[15/06/2022] La gestión de la identidad y el acceso (IAM) abarca una amplia franja de la práctica informática.Esta práctica está sujeta a dos fuerzas que la empujan hacia una mayor prominencia: el aumento de la actividad de los actores de amenazas y la creciente complejidad de la infraestructura.En respuesta, vemos una creciente sofisticación de las herramientas utilizadas para hacer frente a ambas.
La tecnología Web3 tiene características únicas que se prestan a tratar la IAM. Para empezar, Web3 se basa en la criptografía, con un nivel de privacidad inherente sin precedentes. La validez de la cadena de bloques se basa en la encriptación; todos los datos de la cadena están, por naturaleza, protegidos hasta cierto punto.
A continuación, veremos dónde se cruzan los mundos de Web3 e IAM y las posibilidades para el futuro.
Conceptos básicos de la cadena de bloques
La forma de ver las aplicaciones de la cadena de bloques -al menos de forma idealizada- es como un almacén de datos universal y distribuido.
Este almacén de datos tiene dos tipos de nodos: Uno participa en la red haciendo reclamaciones (se conoce como cartera); el otro se llama nodo completo y participa en la red colaborando en la verificación de las reclamaciones.
Un nodo monedero envía transacciones a la base de datos. Si la red de nodos completos colaboradores determina que es válida, esa transacción pasa a formar parte de la verdad compartida del almacén de datos. Los nodos monedero pueden entonces hacer una reclamación sobre la transacción. La reclamación más fundamental es la de la propiedad de un dato determinado.
Todo esto es posible porque un monedero es fundamentalmente una clave privada (en el sentido criptográfico), y cada transacción que realiza un monedero se firma con su clave. La clave, por tanto, es la prueba matemática de que el actor que hizo las reclamaciones antes, es el mismo actor que hace las reclamaciones ahora.
El monedero como identidad
Vemos, pues, que la noción de monedero de la cadena de bloques es una especie de identidad. Esta identidad puede utilizarse para la autenticación. No hay nada misterioso ni sorprendente en ello, en el sentido de que las claves privadas ya se utilizan ampliamente en la seguridad convencional para establecer una comunicación segura entre las partes.
Sin embargo, en otro sentido es bastante revolucionario.
Como señala Auth0 labs, "el subproducto más significativo de la adopción de blockchain es la distribución orgánica de las claves privadas a los usuarios finales, es decir, los monederos". Es decir, los usuarios de Internet han experimentado una adopción masiva de la criptografía de clave pública a través de sus carteras personales de criptomonedas.
Al comprender la naturaleza de su cartera, su uso y las implicaciones de seguridad, se introduce un nuevo tipo de usuario. A medida que este nuevo tipo de usuario se hace más común, puede producirse un potencial cambio radical en la autorización.
En resumen, la convergencia de la seguridad de las claves privadas y la comodidad de los monederos de cadena de bloques es un potencial disruptor de la autenticación. Subrayo lo de potencial porque esto es todavía bastante especulativo, y queda mucho por resolver desde el punto de vista técnico y de infraestructura. Además, hay que tener en cuenta que los monederos no son muy fáciles de usar para los no técnicos. Existe la posibilidad de perder la identidad, de verdad, sin posibilidad de recuperación. Por lo tanto, la aparición del nuevo tipo de usuario descrito anteriormente está lejos de ser una conclusión inevitable.
Sin embargo, el uso de carteras para la autenticación está ocurriendo ahora en Auth0 (a través de SIWE, iniciar sesión con Ethereum) y otros proveedores. Básicamente, las barreras para el uso de carteras en la autenticación fuera de la cadena se están reduciendo drásticamente.
Si se tiene en cuenta que monederos populares como Coinbase tienen asociado un riguroso KYC (know your customer), se empieza a formar una imagen de una identificación única, tecnológicamente segura y bien integrada con la identificación tradicional.
En este sentido, los monederos podrían convertirse en una identificación digital oficial, algo así como el equivalente digital de un número de seguridad social. Esta última especulación está muy lejos, dado que implica la interacción de actores no solo técnicos, sino también gubernamentales.
Presentamos el DID (documento de identidad descentralizado)
El nombre que se ha dado a esta idea global es el de identificación descentralizada, o DID (por sus siglas en inglés). En general, se trata de agrupar el universo de otros datos de identificación en un único número. Es una idea que no ha pasado desapercibida incluso para grandes actores como Microsoft.
Esto ofrece la posibilidad de preservar el anonimato y el control para el usuario. Y es que, en teoría, la relación entre el monedero y la cadena de bloques crea una capa de abstracción entre el usuario y la base de datos. En la práctica, se trata más bien de un pseudoanonimato: el usuario sigue siendo un ser humano sentado en un dispositivo conectado físicamente a Internet. Dicho de otro modo, la posibilidad de asociar un usuario a un monedero -de una forma u otra- disminuye el anonimato.
Se puede decir que el usuario (titular del monedero) sigue teniendo el control porque la información se almacena de forma descentralizada, y el usuario puede decidir si utiliza o comparte los datos y cuándo.
Pruebas de conocimiento cero
Una idea relacionada es la de las pruebas de conocimiento cero. En este caso, la idea es que se demuestre que algo es cierto, mientras que el resto del contexto sigue siendo privado. Esto es posible también gracias a la magia de la criptografía de clave pública. Una vez que un hecho se establece como válido a través de algún mecanismo y se compromete a la cadena de bloques; a partir de entonces, la cartera propietaria puede hacer la afirmación sin ninguna otra revelación. Podríamos establecer nuestro derecho a conducir un vehículo de motor, por ejemplo, sin exponer nuestra licencia de conducir y el resto de la información que contiene.
Así, existe la posibilidad de que los usuarios controlen su información y compartan solo lo que quieran con un alto grado de granularidad.
Estas ideas se han generalizado lo suficiente como para que el consorcio W3C se haya propuesto formalizarlas en un estándar, denominado credenciales verificables (VC, por sus siglas en inglés). El esfuerzo consiste en codificar las DID modernas en un formato estandarizado que incorpore protecciones de privacidad.
Autorización y control de tokens
La otra razón por la que la amplia adopción de monederos puede representar un cambio de juego para la IAM es la naturaleza de las cadenas de bloques de orden superior como Ethereum. La identidad Web3 tiene la capacidad no solo de autenticar a las aplicaciones convencionales, sino de participar en otras actividades en la cadena que también tienen implicaciones de IAM.
Un concepto importante que está ganando adeptos es el de token gating. El token gating se basa en cierto modo en las NFT, pero va un paso más allá al añadir el control de acceso. La gestión de tokens puede verse como un tipo de autorización Web3, y ahí radica su relevancia para nuestro actual debate sobre IAM. Sus defensores consideran que el token gating introduce un nuevo tipo de economía al convertir en mercancía los contenidos digitales.
Esto significa que los creadores de contenidos y los usuarios pueden participar en una economía que se basa en la noción de que poseer un NFT garantiza el acceso al contenido. Esta concesión de acceso puede verse como un nuevo tipo de autorización basada en la autenticación DID, que puede encontrar casos de uso fuera de los contenidos digitales.
Esta idea podría aplicarse al acceso a los activos tal y como utilizamos actualmente soluciones como las listas de control de acceso en las bases de datos, lo que daría lugar a un sistema de autorización más universal. Unido a algo como las credenciales verificables, se puede empezar a ver el potencial de un mecanismo de IAM más estandarizado y universal, cuyos beneficios pueden hacer que suplante gradualmente los enfoques existentes.
Basado en el artículo de Matthew Tyson (CSO) y editado por CIO Perú
Matthew Tyson es fundador de Dark Horse Group, Inc. Cree en la tecnología que da prioridad a las personas. Cuando no está tocando la guitarra, Matt explora el campo y las tierras filosóficas del interior. Escribe para JavaWorld desde el 2007.
Puede ver también: