La humanidad ya ha descubierto cómo crear dinero digital descentralizado, y funciona. Pero últimamente, cada vez se presta más atención a otro ámbito profundamente centralizado: la identidad.
Parece que los días de llevar un documento en papel con tu foto están llegando a su fin. Llega la siguiente ola: World ID, Humanity Protocol, Proof of Humanity, BrightID: todos prometen una revolución digital. Consigue tu identificación basada en blockchain y di adiós a los pasaportes y al papeleo gubernamental.
- Forbes está publicando editoriales sobre los problemas que la identificación descentralizada puede resolver.
- The Cryptonomist está destacando Blockchain ID Layer, una nueva aplicación que pretende revolucionar la identidad tal como la conocemos.
- La República Democrática del Congo está implementando un sistema nacional de identidad basado en blockchain.
Pero cuanto más profundizo en cómo funcionan realmente estos sistemas, más me encuentro con la misma pregunta:
¿Realmente una identificación digital demuestra algo más que el hecho de que alguien, cualquiera, tiene acceso actualmente a una clave privada o a un dispositivo?
Cómo funciona en el mundo real
Con un pasaporte en papel, las cosas son bastante sencillas. Muestras tu documento, la persona que lo revisa compara la foto: "sí, te pareces". Si otra persona aparece con ese mismo pasaporte, el engaño se desmoronará rápidamente. Incluso si dejas que un amigo tome prestado tu pasaporte, no pasará la verificación facial cuando intente usarlo. Eso es lo que significa una identificación real: "Soy exactamente quien digo ser".
El "protocolo" detrás de un pasaporte en papel simplemente evita que nadie más lo use. Por eso creo que la gente a menudo se preocupa demasiado por compartir los detalles de su pasaporte. Incluso una copia perfecta de un pasaporte es inútil si no eres la persona a la que fue emitido: ¡la foto te delatará!
Dicho esto, este "protocolo" a menudo se ignora en la práctica. A veces, la gente no se molesta en revisar la foto en absoluto. Otras veces, aceptan un pasaporte, o solo sus datos, sin que el propietario esté presente. Así que respeto a aquellos que prefieren no compartir los detalles de su identificación. Especialmente porque muchos de nuestros clientes en rabbit.io se sienten de esta manera. Vienen a nosotros para intercambiar criptomonedas porque los intercambios tradicionales requieren un registro verificado con pasaporte, mientras que en rabbit.io puedes hacer un intercambio sin él.
¿Qué alternativas a los pasaportes ofrece la industria cripto?
Últimamente, sigo viendo titulares como "¡Una persona, una identificación!" y "¡Tus datos, tu control!".
Parece genial. Escaneas tu ojo una vez y, ¡boom!, te registras como un ser humano verificado en el mundo digital. Obtienes un token ligado al alma o algún tipo de credencial, y ahora puedes votar en comunidades descentralizadas, recibir airdrops o demostrar tu singularidad en cualquier aplicación en línea.
- Toma World (antes Worldcoin), por ejemplo. Construyeron un dispositivo que escanea tu iris y almacena un hash único del mismo en la cadena de bloques: no la imagen en sí, solo una huella digital matemática.
- También está Humanity Protocol, que hace lo mismo pero con impresiones de palma.
- Y Proof of Humanity, que se basa en grabaciones de video y aprobación social.
- BrightID mapea tus conexiones con otras personas y verifica que no eres solo otra cuenta de bot.
- Idena hace que la gente resuelva CAPTCHAs en tiempo real para demostrar que son humanos, y únicos.
Cada uno de estos sistemas intenta responder a la misma pregunta: ¿cómo podemos asegurarnos de que cada persona tenga solo una identidad digital y de que esta identidad no esté vinculada a ningún gobierno o inicio de sesión de correo electrónico?
Y aquí es donde las cosas se ponen interesantes
Todos estos sistemas se centran en asegurarse de que una persona obtenga solo una identificación. Pero lo que rara vez abordan es la siguiente pregunta, mucho más complicada: ¿Cómo podemos asegurarnos de que solo la misma persona siga usando esa identificación después?
Porque piénsalo: con un pasaporte tradicional, alguien podría robarlo, pero no llegarán muy lejos. Aparecerán, y la persona que lo revisa mirará la foto y se dará cuenta: "Espera, este no eres tú".
Pero en el mundo de las identificaciones cripto, esa segunda capa de verificación, la que ocurre cuando usas la identificación, a menudo simplemente no existe. En muchos sistemas, una vez que se emite tu identificación, todo lo que importa es si sigues siendo el único que controla la clave privada o el dispositivo en el que está almacenada.
Y eso significa que el sistema ya no te identifica a ti. Solo identifica a quien sea que tenga la clave en este momento.
La vinculación del dispositivo no es una solución real
A menudo escucho cosas como: "Pero la clave solo está almacenada en tu dispositivo, ¡nadie más puede usarla!". Eso es una idea errónea.
Los dispositivos se pierden, son hackeados, se entregan para su reparación o se prestan a otra persona. Cualquiera que obtenga acceso completo a tu teléfono también obtiene automáticamente acceso completo a todas tus credenciales. No hay barreras reales que se interpongan en su camino.
Y si el propietario intencionalmente deja que otra persona use su identificación, por ejemplo, para engañar al sistema a propósito, entonces vincular la identificación a un dispositivo en lugar de a datos biométricos simplemente facilita el engaño.
¿Los datos biométricos salvarán el día?
En respuesta a las críticas sobre la facilidad de transferencia de las claves privadas, muchos proyectos comenzaron a agregar datos biométricos: Face ID, huellas dactilares, escaneos de palma. Con World ID, después de escanear tu iris en el Orb, se te pide que actives Face Auth, por lo que supuestamente solo "tu" rostro puede desbloquear la aplicación. Suena tranquilizador, ¿verdad? Pero aquí viene el primer gran agujero en el sistema, del que la gente no suele hablar.
Cualquier autenticación biométrica en un teléfono, ya sea Face ID o una huella dactilar, es simplemente una forma de desbloquear el dispositivo. En realidad, no prueba que tú seas quien lo está usando. Puedes ir a la configuración de tu teléfono y agregar la huella dactilar de tu amigo o familiar, y ahora tendrán exactamente el mismo acceso a tu aplicación que tú. Peor aún, alguien que tenga control físico sobre ti, por ejemplo, mientras estás dormido, inconsciente o bajo presión, puede agregar sus propios datos biométricos y comenzar a usar tu identificación.
El sistema no puede saber de quién es la huella dactilar o el rostro que está viendo. Todo lo que sabe es que "uno de los perfiles biométricos aprobados" autenticó la acción. Entonces, todas esas promesas de que "solo el usuario original puede acceder a su World ID" son, francamente, ilusiones.
Algunos proyectos sí dificultan la falsificación. Humanity Protocol escanea tu palma y requiere la misma palma para el acceso futuro. Proof of Humanity requiere un video de tu rostro, y no puedes simplemente subir el de otra persona más tarde. Pero incluso esos no resuelven el problema más profundo: no puedes estar seguro de con quién estás tratando realmente. ¿Es la persona que escaneó su propia mano o rostro? ¿O alguien más apuntando un escáner a la mano del usuario original, o una cámara al rostro de otra persona?
Protocolos sociales y la idea de "singularidad"
Proyectos como BrightID y Proof of Humanity toman una ruta diferente: sin datos biométricos, solo prueba de singularidad a través de conexiones sociales o respaldos mutuos, a veces con una selfie o un video corto. Un "humano único" en este contexto simplemente significa que no es un bot, no es una cuenta duplicada. Eso es lo único que estas identificaciones digitales están diseñadas para confirmar. No pretenden probar que la persona que usa la identificación es la misma persona que la creó originalmente.
Este enfoque es excelente para la prevención de bots y agrega una capa de integridad a los sistemas de votación en línea o airdrop. Pero si entregas el acceso a tu cuenta a otra persona, seguirán "siendo tú" en lo que respecta al sistema: no hay ninguna verificación para comprobar quién está sosteniendo realmente el teléfono en un momento dado.
Vinculación a un documento gubernamental (pasaporte, licencia de conducir)
Algunos proyectos ofrecen incluir un "elemento de prueba", por ejemplo, leer datos de un pasaporte biométrico real a través de NFC para agregar ciudadanía o edad verificada a tu identificación descentralizada.
Pero aquí está la trampa. La mayoría de estas soluciones en realidad no comparan tu rostro con la foto en el pasaporte. Solo verifican la firma digital y confirman que los campos coinciden. Entonces, si tienes el pasaporte de otra persona, puedes vincularlo fácilmente a tu identificación, y el sistema no detectará la sustitución.
Solo los servicios centralizados, bancos, proveedores de KYC, etc., suelen requerir una selfie en vivo o una comparación de video. Las soluciones descentralizadas, estilo Web3, suelen evitar tales compromisos de privacidad.
Selfie en vivo en Web3
Mucha gente dice: "En el futuro, tendremos sistemas ZK y SSI perfectos: todo se almacenará solo en el dispositivo del usuario, las selfies se usarán para la verificación y la privacidad se conservará por completo". Pero aquí está el problema: si todos los datos biométricos se almacenan solo del lado del usuario, entonces, ¿con qué exactamente comparará la parte verificadora la selfie en vivo?
Exactamente: el usuario tendrá que enviar su foto o plantilla biométrica a un servicio externo (generalmente una IA basada en la nube) y luego simplemente esperar que el servicio elimine los datos justo después de la verificación. No hay garantías.
Entonces, ¿cuál es el resultado final?
Las identificaciones digitales descentralizadas que se están desarrollando actualmente en la industria cripto realmente representan un progreso, especialmente cuando se trata de dar a los usuarios el control sobre sus propios datos.
Ofrecen una sólida protección contra la falsificación masiva, las multicuentas y la granjas de bots. Preservan el anonimato: nadie sabe tu nombre a menos que elijas revelarlo. Hacen que sea fácil demostrar "Soy una persona real" sin subir tu pasaporte o completar datos personales en cada nuevo sitio web.
Pero esto es lo que no ofrecen: una garantía sólida de que la persona que usa la identificación es la misma que la recibió originalmente.
Lo que estos sistemas realmente protegen es el hecho de que alguien controla una clave privada, o un dispositivo. No un vínculo uno a uno con un ser humano específico.
Datos biométricos, gráficos sociales, tokens de verificación: son excelentes para detener bots. Pero no protegen contra un escenario muy humano: cuando el usuario original voluntariamente (o bajo presión) le da a otra persona acceso a su dispositivo o claves.
Por lo tanto, toma cualquier afirmación como "solo el propietario puede usar su identificación digital" con una buena dosis de escepticismo. Lo que realmente estás obteniendo es solo un token, y una clave para acceder a él. Una clave que se puede olvidar, perder, compartir o tomar.
Si quieres garantías más sólidas, mantente atento y no te dejes engañar por los cuentos de hadas sobre la magia de la cadena de bloques. La cadena de bloques es excelente para almacenar y transferir valor, no para la identidad. Y sin la buena y vieja "foto en un pasaporte", todavía nos falta una pieza fundamental. Al igual que todavía necesitamos controles en persona para comparar esa foto con el rostro real de la persona que sostiene el documento.
