A medida que avanzamos hacia un mundo más preocupado por la privacidad, debemos prepararnos para que las principales plataformas resistan el movimiento.
La identidad y la privacidad siempre han sido un punto de discusión tanto en línea como fuera de línea. Pero aunque generalmente podemos controlar nuestra identidad y privacidad en el mundo fuera de línea con facilidad, la identidad digital ha sido controlada durante mucho tiempo por entidades de terceros con las que interactuamos y prometemos mantener nuestros datos seguros.
La historia ha demostrado una y otra vez, con importantes ataques que revelan nuestros nombres, direcciones, números de teléfono y datos de tarjetas de crédito, entre otros innumerables atributos de identificación, que no se puede confiar en esos terceros con nuestra información personal. Igual de preocupante, los terceros han monetizado durante mucho tiempo nuestros datos, creando un uso insidioso y malicioso de los datos para su beneficio financiero. Vivimos en una época de capitalismo de vigilancia digital.
La noción de identidad en línea está evolucionando rápidamente en un intento por dar a los usuarios de Internet más control sobre su información y quién puede acceder a ella. En varios países del mundo, el concepto de identificación autónoma o tecnología de identificación descentralizada (dos términos que, en la gran mayoría de las situaciones, son intercambiables) se está afianzando rápidamente. Los usuarios en línea obtienen acceso a los servicios que desean, pero controlan lo que comparten sobre sí mismos y cómo.
Pero a medida que avanzamos hacia un mundo más preocupado por la privacidad, debemos prepararnos para que las principales plataformas resistan el movimiento. Debemos insistir en que los responsables políticos de todo el mundo se unan a nosotros en nuestra apuesta por mejorar la privacidad y los servicios de datos centrados en el usuario. Y debemos estar preparados para los desafíos de seguridad, privacidad y modelo comercial que se presenten en el camino.
Identidad en evolución
La visión del mundo sobre la identidad es marcadamente diferente ya sea que estés en línea o fuera de línea. En el mundo fuera de línea, tú tienes tu licencia y pasaporte y los muestras solo cuando es necesario. ¿Quieres volar? Muestra tu pasaporte, pero manténlo contigo. Cuando quieres comprar alcohol en la tienda, alguien verifica tu edad revisando tu identificación.
Pero cuando sales de estos establecimientos, y después de verificar tu identidad, el establecimiento visitado no almacena tu identificación o pasaporte en sus sistemas. Entienden que lo que tienes es una forma de identificación verificable, que tú, la persona a la que se hace referencia en el documento, se la presentó, y confían en lo que dice porque es una tarjeta oficial emitida por el gobierno. Es una forma de identificación soberana propia, de propiedad total y controlada por el individuo y que sirve como una credencial verificable sin la transferencia de datos confidenciales a un tercero.
Históricamente, Internet ha utilizado un rumbo decididamente diferente. Cuando Google, Facebook u otras plataformas importantes quieren verificar tu identidad, te piden que proporciones datos digitalmente. Luego almacenan esos datos en sus propios servidores. En esos casos, los usuarios de Internet esencialmente han entregado sus pasaportes o identificaciones a un tercero y esperan que sus datos se mantengan seguros.
En demasiados casos, no se mantiene a salvo. Y aunque podemos esperar que un proveedor pueda proteger nuestros datos, el hecho es que ni siquiera las organizaciones (o gobiernos) más grandes del mundo pueden garantizar la seguridad de los datos. Eso, en última instancia, refuerza el problema de confianza más amplio que los usuarios de Internet continúan experimentando. Incluso en el mejor de los casos, los usuarios de Internet hemos descubierto que las plataformas en las que se supone que debemos confiar nuestros datos simplemente no son confiables. Y en el peor de los casos, descubrimos que están haciendo un mal uso de nuestros datos para su propio beneficio. Estructuralmente, este es un problema difícil donde grandes cantidades de datos (como grandes reservas de oro) son atractivas para los estafadores y, en su mayor parte, casi imposibles de proteger por completo.
Es precisamente por eso que el movimiento hacia los servicios de datos descentralizados y la identidad digital es tan importante, y está en consonancia con la forma en que la sociedad ha funcionado durante generaciones.
Con esas tecnologías implementadas, podemos reclamar el control de nuestros datos personales. En lugar de confiar nuestra información a un proveedor externo, podemos almacenarla de forma segura dentro de una aplicación de billetera digital en nuestro dispositivo. Estos datos, denominados " credenciales" (sitio en inglés), pueden adoptar muchas formas, pero suelen ser equivalentes digitales de documentos con los que ya estamos familiarizados: pasaportes, licencias de conducir, tarjetas de membresía e incluso tarjetas de embarque o registros médicos; y en el futuro también incluir nuevas credenciales digitales sobre muchas otras partes de nuestra vida digital y reputación digital.
Luego, cuando una organización o un compañero nos solicita información, podemos compartir una prueba digital que se puede verificar de inmediato mientras mantenemos nuestros datos seguros. Es tan fácil como mostrar nuestro pasaporte o licencia de conducir en el mundo real. Y es igual de portátil y confiable: estas credenciales pueden ser verificadas por cualquier persona, en cualquier lugar, gracias a una serie de estándares y protocolos abiertos que el equipo de Avast ayudó a diseñar.
Un problema del mundo real
Nuestros esfuerzos en esta área no se centran únicamente en la posibilidad de que las identidades sean atacadas, se centran en la muy difícil realidad de que las identidades están siendo atacadas y cada vez más monetizadas por aquellos que deberían estar más preocupados por protegerlas.
El año pasado, Twitter anunció que había suspendido a un hacker malicioso que robó información de identificación y otros datos de los 45 millones de personas en el país. Los piratas informáticos accedieron a los datos del Registro Nacional de las Personas de Argentina y ofrecieron venderlos en un foro del mercado negro.
A principios del año pasado, el investigador Javelin Strategy & Research publicó un estudio que encontró que los delincuentes robaron $ 56 mil millones a los estadounidenses en 2020 con ataques de robo de identidad. Unos 13.000 millones de dólares de esa suma fueron robados por ciberdelincuentes que hackearon información de identificación.
En diciembre, el Centro de recursos de robo de identidad reveló que las violaciones de datos dirigidas a las identidades de los usuarios aumentaron un 17 % año tras año hasta septiembre de 2021, con 1291 violaciones. La mayoría de nosotros en la comunidad de seguridad esperamos que esa tendencia al alza continúe hasta bien entrado 2022 y más allá.
Un movimiento del mundo real
Sin duda, no todos comenzaremos a usar billeteras para proteger nuestras identidades digitales de la noche a la mañana. Esta migración llevará algún tiempo. Pero ya hay desarrollos prometedores en el espacio.
Alastria, un proyecto iniciado por un consorcio de organizaciones destacadas que utiliza blockchain, es un buen ejemplo. Su solución otorga a los usuarios control total sobre sus identidades y está siendo rápidamente adoptada (y aplaudida) en España. Varios otros países europeos, incluidos Finlandia, Alemania y los Países Bajos, también están adoptando la tecnología y quieren repetir algunas de estas primeras soluciones para crear un marco de trabajo sobre cómo la identidad digital puede evolucionar con el tiempo.
En Avast también hemos estado observando el espacio de identidad descentralizado durante bastante tiempo. El año pasado, adquirimos Evernym (sitio en inglés), una empresa estadounidense que es ampliamente reconocida como pionera en el desarrollo de estándares y tecnología de identidad autónoma y está muy avanzada en el desarrollo de una verdadera solución para mejorar la confianza en nuestras interacciones digitales. Agregar su tecnología a la nuestra nos permitirá avanzar en nuestra visión de brindar servicios de confianza digitales descentralizados.
El desafío por delante
Pero incluso mientras nosotros y otras empresas (junto con los defensores de la privacidad en todo el mundo) continuamos en nuestra búsqueda para construir una mejor solución de identidad digital, abundan los desafíos.
Si bien los países europeos están más avanzados (sitio en inglés) que los EE. UU. y otros países en la adopción de servicios de identidad descentralizados, aún queda mucho trabajo por hacer. Incluso los países europeos que son más agresivos en la mejora de la privacidad digital solo están desarrollando un marco sobre cómo podrían funcionar estas tecnologías. Lo que se necesita en última instancia es una política regulatoria, en todo el mundo, que requiera que las empresas utilicen servicios de confianza digital descentralizados. Pero eso está lejos de suceder.
Lo que es peor, las principales plataformas como Facebook y Google no están interesadas en la idea. Perder el acceso a los datos de una persona significa tener menos control sobre esos usuarios. También hace que los datos que albergan estas empresas sean mucho menos valiosos. Pero para seguir adelante con una política y un plan, necesitamos la aceptación en todos los niveles, y esas plataformas se están preparando para luchar contra eso haciendo amplias promesas de reforzar sus funciones de privacidad al limitar el seguimiento en la web y en las aplicaciones. También notan rápidamente que su escala y prácticas son nuestra mejor oportunidad para la seguridad de los datos. Sin ellos, dicen, las cosas solo pueden empeorar.
También debemos reconocer que incluso las tecnologías mejor intencionadas son falibles. A pesar de lo importante que es y será esta tecnología en los próximos años, los desafíos de privacidad y seguridad permanecerán, y los malos actores que buscan interrumpir nuestro progreso participarán en actividades maliciosas. Debemos estar preparados y abordar esos problemas a medida que surjan, o preferiblemente antes de que se conviertan en un problema.
Pero lo que está en juego es simplemente demasiado alto y el impacto potencialmente demasiado grande como para no trazar ese rumbo y ofrecer una verdadera solución al problema de identidad digital actual. Después de todo, si no podemos resolver los desafíos que enfrentamos hoy, ¿cómo abordaremos un futuro en el que los servicios se lancen en línea y coloquen la identidad digital al frente de sus plataformas?
Afortunadamente, las tecnologías y técnicas de identidad y datos descentralizados están aquí. Y hay muchos de nosotros en la comunidad de seguridad que estamos trabajando febrilmente para crear soluciones que no solo salvaguarden los datos de los usuarios, sino que les den una capacidad mucho mayor para controlar quién tiene acceso a esos datos y cómo se utilizarán.
Pero con los desafíos a la vista y las plataformas preparándose para la batalla, todos debemos apoyar las iniciativas que respaldan la privacidad y la seguridad, así como los servicios que las reforzarán. Debemos esperar más y apoyar las soluciones que nos ayuden a hacerlo mejor. Esa es la única forma de crear un futuro en el que la privacidad y la seguridad estén en el centro de nuestras experiencias digitales colectivas.
Para lograrlo, en Avast creemos que un agente inteligente digital, en la forma de un servicio/aplicación para personas, es la forma de lograr interacciones digitales centradas en el usuario.
