¿Es la información sensible de los clientes un activo o un pasivo? Cuando pensamos en las empresas más exitosas de los últimos años que han aprovechado los datos de los clientes para construir ventajas competitivas, como las empresas FAANG (Facebook, Amazon, Apple, Netflix y Google), consideramos los datos de los clientes como un activo.
Sin embargo, con el aumento de las violaciones de datos y la introducción y aplicación de regulaciones globales de privacidad de datos, los líderes empresariales ahora entienden que los datos de los clientes, particularmente los datos sensibles como la información de identificación personal (PII), pueden ser un pasivo para el negocio.
Una forma para que las empresas reduzcan este riesgo de almacenar datos sensibles de los clientes es no almacenar datos de clientes, como los datos de identidad, en primer lugar, empleando soluciones de identidad descentralizada.
Centrar la identidad en el individuo
Con los modelos actuales de software de gestión de identidad centralizados, una empresa retiene la PII del usuario final, como el nombre, la dirección de correo electrónico, las contraseñas y otros identificadores para autenticar al usuario en línea. En cambio, las herramientas de identidad descentralizada ponen al usuario en el centro de la ecuación de identidad y a cargo de sus datos en línea.
¿Qué es el software de identidad descentralizada?
El software de identidad descentralizada permite a los usuarios finales, como los clientes, mantener el control directo sobre su información de identidad y compartir o revocar fácilmente el acceso a esos datos. Los datos de identidad permanecen en posesión del usuario final y la empresa solo valida la identidad o cualquier otra información sensible del usuario.
El concepto de que un individuo tenga control directo sobre su identidad digital sin el uso de un registro centralizado, proveedor de identidad o autoridad certificadora se llama identidad autosoberana (SSI).
Por ejemplo, en el mundo físico, para entrar a un bar con una política de requisitos de edad, un cliente tiene que demostrar su edad presentando su fecha de nacimiento en una tarjeta de identidad (ID) emitida por el gobierno. El portero del bar confirmaría la identidad del cliente comparando la foto de la ID con la cara de la persona y luego revisando la fecha de nacimiento. Al hacerlo, el portero también puede ver otra información identificativa como el nombre, la dirección física y más en la tarjeta de identificación.
En un escenario de identidad descentralizada, el cliente solo necesitaría compartir una tarjeta digital que indique que cumple con el requisito de edad, pero no los datos reales (fecha de nacimiento específica) en sí.
| Relacionado: El problema evidente con la verificación de identidades de consumidores → |
¿Cómo funcionan las soluciones de identidad descentralizada?
En el ecosistema actual de identidad digital, validar la identidad digital de una persona se logra más comúnmente a través de credenciales basadas en cuentas. Los usuarios pueden tener múltiples cuentas y a menudo usan los mismos nombres de usuario y contraseñas en ellas para reducir la fricción de inicio de sesión, pero esto introduce el riesgo de credenciales hackeadas. Algunas credenciales basadas en cuentas son proporcionadas por proveedores de identidad centralizados, como los proveedores de inicio de sesión social, y luego se federan a terceros. También hay riesgos asociados con este modelo, incluyendo el tiempo de inactividad con el proveedor de identidad, o que el usuario sea rastreado a través de múltiples cuentas.
Entonces, ¿cómo funciona la identidad descentralizada de manera diferente a las credenciales basadas en cuentas?
No hay un almacén central de datos de identidad. En su lugar, el usuario lleva sus credenciales de identidad digital, que le fueron otorgadas por una autoridad de confianza, para ser verificadas por la organización que busca validar su identidad.
| Hay tres partes principales en un caso de uso de identidad descentralizada: |
|
El emisor proporciona una credencial a una persona a menudo después de un proceso de verificación típico del mundo real. Por ejemplo, un empleado recién contratado en una empresa necesitaría presentar su identificación gubernamental física, llenar formularios y luego recibir una credencial de empleado física y digital. La credencial crea un par de claves criptográficas:
- Una clave pública que se almacena en un libro mayor distribuido a través de un identificador descentralizado único (DID) para permitir que un verificador la busque cuando sea necesario.
- Una clave privada que se almacena en una billetera de credenciales en su dispositivo móvil, que el nuevo empleado puede usar para autenticarse y acceder a cuentas de empleados, como una cuenta de correo electrónico empresarial.
Para autenticar su identidad de usuario, el nuevo empleado (el sujeto) presentaría su clave pública asociada con su credencial de empleado al proveedor de correo electrónico (el verificador), que luego buscará esto en el libro mayor público. El libro mayor devuelve el DID único y presenta un desafío para que la clave privada del empleado responda. Si el empleado posee la clave privada correcta vinculada al DID asociado con la clave pública, entonces el usuario es autenticado y verificado y, por lo tanto, se le concede acceso a la cuenta de correo electrónico.
En el escenario anterior, el proveedor de correo electrónico no necesita almacenar información de identidad sensible del usuario. La autenticación se realiza en base a la confianza del emisor de la credencial que otorgó al empleado una credencial y escribió esta información en un libro mayor público para que otros la verifiquen.
Identidad descentralizada para mejorar la seguridad y la autenticación
En los modelos actuales, los datos de identidad pueden ser difíciles de asegurar, validar y a menudo añaden una fricción frustrante al proceso de autenticación del usuario. Por ejemplo, las contraseñas por sí solas no son una forma confiable de autenticar que una persona es quien dice ser en línea. Muchas herramientas como el software de autenticación multifactor (MFA) han surgido para abordar esto, pero pueden ser una molestia para el usuario final. De manera similar, las identidades falsas se crean con frecuencia y facilidad en las plataformas sociales, lo que hace que los inicios de sesión sociales sean una fuente poco confiable para fines de verificación de identidad. Para combatir esta preocupación, las empresas pueden emplear software de detección de fraude para transacciones de alto riesgo.
Con la identidad descentralizada, sin embargo, las empresas no tienen que almacenar información sensible del usuario, lo que reduce o incluso elimina por completo el riesgo de que la información de identificación personal (PII) se vea comprometida en violaciones de datos.
Las empresas tampoco tienen que invertir en productos de seguridad como software de encriptación para asegurar datos de identidad que no existen en primer lugar. Además, dado que no hay necesidad de almacenar información sensible como la PII, se reduce el costo de almacenamiento de datos y de software de gestión de almacenamiento.
Cómo impacta en el mercado de identidad existente
La identidad descentralizada es nueva y de nicho en este momento, y los actores están reclamando su lugar en el mercado, como se observa en la categoría de software de identidad descentralizada recientemente creada por G2. Gigantes del software como Microsoft e IBM están entrando en el espacio, como Microsoft anunció su piloto de identidad descentralizada en septiembre de 2020 mientras que IBM tiene una versión alfa de su producto de identidad descentralizada disponible.
Además, la identidad descentralizada puede verse como una continuación de una tendencia que ya está tomando fuerza en un espacio adyacente de privacidad de datos. El concepto de centrar a los individuos en el ecosistema de datos es una tendencia emergente: la tecnología de privacidad de datos centrada en las personas busca operacionalizar mejor el respeto a las elecciones de los individuos con respecto a los datos que una empresa almacena sobre ellos. Para lograr esto, las empresas necesitan dejar de pensar en los datos como almacenados en silos, sino más bien organizados en torno al individuo.
| Leer más: Tendencias 2021 en tecnología de privacidad de datos centrada en las personas → |
Cómo la identidad descentralizada impacta en el mercado de identidad existente plantea algunas grandes preguntas. ¿Cómo impactará esto a los proveedores de identidad actuales? ¿Cómo impactará a los proveedores de software de inicio de sesión único (SSO) o a las empresas que ofrecen gestores de contraseñas? ¿Cómo impactará a los anunciantes que dependen de los datos de los clientes (no solo de los datos de identidad)? No tenemos las respuestas, pero es esencial plantear las preguntas.
Editado por Sinchana Mistry
¿Quieres aprender más sobre Software de gestión de identidades? Explora los productos de Gestión de Identidad.
Merry Marwig, CIPP/US
Merry Marwig is a senior research analyst at G2 focused on the privacy and data security software markets. Using G2’s dynamic research based on unbiased user reviews, Merry helps companies best understand what privacy and security products and services are available to protect their core businesses, their data, their people, and ultimately their customers, brand, and reputation. Merry's coverage areas include: data privacy platforms, data subject access requests (DSAR), identity verification, identity and access management, multi-factor authentication, risk-based authentication, confidentiality software, data security, email security, and more.
