Imaginemos que asistimos a una fiesta de disfraces privada. Nadie puede saber quién va a la fiesta. Además, cada persona tiene una máscara y puede controlar que otra persona no la utilice. También hay un portero que debe controlar el acceso y una lista que contiene una foto de una máscara para cada asistente. Dado que pueden robar la lista, en ella no se relaciona la máscara con la persona en concreto para mantener su privacidad. Cuando llega un asistente, el portero consulta la lista y comprueba si hay una foto de su máscara.

De forma similar, en el contexto del acceso a servicios y realización de transacciones electrónicas: en vez de máscaras, se emplean pseudónimos (identificadores digitales seguros y confiables generados desde dispositivos hardware); la lista de acceso es un servidor de base de datos que almacena pseudónimos; el portero es un servidor de verificación de pseudónimos; y la entidad desde la que se generan pseudónimos puede ser una persona o una cosa. Pensemos que el IoT (Internet of Things, Internet de las Cosas) y la Inteligencia Artificial están produciendo dispositivos autónomos.

Para las personas, los identificadores se generan usando biometría. Esto es, la realización de medidas biológicas para el reconocimiento unívoco de las personas como, por ejemplo, rasgos faciales. Para las cosas, también se deben considerar medidas únicas usando PUFs (Physical Unclonable Functions, Funciones Físicas No Clonables), que extraen variaciones del hardware de los dispositivos producidas por el proceso de fabricación de los mismos. Tanto los identificadores biométricos como los identificadores de dispositivos son datos sensibles y deben protegerse mediante su conversión a pseudónimos de forma que no se revele información y se mantenga la capacidad distintiva. Estos pseudónimos se construyen mediante la aplicación de soluciones criptográficas. Para garantizar una seguridad a largo plazo, la criptografía empleada debe ser post-cuántica, así la protección es resistente ante ataques con ordenadores cuánticos (que estarán disponibles en un futuro quizás no muy lejano).

Consecuencias del robo de datos

En estos tiempos en los que los ciberataques están a la orden del día, la aplicación de seguridad en los sistemas informáticos es de suma importancia para evitar el acceso a datos confidenciales. Sin duda, el robo de datos tiene grandes consecuencias económicas, políticas y sociales. Estas consecuencias adquieren mayor importancia si lo que se roban son identidades porque si se tienen, directamente es posible la suplantación. Por eso, cada entidad (persona o cosa) debe tener el derecho de usar su propia identidad de forma segura. 

En los proyectos de investigación HardWallet (Hardware de confianza y con seguridad post-cuántica para carteras de identidades descentralizadas que usan rasgos distintivos de personas y dispositivos), Mas+Cara (Prueba de concepto de un esquema de reconocimiento facial descentralizado, que ofrece privacidad y seguridad post-cuántica) y CryptoHardWear (Soluciones hardware para afrontar los nuevos retos criptográficos de dispositivos wearables) estamos proponiendo soluciones para aplicar protección post-cuántica a los identificadores, de forma que generamos, transmitimos, almacenamos y verificamos pseudónimos, manteniendo en todo momento la privacidad y el control de su uso por parte de las entidades propietarias.