¿Blockchain detendrá las fugas de datos personales?
[ad_1]
Si usted es uno de los 2.400 millones de usuarios activos de Facebook, la probabilidad de que sus datos se hayan filtrado es de alrededor del 17%, dado el noticias recientes de 419 millones de cuentas expuestas. Esto significa que, a menos que algo cambie, cada sexto usuario activo podría perder el control sobre sus datos personales. Una y otra vez, no importa si el gobierno o la compañía administran los datos personales o cuán seguros son sus sistemas, las filtraciones de datos personales ocurren todo el tiempo. Pero, ¿cuáles son los problemas fundamentales de la centralización y cómo podemos rescatar nuestros datos de criminales, vendedores codiciosos y gobiernos corruptos?
Las fugas son inevitables
Las últimas dos semanas nos han traído tremendas noticias sobre filtraciones. La más reciente sobre la base de datos mencionada de 419 millones de cuentas de Facebook se encontró disponible para descargar en Internet y completa con detalles como nombres, números de teléfono, género y país de residencia. Hace un tiempo, Mastercard oficialmente reportado alrededor de 90,000 cuentas expuestas a las autoridades de la Unión Europea.
Una vez, cuando vivía en Ucrania, fui a un banco para solicitar una tarjeta de crédito. Le pregunté al empleado por qué no había solicitado ningún comprobante de ingresos para otorgarme un límite de crédito. Ella respondió que ya habían revisado la base de datos del fondo de pensiones. El fondo de pensiones del estado grava un monto determinado sobre cualquier sa lario, de modo que al ver mis impuestos pagados, podrían calcular mis ingresos. "Oh, Dios mío", pensé. "Ni siquiera están tratando de ocultar el hecho de que están usando una base de datos robada con los datos personales de todos en el país".
Con suerte, no hay necesidad de demostrar que nadie pueda prometer la seguridad de los datos personales. En algunos casos, se ignorará el derecho a la privacidad personal, mientras que en otros casos, los usuarios nunca sabrán sobre las violaciones (gracias por el consejo, Edward Snowden). Para algunas personas, estas violaciones de la privacidad amenazan el bienestar y la libertad, como el gobierno chino piratear la infraestructura del iPhone capturar a los uigures que viven en China.
Y la razón de eso es la centralización. Grandes grupos de conjuntos de datos personales se concentran en los servidores de los proveedores de servicios, lo que hace que estos datos sean vulnerables.
¿Puede ayudar la cadena de bloques?
La respuesta no es obvia, pero sí, puede ayudar. Necesitamos cambiar todo fundamentalmente en términos de cómo gestionamos los datos personales. Y solo se puede hacer con la ayuda de blockchain y la cooperación gubernamental.
Durante los últimos años, se realizaron intentos iniciales impulsados por la oferta de monedas (ICO) para "interrumpir" la industria de la identificación digital. No quiero mencionar ninguno de estos proyectos. Quizás algunos de ellos tenían intenciones sinceras, pero parecían ser prematuros en la resolución de problemas a nivel global y nacional.
Relacionado: Control de identificación en línea: Plataformas Blockchain vs. Gobiernos y Facebook
Dos nuevos términos relacionados con los cambios en la gestión de datos personales son DID, que significa "identificadores digitales descentralizados"Y Credenciales Verificables (que está a un paso de convertirse en un estándar). La Fundación para la Identidad Digital (DIF) y el Consorcio World Wide Web (W3C) están elaborando nuevos estándares para la identidad digital soberana. La comunidad del W3C describió un conjunto de conceptos generales, estándares y métodos destinados a escribir una nueva página en tecnología de la información y las comunicaciones.
Los métodos compatibles con DID que se han desarrollado recientemente como prototipo pueden ser desconocidos incluso para algunos entusiastas de DID. El concepto es el siguiente: los usuarios almacenan datos personales localmente en sus dispositivos, contradiciendo así el paradigma actual de registros basados en la nube administrados por el estado con acceso parcialmente restringido. Los usuarios nunca necesitan revelar todos sus datos, sino solo parcialmente y solo cuando está justificado. La autenticación se realiza utilizando un árbol Merkle y raíces firmadas digitalmente, que se almacenan en la cadena de bloques. Los proveedores de servicios (servicios web, gobiernos, etc.) no almacenan datos personales, pero pueden verificar su identidad digital en cualquier momento cuando interactúan con usted. 
El concepto creado por Mykhailo Tiutin de Vareger funciona de la siguiente manera. Primero, los datos pueden y deben almacenarse en el dispositivo del usuario en lugar de en un servidor de terceros. En muchos casos, los datos ni siquiera deben abandonar el dispositivo del usuario o ser revelados, pero cuando se divulgan, el agente recibe solo una fracción de los datos personales necesarios para la interacción en cuestión.
Por ejemplo, entras en una licorería. Tanto usted como el cajero tienen dispositivos móviles con un servicio de verificación de identidad preinstalado. La ley de los Estados Unidos prohíbe la venta de alcohol a personas menores de 21 años. Técnicamente, el cajero no necesita saber su nombre, su número de seguro social o incluso su cumpleaños, solo si es mayor de 21 años, según ley. Para un ingeniero que diseña este sistema, la pregunta "¿Tiene más de 21 años?" Es solo una variable booleana de 0 = No, 1 = Sí.
Para diseñar este sistema, uno necesita algunas cosas: un árbol Merkle, donde las hojas son hash de datos personales (nombre, fecha de nacimiento, dirección, foto, etc.) y la raíz, que es una cadena criptográfica firmada por un proveedor de servicios de confianza (TSP)
El proveedor de fideicomiso puede ser el gobierno (por ejemplo, el Ministerio del Interior), un banco o un amigo, es decir, alguien en quien las partes confían mutuamente. La raíz y la firma, así como la identificación digital del TSP, se almacenan en la cadena de bloques.
La escena en la tienda es la siguiente: saca su teléfono inteligente, abre su aplicación de verificación de identidad y selecciona los datos que desea divulgar al dispositivo del cajero. En este caso: la raíz, la firma digital del proveedor, su imagen y el booleano "Más de 21". Sin nombres, sin direcciones, sin SSN. El cajero verá el resultado de la verificación en su dispositivo. El dispositivo mostrará la fotografía enviada desde el dispositivo del cliente y verificará si la imagen es verificada por un TSP. Pero debido a que podría haber tomado el teléfono inteligente de otra persona, el cajero verifica si la imagen en la pantalla coincide con la cara del comprador. No hay datos excepto la raíz y la firma se almacena en la cadena de bloques; todo permanece en su teléfono inteligente. Por supuesto, el vendedor puede intentar guardar su imagen en su dispositivo, pero lo discutiremos más adelante.
La ventaja de este esquema es que puede haber múltiples raíces con TSP separados. Por ejemplo, puede tener una raíz para la prueba de educación, para la cual su institución educativa será el proveedor que certificará sus créditos y su graduación. También puede haber múltiples proveedores de confianza para los mismos datos. Por ejemplo, como persona, puede verificar una identidad en tres países diferentes, pero administrar múltiples identificaciones digitales se ha convertido en una pesadilla, debe recordar docenas de contraseñas y métodos de autorización, pero con DID, puede tener una identificación universal .
También puede crear un seudónimo en las redes sociales, foros y tiendas en línea. Allí, puede ser un "gatito" o simplemente una identificación sin nombre, si lo desea. Los seudónimos se pueden vincular mediante protocolos de conocimiento cero a la firma de un TSP, lo que significa que hay una prueba digital de que su identidad está verificada, pero está oculta del servicio web.
Hay muchas formas y esquemas sobre cómo proteger la identidad, pero la idea central es que todos los datos deberían estar bajo su control; en la mayoría de los casos, no debería tener que revelar sus datos (mediante protocolos a prueba de conocimiento cero) y en algunos casos, solo necesita revelar parcialmente.
¿Almacenarán sus datos?
W3C y diferentes entusiastas han estado trabajando en DID y conceptos de Credenciales Verificables durante algunos años, pero desafortunadamente, todavía no hemos visto ninguna adopción masiva y el principal inconveniente son los gobiernos.
Hay dos cosas principales que deben suceder para que esto se materialice:
1. Los gobiernos mismos dejan de centralizar los datos personales.
Como se mencionó anteriormente, nadie, incluido el gobierno, garantizará la seguridad de sus datos. Algún día, quedará expuesto, y debe considerarse afortunado si esa fuga no pierde su dinero ni amenaza su vida.
Por lo tanto, en primer lugar, los gobiernos deben dejar de almacenar datos personales. Este cambio en la práctica es la única forma de garantizar la seguridad de los datos personales. Esta declaración puede ser alucinante para los pensadores "pro-estatales", pero los métodos DID y Credenciales Verificables aseguran Conocer a su cliente, o KYC, sin exponer datos personales. No es necesario que un gobierno recopile datos personales a menos que tenga intenciones siniestras.
Una identificación digital es necesaria para ciertas actividades a nivel federal: registrar una empresa, declarar impuestos, votar, etc. En estos momentos, la identificación debe verificarse con un nivel aceptable de certeza, que será proporcionado por blockchain y la infraestructura de proveedores de servicios de confianza.
2. Las nuevas regulaciones de privacidad imponen estándares tan altos para el almacenamiento de datos personales y multas de terceros que el almacenamiento se volverá económicamente inviable.
"PDPR" debe convertirse en el segundo paso después del Reglamento General de Protección de Datos (GDPR), donde "P" significa "personal". Mientras que los Estados Unidos y otros países están tratando de recuperarse del GDPR, el concepto de "Reglamento de Protección de Datos Personales" es ya se está discutiendo en la UE.
Un factor importante en esto es que los políticos deben tener el coraje de adoptar las normas más estrictas e imponer las multas más altas que se pueden aplicar.
Y solo hay un propósito para esto: cada vez que una empresa, banco o servidor público se pregunta si es una buena idea almacenar los datos personales de alguien, deben pensar con mucho cuidado si sus razones son suficientes, porque sabemos que siempre que los datos personales sean centralizado, inevitablemente quedará expuesto algún día.
En cambio, los datos almacenados en el dispositivo del usuario crearán más barreras. Es más fácil robar 500 millones de cuentas de un dispositivo que de 500 millones de dispositivos independientes.
Toda persona debe tener el derecho de controlar la disponibilidad pública de sus datos personales y decidir por sí mismos lo que les gustaría compartir. Por lo tanto, las nuevas regulaciones y tecnología deben orientarse para detener la práctica de almacenar datos personales de manera centralizada. Si no es así, relájese y acostúmbrese a perder el suyo, un botón "Acepto" a la vez.
Relacionado: GDPR y Blockchain: ¿Es la nueva regulación de protección de datos de la UE una amenaza o un incentivo?
Los puntos de vista y opiniones expresados aquí son únicamente los del autor y no reflejan necesariamente los puntos de vista de Cointelegraph.
Oleksii Konashevych es un doctorado becario en un programa internacional financiado por el gobierno de la UE, Erasmus Mundus Joint International Doctoral Fellow en Derecho, Ciencia y Tecnología. Actualmente, Oleksii está visitando RMIT y colabora con el Blockchain Innovation Hub, haciendo su investigación en el campo del uso de tecnologías blockchain para el gobierno electrónico y la democracia electrónica.