivamente) son simultáneamente emisores y verificadores, lo que reduce el esfuerzo de reclutamiento.
No desesperes: empieza con un subconjunto de emisores, titulares y verificadores
Empezar con un subconjunto de adoptantes permite al equipo de desarrollo ofrecer rápidamente una solución. Si tiene éxito, el equipo demuestra el valor al ecosistema más amplio. NHS England empezó con sólo una fracción de sus mil 200 hospitales y miembros del personal. Bonifii empezó con tres cooperativas de crédito y un pequeño porcentaje de miembros.
Como emisor, la provincia de Columbia Británica empezó con registros de empresas para su primer servicio. Para otro servicio, incluyó un emisor (el Colegio de Abogados), un verificador (la Subdivisión de Servicios de Justicia del Ministerio de Justicia) y 100 abogados.
Hacer que la adopción por los titulares sea voluntaria y la incorporación fácil
Los titulares tienen que entender en qué les beneficiaría adoptar un monedero digital. Una vez que aceptan probar la solución, deben descargar el monedero digital correcto y aprender a aceptar solicitudes de conexión, cargar credenciales de emisores, etc. En dos casos, los emisores reclutaron, formaron y llevaron a cabo el importante primer paso de la vinculación de identidades en el punto de servicio.
En el caso de NHS England, la vinculación de la identidad tuvo lugar cuando un miembro del personal estaba a punto de ser trasladado. En el caso de MemberPass, ocurrió cuando un miembro visitó una sucursal de la cooperativa de crédito. Al principio, cada organización captaba y formaba a los titulares de uno en uno.
Con el tiempo, se añadieron canales adicionales de comunicación e incorporación, como sitios web, vídeos promocionales e invitaciones por correo electrónico.
Considera la interoperabilidad
¿Nos salvarán las normas? Aunque en los tres casos se utilizó la red Sovrin para verificar las firmas digitales porque, como nos dijeron varios participantes en la investigación.
“Era la única red de credenciales descentralizada que existía en ese momento”, hay más de 100 redes competidoras en marcha.14
La interoperabilidad será un problema si las redes funcionan como islas. Además, sólo unos pocos monederos digitales están disponibles comercialmente, aunque se prevé que haya muchos más. Los participantes en la investigación temen que las organizaciones sustituyan una plétora de cuentas y contraseñas por una plétora de monederos digitales. Esto puede evolucionar hasta parecerse a las numerosas aplicaciones que todos tenemos hoy en nuestros teléfonos inteligentes.
Considerar la escalabilidad: ¿Deben tomar la iniciativa los gobiernos?
Hasta ahora no hay soluciones a escala. Dado que muchas de las credenciales fundamentales de la sociedad proceden de los gobiernos. Muchos de los expertos con los que hablamos argumentaron que los gobiernos deben dar un paso al frente e invertir en credenciales descentralizadas como parte de una infraestructura digital internacional. Después de todo, el gobierno de Estados Unidos asumió un papel similar en el pasado financiando y apoyando el desarrollo de Internet en sus etapas iniciales.
Quizá la iniciativa gubernamental más interesante sea el proyecto de Cartera Europea de Identidad Digital. La autenticación transfronteriza de identidades es desde hace tiempo un reto en Europa, donde cada país expide credenciales únicas y la privacidad es primordial. La Unión Europea ha adoptado un planteamiento descendente para liderar la creación de monederos de identidad digital interoperables.
Entre los primeros proyectos piloto y de prueba de concepto nacionales se encuentran el proyecto NESSI para la identificación fiscal digital en el estado alemán de Baviera y otros más. Un caso de uso transfronterizo actualmente en fase de prueba es el proyecto de diploma digital multiuniversitario de la Infraestructura Europea de Servicios de Blockchain.
La revisión del Reglamento de Identificación Electrónica y Servicios de Confianza de la UE, que entrará en vigor este año, facilitará la verificación de la identidad y la autenticación de credenciales para los documentos de identidad y los permisos de conducir.
Otros expertos creen que incluso si los gobiernos catalizan algunas credenciales clave, algunos emisores pueden seguir resistiéndose a cambiar a un modelo de negocio en el que las credenciales se verifiquen con registros de confianza públicos en lugar de con sus bases de datos internas.
¿Qué posibilidades existen con credenciales decentralizadas?
Algunos emisores, como las empresas de informes crediticios, ganan dinero cobrando por las verificaciones, y el modelo de credenciales descentralizadas que describimos en los tres casos perturbaría ese modelo.
David Huseby, que antes trabajaba en seguridad en Hyperledger, cree que la ampliación de los modelos de credenciales descentralizadas que se basan en monederos digitales y validación externa ha sido lenta porque requieren un modelo de negocio de “arrancar y reemplazar“.
Huseby y Rick Cranston, cofundador de Bonifii, han fundado Cryptid, una nueva solución descentralizada que no utiliza monederos digitales, sino API para la infraestructura existente. En su solución, los titulares siguen controlando digitalmente las solicitudes de los verificadores, pero los titulares también pueden dirigir las solicitudes a los emisores.
Los emisores responden en el momento de las solicitudes para recuperar la prueba de credenciales más actualizada de sus bases de datos internas. Los emisores pueden seguir cobrando tasas por la verificación, pero hay un inconveniente que conviene reconocer: Los emisores pueden rastrear la actividad de los usuarios.
Modestos comienzos para llegar a un gran avance con la Web3
Los modestos comienzos que hemos estudiado señalan un futuro prometedor para las credenciales descentralizadas en los negocios y la sociedad. Las credenciales descentralizadas ofrecen un modelo muy diferente de confianza en línea. Si logramos consolidar las bases tecnológicas, abundarán los casos de uso con valor añadido.
Los empresarios podrán abrir una cuenta bancaria y obtener ofertas competitivas para un préstamo empresarial con sólo pulsar un botón. Las empresas no tendrán que emitir formularios W-2 para que los trabajadores presenten sus declaraciones de la renta en Estados Unidos.
Además de proporcionar credenciales para los seres humanos, las credenciales descentralizadas pueden utilizarse para cualquier cosa que necesite una, incluidos animales, plantas, productos farmacéuticos, materias primas, máquinas y productos acabados.
Atributos de empresas o productos como “propiedad de mujeres” o “comercio justo certificado” tendrán más sentido por ser verificables.
Estas posibilidades no son inevitables; sólo ocurrirán si los gobiernos, las empresas y los particulares aprenden sobre las credenciales descentralizadas y participan activamente en el desarrollo y la normalización de ecosistemas de apoyo que puedan interoperar en multitud de ámbitos. La cooperación y la regulación a gran escala serán fundamentales para la adopción oportuna y la capacidad de obtener valor de este componente crítico de Web3.
SOBRE LOS AUTORES
Mary Lacity es Catedrática David D. Glass y Profesora Distinguida de Sistemas de Información en el Sam M. Walton College of Business de la Universidad de Arkansas. Erran Carmel es profesor de Tecnología de la Información en la Kogod School of Business de la American University. Amber Grace Young es directora del programa de doctorado en sistemas de información en el Sam M. Walton College of Business. Tamara Roth es investigadora postdoctoral en el Centro Interdisciplinario de Seguridad, Fiabilidad y Confianza de la Universidad de Luxemburgo.
REFERENCIAS (1-8)
1. B. Turczynski, “2020 HR Statistics: Job Search, Hiring, Recruiting & Interviews“, Zety, actualizado el 9 de enero de 2020, https://zety.com; y “Your Organization’s Reputation on the Line: The Real Cost of Academic Fraud“, archivo PDF (Herndon, Virginia: National Student Clearinghouse, 2016), https://nscverifications.org.
2. A. Preukschat y D. Reed, “Self-Sovereign Identity: Identidad digital descentralizada y credenciales verificables” (Shelter Island, Nueva York: Manning Publications, 2021).
3. El W3C es una comunidad internacional que desarrolla estándares abiertos para garantizar el crecimiento a largo plazo de la web. El estándar Verifiable Credential del W3C se publicó en 2019; su estándar Decentralized Identifiers se publicó en julio de 2022.
4. M. Lacity y E. Carmel, “Self-Sovereign Identity and Verifiable Credentials in Your Digital Wallet“, MIS Quarterly Executive 21, no. 3 (2022): artículo 6.
5. La Red Sovrin está gestionada por la Fundación Sovrin, sin ánimo de lucro. La fundación ha autorizado a más de 80 voluntarios independientes en seis continentes para operar los nodos de la red.
6. El NHS enumera en su sitio web las organizaciones que se han registrado para utilizar el Pasaporte Digital del Personal.
7. La Trust Over IP Foundation se puso en marcha en 2020 con la misión de desarrollar una arquitectura completa para la confianza digital en Internet.
8. El OrgBook de la provincia de Columbia Británica está disponible y se puede buscar en línea.
REFERENCIAS (8-16)
9. “BC Wallet“, identificación del Gobierno, Gobierno de Columbia Británica, consultado el 11 de enero de 2023, https://www2.gov.bc.ca.
10. La Alianza FIDO es una asociación abierta de la industria con la misión de reducir la excesiva dependencia mundial de las contraseñas.
11. “Bonifii and Entersekt Announce New Context-Aware Authentication Solution for Credit Unions“, Bonifii, 21 de abril de 2022, https://bonifii.com.
12. P. Windley, “Building an SSI Ecosystem: MemberPass and Credit Unions“, Phil Windley’s Technometria, 7 de junio de 2021, www.windley.com.
13. Los tres casos utilizan la red Sovrin. En esta red, los costes de transacción son bajos; sólo se cobra a los emisores una tarifa modesta (unos 10 dólares) por publicar sus claves públicas en el registro, y el emisor puede utilizar la clave para firmar un número ilimitado de credenciales. Por el momento, no se cobra a los verificadores por leer el registro.
14. El W3C enumera 136 métodos para credenciales descentralizadas. Véase “DID Specification Registries: The Interoperability Registry for Decentralized Identifiers”, W3C, actualizado el 7 de enero de 2023, www.w3.org.