Parte de la serie sobre el futuro de la identidad

Por Dan Blum, arquitecto principal de seguridad y privacidad, Respect Network

Fechado en 2019 – Hoy es el quinto aniversario del lanzamiento de Respect Network y se me ha pedido que escriba este artículo como si nos estuviéramos describiendo el panorama de gestión de identidad a nosotros mismos cuando éramos más jóvenes en el 2014. Para contemplar este desplazamiento en el tiempo, he recreado el estado de nuestros tópicos hace cinco años y he hecho un hyperlink a varias referencias enlazadas a viejos archivos.

¿Se acuerdan del 2014? Mucha gente no había oído hablar de nubes personales y yo tendría que describírselas como “la primera red de nube personal privada, en la cual los individuos gestionan sus relaciones con otras personas y negocios dentro de un marco de confianza que protege la propiedad, privacidad y control de la información personal”. Hubo una campaña que tenía el hashtag #TakeBackControl y pese a que la red comenzó con una funcionalidad mínima, su visión era clara y la arquitectura bien especificada.

En 2014, el empoderamiento personal en línea parecía un concepto audaz, incluso en el mundo libre al que pertenecía, y al cual voy a ceñir mis generalizaciones del tiempo presente. Pocas personas fuera del movimiento inicial a favor de la privacidad, pensaron que las nubes personales tendrían mucho impacto. Pero ahora casi todo el mundo tiene una nube personal con uno de los muchos proveedores de servicios en la red, con un socio de ecosistema o con una red competidora.

La identidad digital desafía la estandarización porque es tan individual como las personas a quienes trata de servir

En cuanto a la gestión de identidad ¿por dónde es que empiezo? En el 2014 todavía se podía hablar sobre la identidad digital separada de los derechos individuales a la privacidad y el control, como si nuestra identidad fuera algo que las organizaciones debían gestionar para nosotros. Nadie podría haber previsto hasta qué grado el mundo se desplazaría hacia la modalidad “Trae tu propio dispositivo” (BYOID) con herramientas como el inicio de sesión social seguro. Esa democratización de la identidad no solo ha sido magnífica para la gente, sino también ha sido buena para los negocios.

Para el tema de los estándares de identidad digital, en el año 2014 no se logró consenso, ni tampoco hay consenso ahora. La “capa de identidad en Internet” es como el metasistema sobre el que Kim Cameron escribió en los 90.

La identidad digital desafía la estandarización porque es tan individual como la gente a quienes trata de servir; y por otra parte la gente, las organizaciones, las aplicaciones y las tecnologías de dispositivos vestibles o implantables evolucionan con tanta rapidez que no se pueden precisar las interfaces. Aquí se aplica el viejo dicho “lo mejor sobre los estándares es que hay tantos”.

Por ejemplo, generalmente las iniciativas de tarjeta de identificación gubernamental no han tenido éxito o han sido limitadas en su alcance. Actualmente la mayoría de las organizaciones contratan lo que hemos dado en llamar gestión de identidad. Los viejos estándares basados en servicios de autenticación y autorización centralizados, van desapareciendo a medida que los sistemas distribuidos consumen cada vez más metadatos y toman decisiones contextuales basadas en riesgo (tal como se previó en la Fundación de Identidad Global original, pero mucho más descentralizado).

Eso está bien, las nubes personales y de negocios suelen conectarse como iguales. Las nubes personales son portables, de modo que tu identidad digital, al igual que tu identidad biológica, te pertenecen de por vida. Ya en 2019 pocos se asombrarían si hablas de tu nube personal como de tu “yo digital”. Y a medida que construimos nuestras reputaciones y keychains, las nubes personales han sido cada vez más viables también para BYOID.

Las nubes personales con terceros proveedores de identidad, proveedores de reclamaciones y proveedores de pagos, conforman actualmente el patrón predominante de arquitectura para la autenticación en línea, autorización, reputación y comercio. Como la mayoría de las nubes personales son implementadas como gráficos semánticos, pueden emplearse múltiples estándares incluso dentro de una red única de confianza.

Pese al uso generalizado de la biometría y de otras formas de autenticación “fuerte”, sigue existiendo el problema del delito cibernético. Los niveles de robo de identidad agregada son mucho menores en el caso de usuarios de nube personal, pero cuando hay comprometimiento las consecuencias pueden ser serias.

Afortunadamente la arquitectura descentralizada de las redes de confianza implica que uno no sufra ataques realmente grandes, y además la mayoría de la gente no permite spam en canales seguros, basados en relaciones. Desafortunadamente, el delito cibernético de nueva generación continúa evolucionando a medida que los ciberdelincuentes tratan de burlar los sistemas de reputación e infiltrar o sabotear los componentes autónomos de las redes de confianza. Es una batalla constante, pero las redes de confianza descentralizadas se mantienen firmes.

Con ese nuevo modelo los negocios están logrando buenas ventas, así como mayor eficiencia logística y de marketing. El proceso de cambio de dirección hacía que los negocios perdieran contacto con los clientes, pero ya eso no sucede. Va mucho más allá de BYOID, la expansión de los registros comunales y diccionarios de los gráficos semánticos parece ser infinito y continúa escalando con el último XDI OASIS 3.0 (Extensible Data Interchange).

Lo que Doc Searls denominó como “la economía de la intención” está aquí y crece mucho más rápido hoy que la vieja economía de publicidad y vigilancia. Se observan casos de uso en cada industria, incluyendo los omnipresentes RPF personales, los micropagos, las casas y redes inteligentes, la transferencia de datos de salud controlados por el paciente, y muchos otros.

¡Cambiemos la gestión de identidad y cambiemos el mundo!

Blum es un experto en seguridad, privacidad, computación en nube y gestión de identidad. En Respect Network se centra en arquitectura, desarrollo de negocios y asesoramiento. Blum ha escrito dos libros, así como artículos para numerosas publicaciones, y ha participado en grupos de estándares, como OASIS, Kantara Initiative y otros. Sus artículos aparecen regularmente en http://security-architect.blogspot.com