¿Qué es la identidad descentralizada?

Las soluciones de gestión de identidades centralizadas ofrecen capacidades de autenticación como el inicio de sesión único (SSO) y pueden ayudar a las organizaciones a adaptar sus métodos de gestión de identidades y accesos (IAM). Sin embargo, la gestión centralizada de identidades también tiene sus riesgos e inconvenientes. Por ejemplo, los atacantes suelen poner su objetivo en las autoridades centralizadas para intentar acceder a los datos confidenciales. Asimismo, las autoridades centralizadas dan lugar a un único punto de fallo y limitan el control de los usuarios sobre sus datos personales. 

La identidad descentralizada (DCI) suele utilizar tecnologías de libro de contabilidad distribuido (DLT) como blockchain para la autenticación y puede ayudar a abordar los desafíos relacionados con la gestión centralizada de identidades. La DCI permite desacoplar la autenticación de las autoridades centralizadas que almacenan la información de identificación personal (PII) en una base de datos centralizada. 

Sin embargo, la DCI tiene sus inconvenientes. Las identidades descentralizadas pueden crear desafíos asociados a la complejidad y a la escalabilidad. Para determinar si puedes usar la DCI en tu organización, habrá que analizar el contexto, ya que no existe una solución única que valga para todo. Teniendo esto en cuenta, este artículo ofrece una visión general de la DCI, examina los casos de uso habituales, y describe las ventajas y los desafíos de su implementación.

El objetivo de la identidad descentralizada es mejorar la seguridad reduciendo la dependencia de las autoridades centrales, pero no elimina los ataques basados en la identidad. Los atacantes seguirán dirigiendo sus ataques a los sistemas de identidad mediante tácticas de ingeniería social, credenciales comprometidas y secuestros de sesión. Las organizaciones necesitan un enfoque basado en varios niveles para la seguridad de la identidad que combine una identidad descentralizada con soluciones de protección de la identidad en tiempo real.

Conceptos básicos de la identidad descentralizada

La DCI evita la necesidad de una autoridad central, utilizando en su lugar marcos estándar multiplataforma que generan identidades y credenciales únicas de usuario sin recurrir a la PII del usuario. El usuario suele almacenar estas identidades en una blockchain, un libro de contabilidad distribuido y protegido por un sistema criptográfico para que nadie pueda poner en peligro el sistema. 

Veamos los componentes básicos de la DCI que contribuyen a la descentralización y a la privacidad de los datos personales.

Identificadores descentralizados

Como ocurre con cualquier otra solución de identidad, la DCI requiere identificadores de usuario únicos. Un identificador descentralizado (DID) es una cadena alfanumérica única asociada a una identidad en una implementación DCI. Los DID son controlados por el usuario y se pueden verificar sin una autoridad central. Por defecto, los DID no incluyen datos personales como números de teléfono, direcciones de correo electrónico o nombres. 

Identidad autosoberana

La identidad autosoberana (SSI) es una implementación específica de la identidad descentralizada que permite a los usuarios tener el control absoluto sobre su identidad digital y sus datos. Dado que el usuario es el que determina la información a la que se puede acceder en cada momento, mejora la confianza de los usuarios y reduce las preocupaciones en materia de privacidad al eliminar la necesidad de almacenar los datos en soluciones de terceros. La SSI es un subconjunto de DCI, pero no es la única forma de implementarla.

Tecnología blockchain

Blockchain es un libro de contabilidad distribuido, inmutable y público que permite almacenar y verificar la identidad de los usuarios de manera segura y a prueba de manipulaciones. El DID público del usuario se almacena en la blockchain, que actúa como una fuente única de verdad para la identidad del usuario. La mayoría de las soluciones DCI almacenan las credenciales fuera de la cadena en la cartera del usuario, pero algunas implementaciones están realizando pruebas con métodos de verificación en la cadena. Cuando el usuario necesita demostrar su identidad, puede compartir pruebas criptográficas derivadas de sus credenciales a través de la blockchain. Como el libro mayor es inmutable y distribuido, cualquiera puede verificar la autenticidad e integridad de las credenciales sin necesidad de acceder a las credenciales reales.

Carteras de identidad

Una cartera de identidad es un repositorio digital seguro diseñado para guardar a buen recaudo las credenciales de los usuarios y poder compartirlas sin necesidad de revelar información confidencial. Permite a los usuarios demostrar quiénes son al tiempo que se garantiza su privacidad sin necesidad de confiar en una identidad central que almacene estas credenciales. 

Credenciales criptográficamente verificables

Una identidad solo es útil si es verificable. En las implementaciones de DCI, las credenciales firmadas criptográficamente permiten demostrar la identidad u otros atributos (como el estado laboral o la edad). Por ejemplo, una persona puede utilizar un documento de identidad o pasaporte emitidos por las autoridades siguiendo el modelo de datos del World Wide Web Consortium (W3C) para generar pruebas bajo demanda, lo que evita almacenar datos personales confidenciales en una blockchain.

Casos de uso de la identidad descentralizada en el mundo real

Básicamente, las implementaciones de DCI permiten a los usuarios controlar sus datos y proteger su PII. Algunos de los casos de uso habituales de la DCI en el mundo real son: 

• Incorporación digital: las aplicaciones y servicios pueden simplificar sus procesos de incorporación mediante el uso de credenciales verificables para confirmar atributos del usuario como la edad o la ciudadanía. Además de preservar la privacidad de los usuarios, evita que las organizaciones tengan que gestionar un método seguro de procesamiento y almacenamiento de documentos confidenciales de los usuarios. 
• Control de acceso: las credenciales se firman criptográficamente para garantizar su autenticidad, lo que reduce la posibilidad de sufrir ataques de usurpación de cuentas por la filtración de contraseñas. Como resultado, la sustitución de las opciones tradicionales de autenticación por pruebas criptográficas de identidad puede ayudar a las aplicaciones digitales a mejorar su posición de seguridad, minimizar la pérdida de ingresos y aumentar la confianza de los usuarios. 
• Verificación transfronteriza: los documentos físicos contienen PII confidencial y son objeto de robos y manipulación. Como alternativa, las organizaciones privadas y los servicios gubernamentales pueden utilizar la DCI para identificar a las personas que vayan a realizar viajes internacionales, estén tramitando un visado o quieran teletrabajar desde otro país, lo que reduce la dependencia de la documentación física.

Principales ventajas de la identidad descentralizada

La DCI ofrece a los usuarios más control sobre su identidad a la vez que reduce las preocupaciones en materia de privacidad y el riesgo de brechas de datos. Veamos cuatro ventajas principales de la DCI en la práctica. 

N.º 1: mayor privacidad y control por parte de los usuarios

La DCI permite a los usuarios tener el control absoluto sobre sus datos, ya que no es necesario recurrir a una autoridad central para almacenar las credenciales. Esto transmite más tranquilidad a los usuarios con respecto a su privacidad y la seguridad de los datos, ya que las credenciales se almacenan en un sistema cifrado criptográficamente, distribuido y a prueba de manipulaciones. 

N.º 2: reducción del riesgo de brechas de datos 

Según CrowdStrike, el número de brechas de datos ha aumentado en los últimos años, lo que está complicando más las cosas a las organizaciones para proteger sus sistemas de almacenamiento de datos contra amenazas de datos en constante evolución. Una brecha de datos de la autoridad central afecta a las organizaciones que dependen de ella para la autenticación, lo que puede provocar una pérdida de ingresos y el deterioro de la confianza que los usuarios tienen en la organización. El uso de la DCI reduce este riesgo, ya que el sistema ya no depende de la seguridad de un único proveedor de almacenamiento de datos. 

N.º 3: interoperabilidad

Los componentes básicos de la DCI, como los DID y las credenciales verificables, se basan en los estándares del W3C, cuyo uso está muy extendido. Este enfoque basado en estándares permite la integración en varias plataformas y una interoperabilidad fluida. 

N.º 4: conformidad con los principios Zero Trust 

En los sistemas tradicionales de almacenamiento de credenciales, los usuarios deben confiar en la autoridad central, lo que aumenta el riesgo de una brecha de datos si la autoridad central sufre un ataque. La DCI se ajusta a los principios Zero Trust, ya que parte de la idea de que ninguna entidad es fiable hasta que no se demuestra lo contrario. 

Desafíos y limitaciones de la identidad descentralizada

La DCI es una tecnología emergente con mucho camino por recorrer y que plantea ciertos desafíos en materia de escalabilidad y cumplimiento. En esta sección, explicaremos los desafíos y limitaciones habituales en las implementaciones de DCI. 

Barreras de adopción 

A pesar de sus ventajas, la adopción de la DCI es baja porque los proveedores de identidades centralizadas son reacios a cambiar. Las organizaciones también pueden enfrentarse a importantes obstáculos logísticos o normativos al actualizar sus sistemas con una nueva solución de almacenamiento de identidades. 

Preocupaciones sobre escalabilidad

A medida que aumenta el número de usuarios, los libros de contabilidad distribuidos pueden sufrir problemas de latencia debido a la congestión de la red y a la lenta resolución de identidades. Asimismo, las operaciones criptográficas consumen muchos recursos informáticos y pueden tener dificultades para ofrecer el rendimiento que las grandes organizaciones con millones de usuarios necesitan. 

Cuestiones normativas y de cumplimiento 

Los requisitos de cumplimiento normativo y las leyes de privacidad como el RGPD y la CCPA no paran de cambiar, lo que obliga a estar pendientes de los sistemas DCI para garantizar que sigan cumpliendo con todas las normativas y reglamentos. Los proveedores de identidades centralizadas cuentan con equipos de expertos que se encargan de gestionar estos cambios normativos, pero las soluciones DCI requieren un esfuerzo coordinado y colectivo de varias organizaciones para mantener el sistema. 

Experiencia de usuario

La DCI puede ser difícil de aprender para aquellos usuarios que no estén familiarizados con nuevas tecnologías o procesos como las carteras de identidad y las claves criptográficas. Además, algunos usuarios podrían tener dificultades para gestionar de forma segura sus claves de recuperación y carteras, lo cual es especialmente relevante si tenemos en cuenta que las cuentas de los usuarios son irrecuperables en caso de perder las credenciales.

Cómo proporciona CrowdStrike una seguridad de la identidad integral

Con las soluciones tradicionales de gestión centralizada de identidades, los usuarios son vulnerables a las brechas de datos y el robo de identidad, ya que deben confiar su PII a una autoridad central. La identidad descentralizada reduce este riesgo, ya que son los propios usuarios los que se encargan de controlar sus datos de identidad, pero tiene ciertos inconvenientes relacionados con la complejidad y la gestión. Las organizaciones modernas necesitan una solución integral de identidad flexible y capaz de limitar el riesgo de los datos. 

CrowdStrike Falcon® Next-Gen Identity Security ofrece soluciones integrales de seguridad para identidades y endpoints para que las organizaciones puedan proteger las identidades de los usuarios en entornos modernos. Estas soluciones ofrecen las siguientes características: 

• Protección en tiempo real contra ataques de identidad.
• Integración óptima con sistemas Zero Trust para evitar movimientos laterales.
• Monitorización avanzada de eventos de autenticación, autorización y acceso para detectar automáticamente comportamientos anómalos de los usuarios.
• Complementa los esfuerzos de DCI, ya que protege los sistemas de identidad tanto tradicionales como modernos.