Ad portas de la publicación y presentación del libro
preparado por David MAURICIO, Elena FERREYROS y el suscrito sobre “Derecho de
Persona e Informática: Identidad Digital”, me he permitido traducir un artículo
de Kim CAMERON, publicado en 2005
en http://myinstantid.com/laws.pdf bajo el título de Identity and Access Architecture.
Este documento ha sido una de las fuentes de consulta y
análisis para la elaboración del libro pre citado, aun cuando no compartimos
algunos conceptos, específicamente el de robo de identidad que hemos modificado por el de usurpación de identidad. Esperemos que las ideas y argumentos propuestos, logren suscitar y animar el debate sobre las nuevos desafíos que
plantea para el derecho de la persona y de la identidad digital, en particular.
Kim
Cameron
Microsoft
Corporation
Mayo
2005
Se
aplica a:
- Seguridad
- Desarrollo web
- Servicios Web
Resumen:
Comprender la dinámica de los sistemas de identidad
digital que causan al éxito o fracaso en diversos contextos, expresados como
las Leyes de la Identidad. En conjunto estas Leyes definen un metasistema de
identidad unificadora que puede ofrecer a Internet las capas de identidad que necesita.
Contenido:
- Planteamiento del problema
- Las palabras que posibilitan el diálogo
- Las Leyes de la Identidad
- Conclusión
Internet fue construido sin ninguna manera de saber quién
ni qué está conectado. Esto limita que es lo que podemos hacer con ello y nos
expone a creciente peligros. Si no hacemos nada, nos enfrentaremos rápidamente
a la proliferación de episodios de sustracción y de decepciones que
acumulativamente erosionarán la confianza pública en Internet.
Este artículo trata de cómo podemos evitar la pérdida de
confianza y seguir adelante para dar a los usuarios de Internet un profundo sentido de seguridad, privacidad
y certeza sobre aquellos que se relacionan en el ciberespacio. Nada puede ser
más esencial si los servicios basados en Internet y
sus aplicaciones continúan moviéndose más
allá de la "ciber publicación " y abarcar todo tipo de interacción y servicios. Nuestro enfoque
"ha sido de desarrollar un conocimiento formal de las dinámicas originadas
por los sistemas de identidad digital que tienen éxito o fallan en varios
contextos, expresado como las Leyes de la Identidad. Tomadas en conjunto, estas
leyes definen un metasistema unificador de identidad que puede ofrecer a
Internet las capas de identidad que éste obviamente requiere.
Las ideas presentadas aquí fueron ampliamente afinadas a
través de la blog en una amplia conversación documentado en www.identityblog.com que
cruzaron muchas de las líneas de quiebre convencionales de la industria
informática, y en varias comunicaciones privadas. En particular, quisiera dar
las gracias a Arun Nanda, André Durand, Bill Barnes, Carl Ellison, Bowden
Gaspar, Craig Burton, Dan Blum, Kearns Dave, Dave Winer, Dick Hardt, Searls
Doc, Reed Drummond, Ellen McDermott, Eric Norlin, Esther Dyson, Labalme Fen,
Kaliya Identidad Mujer, Cannon JC, James Kobielus, el gobernador James, Jamie
Lewis, Shewchuk Juan, Razzell Lucas, Marc galope, Wahl Marcos, Martin Taylor,
Mike Jones, Phil Becker, Janocek Radovan, Ravi Pandya, Robert Scoble Scott C.
Limón, Simon Davies, marcas Stefan, Kwan Stuart y William Heath.
- Planteamiento del problema
Internet fue construido sin ninguna manera de saber quién
ni qué se está conectando.
Un
mosaico de identidades "One-Offs"[1]
Desde que se pierde esta capacidad esencial, todo aquel
que ofrece un servicio de Internet ha tenido
que llegar a una solución. ¿Es justo decir de Internet hoy día, que en ausencia
de una capa de identidad nativa, las capas de identidad se basan en un mosaico de identity one-offs (identidad inusual).
Dado que el uso de la web aumenta, como es que los
usuarios se exponen a estas soluciones. Aunque nadie tiene la culpa, el
resultado es pernicioso. Cientos de millones de personas han sido arrastrados a
aceptar cualquier cosa y cualquier sitio quiere lanzar ello como la “forma
normal "para hacer negocios en línea. Se les ha enseñado a escribir sus
nombres, claves secretas y la información de identificación personal en casi
todas las formas de entrada que aparece en su pantalla.
No hay ningún marco consistente ni comprensible que les
permita de evaluar la autenticidad de los sitios que visita, y no tienen
ninguna manera fiable de saber cuándo están revelando información privada a
partes ilegítimas. Al mismo tiempo, carecen de un marco para el control o
incluso recordar muchos de los aspectos de su existencia digital.
Criminalización
de Internet
Las personas han comenzado a utilizar Internet para
administrar e intercambiar cosas, progresivamente de mayor valor en la vida
real. Esto no ha pasado desapercibido por una franja penal que comprende la
expresa y vulnerable naturaleza del mosaico de
identidades ni cómo subvertir ello. Estas fuerzas criminales se han
incrementado profesionalizándose y organizándose ellas mismas internacionalmente.
Los clientes individuales son engañados en sus relaciones
bancarias y otras informaciones a través
de "phishing", regímenes
que aprovecha de su incapacidad para decir con quién se está negociando. ¿Son
inducidos también a instalar sin darse cuenta programas espías "spyware"
residentes en sus computadoras y cosechan información para ataques "pharming" a largo plazo. Otros
esquemas exitosos de blancos corporativos, son las bases de datos
gubernamentales, educativos, de vastos conglomerados de empresas exitosas en la
usurpación de identidad de cientos de miles de identidades de un solo golpe.
Las organizaciones criminales existen para adquirir y vender esas identidades a
una nueva generación de expertos innovadores usándolas para robar tan rápido
como sea posible en el más corto plazo
de tiempo. El carácter internacional de estas redes incrementa la dificultad de
penetrarlas y desmantelarlas.
Phishing y pharming están ahora pensados como uno
de los segmentos de más rápido crecimiento de la industria informática, con una
tasa anual de crecimiento compuesto (CAGR) de 1000%. (Por ejemplo, el Anti-Phishing Working Group, en su “Phishing Activity Trends Report”
de febrero de 2005 menciona una tasa anual de
crecimiento mensual en los sitios de phishing
entre julio y febrero del 26% mensual,
lo que representa una tasa compuesta anual de crecimiento de 1600%.) Sin un
cambio significativo de cómo hacemos las cosas, esta tendencia se mantendrá.
Es esencial mirar más allá de la situación actual, y
entiendo que si la dinámica actual continúa sin control, nos dirigimos hacia
una profunda crisis: la naturaleza ad hoc
de la identidad en Internet no puede soportar los crecientes asaltos de delincuentes profesionalizados.
Una profunda crisis pública de este tipo significaría que
Internet comenzaría a perder credibilidad y aceptación para las transacciones
económicas, cuando debería estar ganando esta aceptación. Pero adicionalmente
al peligro de rodar hacia atrás, necesitamos entender los costos de no ir hacia
adelante. La ausencia de una capa de identidad es uno de los factores clave
que limitan además la afirmación del ciberespacio. (El subrayado es nuestro)
Además, la ausencia de un tejido unificado y
racional de identidad nos impide de
aprovechar los beneficios de los servicios Internet.
Los servicios Internet han sido diseñados para
permitirnos construir sólidos, flexibles y distribuidos sistemas que pueden
conferir nuevas capacidades, y evolucionar en función de su entorno. Tales
servicios vivientes necesitan para dejar de ser imprecisos y
orgánicos, que rompan con el paradigma de rígida premeditación y cableado. Pero, mientras la identidad digital
permanezca como un mosaico de singular one-offs
que todavía deben ser cableados, toda negociación y compromiso que hemos logrado en otros aspectos del servicio Internet
no permitirá nada nuevo. Sabiendo quién está conectado con qué es un adicional
para la próxima generación de servicios cibernéticos para salir del partidor.
Es duro
añadir una capa de identidad
Se ha tratado de añadir más servicios de identidad
digital más normalizados de Internet. Y ha habido éxitos parciales en dominios
específicos como el uso de SSL para
proteger las conexiones a sitios públicos; o de Kerberos dentro de las
empresas. Y recientemente, hemos visto ejemplos exitosos de federación en la
identidad compartida de empresa a
empresa (business to business).
Pero estos éxitos han aportado poco para transformar el
mosaico de identidad en una red racional
extensible a través de Internet.
¿Por qué es tan difícil crear una capa de identidad para
Internet? Principalmente porque hay poco acuerdo en lo que sería y cómo debería
funcionar. La falta de este acuerdo surge porque la identidad digital está
relacionada con el contexto, e Internet, mientras siga siendo un simple marco
técnico, es utilizado a través de miles de tipos de contenidos en al menos tan
diferentes contextos muchos de las
cuales florecen en el tope de ese marco subyacente. Los actores involucrados en
cualquiera de estos contextos desean controlar la identidad digital, como
los impactos de estos, en muchos casos,
queriendo prevenir su contagio de su
contexto a cualquier otro.
Las empresas, por ejemplo, ven sus relaciones con
clientes y empleados como un activo clave, y son ferozmente protectores de
ellos. No es razonable esperar de ellas que restrinjan sus propias decisiones o
cedan el control sobre la forma como ellas crean y representan sus relaciones
digitales. Tampoco existe un solo método generado que pueda servir de
motivación para hacer ello. Los contextos difieren: de las discretas empresas
guiadas por un requisito que aquellas que son libres de adoptar diferentes
tipos de soluciones. Incluso las identidades singulares one-offs son mejores que un marco de identidad fuera de su control.
Los gobiernos han encontrado también que tienen
necesidad de distinguirse de otros tipos de organizaciones. Y de determinados
grupos industriales "verticales" como la industria financiera que han
venido para ver que ellas tienen dificultades y aspiraciones únicas cuando
tratan de mantener relaciones digitales con sus clientes.
Tan importante como estas instituciones son los
individuos, como consumidores quienes tienen la última palabra acerca de toda
propuesta de sistema cibernético de
identidad. Cualquier cosa que no les guste o no puedan usar inevitablemente
fracasará. Alguien más vendrá aportando otra alternativa.
Los temores de los consumidores sobre la seguridad de
Internet provienen mucho del uso de tarjetas de crédito para hacer compras en
línea. El incremento de programas informáticos malévolos y la usurpación de
identidad han hecho que el panorama de las cuestiones de privacidad concierna a todos los usuarios de
Internet. Esto ha resultado en una mayor concientización y preparación para
responder a las cuestiones de una mayor privacidad.
A medida que el mundo virtual ha ido evolucionado,
especialistas de la privacidad han desarrollado matices y análisis motivados
sobre la identidad desde el punto de vista del consumidor y del ciudadano. En respuesta
a su intervención, investigadores legales, responsables de políticas
gubernamentales, y representantes electos son cada vez más conscientes de los
problemas de privacidad frente a la sociedad tanto como nos comportamos en el
ciberespacio. Esto ha llevado a la sensibilidad de los proveedores y la
intervención del Gobierno, y se espera mucho más.
En resumen, tan grave como los peligros de la actual
situación debiera ser el surgimiento de una única
solución simple de la identidad digital como panacea universal, sin
embargo, esta no es realista.
Incluso si surge un milagro y los distintos actores
pudieran elaborar algún tipo de acuerdo amplio intersectorial sobre aquello que
constituye la perfección en un país, la probabilidad de extender éste universalmente
a través de fronteras internacionales el resultado sería igualmente cero.
Un metasistema
de identidad
En el caso de la identidad digital, las diversas
necesidades de la demanda de muchos actores exigen de tejer
una sola malla de identidad a partir de múltiples tecnologías constituyentes. Aunque
esto puede parecer inicialmente desalentador, similares soluciones se han hecho muchas veces antes durante la
evolución de la informática.
Por ejemplo, en los albores de la computación personal,
los constructores de aplicaciones tenían que estar conscientes sobre el tipo de
pantalla de vídeo que estaba siendo utilizada, y de las características
específicas de los dispositivos de almacenamiento instalados. Con el tiempo,
emergió una capa de software capaz de
proporcionar un conjunto de servicios abstractos a las especificidades de un
hardware dado. La tecnología de "controladores de dispositivos"
permite la intercambiabilidad de los hardwares
conectados cuando sea necesario. El hardware
se convirtió en un flexible acoplable a la computadora, permitiendo que
evolucionen rápidamente esas aplicaciones no necesitando ser reescritas para
aprovechar las nuevas características.
Lo mismo puede decirse acerca de la evolución de las
redes. En un tiempo, las aplicaciones tenían que ser conscientes de los
dispositivos de red específicos en uso. Con el tiempo la tecnología unificadora
de enchufes y TCP/IP surgió, capaz de trabajar con muchos sistemas específicos
subyacentes (Token Ring, Ethernet, Frame
Relay y X.25) e incluso con los sistemas, como inalámbricos, que todavía no
se había inventado.
La identidad digital requiere un enfoque similar.
Necesitamos un metasistema de identidad
unificadora que proteja las aplicaciones de la complejidad de las
implementaciones internas específicas y permita que la identidad digital pueda
convertirse en flexiblemente acoplable. Este metasistema es en efecto un sistema
de sistemas que expone una interfaz unificada al igual que un controlador de
dispositivo tal como lo hace un enchufe de red. Estas medidas excepcionales one-offs permitirán de evolucionar
hacia tecnologías estandarizadas que funcionan dentro de un Metasistema marco
sin que se requiera un acuerdo previo de todos.
Comprendiendo
los obstáculos
Para replantear el problema original, el rol de un metasistema
de identidad es proveer una manera fiable para establecer quien está conectado en Internet con qué, en cualquier
momento.
Hemos observado que varios tipos de sistemas han logrado
proveer una identificación en contextos específicos. Sin embargo, a pesar de
estos éxitos ellos han fallado en atraer este uso en otros escenarios. ¿Qué
factores explican estos éxitos y
fracasos? Además, cuáles serían las características de una solución que
funcione a escala de Internet? En respuesta a las preguntas, hay mucho que
aprender de los éxitos y fracasos de los diversos enfoques desde los años 1970.
Esta investigación ha dado lugar a un conjunto de ideas
llamado Las Leyes de la Identidad.
Elegimos la palabra "leyes" en el sentido científico de hipótesis
sobre el mundo, resultantes de la observación las cuales pueden ser probadas y
pueden ser refutables. (Hemos evitado conscientemente las palabras
"propuesta", que significa algo demostrado a través de la
lógica en lugar de experimento, y "axioma", que significa algo evidente por
sí mismo.) El lector debe tener en cuenta que no quisimos específicamente denotar preceptos
legales o morales, ni embarcarnos en una discusión de "filosofía de la
identidad." (Las tres áreas son de interés apremiante, pero es necesario enfocar bien los
debates actuales sobre
cuestiones que son directamente aplicables y verificables para resolver
la inminente crisis de la infraestructura de identidad.)
Estas leyes enumeran un conjunto de objetivos dinámicos
que definen un metasistema de identidad digital capaz de ser amplia y
suficientemente aceptada que pueda servir como una placa madre para los
sistemas distribuidos a la escala de Internet. Como tal, cada ley termina dando
lugar a un principio arquitectural que guía la construcción de tal sistema.
Nuestros objetivos son pragmáticos. Cuando postulamos la Ley de Control de Usuario y consentimiento, por
ejemplo, es porque la experiencia nos dice: un sistema en el cual los usuarios no tienen el control
inmediato con el tiempo puede ser rechazado por un
número suficiente de ellos
que no puede devenir
ni mantener una tecnología unificadora. Esta malla
de leyes con valores no es el tema relevante.
Al igual que otras leyes, ésta representa
un contorno que
limita lo que es un metasistema de
identidad que parece y no debe parecerse a la propuesta de muchas formaciones sociales
y culturas en las cuales esta debe estar en condiciones de operar.
Entender las leyes puede ayudar a eliminar una gran
cantidad de propuestas condenadas antes de perder demasiado tiempo en ellas.
Las leyes son comprobables. Ello nos permite de predecir
los resultados, y lo hemos hecho siempre desde que las propusimos. Ellas son también objetivas, es decir, ellas
existieron y operaron antes de ser formuladas. Así es como la Ley de Confianza de
las Partes, por ejemplo, puede dar cuenta de los éxitos y fracasos
del sistema de identidad de Microsoft Passport.
Las Leyes de la Identidad, tomadas en conjunto, definen
la arquitectura de la capa de identidad de Internet que
falta.
- Las palabras que posibilitan el diálogo
Mucha gente ha pensado acerca de la identidad, las
identidades digitales, personajes y representaciones. Proponiendo las leyes no
esperamos cerrar este debate. Sin
embargo, de acuerdo con los objetivos pragmáticos de este ejercicio definimos
un vocabulario que permitirá a las propias leyes de ser entendidas.
¿Qué es
una identidad digital?
Vamos a comenzar por definir una identidad digital como un conjunto de afirmaciones
hechas por un sujeto digital sobre sí mismo o sobre otro sujeto digital. Pedimos al
lector que nos deje definir lo que entendemos por un sujeto digital y una serie
de afirmaciones antes de examinar esto más en detalle.
¿Qué es
un sujeto Digital?
El Diccionario Inglés Oxford (OED) define un sujeto como:
"Una persona o cosa sobre la
que se está discutiendo, describiendo o tratando. "Así definimos un sujeto
digital como:
"Una persona o cosa
representada o existente en el mundo digital que se está describiendo o
tratando."
Gran parte de la toma de decisiones relacionados a los sistemas
distribuidos es el resultado de "tratar con" un iniciador o
solicitante. Y vale la pena señalar que ese mundo digital incluye muchos
sujetos que necesitan " tratar con " otros tan humanos como, incluyendo:
. Dispositivos y equipos (lo que
nos permite penetrar en el mundo digital en el primer lugar)
. Recursos Digitales (que llaman
nuestra atención)
. Políticas y otras relaciones
entre otros sujetos digitales (por ejemplo, entre humanos y dispositivos o documentos
o servicios)
El Diccionario Inglés Oxford (OED) va a definir sujeto, en un sentido filosófico, como
el " núcleo central de una sustancia o cosa en contraposición
a sus atributos." Como veremos “los atributos " son cosas expresadas
en solicitudes, y el sujeto es el núcleo
central descrito antes.
(Hemos seleccionado la palabra sujeto de preferencia a otras alternativas como la
"entidad", que significa "una cosa con distinta e independiente existencia." La
existencia independiente de una cosa
es aquí un punto discutible, puede ser un aspecto de otra cosa. Lo importante
es que es una de las partes de confianza está tratando con la cosa y que las solicitudes están siendo
hechas sobre ello.)
¿Qué es
una solicitud?
Una solicitud se considera:
"Una afirmación de la verdad
sobre algo, típicamente una de la cual se
discute o se duda."
Algunos ejemplos de las solicitudes en el ámbito digital probablemente nos ayuden:
. Una solicitud podría cubrir
apenas un identificante por ejemplo, que el número del sujeto estudiante es 490-525, o que el nombre del
sujeto Windows es REDMOND \ kcameron.
Esta es la manera como muchos
sistemas existentes de identidad trabajan.
. Otra alegación puede afirmar que un sujeto conoce una
clave y debe ser
capaz de demostrar este hecho.
. Un conjunto de afirmaciones podrían transmitir información de
identificación personal nombre, dirección, fecha de nacimiento
y ciudadanía, por ejemplo
. Una alegación puede simplemente
proponer que un sujeto es parte de un cierto grupo, por ejemplo, aquel que tiene una edad menor de 16 años.
. Y una alegación puede
establecer que un sujeto tiene cierta capacidad, por ejemplo, para hacer pedidos, hasta un cierto límite, o
modificar un determinado archivo.
El concepto de "estar en duda" capta
las sutilezas de un mundo distribuido como
Internet. Las alegaciones
necesitan ser el objeto de una evaluación por la parte que
depende de ellos. La mayor parte de
nuestras redes están federadas y abiertas a la participación de muchos temas
diferentes, el más obvio se convierte en esto.
El uso de la palabra solicitud
es por consiguiente más adecuada en un entorno distribuido y federado que las
palabras alternativas tales como "afirmación", la que
significa "una confiada y contundente declaración de la hechos o de
convicciones."(OED).
En la evolución de un modelo de dominio cerrado hacia uno
abierto, en los modelos federados, la situación se transforma en uno donde las
partes que hacen la afirmación y las partes que evalúan, pueden tener una
relación compleja y ambivalente. En este contexto, las afirmaciones siempre
necesitan estar sujetas a la duda, no sólo a la duda que ellas se han
transmitido intactas desde el emisor hasta el receptor, sino también la duda
que ellas son verdaderas, y la duda de que ellas son aún relevantes para el
receptor.
Ventajas
de una definición basada en las solicitudes
Definición
La definición de la identidad digital empleada aquí
abarca todos los sistemas conocidos de identidad digital y nos permite comenzar
por consiguiente por unificar los elementos racionales de nuestro mosaico conceptual.
Esto nos permite definir la identidad digital para una Metasistema que abarque múltiples implementaciones y maneras de
hacer las cosas.
Al presentar esta definición, reconocemos
que no concuerda con
algunas creencias ampliamente
sostenidas, por ejemplo, que dentro
de un contexto dado, las identidades tienen que ser únicas. Muchos de los primeros sistemas fueron construidos con
este supuesto, y este es una crítica corriente de asumirla en muchos contextos.
El único error es en pensar que es obligatorio para todos los contextos.
A modo de ejemplo, consideremos las relaciones entre una empresa como Microsoft y un servicio de análisis que llamaremos Contoso Analytics. Supongamos que Microsoft contrata a Contoso Analytics para que cualquier persona de Microsoft pueda leer sus informes sobre las tendencias de la industria. Supongamos también que Microsoft no quiere que Contoso Analytic sepa quién exactamente en Microsoft tiene que intereses o lee que tipo de informes.
En este escenario no
queremos actualmente emplear
identificantes individuales únicos como identidades digitales. Contoso Analytics necesita todavía una
manera de asegurar que solo los clientes válidos obtengan los informes. Pero en
este ejemplo, la identidad digital sería mejor expresada por una solicitud muy limitada, la solicitud
que el sujeto digital que accede
actualmente a la Internet es un empleado de Microsoft. Nuestra solicitud basada
en este enfoque tiene éxito en este sentido. Permite a un sujeto digital (Microsoft Corporation) afirmar
algo de otro sujeto digital sin utilizar ningún
identificador único.
Esta definición de la identidad digital nos llama a
separar limpiamente la presentación de solicitudes de la probabilidad de la relación a un objeto
del mundo real.
Nuestra definición deja la evaluación de la utilidad (o de la
veracidad o confiabilidad
de la) pretensión a la parte de confianza.
La verdad y la posible vinculación no están en la solicitud, sino
resultan de la evaluación. Si la parte evaluadora decide que aceptaría la
reclamación que le ha sido hecha, entonces esta afirmación representa solo una
mayor solicitud sobre el sujeto, esta vez realizado por la parte evaluadora
(que puede o no puede ser transmitido bajo otra forma).
La evaluación de una identidad digital tiene como resultado una simple transformación de lo que se inicia con la
producción de nuevo en un conjunto de solicitudes hechas por un sujeto digital
sobre otro.
Cuestiones de confianza, atribución y utilidad puede ser un factor
externo y dirigido a una capa más alta en el
sistema que en el
mecanismo para expresar
la identidad digital en sí.
- Las Leyes de la Identidad
Ahora podemos mirar las siete leyes esenciales que
explican el éxito y los fracasos de los sistemas de identidad digital.
1.
Control del Usuario y Consentimiento
Los sistemas técnicos de
identidad sólo deben revelar
información que identifique a un usuario
con el consentimiento del usuario.
Nada es tan fundamental para el éxito del metasistema de
identidad como el individuo que lo utiliza. El sistema debe en primer lugar
apelar por todos los medios a la conveniencia y la simplicidad. Pero igualmente
soportar, que debe ganar la confianza del usuario por encima de todo.
Ganar esta confianza requiere un compromiso global. El sistema debe estar
diseñado para que el usuario controle el uso de las identidades digitales, y la información que se difunde.
El sistema debe también proteger el usuario contra el engaño, verificando la identidad de cualquiera de las partes que solicitan información. Si el usuario decide suministrar
información de identidad, no debe haber
ninguna duda que va al sitio correcto. Y el sistema necesita mecanismos
para hacer que el
usuario se encuentre consciente de los fines para los que
esa información está siendo recopilada.
El sistema debe
informar al usuario cuando él o ella han elegido un proveedor de identidad capaz de rastrear el comportamiento en Internet.
Además, se debe reforzar el sentido de que el usuario
tiene el control independientemente del contexto, en lugar
de alterar arbitrariamente
su contrato con
el usuario. Esto significa ser capaces de apoyar el consentimiento del
usuario en la empresa, así como los entornos de los clientes. Ello es esencial
para mantener el paradigma del consentimiento aun cuando la negativa puede romper las condiciones de empleo en una empresa. Esto sirve tanto
para informar a los
empleados como para indemnizar a la empresa.
La Ley de Control de Usuario y del consentimiento permite el uso de los mecanismos mediante el cual el metasistema recuerda
las decisiones del usuario, y los usuarios pueden optar por hacer que se
apliquen de forma automática en ocasiones posteriores
.
2.
Mínimos de información para un uso limitado
La
solución que describe la menor
cantidad de información
identificante y los mejores límites
de su uso es la solución más estable a largo
plazo.
Hemos construido sistemas que emplean información de
identificación sobre la base que la violación siempre es posible. Dicha
infracción representa un riesgo. Para mitigar el riesgo, lo mejor es adquirir
información sólo como una “necesidad básica de saber", y mantenerla sólo como
una necesidad básica de conservarla. Siguiendo estas prácticas, podemos
asegurar el menor daño posible en caso de infracción.
Al mismo tiempo, el valor de la Información de
Identificación disminuirá a medida que disminuye la cantidad. Un sistema construido
sobre los principios de información minimalista es, por ello, un blanco menos
atractivo para la usurpación de identidad, reduciendo más aún el riesgo .
Limitando el uso por un escenario explícito (en relación
con lo descrito en la Política de Uso de la Ley de Control), la eficacia de la
"necesidad de saber", el principio de reducción del riesgo adicional se
amplia. Ya no existe la posibilidad de colectar
y mantener la
información “solo en caso” de que un día podría ser requerida.
El concepto de menor información de identificación debería
entenderse en el sentido no sólo del menor número
de solicitudes, sino de
información con menos probabilidades de identificar a un individuo
a través de múltiples contextos. Por
ejemplo, si en un escenario se requiere prueba de que se tiene cierta edad,
entonces es mejor adquirir y almacenar la categoría de edad en vez de la fecha
de nacimiento. La fecha de nacimiento es más probable, en asociación con otras solicitudes,
para identificar de forma exclusiva un sujeto, por lo que representa "más
información de identificación" que debería evitarse si no es necesario.
De la misma manera, los identificadores únicos que pueden
ser reutilizados en otros contextos (por ejemplo, número de licencia de
conducir, números de Seguro Social, y similares representan "más
información de identificación" que un único especial propósito de identificadores
que no superan el contexto. En este sentido, adquisición y almacenamiento de un
número de Seguro Social representa un mucho mayor riesgo que la asignación aleatoria
de un número de estudiante o empleado.
Numerosos desastres de identidad han ocurrido cuando se
ha quebrado esta ley.
También podemos expresar la Ley de Divulgación mínima de la
siguiente manera: agregar información de identificación agrega también riesgos.
Para minimizar el riesgo, minimizar la agregación.
3.
Partes de Confianza
Los sistemas
digitales de identidad deben ser diseñados para que la divulgación de la información
de identificación se limite a las partes que tienen un necesario y justificable
lugar en una relación de identidad dada.
El sistema de identidad tiene que hacer que sus usuarios se
encuentren al tanto de la parte o partes
con quien está interactuando al mismo tiempo que intercambia información.
La justificación de estos requisitos se aplica tanto al sujeto que revela Información y la parte que confía, quién depende de ello.
Nuestra experiencia con Microsoft Passport
es muy ilustrativa en este sentido.
Los usuarios de Internet vieron Passport como una forma conveniente de tener acceso a los sitios de MSN y estos sitios estaban
felices con Pasaporte con la música de más de mil millones de interacciones por día. Sin embargo, no tenía sentido
para la mayoría de los sitios no MSN de Microsoft
de involucrarse en las relaciones con
sus clientes. Tampoco fueron los usuarios quienes reclamaron por un
servicio único de identidad de Microsoft para estar al tanto de
todas sus actividades en Internet.
Como resultado, Pasaporte fracasó en esta misión de ser un sistema de identidad
para Internet.
Veremos muchos más ejemplos de esta ley en el futuro.
Algunos gobiernos están pensando hoy en día en el funcionamiento de servicios
de identidad digital. Tiene sentido (y es claramente justificable) para las
personas de utilizar las identidades
emitidas por el Gobierno cuando hacen negocios con el gobierno. Pero será una
cuestión cultural en cuanto a si, por ejemplo, los ciudadanos aceptan si ello
es "necesario y justificable" para la identidades de Gobierno de ser
usadas para controlar el acceso de una familia a un wiki o la conexión
de un cliente a su afición o vicio.
Al mismo problema se enfrentarán los
intermediarios de la construcción de una malla de confianza. La ley no
pretende sugerir las limitaciones de lo que es posible, se propone más bien señalar
la dinámica de la cual debemos estar conscientes.
Sabemos por la Ley de Control y Consentimiento que el
sistema debe ser predecible y "transparente" para ganar confianza. Pero
los usuarios necesitan comprender quien está conectado (dealing) por otras
razones, como lo veremos en la Ley de Integración humana. En el
mundo físico nosotros somos capaces de
juzgar una situación y decidir lo que queremos revelar de nosotros mismos. Esto tiene su analogía en las partes de confianza digital.
Cada parte para la divulgación debe proporcionar a la
parte reveladora una declaración de política sobre el uso de la información.
Esta política debería regular que pasa con la información divulgada. Uno puede
ver esta política como la definición de "derechos delegados" emitido
por la parte reveladora.
Cualquier política de uso permitiría a todas las partes de
cooperar con las autoridades en el caso de investigaciones penales. Pero esto no significa que el Estado es parte en la relación de identidad. Por
supuesto, esto debería hacerse explícitamente en la política de información en
virtud de la cual es compartida.
4.
Identidad Dirigida
Un sistema de identidad universal debe soportar tantos identificadores omnidireccionales
para su uso por entidades públicas
e identificadores unidireccionales para su uso por entidades privadas, facilitando además el descubrimiento,
mientras prevé, al mismo tiempo, la innecesaria publicación de correlación manejada.
La identidad técnica siempre se afirmó con respecto a
alguna otra identidad o un conjunto de identidades. Para hacer una analogía con
el mundo físico, podemos decir que la identidad tiene dirección, no solamente
magnitud. Un especial "conjunto de identidades" Un
especial "conjunto de
identidades", es que de todas las demás identidades
(la pública). Otros conjuntos importantes existen (por ejemplo, las identidades
de negocios en la empresa, un dominio arbitrario, o un grupo de pares).
Las entidades que son públicas pueden tener
identificadores que son invariables y bien conocidos. Estos identificadores públicos pueden ser considerados
como balizas que emiten la identidad a cualquier persona que se las muestre. Y las
balizas son omnidireccionales (dispuestas a revelar su existencia al conjunto
de todas las otras categorías de identidades).
Un sitio Internet corporativo con una bien conocida URL y un certificado de clave pública es un buen
ejemplo de dicha entidad pública. No hay ninguna ventaja por el hecho de que hay una
gran desventaja en el cambio de una dirección URL pública. Está bien para todos
los visitantes del sitio de examinar el certificado de clave pública. Es
igualmente aceptable para que todos sepan que el sitio está ahí: su existencia
es pública.
Un segundo ejemplo de una tal entidad pública es un
dispositivo visible para el público como un proyector de vídeo. El dispositivo se encuentra en una sala de conferencias de una empresa.
Los visitantes a la sala de conferencias pueden ver el proyector y sus ofertas
de servicios digitales por la misma publicidad a los que acercan a éste. En el
pensamiento esbozado aquí, hay una identidad
omnidireccional.
Por otra parte, un cliente que visita una página Internet
corporativa es capaz de utilizar la baliza de identidad de ese sitio para
decidir si quiere establecer una relación con él. Su sistema puede entonces, establecer
una unidireccional" relación de identidad seleccionando un identificante para
usarlo con ese sitio y no con otro. Una relación de identidad unidireccional
con un diferente sitio implicaría la fabricación de un completo identificante ajeno.
Debido a esto, no existe una correlación manejablemente emitida que pueda ser
compartida entre sitios para ensamblar el perfil de las actividades y
preferencias dentro de los súper expedientes.
Cuando un usuario de la computadora ingresa en una sala
de conferencias con el proyector anteriormente descrito, sus identidades
omnidireccionales podrían ser utilizadas para decidir (según la Ley de Control)
si lo quiere para interactuar con él. Si lo hace, una relación unidireccional
de identidad de corta duración que puede ser establecida entre el ordenador y el
proyector proveyendo una conexión segura, mientras divulgan la menor posible
información de identificación de conformidad con la ley de mínima revelación.
Bluetooth y otras
tecnologías inalámbricas hasta ahora no se ajustaban a la Ley de Identidad Dirigida.
Ellos usan balizas públicas para entidades privadas. Esto explica la reacción
de los clientes innovadores en estas áreas quienes están luchando con ello.
Los certificados de clave
pública tienen el mismo problema cuando se les
utiliza para identificar a los individuos en contextos donde la
privacidad es un problema. Puede ser más que una coincidencia que los
certificados han sido ampliamente utilizados hasta la fecha en conformidad con esta
ley (es decir, en la identificación de los sitios Internet públicos) y, generalmente
ignorados cuando se trata de identificar a individuos privados.
Otro ejemplo comprende el
uso propuesto de tecnología RFID en los pasaportes y en las solicitudes de
seguimiento de estudiantes. Los dispositivos RFID emiten actualmente una baliza
pública omnidireccional. Esto no es apropiado para su uso por particulares.
Los lectores de pasaportes son dispositivos públicos y por lo tanto deben emplear una baliza
omnidireccional. Pero los pasaportes sólo deberían responder a lectores de
confianza. Ellos no deberían emitir señales a cualquier intruso que identifican
a sus portadores sino como nacionales de un país
determinado. Se han dado ejemplos de dispositivos no tripulados que pueden ser
detonados por estas balizas. En California ya estamos viendo las primeras medidas
legislativas que se están adoptando para corregir el abuso de la
direccionalidad de identidad. Esto muestra una falta de visión entre los
tecnólogos y los legisladores que no comprenden estos temas antes de hacerlos.
5. Pluralismo
de Operadores y Tecnologías
Un
sistema de identidad universal debe canalizar y ser capaz de interactuar bajo múltiples
tecnologías de identidad a cargo
de los proveedores de identidad múltiple.
Sería bueno si hubiera
una manera de expresar la identidad. Pero los numerosos contextos en los que se
requiere la identidad no lo permitirán.
Una de las razones por las
que nunca habrá un sistema monolítico único y centralizado (lo contrario de un
metasistema) se debe a las características que hacen que cualquier sistema
ideal en un contexto, implica necesariamente que carezca de otras.
Tiene sentido emplear una
identidad digital emitida por el gobierno en su interacción con los servicios
del gobierno (una única identidad global no implica ni impide la correlación de
identificadores entre los departamentos gubernamentales individuales).
Pero en muchas culturas,
los empleadores y los empleados no se sienten cómodos usando los identificantes
del gobierno para iniciar una sesión en el trabajo. Un identificante del
gobierno puede ser usado para transmitir la información fiscal, podría ser
requerida incluso cuando una persona solicita una primera oferta de empleo.
Pero el contexto del empleo es lo suficientemente autónoma que garantiza su
identidad propia, libre de la observación diaria a través de una tecnología
dirigida por el gobierno.
Los clientes e internautas
en la Internet mientras tanto querrán en muchos casos un mayor nivel de
privacidad que probablemente será
proporcionada por cualquier empleador.
Así que cuando se trata de
la identidad digital, no es sólo una cuestión de tener proveedores de identidad
a cargo de las distintas partes
(incluidos los propios individuos), sino de tener sistemas de identidad que
ofrecen diferentes (y potencialmente
contradictorias) características.
Un sistema universal debe
comprender la diferenciación, sin dejar de reconocer que cada uno de nosotros
es al mismo tiempo y en diferentes contextos un ciudadano, un empleado, un cliente, y un
personaje virtual.
Esto demuestra, desde otro
ángulo, que los distintos sistemas de identidad deben existir en un metasistema. Esto implica que
necesitamos un protocolo de encapsulación simple (una forma de aprobar y
transportar cosas). También necesitamos una forma de información de superficie
a través de una experiencia de usuario unificada que permite a los individuos y
organizaciones seleccionar proveedores adecuados de identidad y características
a medida que prosperan en sus actividades diarias.
El metasistema de
identidad universal no debe ser monolítico. Debe ser policéntrico (la federación
implica esto) y también polimórficos (que existen en diferentes formas). Esto
permitirá a la identidad ecológica de
surgir, evolucionar y auto-organizarse.
Sistemas como RSS y HTML
son poderosos porque no llevan ningún contenido. Necesitamos ver que la
identidad misma responderá a varios contextos, tal vez muchos, y sin embargo,
se podrán expresar en un metasistema.
6. Integración
humana
El metasistema
de identidad universal debe definir al usuario humano como un componente de un
sistema distribuido integrado a través de inequívocos mecanismos de
comunicación hombre-máquina que ofrece la protección contra los ataques de identidad.
Hemos hecho un buen
trabajo protegiendo el canal entre los servidores Internet y los navegadores a
través del uso de la criptografía de un canal, que podría extenderse por miles
de kilómetros. Pero hemos fallado en proteger adecuadamente los dos o tres pies
del canal entre la pantalla del navegador y el cerebro del ser humano que lo
utiliza. Este canal inconmensurablemente más corto es el objeto de ataques de phishing y pharming.
No es de extrañar. ¿Qué
identidad está utilizando el usuario cuando navega en la Internet? ¿Cómo es
comprensible la información sobre su identidad transmitida?, ¿Nuestros
sistemas de interfaz de identidad digital están trabajando con los usuarios de
manera que los objetivos de los estudios han demostrado trabajar? La información
de identidad en la actualidad adopta la forma de certificados. Los estudios muestran
que los certificados son significativos para los usuarios?
¿Qué es exactamente lo que
estamos haciendo? Sea lo que sea, tenemos que hacerlo mejor: el sistema de
identidad debe ampliar e integrar al usuario humano.
Carl Ellison y sus colegas
han acuñado el término "ceremonia" para describir las interacciones
que abarcan una red mixta de los componentes del sistema humano y del
cibernético, el canal completo de un servidor Internet para el cerebro humano.
La ceremonia va más allá de los ciberprotocolos para garantizar la integridad
de la comunicación con el usuario.
Este concepto requiere profundos
cambios en la experiencia del usuario por lo que se convierte en previsible y
no ambiguo, lo suficiente como para permitir decisiones informadas.
Dado que el sistema de
identidad tiene que trabajar en todas las plataformas, debe ser seguro en todas
las plataformas. Las propiedades que conducen a su seguridad no pueden basarse
en la oscuridad o en el hecho de que la plataforma subyacente o el software son desconocidos o tiene una
pequeña adopción.
Un ejemplo es el canal 9 de
United Airlines. Lleva una
conversación en vivo entre la cabina de un avión y de control del tráfico
aéreo. La conversación en este canal es muy importante, técnica, y focalizada.
Los participantes no "chatean", todas las partes conocen con exactitud qué
esperan de la torre y del avión. Como resultado, a pesar de que hay una gran
cantidad de ruido de radio y estática, es fácil para el piloto y el controlador
seleccionar el contenido exacto de la comunicación. Cuando las cosas van mal,
la ruptura de previsibilidad de la cadena marca la urgencia de la situación y
se basa en todas las facultades humanas para entender y responder al peligro. La limitada semiótica del canal significa
que hay una elevada fiabilidad en las comunicaciones.
Requerimos al mismo tipo de ceremonia limitada y
altamente predecible para el intercambio de información de identidad. La
ceremonia no es un "que todo se siente bien" o este tipo de cosas. Esta predeterminada.
Pero no es esta la limitante
a las posibilidades en contra de nuestras ideas sobre la informática? ¿No
muchos avances en la computación han ocurrido a través de la ambigüedad y no
deseadas consecuencias imprevistas que podrían
ser descartadas a la luz de la austera ceremonia?
Estas son preguntas
válidas. Pero nosotros no queremos definitivamente consecuencias no deseadas
cuando averigüemos con quién estamos hablando o lo que la información de
identificación personal a revelar.
La cuestión es cómo lograr
niveles muy altos de fiabilidad en la comunicación entre el sistema y sus
usuarios humanos. En gran parte, esto se puede medir objetivamente a través de
pruebas de usuario.
7. Experiencias
consistentes mediante contextos
El unificador metasistema de
identidad debe garantizar a sus usuarios una experiencia simple y coherente al mismo
tiempo que permitir la separación de los contextos a través de múltiples
operadores y tecnologías.
Vamos a proyectarnos en un
futuro en el que tenemos un número de opciones de identidad contextual. Por
ejemplo:
• Navegación: una auto-afirmación de identidad para explorar la Internet
(dejando de lado datos reales)
• Personal: una auto-afirmación de identidad para los sitios con los
que quiero una relación continua, pero privada (incluyendo mi nombre y una
dirección de correo electrónico a largo plazo)
• Comunidad: una identidad pública para colaborar con los demás
• Profesional: una identidad pública de colaboración emitida por mi
empleador
• Tarjeta de crédito: una identidad emitida por mi institución
financiera
• Ciudadano: una identidad emitida por mi gobierno
Podemos esperar que las
personas diferentes tengan diferentes combinaciones de estas identidades
digitales, así como los demás.
Para hacer esto posible,
hay que "cosificar" las identidades digitales, convertirlas en
"cosas" que el usuario puede ver en el escritorio, añadir y eliminar,
seleccionar y compartir. (Hemos elegido para "localizar" la palabra
más venerable "cosificar".) ¿Cuán útiles serían los ordenadores hoy
en día si no hubiéramos inventado los iconos y las listas que siempre
representan las carpetas y documentos? Debemos hacer lo mismo con las identidades
digitales.
¿Qué tipo de identidad
digital es aceptable en un contexto dado? Las propiedades de los potenciales
candidatos serán especificados por el servicio Internet desde el que un usuario
desea obtener un servicio. La coincidencia cosificada de las identidades
digitales puede mostrase entonces al usuario, quien puede seleccionar a
continuación, entre ellas y utilizarlas
para entender cuál es la información que se solicita. Esto permite al usuario
controlar lo que revela.
Diferentes partes de confianza
requieren diferentes tipos de identidades digitales. Y dos cosas son claras:
• Un sola de las partes de
confianza a menudo tendrá que aceptar más de un tipo de identidad, y
• Un usuario querrá entender
sus opciones y seleccionar la mejor identidad para el contexto
Poniendo todas las leyes juntas,
podemos ver que la solicitud, selección y manifestación de la información de
identidad se debe hacer de tal manera que el canal entre las partes sea seguro.
La experiencia del usuario también debe evitar la ambigüedad en el
consentimiento del usuario, y la comprensión de las partes involucradas y sus
usos propuestos. Estas opciones deben ser consistentes y claras. La coherencia
entre contextos es necesaria para que esto se haga de una manera inequívoca con
los componentes del sistema humano.
Como usuarios, necesitamos
ver nuestras identidades diversas, como parte de un mundo integrado, que sin embargo respeta nuestra necesidad de contextos
independientes.
- Conclusión
Aquellos de nosotros que
trabajamos en o con sistemas de identidad necesitamos obedecer las leyes de la identidad. De lo
contrario, creamos un fortalecimiento de la estela de efectos secundarios que eventualmente atentan contra toda
tecnología resultante. El
resultado es similar a lo que ocurriría si los ingenieros civiles hicieran alarde
de la ley de la gravedad. Siguiendo ello, podemos construir un metasistema de
identidad unificadora que sea universalmente aceptada y duradera.
No hay comentarios:
Publicar un comentario