Es un nuevo paradigma de autenticación en internet en el que nosotros somos nuestros propios proveedores de identidad. Venimos de un histórico que ha tenido varias fases. Al principio íbamos creando identidades en cada uno de los servicios que consumíamos y las protegíamos con un usuario y contraseña. Esas identidades estaban totalmente aisladas y solo servían para acceder a ese servicio concreto. A partir de 2010 empezaron a popularizarse las identidades federadas, que son aquellas que proporcionan empresas como Google o Facebook. Tenemos una identidad centralizada en estos proveedores, que actúan como proxy para que podamos acceder a servicios de terceros. En la identidad centrada en el usuario o descentralizada también tenemos una única identidad, pero la gestionamos nosotros mismos. Esta gestión se hace a través de carteras de identidad o ID wallets, en las que podemos guardar todo tipo de credenciales, desde documentos oficiales como DNI, pasaporte y carnet de conducir, diplomas académicos, tarjetas de fidelización, billetes de Renfe, etcétera. Con esta arquitectura conseguiremos tener una caja fuerte muy segura en nuestro dispositivo a través de una aplicación que nos permitirá compartir información con terceros de forma muy ágil, acercando el teléfono, igual que ahora hacemos para pagar. El gran cambio de paradigma es que nosotros tendremos control total sobre nuestros datos. Desde esta carta de identidad podemos decidir quién tiene acceso a ellos y podremos revocar este permiso dando a un botón. 

¿Somos los ciudadanos conscientes de lo importante (y vulnerable) que es nuestra identidad digital?

Somos menos conscientes de lo que me gustaría. La cuestión de la privacidad en internet es muy importante, pero muy poca gente la da importancia. El usuario final siempre va a priorizar la usabilidad sobre la privacidad. Por eso tenemos que ser capaces de crear soluciones que incorporen la privacidad desde el diseño y que no supongan tener que elegir. 

¿En qué estáis trabajando con la Comisión Europa y la Fábrica Nacional de Moneda y Timbre?

Nos acercamos a la Comisión Europea en 2020 cuando estaba trabajando en el proyecto EBSI [European Blockchain Services Infrastructure], una infraestructura blockchain europea gestionada por los estados miembros para intentar facilitar interacciones entre los ciudadanos, las empresas y los gobiernos. La Comisión nos contrató para ayudarles a definir las especificaciones técnicas de identidad descentralizada para el proyecto EBSI. Eso nos dio mucha visibilidad entre los estados miembro. A partir de ahí hicimos un piloto con una municipalidad de Holanda, empezamos a trabajar con el Gobierno de España, con Correos y de ahí saltamos a la Fábrica Nacional de Moneda y Timbre. Llegamos a un acuerdo de dos años para ayudarles a explorar una solución de identidad digital descentralizada. La app Cartera Digital es una versión white label de nuestra tecnología. Todo esto va en la línea de eIDAS, el marco normativo que regula la identidad digital en Europa. La regulación entró en vigor en 2014, pero en 2024 se ha aprobado una modificación muy importante que obligará a todos los países miembros a ofrecer, para finales de 2026, una cartera de identidad digital a sus ciudadanos con los mismos conceptos y las mismas arquitecturas en las que nosotros llevamos trabajando desde 2017. Además, obligará a muchas empresas, incluidas la banca, el sector seguros, educación e incluso las grandes del sector tecnológico como Google o Amazon a aceptar la cartera de identidad europea como método de autenticación a sus servicios. Desde que se anunció el proyecto de ley ha habido un crecimiento explosivo de todo el ecosistema, desde proveedores tecnológicos como nosotros hasta reguladores en todo el mundo que empiezan a establecer estrategias nacionales basadas en carteras de identidad.

¿Esto podría acabar con el anonimato online?

En internet no siempre operamos de forma anónima. Por ejemplo, cuando te quieres abrir una cuenta bancaria tienes que identificarte. La cartera digital está diseñada para identificarte en esos escenarios, pero también para poder para proteger la privacidad del usuario. Los sistemas de identificación que utilizamos hoy son muy invasivos. Cuando utilizamos una identidad de, por ejemplo, Google para acceder a servicios de terceros, Google sabe perfectamente a qué servicios estás accediendo, cuándo y con qué frecuencia. Con esta nueva arquitectura, nadie va a saber eso, ni siquiera los emisores de las credenciales. Es decir, que aunque un gobierno haya emitido una credencial de tipo DNI a la cartera, no va a poder saber dónde utiliza ese DNI el usuario. Podría parecer que tener la información centralizada la haría más fácil de monitorear, pero es justo lo contrario.

Es verdad que los usuarios tenemos la sensación de que nuestra actividad en internet está muy controlada, pero también de que el anonimato online que está generando muchos problemas. ¿Son compatibles el derecho a la privacidad y la seguridad online?

Estos sistemas lo hacen más posible. Imagina que quieres comprar alcohol. En realidad, solo tendrías que demostrar que eres mayor de edad, no dar tu nombre o dónde vives, pero hasta ahora tenías que enseñar tu DNI. Con los sistemas de identidad digital centrados en el usuario ni siquiera tendrás que dar tu fecha de nacimiento para demostrar que eres mayor de edad. Como decía, las carteras digitales están diseñadas para facilitar la identificación, pero también para facilitar el anonimato incluso donde hoy no es posible. 

El efecto de una brecha de seguridad podría ser enorme. ¿Cómo se garantiza la seguridad de esas carteras?

Podría pasar una hora entera hablando de normativas de seguridad. Las carteras digitales, tal y como están definidas en eIDAS, están diseñadas a partir de dos conceptos: privacidad y seguridad. Tendemos a pensar que es una app en el móvil, pero en realidad es una pieza de software muy compleja, con unos requerimientos de seguridad muy estrictos. Se contemplan muchísimos elementos: verificar que la cartera pertenece a un proveedor tecnológico certificado, que el dispositivo móvil no está hackeado, que todas las claves privadas estén al menos guardadas en el secure enclave, que es una parte de la memoria del móvil que si se intenta hackear se borra automáticamente... Luego, a nivel de software, por supuesto, encriptación en local, en tránsito, etcétera. La cuestión de la seguridad es crítica y quizá lo más difícil. 

¿El mayor obstáculo para su implantación es tecnológico o una cuestión de regulación?

Lo que falta no es tanto regulación, y menos en Europa, donde ya existe un marco para ello, lo que hace falta es asegurar la interoperabilidad, porque no se pueden plantear este tipo de arquitecturas tecnológicas de forma aislada para un país. Por supuesto, eso implica también que mucha legislación local va a tener que adaptarse. Por ejemplo, la legislación española dice que el diploma académico tiene que imprimirse en papel, en tamaño A3 y con un gramaje determinado. Hasta que no se cambie eso no podremos tener una credencial académica en formato digital con la misma validez legal. Y habrá que ponerse de acuerdo para establecer qué campos debe tener un diploma académico para que sea reconocido en toda Europa. Se ha hecho un trabajo bestial en los últimos tres o cuatro años, el ecosistema ya está muy maduro, pero para que esto sea una realidad a escala global, con interoperabilidad global, falta mucho entendimiento entre jurisdicciones y dominios.

Algunas aplicaciones actuales de reconocimiento facial o de rastreo parecen salidas de Minority Report. ¿Cómo imaginas los sistemas de identificación del futuro?

Claramente, el móvil va a ser una pieza fundamental en nuestra identificación. De aquí a cinco años, identificarnos de forma fehaciente con las garantías de seguridad que ameritan procesos sensibles como acceso a servicios financieros, a servicios gubernamentales o de salud va a ser tan fácil y rápido como hoy es hacer un pago con el móvil.

Empezaste trabajando como ingeniera en grandes empresas del sector aeronáutico y el de las telecomunicaciones. ¿Cómo te interesaste por la ciberseguridad?

De forma un poco accidental. En 2017 hubo una brecha se seguridad muy importante en Equifax, una empresa americana de rating financiero. Se filtraron más de 300 millones de registros con datos de personas que ni siquiera eran usuarios registrados de la plataforma. A mí me llegó un mail diciendo que mis datos habían sido hackeados. Yo por entonces estaba viviendo en Estados Unidos y apenas conocía Equifax. Me abrí una cuenta en la plataforma y descubrí que tenían acceso a información financiera muy sensible que yo jamás había compartido con ellos. Como europea, donde hay una mayor conciencia sobre la privacidad que en Estados Unidos, me chocaba mucho que mi información se compartiera libremente sin mi conocimiento. Además, el que el que tus datos estén, sin tú saberlo en millones de bases de datos, redunda en un mayor riesgo de brechas de ciberseguridad y, por ende, de fraude de identidad. Ahí me di cuenta de que la arquitectura de gestión de los datos personales en internet no era sostenible y había que cambiarla. Yo en ese momento estaba trabajando en el Media Lab del MIT, realizando una investigación sobre tecnologías descentralizadas y su aplicabilidad en el sector energético. La filosofía de descentralización, de pasar el control al usuario, me pareció un esquema muy apropiado para la gestión de los datos personales. Entonces puse en marcha una investigación para tratar de ver si podíamos aplicar estas arquitecturas descentralizadas a la gestión de los datos personales. Esa fue la génesis de Gataca.

¿El famoso lema del MIT, ‘mens et manus’, es una realidad?

Sí, lo es. La verdad es que el ambiente es fabuloso. Puedes encontrar expertos de cualquier tema y hay una clara predisposición a compartir conocimiento y ayudar a los demás. Si te interesa un tema específico, puedes hacer una búsqueda y al día siguiente estar reuniéndote con el mayor experto en ese tema. Ese flujo de información y las ganas de colaborar es lo que hace especial al MIT.

¿Y por qué decidiste trasladar el proyecto de Boston a Madrid?

La pregunta que me hice es si quería estar más cerca de mis potenciales clientes o de mis potenciales inversores. Y tuve bastante clara la respuesta. Por aquel entonces era un mercado muy inmaduro, casi inexistente. Necesitábamos desarrollar el ecosistema, y Europa tenía un marco regulatorio muchísimo más favorable en cuanto a protección de datos personales. Así que tome la elección fácil de estar más cerca de mis potenciales clientes, y creo que fue buena. 

Últimamente se habla mucho del problema de la escasez de mujeres en el ámbito STEAM. ¿Qué le dirías a una joven para animarla a dedicarse a la tecnología?

Creo que no se debe animar a nadie a estudiar tecnología si no le gusta. Pero quizá el problema es que no hay modelos que despierten la curiosidad de las niñas y las invite a explorar este mundo. También les recomendaría que no se pusieran límites, que es algo que yo misma he hecho. Para mí entrar en el MIT era un sueño totalmente fuera de mi alcance, algo que jamás me hubiera planteado si no hubiese dado con una persona que me animó a que lo intentara. Y lo conseguí. Ese sería mi consejo: inténtalo.