Traducción al español del artículo publicado por Felix Hildebrandt
Puedes consultar la versión original en inglés aquí
Muchas gracias a Rob Golden, Hugo Masclet, y Callum Grindle, quienes me ayudaron a pulir este artículo. También estoy muy agradecido por la colaboración con KEEZ para atraer más atención hacia este tema.
El mapeo de identidades, activos digitales, y perfiles en línea ha ganado una tracción significativa recientemente en la industria de la blockchain. Nueva tecnología está dando paso a arquitecturas que pavimentarán el camino hacia mecanismos descentralizados y orientados al usuario. Este artículos abarca lo siguiente:
1. Cómo ha evolucionado la internet el manejo de identidades
2. Qué problemas surgieron para el manejo de identidad
3. Cómo las nuevas arquitecturas ayudan a construir aplicaciones encima de los derechos de privacidad
Para determinar la privacidad, la tabulación, y los lineamientos de los datos de usuario necesarios para las nacientes ramas de servicios descentralizados, consideramos las perspectivas tecnológicas y éticas actuales, así como lecciones aprendidas de sistemas de identidad del pasado
Identidad dentro de la internet tipica
La internet es una malla global de servidores que usan protocolos como TCP e IP para enfocarse en transmisiones de datos entre direcciones de dispositivos específicos. Los individuos pueden transferir datos hacia servidores, y los ordenadores comunes pueden conectarse y cargar esta información. Cuando surgió la internet, a finales de 1980s, las páginas web podrían ser descritas como ventanas hacia un mundo nuevo. Con los estándares actuales, esas páginas web son primitivas. Les falta la gestión de usuarios, eran de solo lectura, y principalmente, utilizadas para compartir conocimiento universitario. En ese entonces, la comunicación seguía siendo más o menos hecha a través del teléfono o del correo, aunque el uso del correo electrónico comenzó a crecer. La sociedad abrazó rápidamente a la internet y, cuando la interacción entre usuarios y la internet creció, surgió una nueva era de conectividad en línea, conocida hoy en día como Web2. Se trató de una revolución de interfaz con nuevas funcionalidades de navegador, dejando las estructuras centralizadas en servidores y las bases de datos (el back-end) sin cambios.
Mientras la internet maduraba, la demanda por analistas de la web se incrementaba. Debido a las limitaciones tecnologías de la época, solo era posible para los administradores el determinar cuántos dispositivos visitan ciertas páginas y en qué momento visualizaban el contenido. El seguimiento extendido de las interacciones era imposible, lo que derivó en una nueva tecnología para brindar acceso a la información acerca del individuo frente al dispositivo.
La seguridad y el respaldo de sistemas de TI se incrementó drásticamente para administrar el rendimiento y la seguridad de lo que se convirtió en el activo más valioso: la información de los usuarios. Mientras los fraudes incrementaron, las compañías construyeron grandes centros de servidores para asegurar los archivos de sus usuarios contra accesos no autorizados. Los ingenieros desarrollaron cookies y APIs para monitorear la conducta de los usuarios en cada sesión. Los servicios pudieron, incluso, almacenar datos de navegación o información del usuario dentro del navegador. El análisis del comportamiento se popularizó tanto que evolucionó hacia un negocio en sí mismo. Recaudar datos sobre el contenido del carrito de compras, los intereses, la historia de navegación, y los anuncios previamente vistos fue esencial para mejorar las ventas. Las compañías ganaron una visión significativa acerca de la persona detrás de los dispositivos con esta información. Nuevos casos de uso como las redes sociales, el comercio electrónico e incluso plataformas de conocimiento interactivo proliferaron. Por ejemplo, Facebook y Google promovieron un estilo de vida digital, plataformas de conocimiento como Wikipedia tuvieron un gran incremento en contenido, y Amazon reclamó el mercado minorista. Surgió una gran necesidad por datos de usuarios detallados. Lo que comenzó a partir de optimizar ganancias mediante el seguimiento de los usuarios, evolucionó en generar ganancias directamente a partir de la información personal. En resumen, el análisis de datos se ha convertido en un factor esencial en cómo los productos digitales ganan valor.
Actualmente, la identidad en la red consiste, primordialmente, de múltiples cuentas de usuario creadas para casi cualquier producto o servicio de software utilizado. Cuando un dispositivo inicia sesión, obtiene acceso a la información contenida dentro de la cuenta. En esta relación, el proveedor de servicios es el custodio de la cuenta y controla completamente todos los datos. Los usuarios pueden iniciar sesión directamente desde el proveedor de servicio o a través de ligar sesiones existentes utilizando otros proveedores. El segundo método, que permite iniciar sesiones a múltiples servicios utilizando una cuenta principal, fue desarrollado por gigantes de la TI con billones de usuarios, incluyendo Google, Facebook, y Microsoft. Éste método aumenta tanto la conveniencia como los riesgos de perder el acceso a todas las cuentas ligadas al proveedor. Si la contraseña se pierde, o la cuenta es comprometida, o el servicio no funciona, tal puede ser el caso.
Nuevos métodos para asegurar la autenticación han evolucionado, 2FA (autenticación de 2 factores) y OAuth 2.0 siendo dos estándares actualmente. La 2FA agrega una capa de seguridad al método tradicional de nombre de usuario y contraseña, al solicitar a los usuarios presentar pruebas adicionales de autenticación, como puede ser un código de una aplicación autenticadora. OAuth trae más seguridad al transmitir credenciales ligadas a otros servicios y brinda a los usuarios control sobre donde se comparten sus datos. Sin embargo, el principio del intermediario permanece: el intermediario puede, en todo momento, vigilar las interacciones del usuario de las cuentas ligadas a sus servicios. Los accesos ligados, representan un daño colosal en cuestiones de privacidad y son susceptibles a ataques que pueden afectar todos los servicios conectados al mismo tiempo.
Fundamentalmente, los retos que se enfrentan al crear soluciones de identidad digital pueden ser rastreadas hasta la arquitectura de la internet. Fue diseñada alrededor de máquinas con direcciones de dispositivo únicas, no de individuos con identidades únicas. No existen sistemas integrados para verificar la identidad, solamente sistemas que pueden probar dispositivos. Inicialmente, la internet era una fuente de información de sólo lectura. Los desarrolladores crearon autenticaciones con nombre de usuario y contraseña en la era de la Web2, cuando la internet se convirtió en interactiva. Estos métodos fueron construidos sobre la arquitectura original, basada en dispositivos, que es propensa a la manipulación e intercepción de datos. La no existencia de una capa sofisticada de identidad dentro de la internet es una de las principales fuentes de crímenes cibernéticos y robos de identidad. Esta amenaza global genera enormes daños financieros y personales. El Presidente de IBM, Ginny Rometty, describe el robo de identidad como “la más grande amenaza para cualquier profesión, cualquier industria, y cualquier compañía en el mundo.”
La Web2 carece de la tecnología para crear valores únicos digitales que podamos firmar. La firma en un documento representa tu identidad en el mundo real, pero los archivos que transmitimos dentro de la internet son simplemente copias. Comúnmente, los digitalizamos para representar credenciales utilizadas repetidamente en la internet, pero al proveer la captura de pantalla de un pasaporte o de un certificado de inscripción, se deja mucho espacio para crímenes. Con tantos servicios almacenando diferentes datos personales, es fácil perder el rastro acerca de quién la tiene o la utiliza, o incluso, si se encuentra actualizada. En esta situación, los usuarios deben poner su confianza en los proveedores de servicios que tienen su identidad e información personal.
Los datos personales son almacenados en servidores operados por compañías. Aún con regulaciones que brindan a los usuarios el control de sus datos, la información técnicamente, todavía les pertenece. Los usuarios han ganado el derecho de administrar los datos que están siendo recogidos acerca de ellos, pero eso no detiene a las compañías de poder procesar lo que han recolectado previamente. Con qué velocidad pueden las compañías analizar los datos buscando la ventaja deseada es, simplemente, un tema de poder computacional, el cual crece exponencialmente.
Implementación de Datos y Leyes de Seguridad
También han surgido cuestiones éticas alrededor de la recolección de datos personales, lo que dió origen a la Regulación General de Protección de Datos de la Unión Europea (GDPR por sus siglas en inglés) en 2018. La GDPR resolvió que “todo aquello que ayuda a identificar a una persona, sin importar si hace referencia al aspecto profesional, privado o público” es catalogado como datos personales.
La clasificación ética está basada en esta definición y debería asegurar que los usuarios tengan el derecho exclusivo para administrar sus datos, ya sea información sensible o no. Los datos de usuarios son recolectados en cualquier caso, y es complicado de limitar. Los gobiernos no deberían restringir la recolección de datos, pero los ciudadanos deben mantener acceso total y transparente a los datos personales recolectados.
La Regulación General de Protección de Datos es utilizada para proteger los datos recolectados de los ciudadanos de la Unión Europea. La soberanía de datos debe ser un derecho fundamental, que todas las compañías garanticen. Debe aplicar a todos los ciudadanos, constituciones y negocios dentro de la Unión Europea. Las metas de la GDPR son proteger los derechos fundamentales y las libertades de personas naturales en el procesamiento y el libre movimiento de sus datos. Para proteger a los ciudadanos, las compañías deben definir claramente los datos personales específicos almacenados, así como los métodos de procesamiento que utilizan.
Las compañías, usualmente, tienen suficientes datos de los usuarios para formar modelos de personalidad exactos. La GDPR limita como estos datos pueden ser obtenidos, pero las empresas pueden manipular creativamente los datos para activar vacíos legales. Además, la innovación en el procesamiento de datos, permite que más y más información sea obtenida de fuentes legítimas de datos, lo que contrarresta la efectividad de las regulaciones.
En el futuro, las compañías deberían tener que adaptarse a nuevas regulaciones de forma constante. Con el tiempo, los usuarios ganarán más derechos para borrar datos y buscar dónde y cuándo las empresas almacenan sus datos. Multas más altas, y la obligación de informar a los usuarios en caso de infracciones, seguirán. Las regulaciones deben ser extra territoriales, lo que significa que deben aplicar para servidores que operan fuera de la Unión Europea. La consideración esencial es de donde provienen los datos y hacia donde fluyen. Certificados que verifican que ciertos servicios y productos cumplen con protocolos gubernamentales, también discutieron los estándares de la GDPR. Aún así, las verificaciones pueden ser un obstáculo en tanto que la EU debe realizar evaluaciones periódicas que revisen el código y los algoritmos usados dentro de los servicios digitales. Implementar sistemas que supervisen el cumplimiento de regulaciones es una tarea enorme y puede resultar en una larga reestructura de los ecosistemas digitales. Cada negocio, sistema de salud, entidad gubernamental, plataforma de comercio electrónico y futuro dispositivo con Internet de las Cosas (IoT), requiere de la administración de identidad. Reimaginar y cambiar la manera como se almacenan y gestionan los datos, desde compañías pequeñas hasta gigantes de TI es altamente relevante.
Como fue definido dentro de la GDPR, las compañías deben cumplir con los derechos de protección de datos mostrados en su lista de verificación. La infraestructura de identidad es cara. Muchas compañías aún se encuentran atrapadas en demandas de propiedad de datos, ventas ambiguas de datos, y las áreas grises de predicción de comportamiento de usuarios. En tanto los derechos de los usuarios, para gestionar sus datos personales sigue creciendo, la demanda por su cumplimiento seguirá creciendo. Los usuarios ya tienen el derecho de prevenir la recolección de datos específicos y forzar su eliminación. La definición de la GDPR sobre los datos de usuarios, claramente define que los datos recolectados son propiedad de los usuarios y que dichos usuarios pueden dar acceso, si así lo desean. A pesar de la Regulación de Protección de Datos existente, no todas las compañías se adhieren completamente a las reglas establecidas o lo encuentran casi imposible, debido a la incómoda interpretación de dichas reglas. Si las compañías ofrecen más transparencia, los usuarios ganan más objeciones acerca de los datos personales y sus perfiles de usuario. También revela las fuentes y el origen de los datos. Estos aspectos pueden limitar la calidad de los procesos de Big Data si los usuarios niegan la recolección de flujos de datos específicos. Sin embargo, es un paso en la dirección correcta para ganar una interacción justa y el cumplimiento de los derechos humanos, en tanto debemos permanecer como un sistema centralizado. Las compañías aún mantendrán los datos de usuarios y controlarán identidades, pero los usuarios obtendrán mayores derechos de administración. Estas mejoras pueden, a la vez, reforzar la lealtad de un cliente y la importancia del análisis de datos.
Ahora que el estado del manejo de cuentas actual y las leyes de datos de usuarios han sido abordadas, podemos considerar un nuevo enfoque en la administración de la identidad en la segunda parte.
→ Soluciones de Identidad para la internet: Parte 2
